concepts firewall et sÉcuritÉ associÉe

CONCEPTS FIREWALL ET

SÉCURITÉ ASSOCIÉE Pôle SECU DSI – 17/09/2018

Firewall / Gatekeeper / Pare-feu / Garde Barrière

• Pourquoi sécuriser son réseau ?

• Politiques de sécurité

• Rappel TCP/IP

• Définition d’un firewall

• Sécurité associée au firewall

• Différentes architectures « firewall »

• Qu’est-ce qu’un bon firewall ?

Pourquoi sécuriser son réseau ? / 1

• Protéger le réseau interne de l’extérieur Piratage / Espionnage

Uniquement serveurs publics visibles de l’internet

• Passage obligé pour atteindre le réseau interne Simplification de la sécurité

Restreindre nombre de machins à surveiller

Audit du trafic entre réseau interne et externe (type de trafic /

consommation)

Mise en œuvre d’outils spécifiques (authentification)

• Economie sur le plan d’adressage IP RFC 1918 / NAT


• Passage obligé = réseau interne protégé ? Attaques interne

Connexions pirates sur réseau interne (WiFi, 3G, ….)

Virus

• Passage obligé = plus de gestion de la sécurité

du réseau interne ? Administration des serveurs interne (arrêter services inutiles /

sécuriser les applications)

Surveillance quotidienne

Eduquer les utilisateurs / faire signer les chartes


Sécurisation système ?

Quelques protocoles : TCP = 22/SSH (secure shell)

TCP = 23/Telnet

TCP = 25/SMTP

TCP = 80/HTTP – TCP = 443/HTTPS

TCP = 445/Microsoft-DS – TCP = 137-139/Netbios


Sécurisation réseau

SNORT = IDS (Intrusion Detection System)

Protocoles les plus scannés TCP = 21/FTP

TCP = 22/SSH

TCP = 80/HTTP – HTTP = 443/HTTPs

TCP = 137-139/445 Netbios

TCP = 1433/ms-sql

TCP = 8080/proxy-cache

Politiques de sécurité / 1

• Définir une politique de sécurité Objectifs à atteindre

Utilisation du réseau à respecter

Moyens à mettre en œuvre (organisation / ressources

humaines)

• Structurer le réseau Séparer les communautés

(administration/enseignement/recherche)

Sécuriser dans les 2 sens (externe interne)

Pas d’informations sensibles en clair sur le réseau (chiffrement)

Switcher le réseau

Politiques de sécurité / 2

• 2 politiques de sécurité Tout ce qui n’est pas explicitement interdit est autorisé

Tout ce qui n’est pas explicitement autorisé est interdit

Politique à appliquer : autorisation explicite

• Firewall Un concept, un environnement

Un ensemble d’outils (matériels, logiciels)

Rappel TCP/IP / 1

• Modèle OSI

• Packet Ethernet – TCP/IP

Rappel TCP/IP / 2

Etablissement d’une connexion TCP/IP (Three-way handshake)

(Rst: reset de la connexion sans paquet Ack)

Définition d’un firewall / 1

Firewall = terme très générique

• Périphérique qui assure l’interconnexion

de plusieurs réseaux

• Permet de mettre en œuvre la politique de

sécurité de l’établissement


Bref historique

• Filtrage de paquets Apparu sur les routeurs

Fonctionne au niveau connexion TCP/IP (adresse IP +

couche transport)

Pas de prise en compte l’historique des connexions

• Serveur proxy Agit au niveaux des applications et des services

Fouille les paquets (recherche d’applets, masquage des

adresses IP des clients)

Ralentit le trafic

Nécessite un proxy par type d’application


Evolution des firewalls

• Filtrage adaptatif (stateful inspection) Base de données de paquets TCP/IP qui ne

présente pas de risque

Historique d’une connexion autorisée

Compare les paquets reçus à ceux qu’il est censé

recevoir


Système qui route de façon sélective les paquets entre des hôtes

internet et externe en fonction des règles de filtrage spécifiées

Fonctionne au niveau 3/4 du modèle OSI Filtrage sur l’entête IP

Filtrage sur l’entête TCP

Filtrage sur l’entête UDP


• Filtrage sur l’en-tête IP Adresse source ( ! l’adresse source falsifiable)

Adresse destination

Type de protocole (TCP,UDP,ICMP,….)

• Filtrage sur l’en-tête TCP Port TCP source

Port TCP destination

Flag TCP (bit ACK)

Notion de session TCP identifiant tous les flux d’une connexion

• Filtrage sur l’en-tête UDP Port UDP source

Port UDP destination

Pas de notion de session / pas de bit ACK


• Routeur Cisco (filtres gérés par ACL)

• Serveur dédié sous Linux (filtres gérés par kernel Linux)


Inconvénients des firewalls « stateless » Règles de filtrage ordonnées séquentiellement

Pas de prise en compte de l’état de la connexion (initiée /

établie / finie)

firewall « stateful inspection »

(filtrage dynamique de paquets)

Système de filtrage qui mémorise les paquets reçus et adapte les

règles de filtrage en conséquence

Notion de session (TCP) ou pseudo-session (UDP)

Règles créées limitées dans le temps où à la session


Mode « established » Test sur l’octet « flag » de l’entête TCP/IP

On peut donc faire l’hypothèse que tout paquet TCP/IP avec le flag

« Ack » positionné appartient à une connexion « established », et donc

déjà autorisée par les filtres


• Routeur Cisco (filtres gérés par ACL)

• Serveur dédié sous Linux (filtres gérés par kernel Linux)

Définition d’un firewall /10

Problème established sur certains protocoles (FTP)

Connexion de C en FTP sur S en mode actif

Pour fonctionner en mode « established », 2 possibilités

permit tcp any eq 20 any gt 1023

utiliser fonctionnalités évoluées des firewalls (cbac sur Cisco, RELATED

iptables). Connexions stockées en mémoire = Stateful Inspection


• Routeur CISCO (non cbac – filtres gérés par ACL)

Problème de sécurité. Connexion Syn sur des applications avec des ports de

connexion TCP > 1023

• Serveur dédié sous Linux (Stateful inspection / RELATED)


A surveiller sur les firewalls

• DOS (Denial of Service)

Attaques de type SYN en mode cbac/related (saturation

mémoire)

• « established » sur Cisco

Established = Ack ou Rst

Tout paquet avec Flag = Ack ou Rst est autorisé à traverser les

filtres. Un paquet avec Syn,Rst positionné traversera les filtres !!!!

Problème sur certaines piles protocolaires IP qui acceptent ce type

de paquets (Linux 2.4)

=> Mise en place de filtres supplémentaires pour interdire les

paquets non conforme à la RFC (sur Cisco, filtres en CPU et non

plus en Asic)


Avantages du filtrage de paquets

• Protection centralisée pour un réseau entier

• Pas de compétence, collaboration des utilisateurs

• Disponible sur de nombreux matériels

• Intégration dans des ASICs permet un traitement

rapide

• Pas un coût prohibitif pour petite entité (PC *NIX)


Inconvénients du filtrage de paquets

• Règles de filtrage difficiles à configurer

• Certains protocoles compliqués à filtrer (h323,

visio)

• Règles de filtrage impossible à mettre en œuvre Filtrage basé sur la notion d’utilisateur

Filtrage basé sur les applications

• Inefficace face à du « tunneling »

Sécurité associée au firewall / 1

Serveur « proxy » (relais applicatif)

• Application sur le firewall ou serveur distinct

• Redirection des requêtes des utilisateurs vers les

services demandés en accord avec la politique de

sécurité Etablissement des connexions vers les services demandés à

la place des clients des utilisateurs

+ ou – transparent pour les utilisateurs

• Efficace qu’associé à un mécanisme d’interdiction

de connexion directe vers les services demandés


Serveur « proxy » (relais applicatif)

Niveau 7 du modèle OSI

Pas de connexion directe à Internet pour le client

Proxy http/ftp : squid


Proxy = filtrage couche application • Filtrage d’informations à l’intérieur d’une session

(contrôle des commandes GET/PUT dans FTP)

• Journalisation des commandes utilisateurs

• Masquage de l’adresse IP des clients

• Modification des informations relatives aux clients dans

les en-têtes (http, smtp, …)

• Inhiber les scripts ActivX, javascript, applets java,…dans

les flux HTTP

• Contrôle anti-virus


Avantages serveur proxy

• Pas de connexion TCP/IP entre client et l’Internet

• Masquage des adresses IP interne

• Logs de connexions des utilisateurs

• Phase d’authentification possible

• Fonctionnement + ou – transparent pour l’utilisateur


Inconvénients serveur proxy

• Nécessite serveur proxy pour chaque service

• Plus lent qu’un simple routeur filtrant (traitement effectué

dans l’espace « user »

• Ne protège pas de toutes les faiblesses des protocoles

(suppose que l’on sait déterminer quelles opérations

sont sûres)

• Inefficace face au « tunneling »


NAT (Network Address Translation)

• Masquage du plan d’adressage interne

• Utilisation plan d’adressage interne non routé sur Internet

(utilisable universellement - RFC 1918) Classe A (1 réseau de 16 millions d’hôtes) 10.0.0.0/8

Classe B (16 réseaux de 65536 hôtes) 172.16.0.0/16 172.16.31.0/16

Classe C (256 réseaux de 256 hôtes) 192.168.0.0/24 192.168.255.0/24

• Permet aux hôtes du réseau interne de se connecter à

l’Internet sans nécessiter autant d’adresses IP que de

machines


NAT : Traduction statique d’adresse

• A une adresse IP externe, on fait correspondre une

adresse IP interne (si possible RFC 1918)

• Utilisation

Serveur devant être accessible depuis l’Internet

Peu de machines sur le réseau


NAT : Traduction dynamique d’adresse A une adresse IP interne se connectant à l’Internet, on fait

correspondre une adresse IP officielle (firewall) et la correspondance

est effectuée en enregistrant le port source de la communication initiée

par le firewall


NAT : Traduction dynamique d’adresses

• Utilisation Postes clients accédant à l’internet

• Avantages Economie sur le plan d’adressage

Impossibilité d’initier une connexion vers une machine

translatée depuis l’Internet si plan d’adressage RFC 1918

• Inconvénients protocoles véhiculant dans les données TCP l’adresse IP du

client (négociation des tunnels VPN

Difficultés avec les protocoles à négociation de ports (VPN,

H323)


VPN - Virtual Private Network

• Définition RPV : Réseau Privé Virtuel

Créer lien sécurisé sur infrastructure IP existante

Connexion sécurisée des utilisateurs nomades

Connexion sécurisée des sites distants

Privé : données transitant par ce réseau sont confidentielles pour

les autres utilisateurs du réseau

Virtuel : réseau privé ainsi créé n’est pas matérialisé par des liens

physiques

• Diverses technologies réseau Tunneling, routage, filtrage

Authentification (serveur, utilisateur)

Confidentialité (chiffrement)


3 configurations de base pour solution VPN

Solutions VPN : PPTP, L2TP, GRE, IPSEC, VPN-SSL

Différentes architectures « firewall » / 1

Firewall

Firewall + logs


Firewall + Proxy


DMZ (Zone démilitarisée)

Qu’est-ce un bon firewall ? / 1

• Packet filter

• Stateful inspection

• Proxy sur les applications (web, ftp, ssh, …)

• Logs du traffic

• Authentification sécurisée, voir forte des utilisateurs

• Mise en place DMZ + routeur « boundary »

• Solution de VPN pour utilisateurs nomades

• Mise en place de sondes IPS (Intrusion Protection System)


• Sécurisation du firewall (physique/logiciel)

• Administration du firewall (traitement des logs)

• Métrologie (analyse du trafic)

• Tester politiques de sécurité (nmap, nessus, …)

• Suivre avis de sécurité (appliquer les patches)

• Politique de reprise sur crash (backup)

• Que faire en cas d’incident sécurité

• Configuration NTP (ntp.u-psud.fr)

• Ne pas négliger l’administration des postes clients


• Recommandation pour les polices de sécurité Créer une matrice des flux de trafic

Politique par défaut = DENY

Filtrer également trafic sortant

Ne pas renvoyer d’ICMP en cas de deny

Proxy avec possibilité de bloquer virus, javascript, ActiveX

• Quelques filtres nécessaires • IP Spoofing

• Adresses internes (RFC 1918)

• Certains applicatifs (snmp, tftp, netbios, lpr, …)

• SMTP uniquement vers relais de mail

concepts firewall et sÉcuritÉ associÉe

Documents