les firewall christophe leitienne mathieu truchet laurent thevenard dess réseaux 2000/2001 rôle du...

Les Firewall

Christophe LEITIENNEMathieu TRUCHET

Laurent THEVENARD

DESS Réseaux2000/2001

Rôle du firewall

Attaques et outils associés

Technologie : les différents types de firewall

Architecture d’un réseau avec firewall

Produits professionnels

Exemples

Problématique, Enjeux

Réseau local

Communications refusées Internet

Communications autorisées

Problématique

Attaques et Outils associésTechnologie

Architectures

Outils, Coûts

Exemples

Avenir

Pourquoi un Firewall

Réseau local

Controler le trafic sortant Vigilance

Internet Sécuriser le trafic entrant

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Couches de protocoles

Couches basses

Internet Protocol (IP) / ICMP

TCP UDP

Telnet FTP HTTP

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Déni de service

machine A (client)

machine B (serveur)

SYN

SYN, ACK

ACK

Problématique

Attaques et Outils associés

Technologie

Architectures

Outils, Coûts

Exemples

Avenir

Déni de service

Spoofing IP

Scanners

Autres

Spoofing IP

Machine attaquée (A)

Machine d’attaque (H) Machine B

Problématique


Technologie

Architectures

Outils, Coûts

Exemples

Avenir

Déni de service

Spoofing IP

Scanners

Autres

Les Scanners

Fonctionnement des scanners

1. Localiser une machine sur un réseau

2. Détecter les services exécutés sur la machine

3. Détecter d’éventuelles failles

Problématique


Technologie

Architectures

Outils, Coûts

Exemples

Avenir

Déni de service

Spoofing IP

Scanners

Autres

Autres outils

1. Ping

2. SNMP

3. WhoIs

4. DNS

5. Finger

6. Host

7. TraceRoute

Problématique


Technologie

Architectures

Outils, Coûts

Exemples

Avenir

Déni de service

Spoofing IP

Scanners

Autres

Firewall à filtrage de Paquets

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Filtrage de paquets

Circuit Level GatewayProxy

Firewall Multi-couches

Fonctionnement du filtrage de paquets

Fonctionnement

Fait souvent partie d’un routeur

Chaque paquet est comparé à un certain nombre de règle (filtres), puis est transmis ou rejeté

Avantages

C’est un firewall transparent

Apporte un premier degré de protection s’il est utilisé avec d’autres firewall

Inconvénients

Définir des filtres de paquets est une tâche complexe

Le débit diminue lorsque le nombre de filtres augmente

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Filtrage de paquets



Règles de filtrage

Filtrage selon :

l'adresse IP de la source et de la destination,

le protocole,

le port source et destination pour les protocoles TCP et UDP,

le type de message pour le protocole ICMP,

et l’interface physique d’entrée du paquet

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Filtrage de paquets



Circuit Level Gateways

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Filtrage de paquets



Fonctionnement du Circuit Level Gateway

Fonctionnement

Capte et teste la validité des « handshake » TCP pour savoir si une session peut être ouverte

Avantages

C’est un firewall transparent

Il cache les machines du réseau privé

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Filtrage de paquets



Proxy

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Filtrage de paquets



Fonctionnement du Proxy

Fonctionnement

Similaire au « Circuit Level Gateway »

Spécifique à une application

Avantages

Les paquets entrants et sortants ne peuvent accéder aux services pour lesquels il n’y a pas de proxy

Permet de filtrer des commandes spécifiques (ex: GET ou POST pour HTTP)

Le plus haut degré de sécurité

Inconvénients

Les performances les plus faibles

N’est pas transparent pour les utilisateurs

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Filtrage de paquets




Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Filtrage de paquets



Routeur à filtrage de paquets

Réseau local avec serveurs

Internet mail, dns, etc.

Problématique


Architectures

Outils, Coûts

Exemples

Avenir


Dual Homed GatewayScreened Host FirewallScreened Subnet Firewall

Dual Homed Gateway


Routeur

Internet

IP forwarding désactivé

Problématique


Architectures

Outils, Coûts

Exemples

Avenir



Screened Host Firewall


Bastion host

Internet

Problématique


Architectures

Outils, Coûts

Exemples

Avenir



Screened Subnet Firewall


Bastion host

Internet

Zone démilitarisée

Problématique


Architectures

Outils, Coûts

Exemples

Avenir



Outils, Coûts

Noyau Linux

GNU Gratuit Firewall a filtrage de paquets

Proxy Squid

GNU Gratuit Proxy FTP/HTTP

Check Point Firewall 1

Check Point Software Technologieswww.checkpoint.com

56000F (100 utilisateurs)

LeaderContrôle Temporel

Eagle Family

Raptor Systemswww.axent.com

45000F (100 utilisateurs)

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Exemple Firewall et Pont

Réseau local Firewall/Proxy Pont Fournisseur d’accès/ Internet

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Firewall+Pont

HOWTO

Bat710

Exemple Firewall-HOWTO

Réseau local (BON)

SMTP

Internet (MAUVAIS)

DNS Proxy HTTP, FTP

ppp0 : 192.84.219.1

eth1 : 192.168.1.250

eth0 : 192.84.219.250

Réseau de serveurs (Zone Démilitarisée - ZDM)

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Firewall+Pont

HOWTO

Bat710

Exemple Bat710

Miage

SMTP, POP3

NT Workstation

bat710

Linux

Samba, Proxy HTTP, FTP, News, HTTPS

Internet

NFS

Réseau du batiment 710

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Firewall+Pont

HOWTO

Bat710

Conclusion

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Autres éléments de protection

VPN

IPSec

NAT (Network Address Translation)

Anti-virus

Bibliographie

Regroupements d’information sur les firewall en anglais

www.firewall.com

Documents sur les firewall en français

www.chez.com/firewallsxtream.online.fr/project/securite.html

FAQ sur les firewall

www.vicomsoft.com/knowledge/reference/firewalls1.html

HOWTO

IPCHAINSBridge+Firewall

Problématique


Architectures

Outils, Coûts

Exemples

Avenir

Paquet IP

Version Version IHL TOS

Identification Flags Offset

TTL Protocole Checksum

@ source

@ destination

options

Problématique

Rappels techniques


Architectures

Outils, Coûts

Exemples

Avenir

Couches

IP

ICMP

TCP

Paquet ICMP

Code CheckSum Type

Type:

8: Echo0: Réponse Echo…

Problématique

Rappels techniques


Architectures

Outils, Coûts

Exemples

Avenir

Couches

IP

ICMP

TCP

Paquet TCP

Sequence Number

Ack Number

Flags

options

Port Source Port Destination

Data Offset Reservé Window

CheckSum Urgent Pointer

Problématique

Rappels techniques


Architectures

Outils, Coûts

Exemples

Avenir

Couches

IP

ICMP

TCP

Connexion TCP

machine A (client)

machine B (serveur)

SYN

SYN, ACK

ACK

Problématique

Rappels techniques


Architectures

Outils, Coûts

Exemples

Avenir

Couches

IP

ICMP

TCP