Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS

Plan de la présentation Sécurité Routeurs serveurs proxy-cache Firewall Etude de cas Equipements Services

La solution routeur filtrant Filtrage efficace sur les champs des protocoles de communication (adresse IP…) Intégré à la plupart des routeurs du marché Bien adapté au réseau de type PME Nécessite une bonne connaissance technique des protocoles Spécifique par routeur avec une syntaxe de bas niveau Généralement pas de fichiers logs et de statistiques exploitables

Inconvénients des routeurs filtrants Les routeurs accèdent seulement à des parties limitées des entêtes des paquets. Les routeurs n ’ont aucune notion de l ’état d ’une communication de bout en bout. Les routeurs ont un nombre très limité de possibilités de traitement des informations qu’ils routent. L ’implémentation de solutions de sécurité sur les routeurs réduisent leur performances.

La solution Firewall Accès sécurisé et transparent aux serveurs de l ’Internet Filtrage sur protocoles de communication Filtrage sur les applications Filtrage sur les utilisateurs Fichiers logs et statistiques d ’utilisation Gestion possible de réseaux complexe (VPN, DMZ, NAT)

Une solution Firewall Intranet

La solution Proxy serveur Accès performant et normalement non transparent aux applications de l ’Internet. Filtrage applicatif (HTTP, FTP, Gopher) Nécessite une connexion utilisateur par type de service Difficile si l ’application n’est pas supporté par le proxy Optimisation de la bande passante vers l ’Internet en mettant en cache les informations consultées de L ’internet Filtrage efficace des sites autorisés / interdits Masquage d ’adresse: une adresse unique pour l ’Internet

Un proxy-cache? Un proxy-cache est une entité intermédiaire entre un client et un serveur, entité qui garde les données. Quand un client cherche à accéder aux ressources d ’un serveur, il effectue une requête au proxy. Celui-ci va tout d ’abord chercher ce document dans son cache. Si le document demandé par le client ne figure pas dans le proxy-cache, celui-ci envoie une requête au serveur lui- même et transmet le document reçu au client tout en stockant au passage le document dans son cache.

Avantages des proxy-cache? Réduction du trafic WAN Une meilleure qualité de service Possibilité de filtrage des requêtes et des réponses

Logiciels Plusieurs proxy-cache sur le marché: Squid (logiciel gratuit) Netcache Appliance Cisco cache engine Netscape proxy server Microsoft proxy server

Critères de comparaisons Performance Temps de réponse, protocoles supportés, compatibilité avec ICP, Tolérance aux pannes Sécurité Filtrage d ’URL, authentification et contrôle d ’accès, fichiers traces, SSL Administration Interface graphique intuitive, utilisation de SNMP Transparence

Critère de la transparence Un Proxy-cache est dit transparent si les clients l ’utilisent sans aucune configuration manuelle des navigateurs (Exemple: Cisco cache engine) Avantages: Utilisation du caching sans aucune modification chez le client Inconvénients: Le client ne peut pas éviter l ’utilisation du cache. Problème de droits d ’accès

Proxy-cache de Microsoft et de Netscape Ces proxy-cache ont les caractéristiques suivantes: Produits adaptés pour les réseaux d  ’entreprises et non pour les réseaux étendus (Backbone opérateurs par exemple) Produits moins performants que Squid ou Netcacche Aucune solution de transparence

Cisco Cache Engine Ce produit a les caractéristiques suivantes: Pas de compatibilité avec ICP Possibilité de surcharge des routeurs Pas d ’interface d ’administration ni d ’agent SNMP Aucun contrôle interne du cache engine Produit cher (150000 francs pour 900 sessions simultanées)

Netcache et le switch d ’Altéon Avantages Utilisation des deux modes: mode transparent et mode proxy Scalability: facilité d ’ajout de proxy-cache. Performance logicielle: Netcache est 5 à 10 fois plus rapide que Squid. Administration: Interface graphique conviviale sous format HTML.

Firewall: Fonctionnement

La translation d ’adresses Localisation du translateur Sur Firewall Sur le routeur Types de translation N @ privées vers 1 @ publique N @ privées vers M @ publiques 1 @ privée vers 1 @ publique

La notion de Virtual Private Network

Les produits Firewall Les produits significatifs dans le monde /France: Checkpoint software (Firewall1) Cisco (PIX, Centri Firewall) Raptor systems (Eagle) Bull soft (M >Wall)

Les firewalls: quelles implémentations? (1/2) Sur châssis propriétaire Avantages: robustesse Inconvénients: évolutivité limitée Sur OS Sécurisé Exemple: Unix BSD Avantages: Implémentation sur architecture de type PC Inconvénients: Interaction étroite entre Firewall et OS: Problème de mise à jour

Les firewalls: quelles implémentations? (2/2) Sur OS standard du marché Exemple: Unix Solaris/ Windows NT server: Firewall1 Inconvénients: sensible aux attaques sur l ’OS. Pas d ’idéal Critères de choix: Analyse de l ’existant/ Evolutivité de la solution Culture système de l ’entreprise Coûts

Les firewalls : la solution à tout ? Un firewall ne peut pa protéger contre le trafic qui ne passe pas par lui. Pas de protection contre les menaces internes: Rarement déployé et configuré entre les réseaux internes Pas de confidentialité des informations: Option Virtual Private Network (entre deux firewalls) possible Option cryptage entre un poste isolé et le Firewall Pas d ’authentification à l ’origine des informations: Impossible de savoir si l ’auteur du paquet est bien celui qui émet le paquet.

Propriétés du Firewall1 de checkpoint? Existant sur plusieurs platformes (PC, stations, switchs) +40% du marché mondial des Firewalls Composants de sécurité du Firewall1: Module Firewall (Contrôle des paquets, translation d ’adresses…) Module d ’encryption (Utilisation possible de VPN sécurisés) Module de management (Interface graphique + fonctionnalités de management de la base de données) Possibilité d ’appliquer la même politique de sécurité pour plusieurs Firewalls à partir d ’une même station de management.

La solution globale Filtrage communications et/ou applications non proxy sur le firewall Connexion des utilisateurs au Proxy Serveur pour les applications HTTP, FTP, gestion de cache de disque, détection de virus En option, ACL sur les routeurs

Conclusion Les firewalls solutions matures et bien éprouvés PIX et CheckPoint se partagent le marché IPchains ou Netfilter grignote de plus en plus des parts Les proxy solutions nécessaires pour l’optimisation et le filtrage applicatif Les switch de type alteon nécessaires pour augmenter les performances.