Professional Documents
Culture Documents
msaber@ensa.ump.ma
Anne Universitaire 2013/2014
1. Introduction
3. La technique de filtrage
Les solutions faisant partie de la scurit active reprsentent tout ce qui permet de protger activement un rseau contre les diffrentes attaques. Ces solutions sont dites de scurit active dans la mesure o elles agissent sur les donnes qui transitent sur le rseau, en dcidant de :
La dcision prendre vis vis dun paquet de donnes, par exemple, peut se baser sur un mcanisme dauthentification de lorigine des donnes ou de leur destination, etc. On va classer ces solutions selon les mcanismes sur lesquels elles se basent : Les solutions bases sur le filtrage/contrle daccs Les solutions bases sur le cryptage
Filtrage/Contrle daccs
Cryptage
3
La dcision prendre vis vis dun paquet de donnes, par exemple, peut se baser sur un mcanisme dauthentification de lorigine des donnes ou de leur destination, etc. On va classer ces solutions selon les mcanismes sur lesquels elles se basent : Les solutions bases sur le filtrage/contrle daccs Les solutions bases sur le cryptage
Lors de ltablissement dune stratgie de scurit, il faut toujours garder lesprit quelques rgles afin de se prmunir des erreurs possibles dans le choix de contremesures :
Simplicit: plus une stratgie est complexe, plus il est difficile de lappliquer, de la maintenir dans le temps ou de la faire voluer Varit des protections: La varit des solutions mises en place pour assurer la scurit ne doit pas se fonder sur un seul type de logiciel, de pare-feu ou de dtection dintrusion
6
Sparation logique et physique des protections de scurit: pour ne pas concentrer la scurit en un seul point. Sparer par exemple le routeur de la passerelle IPSec et du pare-feu. Implmentation en profondeur des mcanismes de scurit: la scurit ne doit jamais reposer sur un seul mcanisme de scurit. Un imbrication de mcanismes offre une garantie de scurit suprieure. Pour peu que le premier lment de scurit vienne faillir. Un 1er lment peut tre des ACL, un 2me lment authentifie laccs via IPSec ou SSH, etc Prise en comte de la scurit dans les nouveaux projets (extension rseau, implmentations, ).
7
10
11
12
Cest lui qui permet de filtrer le trafic de part et dautre dun rseau. Ce filtrage porte sur les paquets IP. Il peut tre ralis par un matriel (exemple: routeur) ou un logiciel de filtrage ou les deux. Il est utilis gnralement pour assurer la scurit dun rseau vis vis des rseaux externes auxquels il est connect, notamment, Internet. Il est indpendant des utilisateurs.
14
A lentre du rseau (cas classique): Outils : routeurs, "firewalls". But : protger le rseau des flux venant de lextrieur (et vice versa). Sur un serveur : Outils : iptables (ipchaines, tcp_wrapper) sur un serveur Unix, etc. But : contrler l'accs au serveur lui-mme.
15
Adresse IP source; Adresse IP destination; Type du protocole au dessus de IP; Numro de port source ; Numro de port destination; Port dentre ou de sortie physique du filtre (si plus dun).
16
Principe de base: les paquets interdits de passage sont arrts, les paquets autoriss passent; Actions possibles sur les paquets autoriss:
Routage vers un autre port que celui mentionn dans le paquet; Routage vers le port destination mais avec envoi dune copie vers un autre port; Application dune translation dadresses IP; Routage vers un tunnel dencapsulation IP, etc.
Actions possibles sur les paquets interdits: Suppression ; Journalisation : Sans informer lmetteur; En informant lmetteur avec un message derreur.
17
Politique de filtrage: Les types de paquets autoriss sont lists dans une liste exhaustive, les paquets dont le type est dans la liste passent, les autres sont arrts; Les types de paquets interdits sont lists dans une liste exhaustive, les paquets dont le type nest pas dans la liste passent, les autres sont arrts; Un ensemble de rgles de filtrage qui dterminent les paquets autoriss et ceux interdits.
18
10