Your SlideShare is downloading. ×
  • Like
firewill-1partie-8.ppt
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

firewill-1partie-8.ppt

  • 1,156 views
Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,156
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
64
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS
  • 2. Plan de la présentation
    • Sécurité
      • Routeurs
      • serveurs proxy-cache
      • Firewall
    • Etude de cas
      • Equipements
      • Services
  • 3. La solution routeur filtrant
    • Filtrage efficace sur les champs des protocoles de communication (adresse IP…)
    • Intégré à la plupart des routeurs du marché
    • Bien adapté au réseau de type PME
      • Nécessite une bonne connaissance technique des protocoles
      • Spécifique par routeur avec une syntaxe de bas niveau
      • Généralement pas de fichiers logs et de statistiques exploitables
  • 4. Inconvénients des routeurs filtrants
    • Les routeurs accèdent seulement à des parties limitées des entêtes des paquets.
    • Les routeurs n ’ont aucune notion de l ’état d ’une communication de bout en bout.
    • Les routeurs ont un nombre très limité de possibilités de traitement des informations qu’ils routent.
    • L ’implémentation de solutions de sécurité sur les routeurs réduisent leur performances.
  • 5. La solution Firewall
    • Accès sécurisé et transparent aux serveurs de l ’Internet
    • Filtrage sur protocoles de communication
    • Filtrage sur les applications
    • Filtrage sur les utilisateurs
    • Fichiers logs et statistiques d ’utilisation
    • Gestion possible de réseaux complexe (VPN, DMZ, NAT)
  • 6. Une solution Firewall Intranet
  • 7. La solution Proxy serveur
    • Accès performant et normalement non transparent aux applications de l ’Internet.
    • Filtrage applicatif (HTTP, FTP, Gopher)
    • Nécessite une connexion utilisateur par type de service
      • Difficile si l ’application n’est pas supporté par le proxy
    • Optimisation de la bande passante vers l ’Internet en mettant en cache les informations consultées de L ’internet
    • Filtrage efficace des sites autorisés / interdits
    • Masquage d ’adresse: une adresse unique pour l ’Internet
  • 8. Un proxy-cache?
    • Un proxy-cache est une entité intermédiaire entre un client et un serveur, entité qui garde les données.
    • Quand un client cherche à accéder aux ressources d ’un serveur, il effectue une requête au proxy. Celui-ci va tout d ’abord chercher ce document dans son cache. Si le document demandé par le client ne figure pas dans le proxy-cache, celui-ci envoie une requête au serveur lui-même et transmet le document reçu au client tout en stockant au passage le document dans son cache.
  • 9. Avantages des proxy-cache?
    • Réduction du trafic WAN
    • Une meilleure qualité de service
    • Possibilité de filtrage des requêtes et des réponses
  • 10. Logiciels
    • Plusieurs proxy-cache sur le marché:
    • Squid (logiciel gratuit)
    • Netcache Appliance
    • Cisco cache engine
    • Netscape proxy server
    • Microsoft proxy server
  • 11. Critères de comparaisons
    • Performance
      • Temps de réponse, protocoles supportés, compatibilité avec ICP, Tolérance aux pannes
    • Sécurité
      • Filtrage d ’URL, authentification et contrôle d ’accès, fichiers traces, SSL
    • Administration
      • Interface graphique intuitive, utilisation de SNMP
    • Transparence
  • 12. Critère de la transparence
    • Un Proxy-cache est dit transparent si les clients l ’utilisent sans aucune configuration manuelle des navigateurs (Exemple: Cisco cache engine)
    • Avantages:
      • Utilisation du caching sans aucune modification chez le client
    • Inconvénients:
      • Le client ne peut pas éviter l ’utilisation du cache.
      • Problème de droits d ’accès
  • 13. Proxy-cache de Microsoft et de Netscape
    • Ces proxy-cache ont les caractéristiques suivantes:
      • Produits adaptés pour les réseaux d  ’entreprises et non pour les réseaux étendus (Backbone opérateurs par exemple)
      • Produits moins performants que Squid ou Netcacche
      • Aucune solution de transparence
  • 14. Cisco Cache Engine
    • Ce produit a les caractéristiques suivantes:
      • Pas de compatibilité avec ICP
      • Possibilité de surcharge des routeurs
      • Pas d ’interface d ’administration ni d ’agent SNMP
      • Aucun contrôle interne du cache engine
      • Produit cher (150000 francs pour 900 sessions simultanées)
  • 15. Netcache et le switch d ’Altéon
    • Avantages
      • Utilisation des deux modes: mode transparent et mode proxy
      • Scalability: facilité d ’ajout de proxy-cache.
      • Performance logicielle: Netcache est 5 à 10 fois plus rapide que Squid.
      • Administration: Interface graphique conviviale sous format HTML.
  • 16. Firewall: Fonctionnement
  • 17. La translation d ’adresses
    • Localisation du translateur
      • Sur Firewall
      • Sur le routeur
    • Types de translation
      • N @ privées vers 1 @ publique
      • N @ privées vers M @ publiques
      • 1 @ privée vers 1 @ publique
  • 18. La notion de Virtual Private Network
  • 19. Les produits Firewall
    • Les produits significatifs dans le monde /France:
      • Checkpoint software (Firewall1)
      • Cisco (PIX, Centri Firewall)
      • Raptor systems (Eagle)
      • Bull soft (M >Wall)
  • 20. Les firewalls: quelles implémentations? (1/2)
    • Sur châssis propriétaire
      • Avantages: robustesse
      • Inconvénients: évolutivité limitée
    • Sur OS Sécurisé
      • Exemple: Unix BSD
      • Avantages: Implémentation sur architecture de type PC
      • Inconvénients: Interaction étroite entre Firewall et OS: Problème de mise à jour
  • 21. Les firewalls: quelles implémentations? (2/2)
    • Sur OS standard du marché
      • Exemple: Unix Solaris/ Windows NT server: Firewall1
      • Inconvénients: sensible aux attaques sur l ’OS.
      • Pas d ’idéal
    • Critères de choix:
      • Analyse de l ’existant/ Evolutivité de la solution
      • Culture système de l ’entreprise
      • Coûts
  • 22. Les firewalls : la solution à tout ?
    • Un firewall ne peut pa protéger contre le trafic qui ne passe pas par lui.
    • Pas de protection contre les menaces internes:
      • Rarement déployé et configuré entre les réseaux internes
    • Pas de confidentialité des informations:
      • Option Virtual Private Network (entre deux firewalls) possible
      • Option cryptage entre un poste isolé et le Firewall
    • Pas d ’authentification à l ’origine des informations:
      • Impossible de savoir si l ’auteur du paquet est bien celui qui émet le paquet.
  • 23. Propriétés du Firewall1 de checkpoint?
    • Existant sur plusieurs platformes (PC, stations, switchs)
    • +40% du marché mondial des Firewalls
    • Composants de sécurité du Firewall1:
      • Module Firewall (Contrôle des paquets, translation d ’adresses…)
      • Module d ’encryption (Utilisation possible de VPN sécurisés)
      • Module de management (Interface graphique + fonctionnalités de management de la base de données)
      • Possibilité d ’appliquer la même politique de sécurité pour plusieurs Firewalls à partir d ’une même station de management.
  • 24. La solution globale
    • Filtrage communications et/ou applications non proxy sur le firewall
    • Connexion des utilisateurs au Proxy Serveur pour les applications HTTP, FTP, gestion de cache de disque, détection de virus
    • En option, ACL sur les routeurs
  • 25. Conclusion
    • Les firewalls solutions matures et bien éprouvés
    • PIX et CheckPoint se partagent le marché
    • IPchains ou Netfilter grignote de plus en plus des parts
    • Les proxy solutions nécessaires pour l’optimisation et le filtrage applicatif
    • Les switch de type alteon nécessaires pour augmenter les performances.