La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

FIREWALL Exposé NT Réseaux

Présentations similaires


Présentation au sujet: "FIREWALL Exposé NT Réseaux"— Transcription de la présentation:

1 FIREWALL Exposé NT Réseaux
Jérôme CHEYNET Miguel DA SILVA Nicolas SEBBAN

2 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Plan Présentation Générale Architectures Firewalls matériels Firewalls logiciels professionnels Firewalls personnels Démonstration 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

3 Présentation générale
25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

4 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Présentation - Plan Qu’est-ce qu’un Firewall ? Pourquoi utiliser un Firewall ? Principales fonctionnalités 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

5 Qu’est-ce qu’un Firewall ?
Un firewall est plus un concept qu’un matériel ou un logiciel Filtre le trafic entre réseaux à différents niveaux de confiance Met en oeuvre une partie de la politique de sécurité Intercepte et contrôle le trafic entre réseaux à différents niveaux de confiance 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

6 Qu’est-ce qu’un Firewall ?
Système physique ou logique servant d’interface entre un ou plusieurs réseaux Analyse les informations des couches 3, 4 et 7 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

7 Pourquoi utiliser un Firewall ?
Les pare-feux sont utilisés principalement dans 4 buts : Se protéger des malveillances "externes" Éviter la fuite d’information non contrôlée vers l’extérieur Surveiller les flux internes/externes Faciliter l’administration du réseau Maintenir des personnes dehors En effet, pour se protéger des malveillances "externes", les FireWalls permettent d'écarter divers intrus comme : les curieux qui génèrent du trafic, qui font plus de peur que de mal, mais qui quelquefois finissent par coûter cher les vandales, ceux qui veulent embêter pour embêter, (saturation de liaisons, saturation de CPU, corruption de données, mascarade d'identité...) les espions (problème de confidentialité de l'information) Maintenir des personnes à l'intérieur Les pare-feux ont également pour objectif d'éviter la fuite d’information non contrôlée vers l’extérieur. Contrôler les flux Tous les flux du trafic entre le réseau interne et externe doivent être surveillés. Cela permet par exemple d'avoir une vue de la consommation Internet des différents utilisateurs internes et de bloquer l'accès à certains sites contenant des informations illégales. Les garde-barrières effectuant un filtrage applicatif peuvent effectuer des vérifications sur les reçus et donc interdire les spams. Enfin, un firewall permet un audit de façon "centrale" du trafic pour aider à prévoir les évolutions du réseau. Faciliter l’administration du réseau Sans Firewall, chaque machine du réseau est potentiellement exposée aux attaques d’autres machines d’Internet. Les Firewall simplifient la gestion de la sécurité et donc l'administration du réseau car ils centralisent les attaques potentielles au niveau du Firewall plutôt que sur le réseau tout entier. 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

8 Principales fonctionnalités
Filtrage Authentification/Gestion des droits NAT Proxy 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

9 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Architectures 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

10 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Architectures - Plan DMZ Routeur filtrant Firewall Stateful Proxy NAT 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

11 DMZ DeMilitarized Zone
Pour une bonne utilisation d’un routeur filtrant, il faut : Autoriser les flux provenant d’Internet qu’à destination de la DMZ et services identifiés Ne pas filtrer les flux sortants Interdire les options IP Mettre en place l’anti-spoofing sur l’interface externe Options IP : Sécurité Strict source routing Loose source routing Enregistrement de route Estampilles temporelles ... 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

12 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Routeur filtrant Premier élément de sécurité « IP-Spoofing Ready » Évite l’utilisation inutile de bande passante mais ne protège pas des hackers IP-Spoofing Ready : Le routeur croit tout ce qu’on lui dit, en particulier l’adresse source IP-Spoofing Cette méthode de piratage date un peu. Mais elle demeure légendaire par l'utilisation qu'en a fait Kevin Mitnick en 1995 contre le Supercomputer Center de SanDiego protégé par Tsatumo Shimomura. Néanmoins, cette faille était connue depuis février 1985 comme le montre le rapport Weakness in the 4.2BSD Unix TCP/IP software écrit par Robert Morris. L'IP spoofing se base sur une usurpation d'adresse IP. L'IP spoofing est utilisé lorsque deux hôtes sont en relation de confiance grâce à leurs adresses IP, c'est-à-dire que la seule authentification faite au niveau du serveur consiste en une vérification de l'adresse IP du client. 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

13 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Stateful Inspection 2 principes fondamentaux : Analyse complète du paquet au niveau de la couche réseau Définition et maintien des tables des connexions autorisés (états) L’intérêt d’une analyse effectué n aval de l ’entrée en couche 3 (indispensable pour les opérations de routage) est de s’affranchir des risques d’intrusion liés aux potentielles vulnérabilités ou attaques sur la stack IP du firewall Ping de la mort gros contenus 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

14 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Proxy (1/2) Firewall Proxy dispose d’agents spécifiques à chaque protocole applicatif (FTP, HTTP..) Filtrage très précis Comprend les spécificités de chaque protocole Le réassemblage des paquets élimine les attaques par fragmentation Comprend les spécificités de chaque protocole FTP : comm seulement sur le bon numéro de port et la durée du transfert 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

15 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Proxy (2/2) Firewall Proxy présente 2 inconvénients : Performances : le filtrage d’un paquet nécessite sa remonté jusqu’à la couche application Disponibilités des agents (protocoles propriétaires ou exotique) 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

16 NAT (Network Address Translation)
Cette fonction permet d’occulter totalement le plan interne de l’entreprise Réduire le nombre publique nécessaire Chaque fois qu’1 paquet quitte le réseau le firewall remplace source (de la station interne) par paragé affecté a la station pour la durée de la connexion 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

17 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewalls matériels 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

18 Firewalls matériels - Plan
Définition Différences firewall logiciel/matériel Catégories de firewalls matériels Routeurs Firewalls spécialisés Modules firewall pour commutateurs 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

19 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Définition Système d’exploitation et matériel conçus par le constructeur et spécifiquement pour du filtrage Simple PC, matériel dédié, circuit intégré spécialisé (ASIC) Ex de firewall non matériel Simple PC sans souris ni clavier Matériel dédié: développé dès le départ pour être utilisé en tant que pare feu Application Specific Integrated Circuit -> porter la technologie dans des équipements réseau Firewall non matériel: firewall proxy tournant sur un OS et matériel non conçus par le concepteur du logiciel 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

20 Différences firewall logiciel/matériel
Peuvent offrir fonctions et services identiques Différences: SAV: 1 seul constructeur fournit la solution complète Résistance: conçu pour être un produit de sécurité Distribution de la fonction firewall dans les points stratégiques du réseau SAV: intervention quelle que soit l’origine du problème: matériel ou logiciel firewall logiciel: problèmes déjà rencontrés sur station x ou y MAJ Simple Résistance: simple fonction non configurables sur interfaces externes Sur OS généraliste, utilisateur peut laisser un daemon en veille sans s’en rendre compte. Intégration logiciel/matériel souvent plus robuste (même équipe) Distribution fonction pare-feu: notion fine de périmètre de sécurité: pas uniquement « dedans/dehors »: réseau raccordé à celui des partenaires, Internet, accès VPN… plus adapté car fonctions firewalls existantes directement sur équipements réseau (routeurs, commutateurs) 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

21 Catégories de firewalls matériels
Routeurs: filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags TCP Stateless ou Stateful Moins d’applications complexes/multimédia supportées que firewall spécialisés (NAT) Routeurs conçus initialement pour commuter paquets -> attention Filtres des tables de routage Performances: de qques kb/s -> plusieurs Mb/s Perte de performances de 15 à 20% en Stateful Performances dépendent du nombre de fonctions utilisées (IPSec, détection d’intrusion, codecs pour voix sur IP, QOS) Routeur stateful idéaux pour relier bureaux via internet: site a protéger rarement important !Configuration: Routeur offre par défaut services à risques sur toutes ses interfaces. Firewall mieux conçu: moins de services, services uniquement accessibles sur réseau surs ou par SSH/IPsec. NAT: souvent nécessaire de modifier les paquets au niveau application (applications multimédia). Un routeur ne sait pas le faire pour une large palette d’applications 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

22 Catégories de firewalls matériels
Firewalls spécialisés Conçus uniquement pour faire du filtrage Très performant: > 1Gbit/s connexions Plusieurs dizaines de milliers de nouvelles connexions par seconde Supportent rarement les interfaces WAN  nécessité d’être associés à des routeurs pour la connectivité Disponibles également pour le grand public Pour accès toujours connectés (DSL, câble) Ouverts en sortie Certains permettent le filtrage dans les deux sens  adaptés à l’hébergement de services Performances: 1à 2 Mb/s (vitesse d’accès) Limitations au niveau du nombre de sessions supportées et nombre de nouvelles connexions par seconde. Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

23 Catégories de firewalls matériels
Modules firewall pour commutateurs Sous forme de carte Firewall stateful Intégrés aux commutateurs pour fournir protection entre différents VLAN Support de contextes virtuels  services de filtrages a des réseaux distincts Performances: jusqu’à 5 Gb/s de connexions nouvelles connexions par seconde Jusqu’à 100 interfaces virtuelles Possibilité d’utiliser plusieurs cartes  débit de 30 Gb/s Utilisés pour cloisonner le réseau interne 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

24 Firewalls logiciels professionnels
25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

25 Firewalls logiciels professionnels Plan
Deux firewalls stateful : Firewall libre : Netfilter / iptables Firewall commercial : CheckPoint Firewall-1 Ce que les firewalls laissent passer 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

26 Firewalls logiciels en passerelle libre : Netfilter
Intégré au noyau 2.4 de linux Interface utilisateur séparée : iptables Stateless : iptables -A INPUT -s p tcp --destination-port telnet -j DROP Stateful : iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT INVALID / ESTABLISHED / NEW / RELATED REMARQUES GENERALES Intégré au noyau, dans tous les linux Interface utilisateur séparée (iptables). A distance l’admin peut configurer le firewall facilement (ssh…) Expliquer les états (--state) du stateful 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

27 Firewall logiciels en passerelle libre : Netfilter
Spécificités Ajout de plugins au système de suivi de connections FTP / H323 / IRC / … Plugins divers : modification du comportement de la pile IP Front ends de configuration graphiques Avantage décisif sur les autres firewalls libres REMARQUES SPECIFIQUES Théoriquement tous les protocoles peuvent être supportés par le firewall en mode stateful (possibilité de développer des modules qui vont faire proxy) . En utilisant netfilter, il n’y a pas de danger d’être bloqué. Le firewall de linux bénéficie de nombreux développements. 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

28 Firewall logiciels en passerelle commercial : CP Firewall-1
Disponible sur plusieurs plateformes Windows Server – Linux Red Hat – HP-UX - Solaris Prix 39€ HT par utilisateur (100 machines) Au nombre de plugins fournis + Formations REMARQUES GENERALES Prix plus faible qu’un firewall matériel, mais attention tout se paye : la formation, la doc, les plugins supplémentaires 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

29 Firewall logiciels en passerelle commercial : CP Firewall-1
Spécificités Décomposable en plusieurs modules – serveurs antivirus, serveur d’authentification, reporting Authentification des utilisateurs Avec LDAP, RADIUS, TACACS Pour filtrer les URL, Pour la limitation du temps, Permissions au niveau de l’utilisateur plutôt qu’au niveau d’un adresse IP LDAP facile à configurer. Existe aussi pour iptables de toute façon. Décomposition en modules presque intéressante. Iptables fait mieux : cascade de firewalls (??) 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

30 Firewall logiciels en passerelle ce qu’ils laissent passer
Les attaques d’application web Vulnérables si elles ne filtrent pas assez les données entrées par l’utilisateur. Insertion de code sur les Forums Insertion de requêtes SQL dans un champ de formulaire 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

31 Firewall logiciels en passerelle ce qu’ils laissent passer
Injection de requête SQL : SELECT * FROM table_Clients WHERE champ_Nom=Name l'utilisateur entre son nom : toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password') La requête finale est : SELECT * FROM table_Clients WHERE champ_Nom=toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password') La base est corrompue… 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

32 Firewall logiciels en passerelle ce qu’ils laissent passer
Solution : « Reverse Proxy » Rôle de l’administrateur réseau ? 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

33 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Firewalls personnels 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

34 Firewalls personnels - Plan
Cible et besoins Principe Limites Firewalls personnels sous Windows et Linux 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

35 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Cible et besoins Logiciel de sécurité réseau simple et efficace pour connexions Internet personnelles: poste directement relié à Internet Postes principalement « client »  principale menace: réception de chevaux de Troie  logiciels espions / backdoors  empêcher connexion de programmes non autorisés Backdoors: laisser ouverte une « porte de derriere » par laquelle on pourra rentrer 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

36 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Cible et besoins Filtrage simple de paquets: la plage de ports doit être autorisée pour que les applis puissent fonctionner dans les deux sens  filtrage de paquets problématique Logiciels espions pourraient utiliser les ports ouverts Même en stateful pose problème: ex: serveur FTP en mode actif va se connecter chez le client sur la plage 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

37 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Principe Contrôle des applications pour accéder ou non au réseau  liste applications autorisées à initier flux réseau ou a écouter Pour chaque appli: Localisation de l’exécutable Protocole de niveau 4 utilisé (TCP, UDP, ICMP) Jeux de ports utilisés Sens de flux associé 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

38 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Principe La configuration doit être aisée pour correspondre à la cible de marché configuration par apprentissage Permet également de faire de la remontée d’alertes Dans le modèle OSI: Entre couches IP et liaison: règles indépendantes d’une application / flux déjà autorisés Entre couches réseau et applicative: intercepter les demandes d’ouverture de socket Politique de refus par défaut Dès qu’une application veut accéder au réseau, demande à l’utilisateur la décision a prendre et ajout d’une règle dans la liste 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

39 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Limites Certaines prises de décision nécessitent connaissances Certains produits ne gèrent que TCP, UDP et ICMP, décision silencieuse Beaucoup d’appli accèdent au réseau par différents protocoles  nombre d’entrées important, difficile à maintenir Lien PPTP pour connexions VPN ou premières liaisons ADSL  « IP Protocol 47 » ? 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

40 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Limites Lacunes courantes: Impossibilité de spécifier des règles indépendamment d’une appli Impossibilité de restreindre les jeux de ports utilisable par une appli autorisée Impossibilité de spécifier des règles pour autres protocoles que TCP, UDP ou ICMP Absence de filtrage à état ou absence des modules de prise en charges de protocoles applicatifs complexes (limite au niveau 4) 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

41 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Limites Absence de sécurité de certains OS: pas de contrôle d’accès ou comptes utilisateurs non utilisés Application pouvant se lancer en super-utilisateur --> écraser exécutables concernés par configuration du firewall, tuer d’autres applis (anti-virus, firewall), annuler les protections Possibilité de profiter de failles de sécurité dans autres applications autorisées (navigateur) Ne travaille qu’à partir du niveau IP, tout ce qui se trouve en dessous (Ethernet) n’est pas vu du firewall Certains firewall personnels résolvent le problème du remplacement des exécutables en prenant des empreintes cryptographiques des fichiers. Mais toujours autres problèmes: si firewall tué ou configuration altérée 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

42 Firewalls personnels sous Windows et Linux
Windows: Kerio, Zone Alarm, … Linux: module « owner » de Netfilter + patch « owner-cmd » Critères de filtrages relatifs aux processus: UID , GID propriétaire PID/SID du process Nom du process iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT Attention, ne vérifie pas la localisation de l’exécutable, limiter les packets iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

43 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Démonstration 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

44 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Démonstration 1/3 1er outil, Webmin + Turtle Firewall + 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

45 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Démonstration 2/3 2ème outil, Nessius 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

46 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Démonstration 3/3 3ème outil, Ettercap DOS de type Syn flood sur un firewall + serveur web, avec un logiciel pour « script kiddies » utilisable par n’importe qui. Attaquant : Syn (Syn nombreux, c’est le syn flooding) Mais en + ici on a : Réponse du serveur : Syn Ack Réponse de l’attaquant : Ack ! c’est un peu plus qu’une simple attaque Syn flood. Résultat : timeout plus longs. Parades du Syn Flood classique qui deviennent inutiles. Attaque 1 sans firewall aucun contrôle sur ces connexions. Le serveur est rapidement surchargés. Pour la démo nous le redémarrons avec le bouton ON/OFF, mais si on a le temps, il faut savoir que le serveur est toujours controlable (il devient juste très lent). Attaque 2 avec firewall Avec iptables + modules limit : le nombre de connexion est de 1 par seconde en moyenne, avec des burst de 5 nouveaux clients tolérés. Résultat, il devient possible en ajustant les timeout de rester « dans le vert » : le serveur peut s’en sortir avec des limites assez fortes, par contre les utilisateur normaux sont très génés par l’attaque de DOS. Donc si on veut laisser des limites un peu laches (si on veut que les utilisateur puissent encore facilement se connecter : cas d’un serveur marchand…) le module permet juste de ralentir l’attaque. Un IDS peut la stopper s’il reconnaît l’attaque et s’il arrive à différencier l’attaquant des utilisateurs (?…). (à voir : module entrant en action à partir d’un certain nombre de connexion pour ne plus avoir de limites en fonctionnement normal) 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

47 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Références LINUX Magazine – « le firewall votre meilleur ennemi » (janvier/fevrier 2003) « Sécurité internet » - B.Dunsmore, J.Brown, M.Cross, S.Cunningham Sites: ettercap.sourceforge.net « Sécurité internet » : biblio de la fac. Intérêt moyen, bcp de pages et quelques répétitions qui embrouillent. Mais parle des firewall commerciaux. 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

48 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN
Questions ? 25/03/2017 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN


Télécharger ppt "FIREWALL Exposé NT Réseaux"

Présentations similaires


Annonces Google