Sécurité des réseaux Firewalls

NAT dynamique : Masquerading
NAT statique
1. Firewall?
2. DMZ
3. Proxy
4. Logiciels de filtrage de paquets
5. Ipfwadm
6. Ipchains
7. Iptables
8. Iptables et filtrage
9. Translation d’adresses

Firewall

Pourquoi un firewall?
Definition
Programme, ou un matériel, chargé de vous protéger du monde extérieur en contrôlant tout ce qui passe, et surtout tout ce qui ne doit pas passer entre internet et le réseau local.
pourquoi un firewall?
– Contrôle.Gérer les connexions sortantes a partir du réseau local.
– Sécurité.Protéger le réseau interne des intrusions venant de l’extérieur.
– Vigilance.Surveiller/tracer le trafic entre le réseau local et internet.
Plusieurs types de firewalls :
* Pare-feu au niveau réseau
* Pare-feu au niveau applicatif
* Pare-feu des applications

Différents types de firewalls

Pare-feu niveau réseau.(iptables, paquet filter, …)
– Firewall fonctionnant à un niveau bas de la pile TCP/IP
– Basé sur le filtrage des paquets
– Possibilité (si mécanisme disponible) de filtrer les paquets suivant l’état de la connexion
Intérêt : Transparence pour les utilisateurs du réseau
Pare-feu au niveau applicatif.(inetd, xinetd, …)
– Firewall fonctionnant au niveau le plus haut de la pile TCP/IP
– Généralement basé sur des mécanisme de proxy
Intérêt : Possibilité d’interpréter le contenu du trafic
Pare-feu des applications.(/etc/ftpaccess pour ftp, …)
– Restrictions au niveau des différentes applications

DMZ

Definition (DMZ)
Une zone démilitarisée (DMZ) est un sous-réseau se trouvant entre le réseau local et le réseau extérieur.
Propriétés :
Les connexions à la DMZ sont autorisées de n’importe où.
Les connexions à partir de la DMZ ne sont autorisées que vers l’extérieur.
Intérêt :
– Rendre des machines accessible à partir de l’extérieur (possibilité de mettre en place des serveurs (DNS, SMTP, … ).

Problèmes liés à NAT dynamique

Comment faire de la translation d’adresse sur des protocoles qui ne sont pas basés sur TCP ou UDP (pas de numéro de port)?
F Nécessité d’implémenter une méthode spécifique au protocole (identifiant ICMP pour ICMP par exemple).
F Dans le cas des protocoles dont les paquets contiennent des données relatives aux adresses IP, il est nécessaire de mettre en place des “proxy” (FTP en mode actif par exemple).
Comment rendre joignables des machines du réseau local?
F Nécessité de faire de la redirection de port (port forwarding/mapping).
Principe.Toutes les connexions entrantes sur un port donné sont redirigée vers une machine du réseau privé sur un port (qui peut être le même ou non).

……

Sécurité des réseaux Firewalls

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *