AMPIGNY Christophe - 10/12/2001 FIREWALL AMPIGNY Christophe - 10/12/2001
Plan Définitions Principes Techniques Monter son firewall Attaques Produits Bibliographie
Définition Un firewall est plus un concept qu’un matériel ou un logiciel Constitué de : 1 (ou plusieurs) routeur filtrant 1 (ou plusieurs) système bastion qui vont assurer les fonctions de : proxy authentification log
Pourquoi utiliser un firewall ? Se protéger contre : les curieux les vandales les espions Restreindre le nombre des machines à surveiller et à administrer sur le bout des doigts
Pourquoi utiliser un firewall ? Avoir un point de passage obligé pour : vérifier si les règles de sécurité spécifiées dans la politique de sécurité de l’établissement sont réellement celles qui sont appliquées contrôler le trafic entre le réseau interne et externe auditer/tracer de façon "centrale" ce trafic, aider à prévoir les évolutions du réseau (statistiques possibles) éventuellement avoir une vue de la consommation Internet des différents utilisateurs/services.
Pourquoi utiliser un firewall ? Possibilité de mettre en œuvre des outils spécifiques que l'on ne pourrait pas activer sur tous les systèmes Economiser sur les adresses IP
De quoi ne protège pas un firewall ? Les attaques qui ne passe pas par lui Les traîtres et les idiots qui sont à l’intérieur du réseau Les virus
Politique de sécurité Réflexion à propos de : Acceptée par tous l'objectif à atteindre de la politique de sécurité et d'utilisation du réseau des moyens que l'on est prêt à y mettre Acceptée par tous ==> choix de solutions techniques et organisationnelles
Politique de sécurité 2 philosophies : tout ce qui n'est pas explicitement interdit est autorisé tout ce qui n'est pas explicitement autorisé est interdit
Filtrage de paquets : principe Rôle : filtre entre le réseau local et un autre réseau Routeur ou ordinateur dédié qui transmet les paquets en suivant un certain nombre de règles déterminées Supervise le trafic entrant et sortant
Filtrage de paquets : principe
Filtrage de paquets : principe Chaque paquet IP contient des informations que le routeur va extraire et étudier : l'adresse de l'expéditeur l'adresse du destinataire le port IP du service demandé le port IP du poste demandeur le flag (drapeau) qui précise si le paquet est une réponse à une demande de service, ou une demande d'établissement de connexion. Un flag ayant la valeur "ACK" (acknowledge) indique que le paquet fait partie d'une discussion en cours etc...
Filtrage de paquets : principe Le filtre peut alors mettre en application plusieurs règles, contenues dans un fichier de règles, et basées sur les informations des paquets Il existe deux façons de décrire les règles d’un filtre : Tout ce qui n'est pas explicitement interdit est autorisé Tout ce qui n'est pas explicitement autorisé est interdit
Filtrage de paquets : exemple Une société dispose d'un réseau interne et d'un serveur web. Les machines doivent être inaccessibles de l'extérieur, sauf le serveur web qui peut être consulté par n'importe quel équipement connecté à l'Internet La liste de règles doit servir pour interdire toutes les connexions venant de l'extérieur, sauf vers le port 80 du serveur web.
Filtrage de paquets : exemple
Filtrage de paquets : avantages Plug & play Sécurité suffisante dans beaucoup de cas Pas cher Filtrage des services par le port
Filtrage de paquets : inconvénients Bonne connaissance des protocoles réseaux Pas d’authentification des utilisateurs Pas de traces des sessions individuelles Problème de performances s ’il y a trop de règles
Serveur mandataire : principes Un serveur mandataire est une machine sur laquelle on a installé tous les services que l’on souhaite fournir aux utilisateurs Les clients ne se connectent pas directement à l’extérieur, mais par l’intermédiaire du serveur mandataire
Serveur mandataire : principes
Serveur mandataire : principes Il peut enregistrer tout ce qu'il fait Si une connexion entre le réseau interne et externe est attaquée, seule la connexion entre le proxy et l’attaquant est attaquée. Si le serveur mandataire est compromis, on s’en aperçoit très rapidement.
Serveur mandataire : exemple
Serveur mandataire : avantages Règles simples à définir Authentification de l’utilisateur Translation d’adresse Cache Log
Serveur mandataire : inconvénients Cher Trop efficace pour des petits réseaux Utilisation non transparente Administration du système demande plus de temps et d’efforts qu’un simple filtrage de paquets.
Mandataire SOCKS : principes Ressemble à un vieux central téléphonique à fiches. Il interconnecte simplement une machine interne à une autre externe. Filtrage au niveau transport Le client établit une connexion TCP avec la passerelle en demandant de communiquer avec le serveur.
Mandataire SOCKS : avantages La passerelle peut : vérifier l'adresse IP du client autoriser une connexion sur un port pour une durée maximale fixée n'autoriser la réutilisation d'un même port qu'après un certain délai enregistrer la destination de la connexion de chaque utilisateur enregistrer l’utilisateur qui a demandé la connexion.
Mandataire SOCKS : inconvénients Pas d ’authentification de l ’utilisateur
Architecture 1 Cas particulier : 1 seule machine : la vôtre ==> Utiliser un logiciel tel que IPChains LookNStop etc …
Architecture 2
Architecture 2: avantages Facile à mettre en place Pas cher
Architecture 2 : inconvénients Lorsque le routeur est contourné ou paralysé, le réseau entier est ouvert ! Traces peu exploitables
Architecture 3
Architecture 3 : principe Les informations à enregistrer : démarrage de session TCP(ou toute tentative) avec : adresse (source, destination) port (source, destination),
Architecture 3 : avantages Par rapport à la solution précédente : traces exploitables et surtout, possibilité d’alarme si le routeur est compromis, il y a encore un peu de temps pour réagir
Routeur et proxy sur une machine Architecture 4 Routeur et proxy sur une machine
Architecture 4 : avantages La machine : filtre joue le rôle de serveur fait office de proxy avec authentification log etc...
Architecture 4 : inconvénients Aucune faiblesse sur la machine !!!! Problèmes de performance. ==> Précautions : utiliser un autre système que cette machine au moins pour : Assurer l'authentification Stocker les logs
Architecture 5
Architecture 5 : avantages Système sûr Abordable
Architecture 5 : inconvénients Le système comporte deux sécurités distinctes, le routeur et le proxy. Si l'une des deux est paralysée, le réseau est menacé dans son intégralité
Architecture 6
Architecture 6 Avantages : Inconvénients système très sûr coût d ’investissement élevé effort administratif important
DMZ Zones intermédiaires dans lesquelles des serveurs réalisent des traitements sur des flux de données Crées pour : faciliter la gestion des flux de données au niveau du point de cloisonnement empêcher les flux de données de passer d’une zone sûre à une zone non sûre directement et inversement séparer les grandes fonctionnalités
DMZ Publique, privée, semi-privée ==> dépend de la gestion + ou - restrictive Paraissent plus sécurisées que les architectures simples
Monter son firewall : filtrage Matériel : un 486-DX66 avec 16 Mo de RAM un disque dur de 200 Mo (500 Mo sont tout de même recommandés) des connexions réseaux (carte Ethernet, port série, …) un moniteur et un clavier Logiciel Linux avec IPChains
Monter son firewall : proxy Matériel : un Pentium II avec 64 Mo de RAM un disque dur de 2 Go pour contenir toutes les traces deux connexions réseau (on peut s ‘en sortir avec une, mais 2 sont préférables) un moniteur et un clavier. Logiciel : Squid la boîte à outils TIS Firewall (FWTK) SOCKS
Attaques : smurf
Attaques : smurf 1 PING de 1Ko de données envoyé à un serveur broadcast reroutant vers 1000 machines ==> 1Mo de données reçus par la victime. Si l’on utilise 10 serveurs broadcast reroutant chacun vers 1000 machines ==> 10 Mo de données reçus très rapidement par la victime
Attaques : smurf
Attaques : TCP-SYN Flooding Trouver la machine de confiance Mettre hors service cette machine de confiance Prédire les numéros de séquence TCP du serveur cible Lancer l'attaque
Attaques : TCP-SYN Flooding Connecté SYN/ACK ACK X est sécurisé Y croit X
Attaques : TCP-SYN Flooding ACK REJ SYN/ACK Echec
Produits
Produits
Bibliographie Réseaux – A.Tannenbaum Firewall and Proxy Server HOWTO Linux IPCHAINS HOWTO Le HOWTO du pare-feu et des serveurs mandataires WEB http://www.cru.fr/securite/1INDEXs/gb.html http://www.firewall-net.com http://www.commentcamarche.com http://www.guill.net/
Voilà, c’est fini !!!! Des questions ?