Dans cette partie, on exposera les concepts fondamentaux des pare-feu (Firewall) ainsi que des descriptions du marché des pare-feu, Firewall NG ou UTM. Un pare-feu (Firewall) réalise un filtrage du trafic sur des éléments de couche 3 (L3) et couche 4 (L4). On proposera un exercice de mise en oeuvre de la fonctionnalité Cisco IOS ZBF (Zone Based Firewall). On y démontrera que le NAT ne sécurise en rien le réseau. On y apprendra aussi à mettre en place de politiques de filtrage entre des zones LAN, DMZ, Internet et le pare-feu lui-même (Self). Enfin, on terminera cette partie par l’exposé des concepts IDS et IPS, objets connexes aux pare-feu dans le rôle de filtrage de sécurité des réseaux. Enfin, on terminera le chapitre en évoquant le sujet “Cisco Switched Port Analyzer (SPAN)” qui permet de capturer du trafic qui traverse des VLANs ou des ports de commutateur à partir d’un port tiers. Par exemple, on y place alors une station avec logiciel de capture ou un IDS/IPS.
Un pare-feu (firewall) protège des tentatives de connexion directe venant d’un réseau comme Internet. Par contre, il laisse entrer le retour légitime du trafic initié d’une zone de confiance comme un LAN. Il tient compte de l’état des sessions de couche 4 établies (TCP, UDP, ICMP, etc.). On parle alors de pare-feu à état.
Dans cet exercice on propose de mettre en oeuvre la fonctionnalité pare-feu de l’IOS Cisoc (ZBF Zone Based Firewall). Dans une premier exercice, on démontrera en quoi le NAT n’est pas une sécurité. Les exercices suivants établissent les politiques de filtrage entre les zones LAN, DMZ, Internet et le pare-feu lui-même.
IDS et IPS sont des objets connexes aux pare-feu dans le rôle de filtrage de sécurité des réseaux. Ils sont le résultat d’une évolution technologique. Un IDS détecte des intrusions et il devient IPS quand il est capable d’y réagir automatiquement.
Cisco Switched Port Analyzer SPAN est une solution Cisco Systems qui permet de monter un port miroir sur un commutateur afin d’y transférer du trafic à surveiller.