Introduction à la sécurité des interconnexions Internet

État de l’art et technologies Présentation La sécurisation réseau d’une Interconnexion IP (Internet, Intranet ou même Extranet) implique une segmentation physique du réseau et un contrôle des accès. Pour ce faire il faut une séparation de ses différentes composantes :      Les serveurs hébergeant des services (FTP, HTTP …) Le réseau interne Le réseau externe C’est un équipement dédié qui se charge de la séparation physique de ces réseaux. Deux grandes méthodes de contrôle d’accès ont émergé au début des année 1990 : la passerelle applicative le filtre de paquets. On les retrouve sur les logiciels proxy, les firewalls, les routeurs et certains switchs.  Parallèlement à ces deux technologies, la translation d’adresses (NAT, Network Address Translation) est apparue afin de parer aux incompatibilités engendrées par l’utilisation d’adresses IP publiques sur un réseau privé (violation de la RFC 1597). Quelque soit l’équipement utilisé, la journalisation est très importante. Elle facilite l’analyse des incidents, notamment leur origine et leur intégration dans un contexte plus général.

État de l’art et technologies Présentation Passerelle Applicative (Proxy) La passerelle applicative est un un serveur dont le routage IP est désactivé et qui utilise un logiciel proxy. Le proxy est un terme anglais dont la traduction est « mandataire ». C’est exactement ce rôle que tient le proxy au sein d’une passerelle applicative : il reçoit une requête depuis le réseau interne, il l’analyse et la régénère vers le réseau externe. La passerelle applicative est la seule machine existante vue du réseau externe. Durant la phase d’analyse, la passerelle applicative vérifie le type et les paramètres de chaque requête qui sont alors filtrées suivant une politique de sécurité établie. L’analyse est très fine : la passerelle applicative extrait chaque commande et chaque argument envoyé pour chaque application gérée (HTTP, FTP …).   Par exemple : ·         Filtrer les URL contenant le mot clef « XXX » lors de l’action « GET » au port 80 ( http ). ·         Filtrer toutes les actions de type « PUT » au protocole FTP.

État de l’art et technologies Présentation Le filtre de paquets Le filtre de paquets est une machine qui examine chaque paquet en fonction d’une liste de règles avant de le router vers la bonne interface. Les critères de sélection de chaque paquet sont basés sur les informations contenues dans les en-têtes TCP/IP.   Ces informations sont suffisantes pour caractériser des services : FTP utilise le port TCP numéro 21, la messagerie par SMTP utilise le port TCP numéro 25 … Le filtre de paquets restreint les accès selon ces paramètres grâce à un ensemble de règles de filtrage qu’il parcoure de haut en bas. Une règle est caractérisée par une adresse source, une adresse destination, un port source, un port destination et l’action à entreprendre si un paquet TCP-IP correspond aux paramètres de la règle. Exemple : refuser toutes les connexions de « 192.168.10.0 » vers « www.playboy.com » au protocole « HTTP ».

État de l’art et technologies Présentation Les filtres de paquets STATEFULL Ce sont des filtres de paquets un peu plus intelligents : lorsque pour une connexion TCP un paquet a été analysé au niveau de la base des règles, les filtres STATEFULL ajoutent ce paquet à une table des communications en cours autorisées (globalement, elle contient : ip source, ip dest, port source, port dest, pour combien de temps encore…) Principalement, ils permettent à un firewall de pouvoir tenir de plus gros débits.

État de l’art et technologies Présentation Les filtres de paquets STATEFULL INSPECTION Issu des technologies passerelle applicative et filtre de paquets, le Statefull inspection est déployé dans de nombreux firewalls depuis quelques années.   La question était : comment combiner dans le même système les avantages des modes opératoires du proxy (finesse des paramètres de restriction de l’accès) et des filtres de paquets (filtrage à la volée sur les en-têtes TCP/ IP) ? Réponse : Simplement en développant un filtre de paquets auquel on aura « appris » la majorité des finesses de chaque service applicatif (FTP, Telnet, HTTP, SMTP …) mais qui continuera à agir en couche IP. Grâce à cela, le firewall capable de Statefull Inspection sait filtrer aussi bien en fonction d’adresses IPs et de ports TCP qu’en fonction de commandes FTP ou de liens HTTP. L’analyse se fait toujours avant une phase de routage, le filtre de paquets n’en est pas pour autant une passerelle applicative (couche IP). Cette technologie est la plus utilisée aujourd’hui.

État de l’art et technologies Présentation La translation d’adresse Un réseau privé, conformément à la RFC 1597, doit utiliser des adresses IPs publiques sur le réseau public, des adresses IPs privées dans les autres cas. Depuis quelques années on utilise, à cause de ça, des méthodes de translation d’adresse au niveau des routeurs, des firewalls et des passerelles applicatives.   On distingue deux méthodes de translations d’adresses : ·    Statique : à une adresse IP interne correspond une adresse IP externe. Dynamique : à plusieurs adresses IP internes correspond une seule adresse IP externe (multiplexage au niveau des numéros de port TCP et UDP) Selon l’équipement utilisé (passerelle, firewall , routeur) la finesse des règles de translation d’adresse n’est pas la même. Généralement une passerelle applicative ne saura translater les adresses internes qu’avec sa propre adresse externe et ce dynamiquement, tandis que un firewall ou un routeur sauront établir une table de correspondance entre les adresses internes et externes statiquement ou dynamiquement.

État de l’art et technologies Architecture des interconnexions Généralités La règle de base est simple : aucun service accessible depuis l’extérieur ne doit être hébergé sur un réseau interne (réseau local) car en cas de compromission de ce serveur c’est tout le réseau local qui devient compromis. Il convient alors de créer une zone intermédiaire accessible aussi bien du réseau interne que du réseau externe, selon des règles d’accès différentes. Cette zone est la DMZ (DeMilitarized Zone).   La DMZ est un réseau sur lequel on place les serveurs institutionnels (ceux qui sont exposés au réseau public). Si besoin est, les serveurs peuvent accéder au réseau interne bien que cela ne soit pas souhaitable. Il est possible de construire une DMZ autour de produits comme un filtre de paquets, un proxy, un routeur ou encore un switch.

État de l’art et technologies Architecture des interconnexions Architecture simple sans DMZ Quelque soit le type d’équipement utilisé comme firewall (passerelle applicative, filtre de paquets …), il est important d’utiliser une interface physique par réseau à interconnecter : Une interface pour le réseau interne, une autre pour le réseau externe et encore une autre pour la DMZ Quels sont les avantages et inconvénients de cette architecture ?

État de l’art et technologies Architecture des interconnexions Architecture DMZ simple Dans cette architecture, le firewall dispose de trois « pattes » :   ·         Une vers le réseau interne ·         Une vers le réseau externe ·         Une vers le réseau intermédiaire (la DMZ) Niveau de sécurité : Zone Privée > Zone DMZ > Zone Publique Cette architecture est valable indépendamment de l’adressage IP utilisé tant sur le réseau interne que sur la DMZ (adressage privé, public valide ou public invalide). De plus, elle permet une « rupture » physique entre les différents réseaux ( DMZ, Public et Privé )

État de l’art et technologies Architecture des interconnexions Architecture DMZ multiples Dans ce cas, nous distinguons fortement le serveur FTP sensible par son appartenance à une DMZ qui lui est propre. Le contrôle d’accès à cette DMZ sera beaucoup plus strict que celui associé à la DMZ intégrant le serveur HTTP et le serveur FTP institutionnel. Cette architecture offre aussi une « rupture » physique entre tous les réseaux ( DMZ(1),DMZ(2), Public et Privé )

État de l’art et technologies Architecture des interconnexions Architecture Passerelle applicative / routeur La protection du LAN est réalisée par le routeur et n’autorise les communications que de/vers la passerelle applicative. Dans cette architecture, il est préférable de paramétrer le routeur pour qu’il ne laisse sortir que les requêtes provenant de la passerelle, autrement n’importe quelle station du réseau local pourra la court-circuiter en se connecter au réseau externe en utilisant le routeur comme passerelle par défaut. Quels sont les avantages et inconvénients de cette architecture? Comment la feriez vous évoluer?

État de l’art et technologies Architecture des interconnexions

État de l’art et technologies La foire aux questions Q :Qu’est-ce qu’un firewall ?   C’est dans le langage courant un filtre de paquets. Le firewall est le routeur par défaut du réseau interne et contrôle les paquets entrants et sortants sur la base des adresses IP utilisées, des ports source et destination, … Q : Qu’est-ce qu’un proxy ? Un proxy est un mandataire, une passerelle applicative. Toute requête depuis le réseau interne est envoyée au proxy qui la regénère vers le réseau externe. La réponse est envoyée au proxy et il la répercute vers la station qui en est à l’origine. Très généralement le proxy intègre un cache qui optimise les accès externes et par conséquent la bande passante. Q : Quels sont les avantages du firewall par rapport au proxy ? Le firewall journalise toutes les tentatives de connexions. Le firewall gère des règles évoluées de translation d’adresses. Le firewall assure un temps de réponse plus court (comme un routeur). Le firewall est très évolutif (chiffrement, authentification, …). Le firewall est transparent pour les utilisateurs.

État de l’art et technologies La foire aux questions Q : Quels sont les avantages du proxy par rapport au firewall ?   Le proxy a une grande finesse dans le contrôle d’accès. Le proxy n’est pas limité à IP (IPX, AppleTalk …). Le proxy est généralement associé à un cache pour alléger la consommation en bande passante. Le proxy masque entièrement la structure du réseau interne. Q : Quels sont les inconvénients du firewall ? Le firewall est déterministe, il se base sur les numéros de port TCP/IP et non sur le contenu des paquets (Ceci n’est plus complètement vrai avec les firewall de technologie Statefull Inspection). Le firewall n’optimise pas la bande passante. Le firewall interdit tous les protocoles réseaux autres que IP.

État de l’art et technologies La foire aux questions Q : Quels sont les avantages du firewall ?   Le firewall est souple : il n’est pas limité à un groupe de services. Le firewall gère la translation selon des règles très fines. Le firewall journalise toutes les tentatives de connexion. Le firewall est transparent pour les utilisateurs. Le firewall est très évolutif (chiffrement, authentification, filtrage d’URL …). Q : Quels sont les avantages du proxy ? Le proxy gère finement le contrôle d’accès (filtrage d’URL …). Le proxy associé à un cache optimise la bande passante. Le proxy sait journaliser le contenu des sessions (URLs …). Le proxy est capable de réaliser du filtrage de contenus.

État de l’art et technologies La foire aux questions Q : Quels sont les inconvénients du proxy ?   Le proxy est rigide : il est prévu pour un ensemble déterminé de protocoles. Autrement il faut utiliser un proxy générique, pas toujours efficace. Le proxy ne sait pas journaliser les tentatives de connexions illicites. Le proxy ne sait pas évoluer vers du chiffrement, de l’authentification forte… Q : Proxy ou firewall ? Devant le nombre croissant d’attaques sur Internet le proxy seul n’est pas une solution viable car elle ne procure aucune visibilité sur les tentatives d’attaques essuyées. Le firewall seul est viable mais n’offre pas d’optimisation de la bande passante. L’idéal étant une combinaison proxy/firewall : la traçabilité du firewall et la fonctionnalité « cache » du proxy. De plus, les firewalls modernes intègrent un proxy minimaliste et sont capables de forcer certaines requêtes vers un proxy Ce proxy est utilisé pour la journalisation des requêtes HTTP, FTP … des modules complémentaires de filtrage d’URL existent.