Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Télécharger au format pdf ou txt
Vous êtes sur la page 1/ 31
Les Firewall
Pare-feu • Dispositif installé en coupure permettant de restreindre l’accès d’un réseau à un autre par filtrage • Protéger un réseau interne Vis à vis d’un réseau ‘externe’ d’ou des intrus sont susceptibles de conduire des attaques. • De base filtre sur les services réseau, les adresses IP, … • Plus évolué : utilise l’authentification • Le filtrage se fait dans les 2 sens Réflexions autour du pare-feu • Ne pas accepter un paquet arrivant sur une carte réseau externe dont l’adresse source correspond au réseau interne • Il est intéressant de pouvoir assembler les fragments avant de prendre une décision (mais problème de temps de latence) • Ne pas accepter les paquets qui contiennent des informations sur le routage (source routing) • Un pare-feu n’est pas une mesure de sécurité suffisante à lui seul (cf ligne Maginot) Filtrage de paquets • Le niveau le plus basique (première génération de firewall) • Basé sur les informations de la couche réseau (= couche n° 3) • Exprimé sous la forme d’une liste ordonnée de règles • Exemple : Autoriser TCP port 80 en sortie Filtrage de paquets • La dernière règle doit être de tout interdire • Avantages – Simple – Montée en charge – Bonnes performances • Inconvénients – Inspecte l’entête seulement – Faible sécurité en comparaison des autres moyens SPI (Stateful Packet Inspection) • Contrairement au simple filtrage de paquets, garde un suivi les connexions (dans une table d’états) • Autorise certains flux réseau uniquement si une connexion sortante correspondante existe Stateful Inspection
• 2 principes fondamentaux : – Analyse complète du paquet au niveau de la couche réseau – Définition et maintien des tables des connexions autorisés (états) Pare-feu applicatifs • Proxy • Inspectent les paquets au plus profond (couche 7) en tenant compte de la sémantique de l’application • Ex: peuvent distinguer un GET d’un PUT dans une requête HTTP • Problème – Performance amoindrie – Nombre de filtres applicatifs disponibles Pare-feu applicatif • Découverte de machines par envoi d’une requête ACK à laquelle aucune ouverture de session (SYN) ne correspond • Solution : SPI - Statefull packet inspection (inspection des paquets avec maintien des tables d’état) – Nécessite plus de mémoire et de temps CPU – Contournement : faire croire à un trafic autorisé • port source autorisé (par ex: 53 pour DNS) Architectures • DMZ • Routeur filtrant • Firewall Stateful • Proxy • NAT DMZ • Zone démilitarisé : sous-réseau contient les machines étant susceptibles d'être accédées depuis Internet, et qui n'ont pas besoin d'accéder au réseau local. DMZ DeMilitarized Zone Routeur filtrant
• Premier élément de sécurité
• Évite l’utilisation inutile de bande passante
mais ne protège pas des hackers Proxy
• Firewall Proxy présente 2 inconvénients :
– Performances : le filtrage d’un paquet nécessite sa remonté jusqu’à la couche application – Disponibilités des agents (protocoles propriétaires ou exotique) Proxy • Firewall Proxy dispose d’agents spécifiques à chaque protocole applicatif (FTP, HTTP..) • Filtrage très précis • Comprend les spécificités de chaque protocole • Le réassemblage des paquets élimine les attaques par fragmentation NAT (Network Address Translation) Firewalls matériels • Système d’exploitation et matériel conçus par le constructeur et spécifiquement pour du filtrage • Simple PC, matériel dédié, circuit intégré spécialisé (ASIC) Différences firewall logiciel/matériel
• Peuvent offrir fonctions et services identiques
• Différences: – SAV: 1 seul constructeur fournit la solution complète – Résistance: conçu pour être un produit de sécurité – Distribution de la fonction firewall dans les points stratégiques du réseau Catégories de firewalls matériels • Routeurs: – filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags TCP – Stateless ou Stateful – Moins d’applications complexes/multimédia supportées que firewall spécialisés (NAT) – Routeurs conçus initialement pour commuter paquets -> attention – Filtres des tables de routage – Performances: • de qques kb/s -> plusieurs Mb/s • Perte de performances de 15 à 20% en Stateful • Performances dépendent du nombre de fonctions utilisées (IPSec, détection d’intrusion, codecs pour voix sur IP, QOS) – Routeur stateful idéaux pour relier bureaux via internet: site a protéger rarement important Catégories de firewalls matériels • Firewalls spécialisés – Conçus uniquement pour faire du filtrage – Très performant: • > 1Gbit/s • 500 000 connexions • Plusieurs dizaines de milliers de nouvelles connexions par seconde – Supportent rarement les interfaces WAN nécessité d’être associés à des routeurs pour la connectivité
• Disponibles également pour le grand public
– Pour accès toujours connectés (DSL, câble) – Ouverts en sortie – Certains permettent le filtrage dans les deux sens adaptés à l’hébergement de services – Performances: • 1à 2 Mb/s (vitesse d’accès) • Limitations au niveau du nombre de sessions supportées et nombre de nouvelles connexions par seconde. • Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics Catégories de firewalls matériels • Modules firewall pour commutateurs – Sous forme de carte – Firewall stateful – Intégrés aux commutateurs pour fournir protection entre différents VLAN – Support de contextes virtuels services de filtrages a des réseaux distincts – Performances: • jusqu’à 5 Gb/s • 1 000 000 de connexions • 100 000 nouvelles connexions par seconde • Jusqu’à 100 interfaces virtuelles • Possibilité d’utiliser plusieurs cartes débit de 30 Gb/s – Utilisés pour cloisonner le réseau interne Firewalls logiciels en passerelle libre : Netfilter • Intégré au noyau 2.4 de linux • Interface utilisateur séparée : iptables • Stateless : – iptables -A INPUT -s 200.200.200.1 -p tcp -- destination-port telnet -j DROP
• Stateful : – iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
– INVALID / ESTABLISHED / NEW / RELATED
Firewalls personnels • Logiciel de sécurité réseau simple et efficace pour connexions Internet personnelles: poste directement relié à Internet • Postes principalement « client » principale menace: réception de chevaux de Troie logiciels espions / backdoors • empêcher connexion de programmes non autorisés Principe • Contrôle des applications pour accéder ou non au réseau • liste applications autorisées à initier flux réseau ou a écouter • Pour chaque appli: – Localisation de l’exécutable – Protocole de niveau 4 utilisé (TCP, UDP, ICMP) – Jeux de ports utilisés – Sens de flux associé Principe
• La configuration doit être aisée pour correspondre à
la cible de marché configuration par apprentissage • Permet également de faire de la remontée d’alertes • Dans le modèle OSI: – Entre couches IP et liaison: règles indépendantes d’une application / flux déjà autorisés – Entre couches réseau et applicative: intercepter les demandes d’ouverture de socket Limites • Certaines prises de décision nécessitent connaissances • Certains produits ne gèrent que TCP, UDP et ICMP, décision silencieuse • Beaucoup d’appli accèdent au réseau par différents protocoles nombre d’entrées important, difficile à maintenir Limites • Lacunes courantes: – Impossibilité de spécifier des règles indépendamment d’une appli – Impossibilité de restreindre les jeux de ports utilisable par une appli autorisée – Impossibilité de spécifier des règles pour autres protocoles que TCP, UDP ou ICMP – Absence de filtrage à état ou absence des modules de prise en charges de protocoles applicatifs complexes (limite au niveau 4) Limites • Absence de sécurité de certains OS: pas de contrôle d’accès ou comptes utilisateurs non utilisés • Application pouvant se lancer en super-utilisateur --> écraser exécutables concernés par configuration du firewall, tuer d’autres applis (anti-virus, firewall), annuler les protections • Possibilité de profiter de failles de sécurité dans autres applications autorisées (navigateur) • Ne travaille qu’à partir du niveau IP, tout ce qui se trouve en dessous (Ethernet) n’est pas vu du firewall
