Upload
mireio-cartier
View
109
Download
0
Embed Size (px)
Citation preview
Le filtrage IP
Ahmed SerhrouchniENST’Paris
CNRS
2
Plan de la présentation
• Sécurité
– Routeurs
– serveurs proxy-cache
– Firewall
• Etude de cas
– Equipements
– Services
3
La solution routeur filtrant
• Filtrage efficace sur les champs des protocoles de communication (adresse IP…)
• Intégré à la plupart des routeurs du marché
• Bien adapté au réseau de type PME
– Nécessite une bonne connaissance technique des protocoles
– Spécifique par routeur avec une syntaxe de bas niveau
– Généralement pas de fichiers logs et de statistiques exploitables
4
Inconvénients des routeurs filtrants
• Les routeurs accèdent seulement à des parties limitées des entêtes des paquets.
• Les routeurs n ’ont aucune notion de l ’état d ’une communication de bout en bout.
• Les routeurs ont un nombre très limité de possibilités de traitement des informations qu’ils routent.
• L ’implémentation de solutions de sécurité sur les routeurs réduisent leur performances.
5
La solution Firewall
• Accès sécurisé et transparent aux serveurs de l ’Internet
• Filtrage sur protocoles de communication
• Filtrage sur les applications
• Filtrage sur les utilisateurs
• Fichiers logs et statistiques d ’utilisation
• Gestion possible de réseaux complexe (VPN, DMZ, NAT)
6
Une solution Firewall Intranet
7
La solution Proxy serveur
• Accès performant et normalement non transparent aux applications de
l ’Internet.
• Filtrage applicatif (HTTP, FTP, Gopher)
• Nécessite une connexion utilisateur par type de service
– Difficile si l ’application n’est pas supporté par le proxy
• Optimisation de la bande passante vers l ’Internet en mettant en cache
les informations consultées de L ’internet
• Filtrage efficace des sites autorisés / interdits
• Masquage d ’adresse: une adresse unique pour l ’Internet
8
Un proxy-cache?
• Un proxy-cache est une entité intermédiaire entre un client et un serveur, entité qui garde les données.
• Quand un client cherche à accéder aux ressources d ’un serveur, il effectue une requête au proxy. Celui-ci va tout d ’abord chercher ce document dans son cache. Si le document demandé par le client ne figure pas dans le proxy-cache, celui-ci envoie une requête au serveur lui-même et transmet le document reçu au client tout en stockant au passage le document dans son cache.
9
Avantages des proxy-cache?
• Réduction du trafic WAN
• Une meilleure qualité de service
• Possibilité de filtrage des requêtes et des réponses
10
Logiciels
• Plusieurs proxy-cache sur le marché:
• Squid (logiciel gratuit)
• Netcache Appliance
• Cisco cache engine
• Netscape proxy server
• Microsoft proxy server
11
Critères de comparaisons
• Performance
– Temps de réponse, protocoles supportés, compatibilité avec ICP, Tolérance aux
pannes
• Sécurité
– Filtrage d ’URL, authentification et contrôle d ’accès, fichiers traces, SSL
• Administration
– Interface graphique intuitive, utilisation de SNMP
• Transparence
12
Critère de la transparence
• Un Proxy-cache est dit transparent si les clients l ’utilisent sans aucune configuration manuelle des navigateurs (Exemple: Cisco cache engine)
• Avantages:
– Utilisation du caching sans aucune modification chez le client
• Inconvénients:
– Le client ne peut pas éviter l ’utilisation du cache.
– Problème de droits d ’accès
13
Proxy-cache de Microsoft et de Netscape
• Ces proxy-cache ont les caractéristiques suivantes:
– Produits adaptés pour les réseaux d ’entreprises et non pour les réseaux étendus
(Backbone opérateurs par exemple)
– Produits moins performants que Squid ou Netcacche
– Aucune solution de transparence
14
Cisco Cache Engine
• Ce produit a les caractéristiques suivantes:
– Pas de compatibilité avec ICP
– Possibilité de surcharge des routeurs
– Pas d ’interface d ’administration ni d ’agent SNMP
– Aucun contrôle interne du cache engine
– Produit cher (150000 francs pour 900 sessions simultanées)
15
Netcache et le switch d ’Altéon
• Avantages
– Utilisation des deux modes: mode transparent et mode proxy
– Scalability: facilité d ’ajout de proxy-cache.
– Performance logicielle: Netcache est 5 à 10 fois plus rapide que Squid.
– Administration: Interface graphique conviviale sous format HTML.
16
Firewall: Fonctionnement
17
La translation d ’adresses
• Localisation du translateur
– Sur Firewall
– Sur le routeur
• Types de translation
– N @ privées vers 1 @ publique
– N @ privées vers M @ publiques
– 1 @ privée vers 1 @ publique
18
La notion de Virtual Private Network
19
Les produits Firewall
• Les produits significatifs dans le monde /France:
– Checkpoint software (Firewall1)
– Cisco (PIX, Centri Firewall)
– Raptor systems (Eagle)
– Bull soft (M >Wall)
20
Les firewalls: quelles implémentations? (1/2)
• Sur châssis propriétaire
– Avantages: robustesse
– Inconvénients: évolutivité limitée
• Sur OS Sécurisé
– Exemple: Unix BSD
– Avantages: Implémentation sur architecture de type PC
– Inconvénients: Interaction étroite entre Firewall et OS: Problème de mise à jour
21
Les firewalls: quelles implémentations? (2/2)
• Sur OS standard du marché
– Exemple: Unix Solaris/ Windows NT server: Firewall1
– Inconvénients: sensible aux attaques sur l ’OS.
– Pas d ’idéal
• Critères de choix:
– Analyse de l ’existant/ Evolutivité de la solution
– Culture système de l ’entreprise
– Coûts
22
Les firewalls : la solution à tout ?
• Un firewall ne peut pa protéger contre le trafic qui ne passe pas par lui.
• Pas de protection contre les menaces internes:
– Rarement déployé et configuré entre les réseaux internes
• Pas de confidentialité des informations:
– Option Virtual Private Network (entre deux firewalls) possible
– Option cryptage entre un poste isolé et le Firewall
• Pas d ’authentification à l ’origine des informations:
– Impossible de savoir si l ’auteur du paquet est bien celui qui émet le paquet.
23
Propriétés du Firewall1 de checkpoint?
• Existant sur plusieurs platformes (PC, stations, switchs)
• +40% du marché mondial des Firewalls
• Composants de sécurité du Firewall1:
– Module Firewall (Contrôle des paquets, translation d ’adresses…)
– Module d ’encryption (Utilisation possible de VPN sécurisés)
– Module de management (Interface graphique + fonctionnalités de management de la
base de données)
– Possibilité d ’appliquer la même politique de sécurité pour plusieurs Firewalls à partir
d ’une même station de management.
24
La solution globale
• Filtrage communications et/ou applications non proxy sur le firewall
• Connexion des utilisateurs au Proxy Serveur pour les applications HTTP, FTP,
gestion de cache de disque, détection de virus
• En option, ACL sur les routeurs
25
Conclusion
• Les firewalls solutions matures et bien éprouvés
• PIX et CheckPoint se partagent le marché
• IPchains ou Netfilter grignote de plus en plus des parts
• Les proxy solutions nécessaires pour l’optimisation et le
filtrage applicatif
• Les switch de type alteon nécessaires pour augmenter les
performances.