SECURITE DU SYSTEME D’INFORMATION (SSI) Institut Supérieur de Comptabilité et d’Administration des Entreprises SECURITE DU SYSTEME D’INFORMATION (SSI) 2010-2011
Les solutions de sécurité des réseaux Chapitre 3 Les solutions de sécurité des réseaux
Introduction Chaque ordinateur connecté à Internet (ou à un réseau) est susceptible d'être victime d'une intrusion (risque : altérer l’intégrité du système et des données. Les pirates ayant l'intention de s'introduire dans les systèmes recherchent dans un premier temps des failles (vulnérabilité) dans les protocoles, les systèmes d'exploitations et les applications. Ils scrutent donc le réseau (en envoyant des paquets de manière aléatoire) à la recherche d'une machine connectée, puis cherchent une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant. Cette menace est d'autant plus grande que la machine cible est : connectée en permanence à Internet avec une connexion à haut débit, connectée sans pour autant être surveillée, ne change pas (ou peu) d'adresse IP. => Ainsi, il est nécessaire, notamment pour les entreprises connectées à internet et les internautes ayant une connexion de type câble ou ADSL, de se protéger des intrusions en installant un système pare-feu.
Qu’est ce qu’un Firewall ? Un firewall (pare-feu en français), est un système physique (matériel) ou logique (logiciel) servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations contenues dans les couches 3, 4 et 7 du modèle OSI. Il s'agit donc d'une machine (boitier spécifique de firewall matériel ou d'un ordinateur sécurisé hébergeant une application particulière de pare-feu) comportant au minimum deux interfaces réseau : une interface pour le réseau à protéger (réseau interne) une interface pour le réseau externe
Interfaces d’un Firewall
Position d’un Fw dans un réseau
Zone démilitarisée Lorsque certaines machines du réseau interne ont besoin d'être accessible de l'extérieur (comme c'est le cas par exemple pour un serveur web, un serveur de messagerie, un serveur FTP public, ...) il est souvent nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise. On parle ainsi de zone démilitarisée (souvent notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public.
Firewall : zone démilitarisée
Fonctionnement d'un Firewall Un FW contient un ensemble de règles prédéfinies permettant : Soit d'autoriser uniquement les communications ayant été explicitement autorisées : "Tout ce qui n'est pas explicitement autorisé est interdit". Soit d'empêcher les échanges qui ont été explicitement interdits Le choix de l'une ou l'autre de ces méthodes dépend de la politique de sécurité adoptée par l'entité désirant mettre en oeuvre un filtrage des communications. La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en terme de communication.
Fonctionnement d'un Firewall Le filtrage des paquets : Basé sur le principe du filtrage de paquets IP, c'est-à-dire sur l'analyse des en-têtes des paquets IP échangés entre deux machines. Les paquets de données contiennent les en-têtes suivants, qui sont analysés par le firewall: L'adresse IP de la machine émettrice L'adresse IP de la machine réceptrice Le type de paquet (TCP, UDP, ...) Le numéro de port (rappel: un port est un numéro associé à un service ou une application réseau)
Fonctionnement d'un Firewall Filtrage des paquets : Le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. filtrage par adresse (adress filtering) : filtrage basé sur les @ IP filtrage par protocole (protocol filtering) : utilisé lorsque le type de paquets et le port sont analysés. Certains ports sont associés à des service courants et ne sont généralement pas bloqués. : les ports 25 et 110 sont généralement associés au email, le port 80 au Web Il est recommandé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue). Le port 23 est critique (correspond au service Telnet). Il permet d'émuler un accès par terminal à une machine du réseau de manière à pouvoir exécuter des commandes saisies au clavier à distance...
Fonctionnement d'un Firewall Filtrage : Par numéro IP source Par numéro IP destination Par protocole (TCP, UDP, ICMP, IGMP, ARP,...) Par port ( service) TCP ou UDP source Par port ( service) TCP ou UDP destination Par type de message ICMP (echo_request, echo_reply, …) Par interface (interne, externe,...) en entrée ou en sortie
Fonctionnement d'un Firewall Filtrage des services : Les principaux services à protéger : le courrier électronique (SMTP tcp/25, POP3 tcp,udp/110), le transfert de fichiers (FTP tcp/21, TFTP udp/69), l’accès par terminal (Telnet tcp/23) et l’exécution de commandes à distance, les News Usenet (NNTP tcp/119), le World Wide Web (HTTP tcp,udp/80), les autres services d’informations (gopher tcp,udp/70), les informations sur les personnes (finger tcp/79), les services de conférence en temps réel, le service de nom (DNS, tcp,udp/53), les services d’administration réseau (SNMP udp/161,162), les services d’impression (printer tcp/515)
Fonctionnement d'un Firewall Le filtrage dynamique : Le filtrage statique ne s'attache qu'à examiner les paquets IP (niveau 3 du modèle OSI). Or, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible de prévoir les ports à laisser passer ou à interdire. Pour y remédier, l'entreprise Check point a breveté un système de filtrage dynamique de paquets (stateful inspection) basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur et d'assurer la bonne circulation des données de la session en cours. Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant de failles applicatives, c'est-à-dire les failles liées aux logiciels, représentant la part la plus importante des risques en terme de sécurité.
Fonctionnement d’un Firewall
FW : Exemple de règles
Les limites des firewalls Le fait d'installer un firewall n'est bien évidemment pas signe de sécurité absolue. Les firewalls ne protègent que des communications passant à travers eux. Ainsi, les accès au réseau extérieur non réalisés au travers du firewall sont autant de failles de sécurité. C'est par exemple le cas des connexions effectuées à l'aide d'un modem. D'autre part, le fait d'introduire des supports de stockage provenant de l'extérieur sur des machines internes au réseau peut être fort préjudiciable pour la sécurité de ce dernier. La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité. D'autre part la mise en place d'un système pare-feu n'exempt pas de se tenir au courant des failles de sécurité et d'essayer de les minimiser...
Le firewall n’est qu’un acteur d’une politique de sécurité ; il ne peut à lui seul résoudre tous les problèmes de sécurité. L’utilisation d’antivirus, la sensibilisation du personnel, la protection physique des machines sont autant de problèmes qu’un firewall ne peut pas résoudre.
Exemples de Mise en Place des Règles de Filtrage
Exemples de règles de filtrage En général, on définit une règle de filtrage à partir des données suivantes: Adresse IP source, Adresse IP destination, Type de protocole encapsulé (TCP, UDP, ICMP, IP) Port source (au cas où le protocole est TCP ou UDP) Port destination (au cas où le protocole est TCP ou UDP)
Exemples de règles de filtrage Définir une règle de filtrage = définir les valeurs de tous ces 5 paramètres ou de quelque uns. A chaque règle de filtrage est associé une action: laisse passer le paquet, ou le détruire/Refus Pour chaque service interne et externe: il faut mettre en place des règles pour autoriser nos utilisateurs à y accéder et des règles pour autoriser des utilisateurs externes à accéder à des serveurs (services) sur notre réseau.
Exemples de règles de filtrage Internet 193.94.60.1 Externe Web/80 TCP SMTP/25 TCP Routeur Externe 192.168.22.36 Réseau Périphérique 192.168.22.35 DMZ Web/80 TCP Routeur Interne Réseau Privé 192.168.24.0 192.168.23.0 Interne
Exemples de règles de filtrage Autoriser l’extérieur à accéder au service WWW sur le réseau périphérique Service WWW entrant Client Serveur Web Firewall Extérieur DMZ
Exemples de règles de filtrage Autoriser les machines du réseau périphérique à accéder à des services WWW sur l’Internet Service WWW sortant Client Serveur Web Firewall Intérieur (LAN) DMZ
Exemples de règles de filtrage Autoriser l’extérieur à accéder au service WWW sur le réseau périphérique L’ordinateur 193.94.60.1 accède au serveur WEB L’ordinateur 193.94.60.1 accède au serveur SMTP Les autres utilisateurs n’ont pas l’accès au réseau de l’entreprise Les utilisateurs du réseau interne 192.168.23.0 ont l’accès au serveur externe 193.94.60.1 Les utilisateurs du réseau interne 192.168.24.0 ont l’accès au serveur Web 192.168.22.35 Règle Direction Paquet Entrant sortant IP Source IP Dest Prot Port Sou Port Dest Action 1 externe DMZ 193.94.60.1 192.168.22.35 TCP > 1023 80 Permission 2 192.168.22.36 25 3 Interne 192.168.23.0 Tous 4 192.168.24.0 5 Toutes Refus