Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
utilisateurs:psychederic:pare-feu [Le 24/11/2009, 00:56]
psychederic
utilisateurs:psychederic:pare-feu [Le 11/09/2022, 13:14] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 5: Ligne 5:
 Un pare-feu vise à créer un (sous-)réseau ou une '​zone'​ sur : une **zone démilitarisée** ( anglais demilitarized zone, abrévation DMZ). Un pare-feu vise à créer un (sous-)réseau ou une '​zone'​ sur : une **zone démilitarisée** ( anglais demilitarized zone, abrévation DMZ).
  
-===== Pertinence d'un Pare-feu pour l'​utilisateur normal =====+===== Pour l'​utilisateur normal =====
  
-<note tip>Tout comme les [[:​Antivirus]] sont inutiles sous Linux : les pare-feux sont inutiles derrière routeur sous Linux.</​note>​ 
  
-Si vous êtes sous un routeur, et sur un réseau sûr, vous n'​aurez pas besoin ​de pare-feu.+<note help>​**Nous ​vous conseillons ​de vous rediriger [[:​securite#​utiliser_un_pare-feu_firewall|vers la page sécurité]] qui vous offrira des informations basiques sur les pare-feux.**</​note>​
  
-Si vous êtes sur un modem Adsl, ou modem rtc vous avez besoin d'un pare feu.+<note warning>​A faire tableau simplifié des différents pare-feu basique pour l'​utilisateur sur la page sécurité</​note>​ 
 + 
 + 
 +==== Pertinence d'un Pare-feu pour l'​utilisateur normal ==== 
 + 
 +<note tip>Tout comme les [[:​Antivirus]] sont inutiles sous Linux : les pare-feux peuvent être inutile sous Linux.</​note>​ 
 + 
 +Si vous êtes sous un routeur IPV4, avec un sous réseau, et sur un réseau sûr, vous n'​aurez pas besoin de pare-feu. 
 + 
 +Si vous êtes sur un modem IPV6, par exemple en cochant l'ipv6 sur une freebox en dégroupé, ou en modem Adsl directe, ou modem rtc vous avez besoin d'un pare feu, bien configuré.
  
 ===== Pertinence d'un Pare-feu sur toutes les machines d'un réseau d'​entreprise ===== ===== Pertinence d'un Pare-feu sur toutes les machines d'un réseau d'​entreprise =====
Ligne 80: Ligne 88:
 Chaque type de pare-feu sait inspecter un nombre limité d'​applications. Chaque application est gérée par un module différent pour pouvoir les activer ou les désactiver. La terminologie pour le concept de module est différente pour chaque type pare-feu : Chaque type de pare-feu sait inspecter un nombre limité d'​applications. Chaque application est gérée par un module différent pour pouvoir les activer ou les désactiver. La terminologie pour le concept de module est différente pour chaque type pare-feu :
  
-    * Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur** Linux Netfilter** +    * l7 Filter (filtrage applicatif) sur** Linux [[:​Iptables|Netfilter]]**
-    * CBAC sur Cisco IOS +
-    * Fixup puis inspect sur Cisco PIX +
-    * ApplicationLayerGateway sur Proventia M, +
-    * Predefined Services sur Juniper ScreenOS +
-    * Stateful Inspection sur Check Point FireWall-1 +
-    * Deep Packet Inspection sur Qosmos +
-    * Web Application Firewall sur BinarySEC +
  
 ==== 4.4 Pare-feu identifiant ==== ==== 4.4 Pare-feu identifiant ====
Ligne 95: Ligne 95:
  
 On pourra également citer Cyberoam qui fournit un Pare-feu entièrement basé sur l'​identité (en réalité en réalisant des associations adresse MAC = utilisateur) ou Check Point avec l'​option NAC Blade qui permet de créer des règles dynamiques basée sur l'​authentification Kerberos d'un utilisateur,​ l'​identité de son poste ainsi que son niveau de sécurité (présence d'​antivirus,​ de patchs particuliers). On pourra également citer Cyberoam qui fournit un Pare-feu entièrement basé sur l'​identité (en réalité en réalisant des associations adresse MAC = utilisateur) ou Check Point avec l'​option NAC Blade qui permet de créer des règles dynamiques basée sur l'​authentification Kerberos d'un utilisateur,​ l'​identité de son poste ainsi que son niveau de sécurité (présence d'​antivirus,​ de patchs particuliers).
 +
 +  * [[:NuFW]] Pare-feu identifiant sous licence GPL pour la partie serveur et les clients Linux, FreeBSD et Mac OS. NuFW est basé sur Netfilter et en augmente les fonctionnalités.
  
 ==== 4.5 Pare-feu personnel ==== ==== 4.5 Pare-feu personnel ====
Ligne 100: Ligne 102:
 Les pare-feu personnels, généralement installés sur une machine de travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'​origine des données. Le but est de lutter contre les virus informatiques et les logiciels espions. Les pare-feu personnels, généralement installés sur une machine de travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'​origine des données. Le but est de lutter contre les virus informatiques et les logiciels espions.
  
-==== 4.6 Portails captifs ====+  * [[:ufw]] : Uncomplicated Firewall 
 +       * **[[:​Gufw]]** (conseillé):​ Interface graphique de Uncomplicated Firewall (ufw) 
 +  * [[:​iptables]] - Netfilter & Iptables 
 +      * [[:​FireStarter]] 
 +      * [[:​KMyFirewall]] (kde) 
 +      * [[:​Guarddog]] ([[http://​www.simonzone.com/​software/​guarddog/​|site]]) développement stoppé.
  
-Les portails captifs sont des pare-feu dont le but est d'​effectuer une vérification de l'​identité de l'​utilisateur avant de le laisser accéder à internetCette vérification est sommaire et les méthodes de contournement sont nombreusesCependant, ces solutions sont utiles puisqu'​elles permettent de limiter les utilisations abusives des moyens d'​accès. C'est par exemple le cas des points d'​accès Wi-Fi qui sont souvent protégés par ce genre de solution.+  * [[:​FirewallBuilder]] ([[http://​www.fwbuilder.org/​|site]]) : Firewall Builder ​est une interface graphique pour créer facilement ​des règles iptables ​et administrer diffèrent firewall/​machine du réseau.
  
 +Application console :
 +  * [[:​shorewall]] - Configuration de Netfilter simplifiée
 +  * [[:​Firetable]] ([[http://​projects.leisink.org/​firetable|site]])
 +  * [[Arno'​s IPTABLES firewall script]] ([[http://​rocky.eld.leidenuniv.nl/​joomla/​|site]]) : est un firewall pour des servuer à la fois mono ou multi-hébergement/​service.
 +  * [[:ferm]] ("For Easy Rule Making"​) ([[http://​ferm.foo-projects.org/​|site]]) : outil pour maintenir des pare-feu complexes. La configuration du pare-feu ressemble structuré comme un langage de programmation,​ qui peuvent contenir des niveaux et des listes.
 +  * Firehol ([[http://​firehol.sourceforge.net/​|site]]) : est un langage pour exprimer des règles de pare-feu, en plus d'​être un script qui produit des règle pour le pare-feu.
 +  * gShield ([[http://​muse.linuxmafia.org/​gshield/​|site]]) : '​Facile'​ à configurer, bloque tout ce qui n'est pas nécessaire (ou presque) par défaut. Contrôlée par un seul fichier de configuration.
 +  * uruk ([[http://​mdcc.cx/​uruk/​|site]])
 +
 +
 +==== 4.6 Portails captifs ====
 +Voir la page dédiée aux [[:​portail_captif|portails captifs]]
  
 ===== 5 - Les différents types de firewall ===== ===== 5 - Les différents types de firewall =====
Ligne 109: Ligne 128:
  
 ==== 5.2 - Les firewalls matériels ==== ==== 5.2 - Les firewalls matériels ====
 +  * [[http://​fr.wikipedia.org/​wiki/​Liste_de_pare-feu#​Bo.C3.AEtiers_pare-feu|Boîtiers pare-feu]]
  
 ==== 5.3 - Les firewalls logiciels ==== ==== 5.3 - Les firewalls logiciels ====
  
-===== 6 Les Systèmes de détection d'​intrusion =====+===== 6 Les Systèmes de détection ​et de prévention ​d'​intrusion =====
  
 Un système de détection d'​intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'​avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Un système de détection d'​intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'​avoir une connaissance sur les tentatives réussies comme échouées des intrusions.
Ligne 119: Ligne 139:
 Les NIDS (Network Based Intrusion Detection System), surveillent l'​état de la sécurité au niveau du réseau. Les NIDS (Network Based Intrusion Detection System), surveillent l'​état de la sécurité au niveau du réseau.
     * [[:Snort]] - libre     * [[:Snort]] - libre
-    * Bro+    * [[:Bro]] ([[http://​www.bro-ids.org/​|site]]) 
     * Enterasys     * Enterasys
     * Checkpoint     * Checkpoint
Ligne 129: Ligne 150:
  
     * [[:​prelude|Prelude LML]]      * [[:​prelude|Prelude LML]] 
-    * [[:AIDE]]+    ​* [[:​OSSEC]] 
 +    * [[:​Samhain]]  
 +    * [[:​Tripwire]] ([[http://​www.tripwire.com/​|site]]) : en version open-source et commercial 
 +    ​* [[:​AIDE ​(ids)]] ([[http://​sourceforge.net/​projects/​aide/​|site]]) 
 +    * [[:Nabou]] ([[http://​www.daemon.de/​NabouDownload|site]]) 
 +    * [[:Osiris]] ([[http://​osiris.shmoo.com/​|site]]
 + 
 +Anti rootkit :
     * [[:​rootkit|Chkrootkit]]     * [[:​rootkit|Chkrootkit]]
     * [[:​rootkit|Rkhunter]]     * [[:​rootkit|Rkhunter]]
-    * [[:OSSEC]]  +    * [[:rootkit|lynis]]
-    * [[:​Samhain]]  +
-    * DarkSpy +
-    * FCheck  +
-    * IceSword (fr) +
-    * Integrit +
-    * Nabou  +
-    * Osiris +
-    * Rootkit Unhooker +
-    * Tripwire+
  
 Ces IDS servent, entre autres, à vérifier qu'un système n'a pas été compromis (par un rootkit par exemple). Ils utilisent des sommes de contrôle (MD5, SHA-1, …) des programmes exécutables pour s'​assurer qu'ils n'ont pas été modifiés. Ces IDS servent, entre autres, à vérifier qu'un système n'a pas été compromis (par un rootkit par exemple). Ils utilisent des sommes de contrôle (MD5, SHA-1, …) des programmes exécutables pour s'​assurer qu'ils n'ont pas été modifiés.
Ligne 149: Ligne 168:
     * [[:​Prelude]]     * [[:​Prelude]]
     * [[:OSSIM]]     * [[:OSSIM]]
 +
 +Les avantages des IDS hybrides sont multiples :
 +
 +    * Moins de faux positifs
 +    * Meilleure corrélation
 +    * Possibilité de réaction sur les analyseurs (ips)
 +
 +
 === L'IDS hybride a besoin de corréler l'​information === === L'IDS hybride a besoin de corréler l'​information ===
  
Ligne 165: Ligne 192:
  
  
-==== 6.4 Les IDS hybride avec pare-feu ​====+==== 6.4 Les IPS : Système de prévention d'​intrusion  ​==== 
 + 
 +Ips (Intrusion Prevention System) : on retrouve également des ips réseaux, et des ips hotes.
  
 Le summum du système de détection d'​intrusion est bien-sur d'​**appliquer des règles au pare-feu automatiquement** par rapport à ce qui est détecté sur l'​hôte et le réseau. Sinon c'est au responsable DSI de s'en charger en cas d'​attaque : et il n'est pas h24 en train de surveiller son réseau heureusement pour lui, alors ce qu'il se passe c'est que les attaques sont toujours possibles, et les hackers s'y prennent généralement la nuit ((principe de base)). Le summum du système de détection d'​intrusion est bien-sur d'​**appliquer des règles au pare-feu automatiquement** par rapport à ce qui est détecté sur l'​hôte et le réseau. Sinon c'est au responsable DSI de s'en charger en cas d'​attaque : et il n'est pas h24 en train de surveiller son réseau heureusement pour lui, alors ce qu'il se passe c'est que les attaques sont toujours possibles, et les hackers s'y prennent généralement la nuit ((principe de base)).
  
 +<note help>
 +Système de prévention d'​intrusion : C'est d'​ailleurs ce que la plupart des gens entendent aujourd'​hui par **pare-feu**.
 +
 +On peut citer des pare-feux propriétaires arrivant à ce niveau : [[http://​www.agnitum.com/​products/​outpost/​|Outpost Pro]]
 +</​note>​
 +{{ http://​upload.wikimedia.org/​wikipedia/​commons/​thumb/​3/​38/​Contremesure.png/​350px-Contremesure.png}}
 Cette boucle de retour (feedback) prend un terme spécifique : la contre mesure. Cette boucle de retour (feedback) prend un terme spécifique : la contre mesure.
 +
 +Liste des IPS libre :
 +  * [[:snort inline]] - IPS réseau
 +  * [[:OSSEC]] - IPS Hote
 +
 +
  
 ===== 6 Technologies utilisées ===== ===== 6 Technologies utilisées =====
Ligne 201: Ligne 242:
 === 7.1.4 - Quatrième cas : Protection locale via un Firewall personnel === === 7.1.4 - Quatrième cas : Protection locale via un Firewall personnel ===
 ==== 7.2 - Les techniques et outils de découvertes de Firewall ==== ==== 7.2 - Les techniques et outils de découvertes de Firewall ====
-=== 7.2.NESSUS ​===+=== 7.2.Netstat ​===
  
-Site officiel : http://www.nessus.org/nessus/+Lister les services sur la machine ​<​code>​netstat -ta</code> 
 +=== 7.2.1 - Openvas ===
  
-Voir la page de [[:nessus]].+Voir la page de [[:openvas]].
  
  
Ligne 220: Ligne 262:
  
   * [[http://​www.remote-exploit.org/​backtrack.html|Backtrack]]   * [[http://​www.remote-exploit.org/​backtrack.html|Backtrack]]
 +  * [[http://​en.wikipedia.org/​wiki/​Network_Security_Toolkit#​Featured_applications|Network Security Toolkit]] ( et ces applications )
  
  
 ==== 7.3 - Configuration théorique des défenses ==== ==== 7.3 - Configuration théorique des défenses ====
-=== 7.- Les réactions des firewalls aux attaques classiques === +=== 7.3.1 - Les réactions des firewalls aux attaques classiques === 
-=== 7.- Un exemple pratique : netfilter ===+=== 7.3.2 - Un exemple pratique : netfilter === 
 + 
 +====7.4 Configuration Avancée ==== 
 +=== SOLUTION 0 : NIDS + Monitoring === 
 + 
 +Solution basique que l'on retrouve en entreprise, même avec des composants propriétaires. 
 + 
 +===SOLUTION 1 : HIDS + IPS === 
 + 
 +Choix technologique possible : 
 +* Prélude + NUFW + OSSEC + Snort Inline 
 + 
 +Le monitoring va ici de soi. 
 + 
 +Cas d'​utilisation : Serveur web, ou autre service devant utiliser un protocole non sécurisé. 
 + 
 +La méthodologie sera de tester votre IPS / HIDS avec les divers outils de test intensif libre, mis  à votre disposition. 
 + 
 +Si une faille est détectée : 
 +  * Créer d'​autres règles dans les diverses solutions ( SNort, ...) 
 +  * Et reboucler. 
 + 
 +Une fois votre pare-feu hautement configuré et testé, vous pourrez l'​insérer dans votre réseau. 
 +===SOLUTION 2 : Tout en protocole sécurisé === 
 + 
 +Choix technologique possible : 
 +Prelude + Nufw + VPN + SSH + HTTPS + Fail2ban 
 + 
 +Cas d'​utilisation : toutes les connections sont sécurisées et on autorise que celles là. 
 + 
 +Dans l'​absolue il est possible de faire accepter une transition du http au https (pour remplacer totalement l'​http),​ pour par exemple des solutions d'erp, cms. La gène est nulle pour l'​utilisateur ou le client. 
 + 
 +Ce n'est bien sur pas la solution possible pour des serveurs web.
  
 ===== 7 Voir aussi ===== ===== 7 Voir aussi =====
  
 +  * (en) [[http://​en.wikipedia.org/​wiki/​Comparison_of_firewalls|Comparison of firewalls]]
  
   * [[http://​fr.wikipedia.org/​wiki/​Pare-feu_%28informatique%29|Cf Article wikipedia.]],​ ( [[http://​en.wikipedia.org/​wiki/​Firewall|et version anglaise]])   * [[http://​fr.wikipedia.org/​wiki/​Pare-feu_%28informatique%29|Cf Article wikipedia.]],​ ( [[http://​en.wikipedia.org/​wiki/​Firewall|et version anglaise]])
  • utilisateurs/psychederic/pare-feu.1259020566.txt.gz
  • Dernière modification: Le 18/04/2011, 14:42
  • (modification externe)