firewill-1partie-8.ppt
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

firewill-1partie-8.ppt

on

  • 1,324 views

 

Statistics

Views

Total Views
1,324
Views on SlideShare
1,324
Embed Views
0

Actions

Likes
0
Downloads
63
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

firewill-1partie-8.ppt Presentation Transcript

  • 1. Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS
  • 2. Plan de la présentation
    • Sécurité
      • Routeurs
      • serveurs proxy-cache
      • Firewall
    • Etude de cas
      • Equipements
      • Services
  • 3. La solution routeur filtrant
    • Filtrage efficace sur les champs des protocoles de communication (adresse IP…)
    • Intégré à la plupart des routeurs du marché
    • Bien adapté au réseau de type PME
      • Nécessite une bonne connaissance technique des protocoles
      • Spécifique par routeur avec une syntaxe de bas niveau
      • Généralement pas de fichiers logs et de statistiques exploitables
  • 4. Inconvénients des routeurs filtrants
    • Les routeurs accèdent seulement à des parties limitées des entêtes des paquets.
    • Les routeurs n ’ont aucune notion de l ’état d ’une communication de bout en bout.
    • Les routeurs ont un nombre très limité de possibilités de traitement des informations qu’ils routent.
    • L ’implémentation de solutions de sécurité sur les routeurs réduisent leur performances.
  • 5. La solution Firewall
    • Accès sécurisé et transparent aux serveurs de l ’Internet
    • Filtrage sur protocoles de communication
    • Filtrage sur les applications
    • Filtrage sur les utilisateurs
    • Fichiers logs et statistiques d ’utilisation
    • Gestion possible de réseaux complexe (VPN, DMZ, NAT)
  • 6. Une solution Firewall Intranet
  • 7. La solution Proxy serveur
    • Accès performant et normalement non transparent aux applications de l ’Internet.
    • Filtrage applicatif (HTTP, FTP, Gopher)
    • Nécessite une connexion utilisateur par type de service
      • Difficile si l ’application n’est pas supporté par le proxy
    • Optimisation de la bande passante vers l ’Internet en mettant en cache les informations consultées de L ’internet
    • Filtrage efficace des sites autorisés / interdits
    • Masquage d ’adresse: une adresse unique pour l ’Internet
  • 8. Un proxy-cache?
    • Un proxy-cache est une entité intermédiaire entre un client et un serveur, entité qui garde les données.
    • Quand un client cherche à accéder aux ressources d ’un serveur, il effectue une requête au proxy. Celui-ci va tout d ’abord chercher ce document dans son cache. Si le document demandé par le client ne figure pas dans le proxy-cache, celui-ci envoie une requête au serveur lui-même et transmet le document reçu au client tout en stockant au passage le document dans son cache.
  • 9. Avantages des proxy-cache?
    • Réduction du trafic WAN
    • Une meilleure qualité de service
    • Possibilité de filtrage des requêtes et des réponses
  • 10. Logiciels
    • Plusieurs proxy-cache sur le marché:
    • Squid (logiciel gratuit)
    • Netcache Appliance
    • Cisco cache engine
    • Netscape proxy server
    • Microsoft proxy server
  • 11. Critères de comparaisons
    • Performance
      • Temps de réponse, protocoles supportés, compatibilité avec ICP, Tolérance aux pannes
    • Sécurité
      • Filtrage d ’URL, authentification et contrôle d ’accès, fichiers traces, SSL
    • Administration
      • Interface graphique intuitive, utilisation de SNMP
    • Transparence
  • 12. Critère de la transparence
    • Un Proxy-cache est dit transparent si les clients l ’utilisent sans aucune configuration manuelle des navigateurs (Exemple: Cisco cache engine)
    • Avantages:
      • Utilisation du caching sans aucune modification chez le client
    • Inconvénients:
      • Le client ne peut pas éviter l ’utilisation du cache.
      • Problème de droits d ’accès
  • 13. Proxy-cache de Microsoft et de Netscape
    • Ces proxy-cache ont les caractéristiques suivantes:
      • Produits adaptés pour les réseaux d  ’entreprises et non pour les réseaux étendus (Backbone opérateurs par exemple)
      • Produits moins performants que Squid ou Netcacche
      • Aucune solution de transparence
  • 14. Cisco Cache Engine
    • Ce produit a les caractéristiques suivantes:
      • Pas de compatibilité avec ICP
      • Possibilité de surcharge des routeurs
      • Pas d ’interface d ’administration ni d ’agent SNMP
      • Aucun contrôle interne du cache engine
      • Produit cher (150000 francs pour 900 sessions simultanées)
  • 15. Netcache et le switch d ’Altéon
    • Avantages
      • Utilisation des deux modes: mode transparent et mode proxy
      • Scalability: facilité d ’ajout de proxy-cache.
      • Performance logicielle: Netcache est 5 à 10 fois plus rapide que Squid.
      • Administration: Interface graphique conviviale sous format HTML.
  • 16. Firewall: Fonctionnement
  • 17. La translation d ’adresses
    • Localisation du translateur
      • Sur Firewall
      • Sur le routeur
    • Types de translation
      • N @ privées vers 1 @ publique
      • N @ privées vers M @ publiques
      • 1 @ privée vers 1 @ publique
  • 18. La notion de Virtual Private Network
  • 19. Les produits Firewall
    • Les produits significatifs dans le monde /France:
      • Checkpoint software (Firewall1)
      • Cisco (PIX, Centri Firewall)
      • Raptor systems (Eagle)
      • Bull soft (M >Wall)
  • 20. Les firewalls: quelles implémentations? (1/2)
    • Sur châssis propriétaire
      • Avantages: robustesse
      • Inconvénients: évolutivité limitée
    • Sur OS Sécurisé
      • Exemple: Unix BSD
      • Avantages: Implémentation sur architecture de type PC
      • Inconvénients: Interaction étroite entre Firewall et OS: Problème de mise à jour
  • 21. Les firewalls: quelles implémentations? (2/2)
    • Sur OS standard du marché
      • Exemple: Unix Solaris/ Windows NT server: Firewall1
      • Inconvénients: sensible aux attaques sur l ’OS.
      • Pas d ’idéal
    • Critères de choix:
      • Analyse de l ’existant/ Evolutivité de la solution
      • Culture système de l ’entreprise
      • Coûts
  • 22. Les firewalls : la solution à tout ?
    • Un firewall ne peut pa protéger contre le trafic qui ne passe pas par lui.
    • Pas de protection contre les menaces internes:
      • Rarement déployé et configuré entre les réseaux internes
    • Pas de confidentialité des informations:
      • Option Virtual Private Network (entre deux firewalls) possible
      • Option cryptage entre un poste isolé et le Firewall
    • Pas d ’authentification à l ’origine des informations:
      • Impossible de savoir si l ’auteur du paquet est bien celui qui émet le paquet.
  • 23. Propriétés du Firewall1 de checkpoint?
    • Existant sur plusieurs platformes (PC, stations, switchs)
    • +40% du marché mondial des Firewalls
    • Composants de sécurité du Firewall1:
      • Module Firewall (Contrôle des paquets, translation d ’adresses…)
      • Module d ’encryption (Utilisation possible de VPN sécurisés)
      • Module de management (Interface graphique + fonctionnalités de management de la base de données)
      • Possibilité d ’appliquer la même politique de sécurité pour plusieurs Firewalls à partir d ’une même station de management.
  • 24. La solution globale
    • Filtrage communications et/ou applications non proxy sur le firewall
    • Connexion des utilisateurs au Proxy Serveur pour les applications HTTP, FTP, gestion de cache de disque, détection de virus
    • En option, ACL sur les routeurs
  • 25. Conclusion
    • Les firewalls solutions matures et bien éprouvés
    • PIX et CheckPoint se partagent le marché
    • IPchains ou Netfilter grignote de plus en plus des parts
    • Les proxy solutions nécessaires pour l’optimisation et le filtrage applicatif
    • Les switch de type alteon nécessaires pour augmenter les performances.