Chap3 FW Data Center 2024 VF
Chap3 FW Data Center 2024 VF
Chap3 FW Data Center 2024 VF
En effet, une entreprise n'est jamais complètement fermée sur elle même. Il est par
exemple nécessaire de pouvoir partager des informations avec les clients de
l'entreprise.
Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte a
divers acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne
sont pas contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction,...).
Les mobiles pour effectuer de tel actions sont nombreux et variés : attaque visant le vol
de données, passe-temps,…
Introduction sur le firewall
Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire.
L'architecture devant être mise en place doit comporter un composant essentiel qui est
le firewall. Cette outil a pour but de sécuriser au maximum le réseau local de
l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela
permet de rendre le réseau ouvert sur Internet beaucoup plus sûr.
Mode d’execution
•Pare-feu sans états (stateless)
•Pare-feu à état (stateful)
•Pare-feu applicatif (proxy)
•Pare-feu authentifiant
•Pare-feu personnel
Première classification
2
Exemple :
Pare-feu sous
windows
Le pare feu physique: est une machine qui ressemble à un switch qui s’installe à coté
d’un serveur Web et qui possède son propre système d’exploitation (Linux), il
possède plusieurs ports, chaque port possede une adresse IP et qui peut e^tre
configuré sur un sous réseau
La différence entre un pare-feu matériel et un logiciel
pare-feu
Cloison et pare-feu logiciel protège les ordinateurs en bloquant le trafic suspect à partir
d'Internet . Un pare-feu matériel est un élément physique de l'équipement relié à un
système d'ordinateur , tandis que le pare-feu logiciel est un programme installé dans un
ordinateur. Pare-feu matériels ont l'avantage de protéger plusieurs ordinateurs sur un
réseau , tandis que les pare-feu logiciel peut être suffisant pour répondre aux besoins
d'un utilisateur individuel .
Hardware Firewall:
Un pare-feu matériel est un périphérique externe qui est branché sur un ordinateur avant
qu'il se connecte à Internet . Un routeur à large bande est un exemple d'un pare-feu
matériel .
Pare-feu logiciel
pare-feu logiciels sont des programmes qui peuvent être installés sur votre ordinateur en
les téléchargeant directement à partir d'un site Web ou les charger à partir d'un CD ou
d'un DVD . Pare-feu logiciels sont parfois inclus dans le cadre d'un package de sécurité
Internet . Norton Internet Security et Kaspersky Internet Security, par exemple , les deux
sont livrés avec un pare-feu.
La différence entre un pare-feu matériel et un logiciel
pare-feu
Comparaisons
pare-feu matériels sont plus chers que les logiciels et sont couramment utilisé sur les
réseaux accessibles par plusieurs ordinateurs. Les Evalue Website notes qu'ils « ont
l'avantage d'être séparé de votre ordinateur , si votre ordinateur ramasser un virus qui
pourrait désactiver votre pare-feu . " Pare-feu logiciels sont adaptés à la plupart des
utilisateurs à domicile , et un logiciel de pare-feu peuvent inclure un bon niveau de
protection contre les virus et les logiciels espions .
Deuxième classification
Ces firewalls interviennent sur les couches réseau et transport. Les règles de filtrages
s'appliquent alors par rapport à une d'adresses IP sources ou destination, mais aussi par
rapport à un port source ou destination.
Les limites :
Lors de la création des règles de filtrage, il est d'usage de commencer à spécifier que le
firewall ne doit laisser passer aucun paquets. Ensuite, il faut ajouter les règles
permettant de choisir les flux que nous souhaitons laisser passer. Il suffit alors d'autoriser
l'ouverture des ports des serveurs devant
être accessible depuis l'extérieur. Mais les connexions des postes vers l'extérieur
poseront problèmes. Effectivement, il faudrait autoriser les ports utilisés par les postes
clients lors des connexions vers les serveurs, ceci implique donc d'ouvrir tout les ports
supérieurs à 1024. Ceci pose donc un réel problème de sécurité.
Il n'est pas possible non plus de se préserver des attaques de type ip-spoofing (technique
consistant à se faire passer pour une machine de confiance) ou SYN Flood (surcharge de
demande de connexion sans attente de la réponse.)
Firewall sans état
Les limites :
Les règles de filtrage de ces firewalls sont basées que sur des adresses IP, il suffit donc au
pirate de trouver les règles de ce firewall pour pouvoir utiliser cette technique de
piratage. Une solution pour se protéger des attaques de type ip-spoofing est de mettre
en place une règle interdisant les paquets provenant du réseau extérieur dont l'adresse
IP source correspond à une adresse valide du réseau local
De ce fait, ils seront capables de traiter les paquets non plus uniquement suivant les
règles définies par l'administrateur, mais également par rapport à l'état de la session :
– NEW : Un client envoie sa première requête.
– ESTABLISHED : Connexion déjà initiée. Elle suit une connexion NEW.
– RELATED : Peut être une nouvelle connexion, mais elle présente un rapport direct
avec une connexion déjà connue.
– INVALID : Correspond à un paquet qui n'est pas valide.
Les attributs gardés en mémoires sont les adresses IP, numéros de port et numéros de
séquence des paquets qui ont traversé le firewall. Les firewalls à états sont alors
capables de déceler une anomalie protocolaire de TCP. De plus, les connexions actives
sont sauvegardées dans une table des états de connexions. L'application des règles est
alors possible sans lire les ACL à chaque fois, car l'ensemble des paquets appartenant à
une connexion active seront acceptés.
Firewall à états (stateful)
Un autre avantages de ce type de firewall, se trouve au niveau de la protection contre
certaines attaques DoS comme par exemple le Syn Flood. Cette attaque très courante
consiste à envoyer en masse des paquets de demande de connexion (SYN) sans en
attendre la réponse (c'est ce que l'on appel flood). Ceci provoque la surcharge de la
table des connexions des serveurs ce qui les rend incapable d'accepter de nouvelles
connexions. Les firewalls stateful étant capables de vérifier l'état des sessions, ils sont
capables de détecter les tentatives excessives de demande de connexion. Il est
possible, en autre, ne pas accepter plus d'une demande de connexion par seconde
pour un client donné .
Pour les protocoles sans connexion (comme par exemple UDP), les paquets de
réponses légitimes aux paquets envoyés sont acceptés pendant un temps donné. Par
contre, pour les protocoles fonctionnant de manière similaire à FTP, il faut gérer l'état
de deux connexions (donnée et contrôle). Ceci implique donc que le firewall connaisse
le fonctionnement du protocole FTP (et des protocoles analogues), afin qu'il laisse
passé le flux de données établi par le serveur.
Firewall à états (stateful)
Les limites :
• La première limite de ce type de firewall ce situe au niveau du contrôle de la validité
des protocoles (les protocoles à plusieurs flux ne passent pas) .
• cout elevé de la mise à jour des règles (le firewall doit mettre à jour la table des états,
les protocoles à plusieurs flux ne passent pas)
• ne protège pas contre les attaques d’exploration des failles applicatives)
Ce type de firewall permet alors d'effectuer une analyse beaucoup plus fine des
informations qu'ils font transiter. Ils peuvent ainsi rejeter toutes les requêtes non
conformes aux spécifications du protocole. Ils sont alors capables de vérifier, par
exemple, que seul le protocole HTTP transite à travers le port 80.
La première limitation de ces firewalls réside sur le fait qu'ils doivent impérativement
connaître toutes les règles des protocoles qu'ils doivent filtrer. Effectivement, il faut
que le module permettant le filtrage de ces protocoles soit disponible.
Ensuite, ce type de firewall est très gourmand en ressource. Il faut donc s'assurer
d'avoir une machine suffisamment puissante pour limiter les possibles ralentissements
dans les échanges.
Firewall authentifiant
Les firewall authentifiant permettent de mettre en place des règles de filtrage suivant
les utilisateurs et non plus uniquement suivant des machines à travers le filtre IP. Il est
alors possible de suivre l'activité réseau par utilisateur.
Pour que le filtrage puisse être possible, il y a une association entre l'utilisateur
connecté et l'adresse IP de la machine qu'il utilise. Il existe plusieurs méthode
d'association. Par exemple authpf, qui utilise SSH, ou encore NuFW qui effectue
l'authentification par connexion.
Firewall personnel
Les firewalls personnels sont installés directement sur les postes de travail. Leur
principal but est de contrer les virus informatiques et logiciels espions (spyware).
Leur principal atout est qu'ils permettent de contrôler les accès aux réseaux des
applications installés sur la machines. Ils sont capables en effet de repérer et
d'empêcher l'ouverture de ports par des applications non autorisées à utiliser le réseau.
Proxy
1. Démontrer que le FW sans états ne peut pas bloquer les attaques Ipspoofing
2. Réaliser une simulation
FW de nouvelle génération utilisé par Data center
1.Définition du NGFW
Un pare-feu de nouvelle génération (NGFW) est un « pare-feu d’inspection des
paquets profonds » qui va au-delà de l’inspection et du blocage des ports et des
protocoles pour ajouter l’inspection au niveau de l’application, la prévention des
intrusions et l’apport de renseignements de l’extérieur du pare-feu ».
Les deux types de pare-feu devraient également être en mesure de traduire les
adresses réseau et portuaire afin de cartographier les adresses IP.
FW de nouvelle génération utilisé par Data center
Ces pares-feux ont un contrôle et une visibilité étendus des applications qu’il est en
mesure d’identifier à l’aide de l’analyse et de l’appariement des signatures. Ils peuvent
utiliser des listes blanches ou un IPS basé sur la signature pour faire la distinction
entre les applications sûres et les applications indésirables, qui sont ensuite identifiées
à l’aide du décryptage SSL.
NGFWs peut être une option à faible coût pour les entreprises qui cherchent à
améliorer leur sécurité de base, car ils peuvent intégrer le travail des antivirus,
pare-feu, et d’autres applications de sécurité dans une solution. Les
caractéristiques de ceci incluent la sensibilisation d’application, les services
d’inspection, aussi bien qu’un système de protection et un outil de conscience qui
bénéficient à l’offre à toutes les chances.
FW de nouvelle génération utilisé par Data center
D'autres techniques et services ont donc dû être intégrés aux appliances NGFW de
base, par exemple l'analyse SSL, le filtrage des sites Web, la qualité de service, l'analyse
antivirus, voire la mise en sandbox. Bien que précieux pour les utilisateurs, ces autres
services suscitent également de la confusion, car certaines personnes ne comprennent
pas bien la différence entre NGFW et UTM (Gestion unifiée des menaces).
WatchGuard réunit non seulement le plus vaste éventail de services de sécurité réseau
sur une même plateforme, mais il le fait de la manière la plus dynamique possible, en
étant capable de s'adapter plus rapidement que toute autre solution à tous les vecteurs
de menaces, même nouvelles et en évolution.
Notre domaine de prédilection est la sécurité, et notre souhait
est que chaque client bénéficie à tout instant de la meilleure protection possible. C'est
pourquoi nous recommandons fortement aux clients d'opter pour une suite de sécurité
complète. Lorsqu'elles fonctionnent avec WatchGuard Total Security Suite, nos
appliances de sécurité réseau Firebox offrent la meilleure sécurité possible contre les
menaces qui pèsent sur le réseau. Chaque Firebox est disponible sous forme
d'appliance NGFW autonome. Cependant, comme nous sommes des spécialistes de la
sécurité, nous ne recommandons jamais le déploiement d'un pare-feu de nouvelle
génération (NGFW) en l'absence d'autres mécanismes de sécurité. La meilleure approche
à adopter en matière de sécurité est une approche à plusieurs couches.
Qu’est-ce qu’un pare-feu nouvelle génération (NGFW) ?
Un pare-feu de nouvelle génération (NGFW) est un appareil de sécurité qui
traite le trafic réseau et applique des règles pour bloquer le trafic potentiellement
dangereux. Les NGFW évoluent et étendent les capacités des pare-
feux traditionnels. Ils font tout ce que font les pare-feux, mais de manière plus
puissante et avec des fonctionnalités supplémentaires.
Les NGFW peuvent faire tout ce que les pare-feux ordinaires peuvent faire. Cela
inclut :
•Filtrage des paquets : inspecter chaque paquet de données et bloquer les
paquets dangereux ou inattendus. Le filtrage des paquets est expliqué plus en
détail ci-dessous.
•Inspection dynamique : examiner les paquets dans leur contexte pour
s'assurer qu'ils font partie d'une connexion réseau légitime.
•Sensibilisation au VPN : les pare-feux sont capables d'identifier le trafic
VPN chiffré et de le laisser passer.
Quelles sont les capacités d'un NGFW ?
Les NGFW ajoutent également plusieurs capacités que les anciens pare-feu ne
possèdent pas. Les NGFW utilisent l'inspection approfondie des paquets (DPI) en plus du
filtrage des paquets. Et selon Gartner, une société mondiale de recherche et de conseil,
un NGFW comprend :
Sensibilisation et contrôle des applications
Prévention des intrusions
Informations sur les menaces
des possibilités de mise à niveau afin d'ajouter de futurs flux d'informations.
Techniques pour faire face aux menaces de sécurité en constante évolution
Quelles sont les capacités d'un NGFW ?
Ces capacités sont expliquées en détail ci-dessous.
La plupart de ces fonctionnalités sont possibles, car contrairement aux pare-feu
classiques, les NGFW peuvent traiter le trafic sur plusieurs couches du modèle OSI, et
pas seulement sur les couches 3 et 4 (la couche transport).
Les NGFW peuvent examiner le trafic de la couche 7 HTTP et identifier les applications
utilisées, par exemple. Il s'agit d'une capacité importante car la couche 7 (couche
application) est de plus en plus utilisée pour des attaques visant à contourner les
politiques de sécurité appliquées aux couches 3 et 4 par les pare-feux traditionnels.
Que sont le filtrage des paquets et
l'inspection approfondie des paquets
(IAP) ?
Filtrage des paquets
Toutes les données qui traversent un réseau ou l'Internet sont décomposées en
petits morceaux appelés paquets. Étant donné que ces paquets contiennent le
contenu qui entre dans un réseau, les pare-feux les inspectent et les bloquent ou
les autorisent afin d'empêcher tout contenu malveillant (tel qu'une attaque de
logiciel malveillant) de passer. Tous les pare-feux ont cette capacité de filtrage des
paquets.
Cependant, un pare-feu peut inspecter un paquet, voir à quel port il est destiné et
bloquer tous les paquets dirigés vers ce port, sauf s'ils proviennent d'une adresse
IP spécifiquement autorisée. Cela implique l'inspection du trafic réseau au niveau
des couches 3 (pour voir les adresses IP source et destination) et 4 (pour voir le
Une inspection des paquets en profondeur (DPI)
Les NGFW améliorent le filtrage des paquets en effectuant une inspection approfondie
des paquets (DPI). Tout comme le filtrage des paquets, l'inspection approfondie des
paquets consiste à inspecter chaque paquet pour connaître l'adresse IP source et
destination, le port source et destination, etc. Ces informations sont toutes contenues
dans les en-têtes de couche 3 et de couche 4 d'un paquet.
Mais le DPI inspecte également le corps de chaque paquet, et pas seulement l'en-tête.
Plus précisément, le DPI vérifie les signatures de logiciels malveillants et autres
menaces potentielles dans le corps des paquets. Le DPI compare le contenu de chaque
paquet à celui d'attaques malveillantes connues.
La prévention des intrusions analyse le trafic entrant, identifie les menaces connues et les
menaces potentielles, et bloque ces menaces. Une telle fonctionnalité est souvent appelée
système de prévention des intrusions (IPS). Les NGFW comprennent des IPS dans le cadre
de leurs capacités DPI.
Les IPS peuvent utiliser plusieurs méthodes pour détecter les menaces, notamment :
Détection de signatures : Analyser les informations contenues dans les paquets entrants
et les comparer aux menaces connues
Détection statistique des anomalies : Analyse du trafic pour détecter les changements
inhabituels de comportement, par rapport à une base de référence.
les renseignements sur les menaces sont des informations sur les attaques potentielles.
Les techniques d'attaque et les souches de logiciels malveillants évoluant en permanence,
des renseignements sur les menaces actualisés sont essentiels pour bloquer ces attaques.
Les NGFW sont capables de recevoir et d'agir sur les flux de renseignements sur les
menaces provenant de sources externes.
« L'IP reputation » identifie les adresses IP d'où proviennent souvent les attaques (en
particulier les attaques bot ). Un flux de renseignements sur les menaces liées à la
réputation IP fournit les dernières mauvaises adresses IP connues, qu'un NGFW peut alors
bloquer.
Qu'est-ce que le renseignement sur les menaces ?
Les pare-feux de la prochaine génération sont-ils matériels ou logiciels ?
Certains NGFW sont des appareils matériels conçus pour défendre un réseau privé
interne. Les NGFW peuvent également être déployés sous forme de logiciels, mais il n'est
pas nécessaire qu'ils soient basés sur des logiciels pour être considérés comme étant de
nouvelle génération.
Enfin, un NGFW peut être déployé sous forme de service en cloud; on parle alors de pare-
feu cloud (ou FW en tant que service FWaas). Le FWaaS est un composant important des
modèles de mise en réseau secure access service edge (SASE). Qu'est-ce que Cloudflar
Sur la toile, de très nombreux sites internet possèdent une architecture distribuée :
les ressources ne se trouvent pas au même endroit, sur une même machine par
exemple. De ce fait, contrairement aux architectures centralisées, ce type de réseau
est beaucoup plus faible face aux attaques, et plus particulièrement face
aux attaques DDoS, pour Distributed Denial of Service.
Mettre en place un site miroir, voici encore une procédure efficace pour se
prémunir des attaques de ce type. Il s’agit de créer, sur un nom de domaine différent
(avec une autre extension par exemple), une copie conforme du site, qui sera
opérationnelle en cas d’immobilisation de la plateforme originelle.
Disposer d’une interface plus rapide à charger et offrant une réponse appropriée en
cas de requêtes massives est également une solution à envisager. Créer une version
plus légère de la plateforme ou installer un système d’alerte, voilà également qui
pourra permettre aux entreprises de se protéger plus efficacement contre les
attaques DDoS.