+ de 700 vidéos sur le CCNA
  • N°1 de la certification Cisco Francophone
  • + de 8000 abonnés
  • + de 400 000 vidéos vues
Abonnez-vous à notre chaîne YouTube

Firewall et IPS : Dans ce cours, nous allons examiner les rôles de deux différents types d’appareils réseau:

  •  Le pare-feu, qui se fait appeler « Firewall » en anglais.
  •  Et l’IPS (Intrusion Prevention Systems), qui est un système de prévention des intrusions.

Ces deux appareils fonctionnent pour sécuriser les réseaux, mais avec des objectifs et des approches légèrement différentes.

Nous allons donc examiner la principale fonctionnalité des pare-feu et des IPS.

Pare-feu (Firewall) traditionnels

.

| Traditionnellement, un pare-feu se trouve sur le chemin de paquets IP, afin qu’il puisse choisir les paquets à rejeter ou à autoriser.

Ce qui signifie que le pare-feu protège le réseau, contre divers problèmes, en autorisant que le trafic légitime, à entrer et sortir du réseau.

| En fait, dans le fond, un « firewalls » fonctionne comme un routeur configuré avec des ACL (Access Control List), sauf, qu’en plus d’effectuer la fonction de filtrage de paquets, il aura de nombreuses autres options possibles, basées sur la sécurité.

Le schéma nous montre une conception réseau qui utilise un pare-feu physique. Dans l’exemple, il s’agit d’un appareil Cisco ASA, qui est connecté directement à un routeur, et ce routeur est connecté à Internet.

Dans cette config, tout le trafic d’entreprise, à destination ou en provenance d’Internet, passerait obligatoirement par le pare-feu.

Et c’est lui, qui choisit le type de paquets à laissez-passer, en fonction de ses propres règles.

Alors même, si le pare-feu fonctionne comme un routeur, au niveau du filtrage de paquet, il a tout de même des fonctionnalités de sécurité bien plus évoluer qu’un routeur traditionnel.

| Nous allons maintenant détailler les principales fonctions qu’un firewall utilise, pour choisir s’il doit autoriser ou non un paquet :

  •  | Comme pour les ACL sur un routeur, le firewall fait correspondre les adresses IP source et de destination.
  •  | Il peut aussi, comme les routeurs, identifier les applications, en faisant correspondre les ports TCP et UDP.
  •  | Contrairement à un routeur, le firewall, peut surveiller les flux de la couche application pour savoir quels ports TCP et UDP sont utilisés.
  •  | Il est aussi capable d’ examiner une adresse web, pour décider d’autoriser ou de refuser le téléchargement de la page Web.
  •  | Et il conserver toutes les informations sur chaque paquet qui ont transité, et de ce fait, pourra prendre de futures décisions sur le filtrage des paquets en fonction de l’historique.
    C’est ce qu’on appelle de l’inspection avec état (stateful Inspection) ou bien un pare-feu avec état (stateful firewall)

La principale différence entre les ACL’s d’un routeur et un pare-feu, c’est que ce dernier est capable de prévenir une variété d’attaques, grâce à son filtrage de sécurité.

Il est important de confier la sécurité à un firewall, plutôt qu’à un routeur, pour que ce dernier se concentre plutôt sur le routage de paquets.

De plus, le routeur ne peut pas prendre le temps de garder un historique de filtrage pour modifier ses prochaines décisions…

Tandis que le Pare-feu, se focus principalement sur la sécurité du réseau, et permet d’enregistrer toutes les infos sur les paquets qui ont transité. Ce qui lui permet de modifier ses futures décisions de filtrage.

L’avantage de ce type de filtrage avec état (stateful Inspection), c’est que par exemple, si une personne malveillante utilise une simple attaque par déni de service (DoS), sur un serveur web, en envoyant de nombreuses demandes de connexion TCP, et bien le pare-feu « avec état » (stateful firewall), en s’aidant de son propre historique, pourrait alors commencer à filtrer ce type de paquets, ce qui permettra au serveur Web de survivre à l’attaque.

Un pare-feu dynamique peut suivre le nombre de connexions TCP par seconde.
C’est-à-dire qu’il enregistrer des informations d’état basées sur des paquets antérieurs, y compris le nombre de demandes de connexion TCP de chaque adresse IP cliente à chaque adresse serveur.

| C’est pourquoi, lors d’une attaque par déni de service (DoS), il est en mesure de :

  •  | Remarquer un grand nombre de connexions TCP
  •  | Vérifier ses informations d’état
  •  | Et de filtrer les paquets trop répétitifs.

Tandis qu’un pare-feu sans état ou bien un routeur avec des ACL’s n’auraient aucun historique pour se rendre, compte qu’une attaque par déni de service se produit.

Zones de sÉCURITÉ

.

| Les Firewall’s filtrent non seulement les paquets, mais font également très attention à l’hôte qui initie les communications.

Ils utilisent une logique qui considère l’hôte, en observant ces segments TCP.

| Par exemple, sur le schéma, pour que les pc des utilisateurs de gauche puissent accéder au serveur web se trouvant derrière internet, il faut ouvrir une route.

Le problème, c’est que l’entreprise, ne souhaite pas que des utilisateurs qui se trouvent sur le réseau du serveur web, puisse accéder, par exemple, à leur serveur de paye.

C’est là qu’intervient le pare-feu, car ils utilisent un concept en forme de zone. C’est-à-dire qu’il y’a des règles qui définissent quel hôte peut initier des connexions d’une zone à une autre.

L’avantage de segmenter en plusieurs zones, c’est que le pare-feu peut placer plusieurs de ces interfaces dans une même zone, dans le but de récupérer les règles de sécurité de la zone.

Sur le schéma, la zone intérieure, qui est celle de l’entreprise, est considérée comme étant dans une zone distincte par rapport aux interfaces connectées vers Internet.

Par exemple, on pourrait placer une règle sur le Firewall, qui autoriserait les hôtes de la zone intérieurs, à établir des connexions avec les hôtes de la zone à l’extérieur, sur un ensemble de ports spécifiques, comme le port 80 pour le HTTP.

Juste avec cette règle, les utilisateurs de gauche peuvent démarrer des sessions avec le serveur web situé sur internet.

Et comme les pare-feu interdisent généralement tout le trafic, hors mis, celui ce ces propres règles, et bien, les utilisateurs d’un autre réseau ne pourraient pas établir de session, sur le réseau de l’entreprise.

La plupart des entreprises disposent donc, d’une zone intérieure et extérieure. | Elles peuvent aussi avoir une troisième zone, qui se nomme : la zone DMZ (DeMilitarized Zone).

Il s’agit d’une zone de sécurité du pare-feu, utilisée pour placer des serveurs qui doivent être disponibles par des utilisateurs de l’internet.

Sur le schéma, on voit la zone DMZ, qui contient 2 serveurs web, connecter directement au pare-feu.

Le pare-feu devra donc avoir une règle, qui permet aux utilisateurs de la zone extérieure d’établir des connexions avec les serveurs Web de l’entreprise, dans la DMZ.

La faite de séparer les serveurs Web dans la DMZ, cela permet à l’entreprise d’empêcher les utilisateurs d’Internet d’accéder aux périphériques de la zone intérieure.

Ils se retrouvent donc isoler de toute attaque.

SystÈmes de prÉvention des intrusions (IPS)

.

| Traditionnellement, un pare-feu fonctionne avec un ensemble de règles configurées par l’admin réseau.

Un système de prévention des intrusions (IPS), un IPS, filtre aussi les paquets, mais il prend en plus des décisions basées sur une logique différente.

| L’IPS télécharge d’abord une base de données qui provient du fournisseur, un peu comme le ferait un antivirus.

Cette base de données contient un ensemble de signatures d’exploitation.

Ce qui lui permet d’analyser les paquets plus en profondeur, avec les dernières sécurités du jour.

Contrairement au firewall, ou c’est l’admin réseau qui défini les règles, sur un IPS, ces propres règles, qu’on appelle des signatures, sont gérées par son fournisseur.

| Ces signatures, lui permettent de rechercher différents types d’attaques, comme :

  •  | Les attaques DoS
  •  | DDoS
  •  | Les Vers
  •  | Et les Virus

Le principe de base est identique au fonctionnement d’un antivirus sur un pc utilisateur, sauf que l’IPS réagira plus rapidement, aux nouvelles menaces, dans le but de protéger les hôtes.

Quiz

.

Question 1

Lequel de ces deux appareils de sécurité est un système de prévention des intrusions ?

Le pare-feu
L’IPS

L’IPS (Intrusion Prevention Systems), est un système de prévention des intrusions.

.

Question 2

Le pare-feu fonctionne comme un routeur, au niveau du filtrage de paquet, sauf qu’il a des fonctionnalités de sécurité bien plus évolué qu’un routeur traditionnel ?

Vrai
Faux

Question 3

Lequel de ces deux types de pare-feu n’a aucun historique pour se rendre, compte qu’une attaque par déni de service se produit ?

Pare-feu avec état
Pare-feu sans état

Un pare-feu sans état ou bien un routeur avec des ACL’s n’a aucun historique pour se rendre, compte qu’une attaque par déni de service se produit.

Question 4

Lequel de ces deux équipements, télécharge une base de données qui provient du fournisseur, un peu comme le ferait un antivirus ?

Le pare-feu
L’IPS

Cette base de données contient un ensemble de signatures d’exploitation.

Ce qui lui permet d’analyser les paquets plus en profondeur, avec les dernières sécurités du jour.

.

Question 5

La principale différence entre les ACL’s d’un routeur et un pare-feu, c’est que ce dernier est capable de prévenir une variété d’attaques, grâce à son filtrage de sécurité ?

Vrai
Faux

Il est important de confier la sécurité à un firewall, plutôt qu’à un routeur, pour que ce dernier se concentre plutôt sur le routage de paquets.

.

Retrouver de nombreuses vidéos de cours sur la chaine Youtube Formip

Suivez le parcours CCNA sur le site Formip

📘Guide IT💻+ 1 cours gratuit sur le réseau informatique

La Voie Express vers ses objectifs professionnels