FIREWALL Exposé NT Réseaux Jérôme CHEYNET Miguel DA SILVA Nicolas SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Plan Présentation Générale Architectures Firewalls matériels Firewalls logiciels professionnels Firewalls personnels Démonstration 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Présentation générale 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Présentation - Plan Qu’est-ce qu’un Firewall ? Pourquoi utiliser un Firewall ? Principales fonctionnalités 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Qu’est-ce qu’un Firewall ? Un firewall est plus un concept qu’un matériel ou un logiciel Filtre le trafic entre réseaux à différents niveaux de confiance Met en oeuvre une partie de la politique de sécurité Intercepte et contrôle le trafic entre réseaux à différents niveaux de confiance 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Qu’est-ce qu’un Firewall ? Système physique ou logique servant d’interface entre un ou plusieurs réseaux Analyse les informations des couches 3, 4 et 7 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Pourquoi utiliser un Firewall ? Les pare-feux sont utilisés principalement dans 4 buts : Se protéger des malveillances "externes" Éviter la fuite d’information non contrôlée vers l’extérieur Surveiller les flux internes/externes Faciliter l’administration du réseau Maintenir des personnes dehors En effet, pour se protéger des malveillances "externes", les FireWalls permettent d'écarter divers intrus comme : les curieux qui génèrent du trafic, qui font plus de peur que de mal, mais qui quelquefois finissent par coûter cher les vandales, ceux qui veulent embêter pour embêter, (saturation de liaisons, saturation de CPU, corruption de données, mascarade d'identité...) les espions (problème de confidentialité de l'information) Maintenir des personnes à l'intérieur Les pare-feux ont également pour objectif d'éviter la fuite d’information non contrôlée vers l’extérieur. Contrôler les flux Tous les flux du trafic entre le réseau interne et externe doivent être surveillés. Cela permet par exemple d'avoir une vue de la consommation Internet des différents utilisateurs internes et de bloquer l'accès à certains sites contenant des informations illégales. Les garde-barrières effectuant un filtrage applicatif peuvent effectuer des vérifications sur les e-mail reçus et donc interdire les spams. Enfin, un firewall permet un audit de façon "centrale" du trafic pour aider à prévoir les évolutions du réseau. Faciliter l’administration du réseau Sans Firewall, chaque machine du réseau est potentiellement exposée aux attaques d’autres machines d’Internet. Les Firewall simplifient la gestion de la sécurité et donc l'administration du réseau car ils centralisent les attaques potentielles au niveau du Firewall plutôt que sur le réseau tout entier. 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Principales fonctionnalités Filtrage Authentification/Gestion des droits NAT Proxy 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Architectures 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Architectures - Plan DMZ Routeur filtrant Firewall Stateful Proxy NAT 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
DMZ DeMilitarized Zone Pour une bonne utilisation d’un routeur filtrant, il faut : Autoriser les flux provenant d’Internet qu’à destination de la DMZ et services identifiés Ne pas filtrer les flux sortants Interdire les options IP Mettre en place l’anti-spoofing sur l’interface externe Options IP : Sécurité Strict source routing Loose source routing Enregistrement de route Estampilles temporelles ... 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Routeur filtrant Premier élément de sécurité « IP-Spoofing Ready » Évite l’utilisation inutile de bande passante mais ne protège pas des hackers IP-Spoofing Ready : Le routeur croit tout ce qu’on lui dit, en particulier l’adresse source IP-Spoofing Cette méthode de piratage date un peu. Mais elle demeure légendaire par l'utilisation qu'en a fait Kevin Mitnick en 1995 contre le Supercomputer Center de SanDiego protégé par Tsatumo Shimomura. Néanmoins, cette faille était connue depuis février 1985 comme le montre le rapport Weakness in the 4.2BSD Unix TCP/IP software écrit par Robert Morris. L'IP spoofing se base sur une usurpation d'adresse IP. L'IP spoofing est utilisé lorsque deux hôtes sont en relation de confiance grâce à leurs adresses IP, c'est-à-dire que la seule authentification faite au niveau du serveur consiste en une vérification de l'adresse IP du client. 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Stateful Inspection 2 principes fondamentaux : Analyse complète du paquet au niveau de la couche réseau Définition et maintien des tables des connexions autorisés (états) L’intérêt d’une analyse effectué n aval de l ’entrée en couche 3 (indispensable pour les opérations de routage) est de s’affranchir des risques d’intrusion liés aux potentielles vulnérabilités ou attaques sur la stack IP du firewall Ping de la mort gros contenus 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Proxy (1/2) Firewall Proxy dispose d’agents spécifiques à chaque protocole applicatif (FTP, HTTP..) Filtrage très précis Comprend les spécificités de chaque protocole Le réassemblage des paquets élimine les attaques par fragmentation Comprend les spécificités de chaque protocole FTP : comm seulement sur le bon numéro de port et la durée du transfert 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Proxy (2/2) Firewall Proxy présente 2 inconvénients : Performances : le filtrage d’un paquet nécessite sa remonté jusqu’à la couche application Disponibilités des agents (protocoles propriétaires ou exotique) 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
NAT (Network Address Translation) Cette fonction permet d’occulter totalement le plan d’@ interne de l’entreprise Réduire le nombre d’@ publique nécessaire Chaque fois qu’1 paquet quitte le réseau le firewall remplace l’@ source (de la station interne) par une @ paragé affecté a la station pour la durée de la connexion 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Firewalls matériels 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewalls matériels - Plan Définition Différences firewall logiciel/matériel Catégories de firewalls matériels Routeurs Firewalls spécialisés Modules firewall pour commutateurs 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Définition Système d’exploitation et matériel conçus par le constructeur et spécifiquement pour du filtrage Simple PC, matériel dédié, circuit intégré spécialisé (ASIC) Ex de firewall non matériel Simple PC sans souris ni clavier Matériel dédié: développé dès le départ pour être utilisé en tant que pare feu Application Specific Integrated Circuit -> porter la technologie dans des équipements réseau Firewall non matériel: firewall proxy tournant sur un OS et matériel non conçus par le concepteur du logiciel 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Différences firewall logiciel/matériel Peuvent offrir fonctions et services identiques Différences: SAV: 1 seul constructeur fournit la solution complète Résistance: conçu pour être un produit de sécurité Distribution de la fonction firewall dans les points stratégiques du réseau SAV: intervention quelle que soit l’origine du problème: matériel ou logiciel firewall logiciel: problèmes déjà rencontrés sur station x ou y MAJ Simple Résistance: simple fonction non configurables sur interfaces externes Sur OS généraliste, utilisateur peut laisser un daemon en veille sans s’en rendre compte. Intégration logiciel/matériel souvent plus robuste (même équipe) Distribution fonction pare-feu: notion fine de périmètre de sécurité: pas uniquement « dedans/dehors »: réseau raccordé à celui des partenaires, Internet, accès VPN… plus adapté car fonctions firewalls existantes directement sur équipements réseau (routeurs, commutateurs) 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Catégories de firewalls matériels Routeurs: filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags TCP Stateless ou Stateful Moins d’applications complexes/multimédia supportées que firewall spécialisés (NAT) Routeurs conçus initialement pour commuter paquets -> attention Filtres des tables de routage Performances: de qques kb/s -> plusieurs Mb/s Perte de performances de 15 à 20% en Stateful Performances dépendent du nombre de fonctions utilisées (IPSec, détection d’intrusion, codecs pour voix sur IP, QOS) Routeur stateful idéaux pour relier bureaux via internet: site a protéger rarement important !Configuration: Routeur offre par défaut services à risques sur toutes ses interfaces. Firewall mieux conçu: moins de services, services uniquement accessibles sur réseau surs ou par SSH/IPsec. NAT: souvent nécessaire de modifier les paquets au niveau application (applications multimédia). Un routeur ne sait pas le faire pour une large palette d’applications 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Catégories de firewalls matériels Firewalls spécialisés Conçus uniquement pour faire du filtrage Très performant: > 1Gbit/s 500 000 connexions Plusieurs dizaines de milliers de nouvelles connexions par seconde Supportent rarement les interfaces WAN nécessité d’être associés à des routeurs pour la connectivité Disponibles également pour le grand public Pour accès toujours connectés (DSL, câble) Ouverts en sortie Certains permettent le filtrage dans les deux sens adaptés à l’hébergement de services Performances: 1à 2 Mb/s (vitesse d’accès) Limitations au niveau du nombre de sessions supportées et nombre de nouvelles connexions par seconde. Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Catégories de firewalls matériels Modules firewall pour commutateurs Sous forme de carte Firewall stateful Intégrés aux commutateurs pour fournir protection entre différents VLAN Support de contextes virtuels services de filtrages a des réseaux distincts Performances: jusqu’à 5 Gb/s 1 000 000 de connexions 100 000 nouvelles connexions par seconde Jusqu’à 100 interfaces virtuelles Possibilité d’utiliser plusieurs cartes débit de 30 Gb/s Utilisés pour cloisonner le réseau interne 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewalls logiciels professionnels 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewalls logiciels professionnels Plan Deux firewalls stateful : Firewall libre : Netfilter / iptables Firewall commercial : CheckPoint Firewall-1 Ce que les firewalls laissent passer 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewalls logiciels en passerelle libre : Netfilter Intégré au noyau 2.4 de linux Interface utilisateur séparée : iptables Stateless : iptables -A INPUT -s 200.200.200.1 -p tcp --destination-port telnet -j DROP Stateful : iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT INVALID / ESTABLISHED / NEW / RELATED REMARQUES GENERALES Intégré au noyau, dans tous les linux Interface utilisateur séparée (iptables). A distance l’admin peut configurer le firewall facilement (ssh…) Expliquer les états (--state) du stateful 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall logiciels en passerelle libre : Netfilter Spécificités Ajout de plugins au système de suivi de connections FTP / H323 / IRC / … Plugins divers : modification du comportement de la pile IP Front ends de configuration graphiques Avantage décisif sur les autres firewalls libres REMARQUES SPECIFIQUES Théoriquement tous les protocoles peuvent être supportés par le firewall en mode stateful (possibilité de développer des modules qui vont faire proxy) . En utilisant netfilter, il n’y a pas de danger d’être bloqué. Le firewall de linux bénéficie de nombreux développements. 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall logiciels en passerelle commercial : CP Firewall-1 Disponible sur plusieurs plateformes Windows Server – Linux Red Hat – HP-UX - Solaris Prix 39€ HT par utilisateur (100 machines) Au nombre de plugins fournis + Formations REMARQUES GENERALES Prix plus faible qu’un firewall matériel, mais attention tout se paye : la formation, la doc, les plugins supplémentaires 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall logiciels en passerelle commercial : CP Firewall-1 Spécificités Décomposable en plusieurs modules – serveurs antivirus, serveur d’authentification, reporting Authentification des utilisateurs Avec LDAP, RADIUS, TACACS Pour filtrer les URL, Pour la limitation du temps, Permissions au niveau de l’utilisateur plutôt qu’au niveau d’un adresse IP LDAP facile à configurer. Existe aussi pour iptables de toute façon. Décomposition en modules presque intéressante. Iptables fait mieux : cascade de firewalls (??) 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall logiciels en passerelle ce qu’ils laissent passer Les attaques d’application web Vulnérables si elles ne filtrent pas assez les données entrées par l’utilisateur. Insertion de code sur les Forums Insertion de requêtes SQL dans un champ de formulaire 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall logiciels en passerelle ce qu’ils laissent passer Injection de requête SQL : SELECT * FROM table_Clients WHERE champ_Nom=Name l'utilisateur entre son nom : toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password') La requête finale est : SELECT * FROM table_Clients WHERE champ_Nom=toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password') La base est corrompue… 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall logiciels en passerelle ce qu’ils laissent passer Solution : « Reverse Proxy » Rôle de l’administrateur réseau ? 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Firewalls personnels 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewalls personnels - Plan Cible et besoins Principe Limites Firewalls personnels sous Windows et Linux 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Cible et besoins Logiciel de sécurité réseau simple et efficace pour connexions Internet personnelles: poste directement relié à Internet Postes principalement « client » principale menace: réception de chevaux de Troie logiciels espions / backdoors empêcher connexion de programmes non autorisés Backdoors: laisser ouverte une « porte de derriere » par laquelle on pourra rentrer 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Cible et besoins Filtrage simple de paquets: la plage de ports 1024-65535 doit être autorisée pour que les applis puissent fonctionner dans les deux sens filtrage de paquets problématique Logiciels espions pourraient utiliser les ports ouverts 1024-65535 Même en stateful pose problème: ex: serveur FTP en mode actif va se connecter chez le client sur la plage 1024-65535 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Principe Contrôle des applications pour accéder ou non au réseau liste applications autorisées à initier flux réseau ou a écouter Pour chaque appli: Localisation de l’exécutable Protocole de niveau 4 utilisé (TCP, UDP, ICMP) Jeux de ports utilisés Sens de flux associé 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Principe La configuration doit être aisée pour correspondre à la cible de marché configuration par apprentissage Permet également de faire de la remontée d’alertes Dans le modèle OSI: Entre couches IP et liaison: règles indépendantes d’une application / flux déjà autorisés Entre couches réseau et applicative: intercepter les demandes d’ouverture de socket Politique de refus par défaut Dès qu’une application veut accéder au réseau, demande à l’utilisateur la décision a prendre et ajout d’une règle dans la liste 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Limites Certaines prises de décision nécessitent connaissances Certains produits ne gèrent que TCP, UDP et ICMP, décision silencieuse Beaucoup d’appli accèdent au réseau par différents protocoles nombre d’entrées important, difficile à maintenir Lien PPTP pour connexions VPN ou premières liaisons ADSL « IP Protocol 47 » ? 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Limites Lacunes courantes: Impossibilité de spécifier des règles indépendamment d’une appli Impossibilité de restreindre les jeux de ports utilisable par une appli autorisée Impossibilité de spécifier des règles pour autres protocoles que TCP, UDP ou ICMP Absence de filtrage à état ou absence des modules de prise en charges de protocoles applicatifs complexes (limite au niveau 4) 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Limites Absence de sécurité de certains OS: pas de contrôle d’accès ou comptes utilisateurs non utilisés Application pouvant se lancer en super-utilisateur --> écraser exécutables concernés par configuration du firewall, tuer d’autres applis (anti-virus, firewall), annuler les protections Possibilité de profiter de failles de sécurité dans autres applications autorisées (navigateur) Ne travaille qu’à partir du niveau IP, tout ce qui se trouve en dessous (Ethernet) n’est pas vu du firewall Certains firewall personnels résolvent le problème du remplacement des exécutables en prenant des empreintes cryptographiques des fichiers. Mais toujours autres problèmes: si firewall tué ou configuration altérée 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewalls personnels sous Windows et Linux Windows: Kerio, Zone Alarm, … Linux: module « owner » de Netfilter + patch « owner-cmd » Critères de filtrages relatifs aux processus: UID , GID propriétaire PID/SID du process Nom du process iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT Attention, ne vérifie pas la localisation de l’exécutable, limiter les packets iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Démonstration 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Démonstration 1/3 1er outil, Webmin + Turtle Firewall + 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Démonstration 2/3 2ème outil, Nessius 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Démonstration 3/3 3ème outil, Ettercap DOS de type Syn flood sur un firewall + serveur web, avec un logiciel pour « script kiddies » utilisable par n’importe qui. Attaquant : Syn (Syn nombreux, c’est le syn flooding) Mais en + ici on a : Réponse du serveur : Syn Ack Réponse de l’attaquant : Ack ! c’est un peu plus qu’une simple attaque Syn flood. Résultat : timeout plus longs. Parades du Syn Flood classique qui deviennent inutiles. Attaque 1 sans firewall aucun contrôle sur ces connexions. Le serveur est rapidement surchargés. Pour la démo nous le redémarrons avec le bouton ON/OFF, mais si on a le temps, il faut savoir que le serveur est toujours controlable (il devient juste très lent). Attaque 2 avec firewall Avec iptables + modules limit : le nombre de connexion est de 1 par seconde en moyenne, avec des burst de 5 nouveaux clients tolérés. Résultat, il devient possible en ajustant les timeout de rester « dans le vert » : le serveur peut s’en sortir avec des limites assez fortes, par contre les utilisateur normaux sont très génés par l’attaque de DOS. Donc si on veut laisser des limites un peu laches (si on veut que les utilisateur puissent encore facilement se connecter : cas d’un serveur marchand…) le module permet juste de ralentir l’attaque. Un IDS peut la stopper s’il reconnaît l’attaque et s’il arrive à différencier l’attaquant des utilisateurs (?…). (à voir : module entrant en action à partir d’un certain nombre de connexion pour ne plus avoir de limites en fonctionnement normal) 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Références LINUX Magazine – « le firewall votre meilleur ennemi » (janvier/fevrier 2003) « Sécurité internet » - B.Dunsmore, J.Brown, M.Cross, S.Cunningham Sites: www.netfilter.org www.webmin.com www.nessus.com ettercap.sourceforge.net « Sécurité internet » : biblio de la fac. Intérêt moyen, bcp de pages et quelques répétitions qui embrouillent. Mais parle des firewall commerciaux. 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN Questions ? 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN