firewall exposé nt réseaux jérôme cheynet miguel da silva nicolas sebban

FIREWALLExposé NT Réseaux

Jérôme CHEYNET

Miguel DA SILVA

Nicolas SEBBAN

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 211/04/23

Plan

Présentation Générale Architectures Firewalls matériels Firewalls logiciels professionnels Firewalls personnels Démonstration

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 311/04/23

Présentation générale

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 411/04/23

Présentation - Plan

Qu’est-ce qu’un Firewall ?

Pourquoi utiliser un Firewall ?

Principales fonctionnalités

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 511/04/23

Qu’est-ce qu’un Firewall ?

Un firewall est plus un concept qu’un matériel ou un logiciel

Filtre le trafic entre réseaux à différents niveaux de confiance

Met en oeuvre une partie de la politique de sécurité

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 611/04/23

Qu’est-ce qu’un Firewall ?

Système physique ou logique servant d’interface entre un ou plusieurs réseaux

Analyse les informations des couches 3, 4 et 7

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 711/04/23

Pourquoi utiliser un Firewall ?

Les pare-feux sont utilisés principalement dans 4 buts :

Se protéger des malveillances "externes"Éviter la fuite d’information non contrôlée vers

l’extérieurSurveiller les flux internes/externesFaciliter l’administration du réseau

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 811/04/23

Principales fonctionnalités

Filtrage Authentification/Gestion des droits NAT Proxy

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 911/04/23

Architectures

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1011/04/23

Architectures - Plan

DMZ Routeur filtrant Firewall Stateful Proxy NAT

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1111/04/23

DMZ DeMilitarized Zone

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1211/04/23

Routeur filtrant

Premier élément de sécurité « IP-Spoofing Ready » Évite l’utilisation inutile de bande passante

mais ne protège pas des hackers

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1311/04/23

Stateful Inspection

2 principes fondamentaux :Analyse complète du paquet au niveau de la

couche réseauDéfinition et maintien des tables des

connexions autorisés (états)

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1411/04/23

Proxy (1/2)

Firewall Proxy dispose d’agents spécifiques à chaque protocole applicatif (FTP, HTTP..)

Filtrage très précis Comprend les spécificités de chaque

protocole Le réassemblage des paquets élimine les

attaques par fragmentation

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1511/04/23

Proxy (2/2)

Firewall Proxy présente 2 inconvénients :Performances : le filtrage d’un paquet

nécessite sa remonté jusqu’à la couche application

Disponibilités des agents (protocoles propriétaires ou exotique)

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1611/04/23

NAT(Network Address Translation)

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1711/04/23

Firewalls matériels

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1811/04/23

Firewalls matériels - Plan

Définition Différences firewall logiciel/matériel Catégories de firewalls matériels

RouteursFirewalls spécialisésModules firewall pour commutateurs

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1911/04/23

Définition

Système d’exploitation et matériel conçus par le constructeur et spécifiquement pour du filtrage

Simple PC, matériel dédié, circuit intégré spécialisé (ASIC)

Ex de firewall non matériel

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2011/04/23

Différences firewall logiciel/matériel

Peuvent offrir fonctions et services identiques

Différences: SAV: 1 seul constructeur fournit la solution complète Résistance: conçu pour être un produit de sécurité Distribution de la fonction firewall dans les points

stratégiques du réseau

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2111/04/23

Catégories de firewalls matériels

Routeurs: filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags

TCP Stateless ou Stateful Moins d’applications complexes/multimédia supportées que firewall

spécialisés (NAT) Routeurs conçus initialement pour commuter paquets -> attention Filtres des tables de routage Performances:

de qques kb/s -> plusieurs Mb/s Perte de performances de 15 à 20% en Stateful Performances dépendent du nombre de fonctions utilisées (IPSec, détection

d’intrusion, codecs pour voix sur IP, QOS) Routeur stateful idéaux pour relier bureaux via internet: site a protéger

rarement important

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2211/04/23

Catégories de firewalls matériels Firewalls spécialisés

Conçus uniquement pour faire du filtrage Très performant:

> 1Gbit/s 500 000 connexions Plusieurs dizaines de milliers de nouvelles connexions par seconde

Supportent rarement les interfaces WAN nécessité d’être associés à des routeurs pour la connectivité

Disponibles également pour le grand public Pour accès toujours connectés (DSL, câble) Ouverts en sortie Certains permettent le filtrage dans les deux sens adaptés à l’hébergement de

services Performances:

1à 2 Mb/s (vitesse d’accès) Limitations au niveau du nombre de sessions supportées et nombre de nouvelles

connexions par seconde. Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2311/04/23

Catégories de firewalls matériels Modules firewall pour commutateurs

Sous forme de carte Firewall stateful Intégrés aux commutateurs pour fournir protection entre différents VLAN Support de contextes virtuels services de filtrages a des réseaux

distincts Performances:

jusqu’à 5 Gb/s 1 000 000 de connexions 100 000 nouvelles connexions par seconde Jusqu’à 100 interfaces virtuelles Possibilité d’utiliser plusieurs cartes débit de 30 Gb/s

Utilisés pour cloisonner le réseau interne

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2411/04/23

Firewalls logiciels professionnels

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2511/04/23

Firewalls logiciels professionnelsPlan Deux firewalls stateful :

Firewall libre : Netfilter / iptablesFirewall commercial : CheckPoint Firewall-1

Ce que les firewalls laissent passer

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2611/04/23

Firewalls logiciels en passerellelibre : Netfilter Intégré au noyau 2.4 de linux Interface utilisateur séparée : iptables Stateless :

iptables -A INPUT -s 200.200.200.1 -p tcp --destination-port telnet -j DROP

Stateful : iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

INVALID / ESTABLISHED / NEW / RELATED

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2711/04/23

Firewall logiciels en passerellelibre : Netfilter Spécificités

Ajout de plugins au système de suivi de connections

FTP / H323 / IRC / …

Plugins divers : modification du comportement de la pile IP

Front ends de configuration graphiques

Avantage décisif sur les autres firewalls libres

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2811/04/23

Firewall logiciels en passerellecommercial : CP Firewall-1 Disponible sur plusieurs plateformes

Windows Server – Linux Red Hat – HP-UX - Solaris

Prix39€ HT par utilisateur (100 machines)Au nombre de plugins fournis+ Formations

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2911/04/23

Firewall logiciels en passerellecommercial : CP Firewall-1 Spécificités

Décomposable en plusieurs modules – serveurs antivirus, serveur d’authentification, reporting

Authentification des utilisateurs Avec LDAP, RADIUS, TACACS

Pour filtrer les URL,Pour la limitation du temps,Permissions au niveau de l’utilisateur plutôt qu’au

niveau d’un adresse IP

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3011/04/23

Firewall logiciels en passerellece qu’ils laissent passer Les attaques d’application web

Vulnérables si elles ne filtrent pas assez les données entrées par l’utilisateur.

Insertion de code sur les Forums Insertion de requêtes SQL dans un champ de

formulaire

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3111/04/23

Firewall logiciels en passerellece qu’ils laissent passer

Injection de requête SQL :

SELECT * FROM table_Clients WHERE champ_Nom=Name

l'utilisateur entre son nom :

toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password')

La requête finale est :

SELECT * FROM table_Clients WHERE champ_Nom=toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password')

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3211/04/23

Firewall logiciels en passerellece qu’ils laissent passer

Solution : « Reverse Proxy »

Rôle de l’administrateur réseau ?

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3311/04/23

Firewalls personnels

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3411/04/23

Firewalls personnels - Plan

Cible et besoins Principe Limites Firewalls personnels sous Windows et

Linux

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3511/04/23

Cible et besoins

Logiciel de sécurité réseau simple et efficace pour connexions Internet personnelles: poste directement relié à Internet

Postes principalement « client » principale menace: réception de chevaux de Troie logiciels espions / backdoors

empêcher connexion de programmes non autorisés

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3611/04/23

Cible et besoins

Filtrage simple de paquets: la plage de ports 1024-65535 doit être autorisée pour que les applis puissent fonctionner dans les deux sens

filtrage de paquets problématique

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3711/04/23

Principe

Contrôle des applications pour accéder ou non au réseau

liste applications autorisées à initier flux réseau ou a écouter

Pour chaque appli: Localisation de l’exécutable Protocole de niveau 4 utilisé (TCP, UDP, ICMP) Jeux de ports utilisés Sens de flux associé

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3811/04/23

Principe La configuration doit être aisée pour correspondre

à la cible de marché configuration par apprentissage

Permet également de faire de la remontée d’alertes Dans le modèle OSI:

Entre couches IP et liaison: règles indépendantes d’une application / flux déjà autorisés

Entre couches réseau et applicative: intercepter les demandes d’ouverture de socket

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3911/04/23

Limites

Certaines prises de décision nécessitent connaissances

Certains produits ne gèrent que TCP, UDP et ICMP, décision silencieuse

Beaucoup d’appli accèdent au réseau par différents protocoles nombre d’entrées important, difficile à maintenir

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4011/04/23

Limites

Lacunes courantes: Impossibilité de spécifier des règles

indépendamment d’une appli Impossibilité de restreindre les jeux de ports

utilisable par une appli autorisée Impossibilité de spécifier des règles pour autres

protocoles que TCP, UDP ou ICMPAbsence de filtrage à état ou absence des

modules de prise en charges de protocoles applicatifs complexes (limite au niveau 4)

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4111/04/23

Limites

Absence de sécurité de certains OS: pas de contrôle d’accès ou comptes utilisateurs non utilisés

Application pouvant se lancer en super-utilisateur --> écraser exécutables concernés par configuration du firewall, tuer d’autres applis (anti-virus, firewall), annuler les protections

Possibilité de profiter de failles de sécurité dans autres applications autorisées (navigateur)

Ne travaille qu’à partir du niveau IP, tout ce qui se trouve en dessous (Ethernet) n’est pas vu du firewall

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4211/04/23

Firewalls personnels sous Windows et Linux Windows: Kerio, Zone Alarm, … Linux: module « owner » de Netfilter + patch «

owner-cmd » Critères de filtrages relatifs aux processus:

UID , GID propriétaire PID/SID du process Nom du process

iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT

Attention, ne vérifie pas la localisation de l’exécutable, limiter les packets

iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4311/04/23

Démonstration

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4411/04/23

Démonstration 1/3

1er outil, Webmin + Turtle Firewall

+

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4511/04/23

Démonstration 2/3

2ème outil, Nessius

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4611/04/23

Démonstration 3/3

3ème outil, Ettercap

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4711/04/23

Références

LINUX Magazine – « le firewall votre meilleur ennemi » (janvier/fevrier 2003)

« Sécurité internet » - B.Dunsmore, J.Brown, M.Cross, S.Cunningham

Sites: www.netfilter.org www.webmin.com www.nessus.com ettercap.sourceforge.net

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4811/04/23

Questions ?