Cours sécurité les filtres et politique de filtrages

FILTRES ET POLITIQUE DE FILTRAGES

Filtrer consiste à examiner le contenu d’une trame à un niveau de couche donné et en fonction de son contenu à acheminer ou non la trame. L’ensemble des ports serveurs habituels est défini dans le RFC 1700. Il est possible de filtrer ces ports afin de minimiser les attaques possibles. Par exemple, les datagrammes TCP comportent un bit indiquant si ce datagramme est une réponse à un datagramme précédent. Dans un datagramme d’ouverture de session, ce bit n’est pas positionné. Bloquer tout datagramme entrant ne positionnant pas ce bit interdit une ouverture de connexion de l’extérieur du réseau. L’un des ports le plus fragile est le port 111 (portmap pour RPC) qui permet d’obtenir les numéros de port de service. La plupart des applications utilisant ce port sont en UDP, on peut donc par exemple filtrer les datagrammes UDPs inconnus (pas DNS, syslog, archie,…). Les datagrammes TCP sur le port 111 sont systématiquement filtrés par le bit d’ouverture de session. Les serveurs X11 attribuent des ports 2000 à 2003 et 6000 à 6003 aux clients d’applications TCP. Ces ports de même doivent être filtrés. Il est possible de filtrer également la trame Ethernet elle-même au niveau d’un routeur par exemple par : – l’en-tête de la trame : adresses origine et destination, type, – l’en-tête IP : protocole transporté, adresses IP origine et destination, – l’en-tête TCP ou UDP : port. Il est par contre impossible de filtrer les informations (retrouver le nom de l’utilisateur par exemple). Deux politiques peuvent être mises en place : – filtrer ce que l’on ne veut pas, vulnérable – n’autoriser que ce qui est connu et interdire tout le reste, peu vulnérable mais mécontente les utilisateurs.

EXEMPLE DE FILTRE SUR ROUTEUR

Les routeurs permettent de fabriquer des listes d’autorisations (access-list ou ACL sur CISCO). La commande permet de définir des interdictions ou des autorisations dans le sens sortant ou entrant. Elle est définie pour des protocoles (ip, udp, tcp, icmp) et des ports de provenance et de destination. Le filtre d’adresse est constitué par une adresse source suivi d’un masque puis une adresse destination suivie d’un masque.

Exemple de masque par exemple sur CISCO 129.90.0.0 0.0.255.255 définit la classe 129.90.x.x 129.90.0.0 0.0.255.129 définit la classe {129.90.x.128, 129.90.x.1, 129.90.x.129}
liste Un exemple pour CISCO (extrait de http://www.urec.fr/securite/commencer/) est donné ci-dessous. Le réseau interne est 192.56.62.x (classe C). On place des filtres sur le routeur d’entrée du site. Tout est autorisé sauf : tftp, NFS, SNMP. De plus, – 192.56.62.80 ne doit pas communiquer avec l’extérieur – le réseau 190.190.0.0 est interdit d’entrée – on restreint SMTP serveur à 192.56.62.10 – on restreint HTTP serveur à 192.56.62.20..

Cours gratuitTélécharger le cours complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *