firewall exposé nt réseaux jérôme cheynet miguel da silva nicolas sebban

FIREWALLExposé NT Réseaux

Jérôme CHEYNET

Miguel DA SILVA

Nicolas SEBBAN

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 211/04/23

Plan

Présentation Générale Architectures Firewalls matériels Firewalls logiciels professionnels Firewalls personnels Démonstration


Présentation générale


Présentation - Plan

Qu’est-ce qu’un Firewall ?

Pourquoi utiliser un Firewall ?

Principales fonctionnalités



Un firewall est plus un concept qu’un matériel ou un logiciel

Filtre le trafic entre réseaux à différents niveaux de confiance

Met en oeuvre une partie de la politique de sécurité



Système physique ou logique servant d’interface entre un ou plusieurs réseaux

Analyse les informations des couches 3, 4 et 7


Pourquoi utiliser un Firewall ?

Les pare-feux sont utilisés principalement dans 4 buts :

Se protéger des malveillances "externes"Éviter la fuite d’information non contrôlée vers

l’extérieurSurveiller les flux internes/externesFaciliter l’administration du réseau


Principales fonctionnalités

Filtrage Authentification/Gestion des droits NAT Proxy


Architectures


Architectures - Plan

DMZ Routeur filtrant Firewall Stateful Proxy NAT


DMZ DeMilitarized Zone


Routeur filtrant

Premier élément de sécurité « IP-Spoofing Ready » Évite l’utilisation inutile de bande passante

mais ne protège pas des hackers


Stateful Inspection

2 principes fondamentaux :Analyse complète du paquet au niveau de la

couche réseauDéfinition et maintien des tables des

connexions autorisés (états)


Proxy (1/2)

Firewall Proxy dispose d’agents spécifiques à chaque protocole applicatif (FTP, HTTP..)

Filtrage très précis Comprend les spécificités de chaque

protocole Le réassemblage des paquets élimine les

attaques par fragmentation


Proxy (2/2)

Firewall Proxy présente 2 inconvénients :Performances : le filtrage d’un paquet

nécessite sa remonté jusqu’à la couche application

Disponibilités des agents (protocoles propriétaires ou exotique)


NAT(Network Address Translation)


Firewalls matériels


Firewalls matériels - Plan

Définition Différences firewall logiciel/matériel Catégories de firewalls matériels

RouteursFirewalls spécialisésModules firewall pour commutateurs


Définition

Système d’exploitation et matériel conçus par le constructeur et spécifiquement pour du filtrage

Simple PC, matériel dédié, circuit intégré spécialisé (ASIC)

Ex de firewall non matériel


Différences firewall logiciel/matériel

Peuvent offrir fonctions et services identiques

Différences: SAV: 1 seul constructeur fournit la solution complète Résistance: conçu pour être un produit de sécurité Distribution de la fonction firewall dans les points

stratégiques du réseau


Catégories de firewalls matériels

Routeurs: filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags

TCP Stateless ou Stateful Moins d’applications complexes/multimédia supportées que firewall

spécialisés (NAT) Routeurs conçus initialement pour commuter paquets -> attention Filtres des tables de routage Performances:

de qques kb/s -> plusieurs Mb/s Perte de performances de 15 à 20% en Stateful Performances dépendent du nombre de fonctions utilisées (IPSec, détection

d’intrusion, codecs pour voix sur IP, QOS) Routeur stateful idéaux pour relier bureaux via internet: site a protéger

rarement important


Catégories de firewalls matériels Firewalls spécialisés

Conçus uniquement pour faire du filtrage Très performant:

> 1Gbit/s 500 000 connexions Plusieurs dizaines de milliers de nouvelles connexions par seconde

Supportent rarement les interfaces WAN nécessité d’être associés à des routeurs pour la connectivité

Disponibles également pour le grand public Pour accès toujours connectés (DSL, câble) Ouverts en sortie Certains permettent le filtrage dans les deux sens adaptés à l’hébergement de

services Performances:

1à 2 Mb/s (vitesse d’accès) Limitations au niveau du nombre de sessions supportées et nombre de nouvelles

connexions par seconde. Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics


Catégories de firewalls matériels Modules firewall pour commutateurs

Sous forme de carte Firewall stateful Intégrés aux commutateurs pour fournir protection entre différents VLAN Support de contextes virtuels services de filtrages a des réseaux

distincts Performances:

jusqu’à 5 Gb/s 1 000 000 de connexions 100 000 nouvelles connexions par seconde Jusqu’à 100 interfaces virtuelles Possibilité d’utiliser plusieurs cartes débit de 30 Gb/s

Utilisés pour cloisonner le réseau interne


Firewalls logiciels professionnels


Firewalls logiciels professionnelsPlan Deux firewalls stateful :

Firewall libre : Netfilter / iptablesFirewall commercial : CheckPoint Firewall-1

Ce que les firewalls laissent passer


Firewalls logiciels en passerellelibre : Netfilter Intégré au noyau 2.4 de linux Interface utilisateur séparée : iptables Stateless :

iptables -A INPUT -s 200.200.200.1 -p tcp --destination-port telnet -j DROP

Stateful : iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

INVALID / ESTABLISHED / NEW / RELATED


Firewall logiciels en passerellelibre : Netfilter Spécificités

Ajout de plugins au système de suivi de connections

FTP / H323 / IRC / …

Plugins divers : modification du comportement de la pile IP

Front ends de configuration graphiques

Avantage décisif sur les autres firewalls libres


Firewall logiciels en passerellecommercial : CP Firewall-1 Disponible sur plusieurs plateformes

Windows Server – Linux Red Hat – HP-UX - Solaris

Prix39€ HT par utilisateur (100 machines)Au nombre de plugins fournis+ Formations


Firewall logiciels en passerellecommercial : CP Firewall-1 Spécificités

Décomposable en plusieurs modules – serveurs antivirus, serveur d’authentification, reporting

Authentification des utilisateurs Avec LDAP, RADIUS, TACACS

Pour filtrer les URL,Pour la limitation du temps,Permissions au niveau de l’utilisateur plutôt qu’au

niveau d’un adresse IP


Firewall logiciels en passerellece qu’ils laissent passer Les attaques d’application web

Vulnérables si elles ne filtrent pas assez les données entrées par l’utilisateur.

Insertion de code sur les Forums Insertion de requêtes SQL dans un champ de

formulaire


Firewall logiciels en passerellece qu’ils laissent passer

Injection de requête SQL :

SELECT * FROM table_Clients WHERE champ_Nom=Name

l'utilisateur entre son nom :

toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password')

La requête finale est :

SELECT * FROM table_Clients WHERE champ_Nom=toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password')


Firewall logiciels en passerellece qu’ils laissent passer

Solution : « Reverse Proxy »

Rôle de l’administrateur réseau ?


Firewalls personnels


Firewalls personnels - Plan

Cible et besoins Principe Limites Firewalls personnels sous Windows et

Linux


Cible et besoins

Logiciel de sécurité réseau simple et efficace pour connexions Internet personnelles: poste directement relié à Internet

Postes principalement « client » principale menace: réception de chevaux de Troie logiciels espions / backdoors

empêcher connexion de programmes non autorisés


Cible et besoins

Filtrage simple de paquets: la plage de ports 1024-65535 doit être autorisée pour que les applis puissent fonctionner dans les deux sens

filtrage de paquets problématique


Principe

Contrôle des applications pour accéder ou non au réseau

liste applications autorisées à initier flux réseau ou a écouter

Pour chaque appli: Localisation de l’exécutable Protocole de niveau 4 utilisé (TCP, UDP, ICMP) Jeux de ports utilisés Sens de flux associé


Principe La configuration doit être aisée pour correspondre

à la cible de marché configuration par apprentissage

Permet également de faire de la remontée d’alertes Dans le modèle OSI:

Entre couches IP et liaison: règles indépendantes d’une application / flux déjà autorisés

Entre couches réseau et applicative: intercepter les demandes d’ouverture de socket


Limites

Certaines prises de décision nécessitent connaissances

Certains produits ne gèrent que TCP, UDP et ICMP, décision silencieuse

Beaucoup d’appli accèdent au réseau par différents protocoles nombre d’entrées important, difficile à maintenir


Limites

Lacunes courantes: Impossibilité de spécifier des règles

indépendamment d’une appli Impossibilité de restreindre les jeux de ports

utilisable par une appli autorisée Impossibilité de spécifier des règles pour autres

protocoles que TCP, UDP ou ICMPAbsence de filtrage à état ou absence des

modules de prise en charges de protocoles applicatifs complexes (limite au niveau 4)


Limites

Absence de sécurité de certains OS: pas de contrôle d’accès ou comptes utilisateurs non utilisés

Application pouvant se lancer en super-utilisateur --> écraser exécutables concernés par configuration du firewall, tuer d’autres applis (anti-virus, firewall), annuler les protections

Possibilité de profiter de failles de sécurité dans autres applications autorisées (navigateur)

Ne travaille qu’à partir du niveau IP, tout ce qui se trouve en dessous (Ethernet) n’est pas vu du firewall


Firewalls personnels sous Windows et Linux Windows: Kerio, Zone Alarm, … Linux: module « owner » de Netfilter + patch «

owner-cmd » Critères de filtrages relatifs aux processus:

UID , GID propriétaire PID/SID du process Nom du process

iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT

Attention, ne vérifie pas la localisation de l’exécutable, limiter les packets

iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT


Démonstration


Démonstration 1/3

1er outil, Webmin + Turtle Firewall

+


Démonstration 2/3

2ème outil, Nessius


Démonstration 3/3

3ème outil, Ettercap


Références

LINUX Magazine – « le firewall votre meilleur ennemi » (janvier/fevrier 2003)

« Sécurité internet » - B.Dunsmore, J.Brown, M.Cross, S.Cunningham

Sites: www.netfilter.org www.webmin.com www.nessus.com ettercap.sourceforge.net


Questions ?

firewall exposé nt réseaux jérôme cheynet miguel da silva nicolas sebban

Documents