dainii/heig-rapport-tb
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

avance reseau, requis et model

Browse Source
This commit is contained in:
Etienne Ischer
2018-09-15 19:38:30 +02:00
parent a4b606477a
commit 9deb1d806a
5 changed files with 138 additions and 9 deletions
Download Patch File Download Diff File Expand all files Collapse all files

19
chapitres/introduction/network.tex
View File

@@ -142,20 +142,23 @@ schéma ouverture de connexion.
\subsection{Firewall}
\label{subsec:network:ip:firewall}
Les firewall sont des routers qui sont également capable de gérer les éléments de la couche quatre. Ils sont utilisés pour filtrer les communications entre les réseaux en filtrant les échanges basé sur les ports destinations. Ces équipements de sécurité permettent donc de n'autoriser que les paquets à destination d'un n\oe{}ud spécifique et sur un ou plusieurs ports. Ces filtres sont représenté par des règles de sécurité qui correspondent ici à la classe \Colorbox{light-gray}{\lstinline{Policy}}.
Les firewall sont des routers qui sont également capable de gérer les protocoles de la couche quatre. Ils sont utilisés pour filtrer les communications entre les réseaux en filtrant les échanges basé sur les ports destinations. Ces équipements de sécurité permettent donc de n'autoriser que les paquets à destination d'un n\oe{}ud spécifique et sur un ou plusieurs ports. Ces filtres sont représentés par des règles de sécurité qui correspondent ici à la classe \Colorbox{light-gray}{\lstinline{Policy}}.
\begin{table}[H]
\centering
\caption{Exemples de règles de sécurité}
\label{rules-tab}
\begin{tabular}{|l|l|l|l|l|}
\begin{tabular}{|l|l|l|l|l|l|l|}
\hline
\small{\textbf{Id}} &\small{\textbf{Source}} &\small{\textbf{Destination}} &\small{\textbf{Service}} &\small{\textbf{Action}} \\ \hline
1 & \small{192.168.1.0/24} & \small{10.0.1.1/32} & \small{tcp/22} & \cellcolor[HTML]{FE0000}\small{Deny} \\ \hline
2 & \small{192.168.1.0/24} & \small{10.0.1.2/32} & \small{tcp/80, tcp/443} & \cellcolor[HTML]{009901}\small{Accept} \\ \hline
3 & \small{192.168.1.0/24} & \small{10.0.1.0/24} & \small{tcp/3389} & \cellcolor[HTML]{009901}\small{Accept} \\ \hline
4 & \small{10.0.1.2/24} & \small{192.168.1.0/24} & \small{any} & \cellcolor[HTML]{009901}\small{Accept} \\ \hline
5 & \small{10.0.1.2/24} & \small{0.0.0.0/0} & \small{any} & \cellcolor[HTML]{FE0000}\small{Deny} \\ \hline
\small{\textbf{Id}} &\small{\textbf{Int. source}} &\small{\textbf{Int. destination}} &\small{\textbf{Source}} &\small{\textbf{Destination}} &\small{\textbf{Service}} &\small{\textbf{Action}} \\ \hline
1 & \small{client} & \small{server} & \small{192.168.1.0/24} & \small{10.0.1.1/32} & \small{tcp/22} & \cellcolor[HTML]{FE0000}\small{Deny} \\ \hline
2 & \small{client} & \small{server} & \small{192.168.1.0/24} & \small{10.0.1.2/32} & \small{tcp/80, tcp/443} & \cellcolor[HTML]{009901}\small{Accept} \\ \hline
3 & \small{client} & \small{server} & \small{192.168.1.0/24} & \small{10.0.1.0/24} & \small{tcp/3389} & \cellcolor[HTML]{009901}\small{Accept} \\ \hline
4 & \small{server} & \small{client} & \small{10.0.1.2/24} & \small{192.168.1.0/24} & \small{any} & \cellcolor[HTML]{009901}\small{Accept} \\ \hline
5 & \small{server} & \small{client} & \small{10.0.1.2/24} & \small{0.0.0.0/0} & \small{any} & \cellcolor[HTML]{FE0000}\small{Deny} \\ \hline
\end{tabular}
\end{table}
Les polices de sécurité sont analysées et évaluées de façon séquentielle, dès que les critères d'une règles sont tous respectés, l'action est effectuée. Par exemple, si un poste de travail avec une adresse IP 192.168.1.57 essaie de se connecter en HTTPS (port TCP/443) sur le serveur 10.0.1.2, sa requête va passé au travers du firewall qui va analyser le flux pour définir s'il doit être accepté ou non, en utilisant la liste de règles du tableau \refname{rules-tab} et en admettant que le réseau 192.168.1.0/24 est bien connu par l'interface "client" et le réseau 10.0.1.0/24 par l'interface "server".
La première règle décrit bien un flux provenant de l'interface "client" vers "server", la source est le réseau "192.168.1.0/24" dans lequel l'adresse IP source "192.168.1.57" se trouve, cependant la destination indique un réseau "10.0.1.1/32" qui ne correspond pas à notre serveur "10.0.1.2". Les conditions n'étant pas toutes validées, le firewall va passer à la seconde règle et recommencer la même analyse. Dans la seconde règle, la destination est "10.0.1.2/32" qui est bien la destination du flux analysé, il ne reste donc que le service à valider. Notre communication utilise le port de destination tcp/443 qui est bien dans la liste de la règle. Les conditions étant toutes validées, l'action est appliquée, ce qui correspond dans ce cas à laisser le flux passer. Ce processus est ainsi répété pour chaque nouvelle connexion passant au travers du firewall.