FIREWALLFIREWALL

AMPIGNY Christophe - 10/12/2001

Plan

Définitions Principes Techniques Monter son firewall Attaques Produits Bibliographie

Définition

Un firewall est plus un concept qu’un matériel ou un logiciel

Constitué de :– 1 (ou plusieurs) routeur filtrant– 1 (ou plusieurs) système bastion qui vont

assurer les fonctions de :• proxy

• authentification

• log

Pourquoi utiliser un firewall ?

Se protéger contre :– les curieux– les vandales– les espions

Restreindre le nombre des machines à surveiller et à administrer sur le bout des doigts

Pourquoi utiliser un firewall ?

Avoir un point de passage obligé pour :– vérifier si les règles de sécurité spécifiées dans la

politique de sécurité de l’établissement sont réellement celles qui sont appliquées

– contrôler le trafic entre le réseau interne et externe

– auditer/tracer de façon "centrale" ce trafic, aider à prévoir les évolutions du réseau (statistiques possibles)

– éventuellement avoir une vue de la consommation Internet des différents utilisateurs/services.

Pourquoi utiliser un firewall ?

Possibilité de mettre en œuvre des

outils spécifiques que l'on ne pourrait

pas activer sur tous les systèmes Economiser sur les adresses IP

De quoi ne protège pas un firewall ?

Les attaques qui ne passe pas par lui

Les traîtres et les idiots qui sont à

l’intérieur du réseau

Les virus

Politique de sécurité

Réflexion à propos de :– l'objectif à atteindre– de la politique de sécurité et d'utilisation du

réseau – des moyens que l'on est prêt à y mettre

Acceptée par tous

==> choix de solutions techniques et organisationnelles

Politique de sécurité

2 philosophies :

tout ce qui n'est pas explicitement interdit est autorisé

tout ce qui n'est pas explicitement autorisé est interdit

Filtrage de paquets : principe

Rôle : filtre entre le réseau local et un

autre réseau Routeur ou ordinateur dédié qui

transmet les paquets en suivant un certain nombre de règles déterminées

Supervise le trafic entrant et sortant

Filtrage de paquets : principe

Filtrage de paquets : principe

Chaque paquet IP contient des informations que le routeur va extraire et étudier :– l'adresse de l'expéditeur

– l'adresse du destinataire

– le port IP du service demandé

– le port IP du poste demandeur

– le flag (drapeau) qui précise si le paquet est une réponse à une demande de service, ou une demande d'établissement de connexion. Un flag ayant la valeur "ACK" (acknowledge) indique que le paquet fait partie d'une discussion en cours

– etc...

Filtrage de paquets : principe

Le filtre peut alors mettre en application plusieurs règles, contenues dans un fichier de règles, et basées sur les informations des paquets

Il existe deux façons de décrire les règles d’un filtre :– Tout ce qui n'est pas explicitement interdit est

autorisé

– Tout ce qui n'est pas explicitement autorisé est interdit

Filtrage de paquets : exemple

Une société dispose d'un réseau interne et

d'un serveur web. Les machines doivent être

inaccessibles de l'extérieur, sauf le serveur

web qui peut être consulté par n'importe quel

équipement connecté à l'Internet La liste de règles doit servir pour interdire

toutes les connexions venant de l'extérieur, sauf vers le port 80 du serveur web.

Filtrage de paquets : exemple

Filtrage de paquets : avantages

Plug & play Sécurité suffisante dans beaucoup de

cas Pas cher Filtrage des services par le port

Filtrage de paquets : inconvénients

Bonne connaissance des protocoles

réseaux Pas d’authentification des utilisateurs  Pas de traces des sessions

individuelles Problème de performances s ’il y a trop

de règles

Serveur mandataire : principes

Un serveur mandataire est une machine

sur laquelle on a installé tous les

services que l’on souhaite fournir aux

utilisateurs Les clients ne se connectent pas

directement à l’extérieur, mais par l’intermédiaire du serveur mandataire

Serveur mandataire : principes

Serveur mandataire : principes

Il peut enregistrer tout ce qu'il fait Si une connexion entre le réseau

interne et externe est attaquée, seule la connexion entre le proxy et l’attaquant est attaquée.

Si le serveur mandataire est compromis, on s’en aperçoit très rapidement.

Serveur mandataire : exemple

Serveur mandataire : avantages

Règles simples à définir Authentification de l’utilisateur Translation d’adresse Cache Log

Serveur mandataire : inconvénients

Cher Trop efficace pour des petits réseaux Utilisation non transparente Administration du système demande

plus de temps et d’efforts qu’un simple filtrage de paquets.

Mandataire SOCKS : principes

Ressemble à un vieux central téléphonique à fiches. Il interconnecte simplement une machine interne à une autre externe.

Filtrage au niveau transport Le client établit une connexion TCP

avec la passerelle en demandant de communiquer avec le serveur.

Mandataire SOCKS : avantages

La passerelle peut : vérifier l'adresse IP du client

autoriser une connexion sur un port pour une durée maximale fixée

n'autoriser la réutilisation d'un même port qu'après un certain délai

enregistrer la destination de la connexion de chaque utilisateur

enregistrer l’utilisateur qui a demandé la connexion.

Mandataire SOCKS : inconvénients

Pas d ’authentification de l ’utilisateur

Architecture 1

Cas particulier : 1 seule machine : la vôtre

==> Utiliser un logiciel tel que

IPChains

LookNStop

etc …

Architecture 2

Architecture 2: avantages

Facile à mettre en place

Pas cher

Architecture 2 : inconvénients

Lorsque le routeur est contourné ou paralysé, le réseau entier est ouvert !

Traces peu exploitables

Architecture 3

Architecture 3 : principe

Les informations à enregistrer :

démarrage de session TCP(ou toute

tentative) avec :– adresse (source, destination)

– port (source, destination),

Architecture 3 : avantages

Par rapport à la solution précédente : traces exploitables et surtout, possibilité d’alarme si le routeur est compromis, il y a

encore un peu de temps pour réagir

Architecture 4

Routeur et proxy sur une machine

Architecture 4 : avantages

La machine : filtre joue le rôle de serveur fait office de proxy avec authentification log etc...

Architecture 4 : inconvénients

Aucune faiblesse sur la machine !!!! Problèmes de performance.

==> Précautions : utiliser un autre système

que cette machine au moins pour :– Assurer l'authentification– Stocker les logs

Architecture 5

Architecture 5 : avantages

Système sûr

Abordable

Architecture 5 : inconvénients

Le système comporte deux sécurités

distinctes, le routeur et le proxy.

Si l'une des deux est paralysée, le

réseau est menacé dans son intégralité

Architecture 6

Architecture 6

Avantages :– système très sûr

Inconvénients– coût d ’investissement élevé– effort administratif important

DMZ Zones intermédiaires dans lesquelles

des serveurs réalisent des traitements sur des flux de données

Crées pour :– faciliter la gestion des flux de données au

niveau du point de cloisonnement– empêcher les flux de données de passer

d’une zone sûre à une zone non sûre directement et inversement

– séparer les grandes fonctionnalités

DMZ

Publique, privée, semi-privée

==> dépend de la gestion + ou - restrictive

Paraissent plus sécurisées que les architectures simples

Monter son firewall : filtrage

Matériel :– un 486-DX66 avec 16 Mo de RAM– un disque dur de 200 Mo (500 Mo sont tout de

même recommandés)– des connexions réseaux (carte Ethernet, port

série, …)– un moniteur et un clavier

Logiciel– Linux avec IPChains

Monter son firewall : proxy

Matériel :– un Pentium II avec 64 Mo de RAM– un disque dur de 2 Go pour contenir toutes les traces– deux connexions réseau (on peut s ‘en sortir avec une, mais

2 sont préférables)– un moniteur et un clavier.

Logiciel :– Squid

– la boîte à outils TIS Firewall (FWTK)

– SOCKS

Attaques : smurf

Attaques : smurf

1 PING de 1Ko de données envoyé à un serveur broadcast reroutant vers 1000 machines ==> 1Mo de données reçus par la victime.

Si l’on utilise 10 serveurs broadcast reroutant chacun vers 1000 machines ==> 10 Mo de données reçus très rapidement par la victime

Attaques : smurf

Attaques : TCP-SYN Flooding

Trouver la machine de confiance Mettre hors service cette machine de

confiance Prédire les numéros de séquence TCP

du serveur cible Lancer l'attaque

Attaques : TCP-SYN Flooding

X est sécurisé

Y croit X

SYN

SYN/ACK

ACK

Connecté

Attaques : TCP-SYN Flooding

SYN

SYN/ACK

Echec

ACK

REJ

Produits

Produits

Bibliographie

Réseaux – A.Tannenbaum Firewall and Proxy Server HOWTO Linux IPCHAINS HOWTO Le HOWTO du pare-feu et des serveurs

mandataires WEB

– http://www.cru.fr/securite/1INDEXs/gb.html

– http://www.firewall-net.com

– http://www.commentcamarche.com

– http://www.guill.net/

Voilà, c’est fini !!!!

Des questions ?