Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
utilisateurs:psychederic:pare-feu [Le 25/11/2009, 19:32]
psychederic
utilisateurs:psychederic:pare-feu [Le 11/09/2022, 13:14] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 5: Ligne 5:
 Un pare-feu vise à créer un (sous-)réseau ou une '​zone'​ sur : une **zone démilitarisée** ( anglais demilitarized zone, abrévation DMZ). Un pare-feu vise à créer un (sous-)réseau ou une '​zone'​ sur : une **zone démilitarisée** ( anglais demilitarized zone, abrévation DMZ).
  
-===== Pertinence d'un Pare-feu pour l'​utilisateur normal ​=====+===== Pour l'​utilisateur normal ===== 
 + 
 + 
 +<note help>​**Nous vous conseillons de vous rediriger [[:​securite#​utiliser_un_pare-feu_firewall|vers la page sécurité]] qui vous offrira des informations basiques sur les pare-feux.**</​note>​ 
 + 
 +<note warning>​A faire tableau simplifié des différents pare-feu basique pour l'​utilisateur sur la page sécurité</​note>​ 
 + 
 + 
 +==== Pertinence d'un Pare-feu pour l'​utilisateur normal ====
  
 <note tip>Tout comme les [[:​Antivirus]] sont inutiles sous Linux : les pare-feux peuvent être inutile sous Linux.</​note>​ <note tip>Tout comme les [[:​Antivirus]] sont inutiles sous Linux : les pare-feux peuvent être inutile sous Linux.</​note>​
Ligne 80: Ligne 88:
 Chaque type de pare-feu sait inspecter un nombre limité d'​applications. Chaque application est gérée par un module différent pour pouvoir les activer ou les désactiver. La terminologie pour le concept de module est différente pour chaque type pare-feu : Chaque type de pare-feu sait inspecter un nombre limité d'​applications. Chaque application est gérée par un module différent pour pouvoir les activer ou les désactiver. La terminologie pour le concept de module est différente pour chaque type pare-feu :
  
-    * Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur** Linux Netfilter** +    * l7 Filter (filtrage applicatif) sur** Linux [[:​Iptables|Netfilter]]**
-    * CBAC sur Cisco IOS +
-    * Fixup puis inspect sur Cisco PIX +
-    * ApplicationLayerGateway sur Proventia M, +
-    * Predefined Services sur Juniper ScreenOS +
-    * Stateful Inspection sur Check Point FireWall-1 +
-    * Deep Packet Inspection sur Qosmos +
-    * Web Application Firewall sur BinarySEC +
  
 ==== 4.4 Pare-feu identifiant ==== ==== 4.4 Pare-feu identifiant ====
Ligne 95: Ligne 95:
  
 On pourra également citer Cyberoam qui fournit un Pare-feu entièrement basé sur l'​identité (en réalité en réalisant des associations adresse MAC = utilisateur) ou Check Point avec l'​option NAC Blade qui permet de créer des règles dynamiques basée sur l'​authentification Kerberos d'un utilisateur,​ l'​identité de son poste ainsi que son niveau de sécurité (présence d'​antivirus,​ de patchs particuliers). On pourra également citer Cyberoam qui fournit un Pare-feu entièrement basé sur l'​identité (en réalité en réalisant des associations adresse MAC = utilisateur) ou Check Point avec l'​option NAC Blade qui permet de créer des règles dynamiques basée sur l'​authentification Kerberos d'un utilisateur,​ l'​identité de son poste ainsi que son niveau de sécurité (présence d'​antivirus,​ de patchs particuliers).
 +
 +  * [[:NuFW]] Pare-feu identifiant sous licence GPL pour la partie serveur et les clients Linux, FreeBSD et Mac OS. NuFW est basé sur Netfilter et en augmente les fonctionnalités.
  
 ==== 4.5 Pare-feu personnel ==== ==== 4.5 Pare-feu personnel ====
Ligne 100: Ligne 102:
 Les pare-feu personnels, généralement installés sur une machine de travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'​origine des données. Le but est de lutter contre les virus informatiques et les logiciels espions. Les pare-feu personnels, généralement installés sur une machine de travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'​origine des données. Le but est de lutter contre les virus informatiques et les logiciels espions.
  
-==== 4.6 Portails captifs ====+  * [[:ufw]] : Uncomplicated Firewall 
 +       * **[[:​Gufw]]** (conseillé):​ Interface graphique de Uncomplicated Firewall (ufw) 
 +  * [[:​iptables]] - Netfilter & Iptables 
 +      * [[:​FireStarter]] 
 +      * [[:​KMyFirewall]] (kde) 
 +      * [[:​Guarddog]] ([[http://​www.simonzone.com/​software/​guarddog/​|site]]) développement stoppé.
  
-Les portails captifs sont des pare-feu dont le but est d'​effectuer une vérification de l'​identité de l'​utilisateur avant de le laisser accéder à internetCette vérification est sommaire et les méthodes de contournement sont nombreusesCependant, ces solutions sont utiles puisqu'​elles permettent de limiter les utilisations abusives des moyens d'​accès. C'est par exemple le cas des points d'​accès Wi-Fi qui sont souvent protégés par ce genre de solution.+  * [[:​FirewallBuilder]] ([[http://​www.fwbuilder.org/​|site]]) : Firewall Builder ​est une interface graphique pour créer facilement ​des règles iptables ​et administrer diffèrent firewall/​machine du réseau.
  
 +Application console :
 +  * [[:​shorewall]] - Configuration de Netfilter simplifiée
 +  * [[:​Firetable]] ([[http://​projects.leisink.org/​firetable|site]])
 +  * [[Arno'​s IPTABLES firewall script]] ([[http://​rocky.eld.leidenuniv.nl/​joomla/​|site]]) : est un firewall pour des servuer à la fois mono ou multi-hébergement/​service.
 +  * [[:ferm]] ("For Easy Rule Making"​) ([[http://​ferm.foo-projects.org/​|site]]) : outil pour maintenir des pare-feu complexes. La configuration du pare-feu ressemble structuré comme un langage de programmation,​ qui peuvent contenir des niveaux et des listes.
 +  * Firehol ([[http://​firehol.sourceforge.net/​|site]]) : est un langage pour exprimer des règles de pare-feu, en plus d'​être un script qui produit des règle pour le pare-feu.
 +  * gShield ([[http://​muse.linuxmafia.org/​gshield/​|site]]) : '​Facile'​ à configurer, bloque tout ce qui n'est pas nécessaire (ou presque) par défaut. Contrôlée par un seul fichier de configuration.
 +  * uruk ([[http://​mdcc.cx/​uruk/​|site]])
 +
 +
 +==== 4.6 Portails captifs ====
 +Voir la page dédiée aux [[:​portail_captif|portails captifs]]
  
 ===== 5 - Les différents types de firewall ===== ===== 5 - Les différents types de firewall =====
Ligne 109: Ligne 128:
  
 ==== 5.2 - Les firewalls matériels ==== ==== 5.2 - Les firewalls matériels ====
 +  * [[http://​fr.wikipedia.org/​wiki/​Liste_de_pare-feu#​Bo.C3.AEtiers_pare-feu|Boîtiers pare-feu]]
  
 ==== 5.3 - Les firewalls logiciels ==== ==== 5.3 - Les firewalls logiciels ====
  
-===== 6 Les Systèmes de détection d'​intrusion =====+===== 6 Les Systèmes de détection ​et de prévention ​d'​intrusion =====
  
 Un système de détection d'​intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'​avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Un système de détection d'​intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'​avoir une connaissance sur les tentatives réussies comme échouées des intrusions.
Ligne 119: Ligne 139:
 Les NIDS (Network Based Intrusion Detection System), surveillent l'​état de la sécurité au niveau du réseau. Les NIDS (Network Based Intrusion Detection System), surveillent l'​état de la sécurité au niveau du réseau.
     * [[:Snort]] - libre     * [[:Snort]] - libre
-    * Bro+    * [[:Bro]] ([[http://​www.bro-ids.org/​|site]]) 
     * Enterasys     * Enterasys
     * Checkpoint     * Checkpoint
Ligne 129: Ligne 150:
  
     * [[:​prelude|Prelude LML]]      * [[:​prelude|Prelude LML]] 
-    * [[:AIDE]]+    ​* [[:​OSSEC]] 
 +    * [[:​Samhain]]  
 +    * [[:​Tripwire]] ([[http://​www.tripwire.com/​|site]]) : en version open-source et commercial 
 +    ​* [[:​AIDE ​(ids)]] ([[http://​sourceforge.net/​projects/​aide/​|site]]) 
 +    * [[:Nabou]] ([[http://​www.daemon.de/​NabouDownload|site]]) 
 +    * [[:Osiris]] ([[http://​osiris.shmoo.com/​|site]]
 + 
 +Anti rootkit :
     * [[:​rootkit|Chkrootkit]]     * [[:​rootkit|Chkrootkit]]
     * [[:​rootkit|Rkhunter]]     * [[:​rootkit|Rkhunter]]
-    * [[:OSSEC]]  +    * [[:rootkit|lynis]]
-    * [[:​Samhain]]  +
-    * DarkSpy +
-    * FCheck  +
-    * IceSword (fr) +
-    * Integrit +
-    * Nabou  +
-    * Osiris +
-    * Rootkit Unhooker +
-    * Tripwire+
  
 Ces IDS servent, entre autres, à vérifier qu'un système n'a pas été compromis (par un rootkit par exemple). Ils utilisent des sommes de contrôle (MD5, SHA-1, …) des programmes exécutables pour s'​assurer qu'ils n'ont pas été modifiés. Ces IDS servent, entre autres, à vérifier qu'un système n'a pas été compromis (par un rootkit par exemple). Ils utilisent des sommes de contrôle (MD5, SHA-1, …) des programmes exécutables pour s'​assurer qu'ils n'ont pas été modifiés.
Ligne 149: Ligne 168:
     * [[:​Prelude]]     * [[:​Prelude]]
     * [[:OSSIM]]     * [[:OSSIM]]
 +
 +Les avantages des IDS hybrides sont multiples :
 +
 +    * Moins de faux positifs
 +    * Meilleure corrélation
 +    * Possibilité de réaction sur les analyseurs (ips)
 +
 +
 === L'IDS hybride a besoin de corréler l'​information === === L'IDS hybride a besoin de corréler l'​information ===
  
Ligne 176: Ligne 203:
 On peut citer des pare-feux propriétaires arrivant à ce niveau : [[http://​www.agnitum.com/​products/​outpost/​|Outpost Pro]] On peut citer des pare-feux propriétaires arrivant à ce niveau : [[http://​www.agnitum.com/​products/​outpost/​|Outpost Pro]]
 </​note>​ </​note>​
 +{{ http://​upload.wikimedia.org/​wikipedia/​commons/​thumb/​3/​38/​Contremesure.png/​350px-Contremesure.png}}
 Cette boucle de retour (feedback) prend un terme spécifique : la contre mesure. Cette boucle de retour (feedback) prend un terme spécifique : la contre mesure.
  
Ligne 215: Ligne 242:
 === 7.1.4 - Quatrième cas : Protection locale via un Firewall personnel === === 7.1.4 - Quatrième cas : Protection locale via un Firewall personnel ===
 ==== 7.2 - Les techniques et outils de découvertes de Firewall ==== ==== 7.2 - Les techniques et outils de découvertes de Firewall ====
-=== 7.2.NESSUS ​===+=== 7.2.Netstat ​===
  
-Site officiel : http://www.nessus.org/nessus/+Lister les services sur la machine ​<​code>​netstat -ta</code> 
 +=== 7.2.1 - Openvas ===
  
-Voir la page de [[:nessus]].+Voir la page de [[:openvas]].
  
  
Ligne 234: Ligne 262:
  
   * [[http://​www.remote-exploit.org/​backtrack.html|Backtrack]]   * [[http://​www.remote-exploit.org/​backtrack.html|Backtrack]]
 +  * [[http://​en.wikipedia.org/​wiki/​Network_Security_Toolkit#​Featured_applications|Network Security Toolkit]] ( et ces applications )
  
  
Ligne 241: Ligne 270:
  
 ====7.4 Configuration Avancée ==== ====7.4 Configuration Avancée ====
 +=== SOLUTION 0 : NIDS + Monitoring ===
  
-===SOLUTION 1 : Prélude + NUFW + OSSEC + Snort Inline ​===+Solution basique que l'on retrouve en entreprise, même avec des composants propriétaires. 
 + 
 +===SOLUTION 1 : HIDS + IPS === 
 + 
 +Choix technologique possible : 
 +Prélude + NUFW + OSSEC + Snort Inline 
 + 
 +Le monitoring va ici de soi.
  
 Cas d'​utilisation : Serveur web, ou autre service devant utiliser un protocole non sécurisé. Cas d'​utilisation : Serveur web, ou autre service devant utiliser un protocole non sécurisé.
Ligne 248: Ligne 285:
 La méthodologie sera de tester votre IPS / HIDS avec les divers outils de test intensif libre, mis  à votre disposition. La méthodologie sera de tester votre IPS / HIDS avec les divers outils de test intensif libre, mis  à votre disposition.
  
-Si une faille est détectée : +Si une faille est détectée :
   * Créer d'​autres règles dans les diverses solutions ( SNort, ...)   * Créer d'​autres règles dans les diverses solutions ( SNort, ...)
   * Et reboucler.   * Et reboucler.
  
 Une fois votre pare-feu hautement configuré et testé, vous pourrez l'​insérer dans votre réseau. Une fois votre pare-feu hautement configuré et testé, vous pourrez l'​insérer dans votre réseau.
-===SOLUTION 2 : Prelude + Nufw + VPN + SSH + HTTPS ===+===SOLUTION 2 : Tout en protocole sécurisé === 
 + 
 +Choix technologique possible : 
 +Prelude + Nufw + VPN + SSH + HTTPS + Fail2ban
  
-Cas d'​utilisation : toutes les connections sont sécurisées et on autorise que celle là. +Cas d'​utilisation : toutes les connections sont sécurisées et on autorise que celles ​là.
  
-Dans l'​absolue ​ils possible de faire accepter une transition du http au https (pour remplacer totalement l'​http),​ pour par exemple des solutions d'erp, cms. La gène est nulle pour l'​utilisateur ou le client.+Dans l'​absolue ​il est possible de faire accepter une transition du http au https (pour remplacer totalement l'​http),​ pour par exemple des solutions d'erp, cms. La gène est nulle pour l'​utilisateur ou le client.
  
-Ce n'est bien sur pas la solution pour des serveur ​web.+Ce n'est bien sur pas la solution ​possible ​pour des serveurs ​web.
  
 ===== 7 Voir aussi ===== ===== 7 Voir aussi =====
  
 +  * (en) [[http://​en.wikipedia.org/​wiki/​Comparison_of_firewalls|Comparison of firewalls]]
  
   * [[http://​fr.wikipedia.org/​wiki/​Pare-feu_%28informatique%29|Cf Article wikipedia.]],​ ( [[http://​en.wikipedia.org/​wiki/​Firewall|et version anglaise]])   * [[http://​fr.wikipedia.org/​wiki/​Pare-feu_%28informatique%29|Cf Article wikipedia.]],​ ( [[http://​en.wikipedia.org/​wiki/​Firewall|et version anglaise]])
  • utilisateurs/psychederic/pare-feu.1259173936.txt.gz
  • Dernière modification: Le 18/04/2011, 14:42
  • (modification externe)