Les Firewall
Christophe LEITIENNEMathieu TRUCHET
Laurent THEVENARD
DESS Réseaux2000/2001
Rôle du firewall
Attaques et outils associés
Technologie : les différents types de firewall
Architecture d’un réseau avec firewall
Produits professionnels
Exemples
Problématique, Enjeux
Réseau local
Communications refusées Internet
Communications autorisées
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Pourquoi un Firewall
Réseau local
Controler le trafic sortant Vigilance
Internet Sécuriser le trafic entrant
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Couches de protocoles
Couches basses
Internet Protocol (IP) / ICMP
TCP UDP
Telnet FTP HTTP
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Déni de service
machine A (client)
machine B (serveur)
SYN
SYN, ACK
ACK
Problématique
Attaques et Outils associés
Technologie
Architectures
Outils, Coûts
Exemples
Avenir
Déni de service
Spoofing IP
Scanners
Autres
Spoofing IP
Machine attaquée (A)
Machine d’attaque (H) Machine B
Problématique
Attaques et Outils associés
Technologie
Architectures
Outils, Coûts
Exemples
Avenir
Déni de service
Spoofing IP
Scanners
Autres
Les Scanners
Fonctionnement des scanners
1. Localiser une machine sur un réseau
2. Détecter les services exécutés sur la machine
3. Détecter d’éventuelles failles
Problématique
Attaques et Outils associés
Technologie
Architectures
Outils, Coûts
Exemples
Avenir
Déni de service
Spoofing IP
Scanners
Autres
Autres outils
1. Ping
2. SNMP
3. WhoIs
4. DNS
5. Finger
6. Host
7. TraceRoute
Problématique
Attaques et Outils associés
Technologie
Architectures
Outils, Coûts
Exemples
Avenir
Déni de service
Spoofing IP
Scanners
Autres
Firewall à filtrage de Paquets
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Filtrage de paquets
Circuit Level GatewayProxy
Firewall Multi-couches
Fonctionnement du filtrage de paquets
Fonctionnement
Fait souvent partie d’un routeur
Chaque paquet est comparé à un certain nombre de règle (filtres), puis est transmis ou rejeté
Avantages
C’est un firewall transparent
Apporte un premier degré de protection s’il est utilisé avec d’autres firewall
Inconvénients
Définir des filtres de paquets est une tâche complexe
Le débit diminue lorsque le nombre de filtres augmente
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Filtrage de paquets
Circuit Level GatewayProxy
Firewall Multi-couches
Règles de filtrage
Filtrage selon :
l'adresse IP de la source et de la destination,
le protocole,
le port source et destination pour les protocoles TCP et UDP,
le type de message pour le protocole ICMP,
et l’interface physique d’entrée du paquet
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Filtrage de paquets
Circuit Level GatewayProxy
Firewall Multi-couches
Circuit Level Gateways
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Filtrage de paquets
Circuit Level GatewayProxy
Firewall Multi-couches
Fonctionnement du Circuit Level Gateway
Fonctionnement
Capte et teste la validité des « handshake » TCP pour savoir si une session peut être ouverte
Avantages
C’est un firewall transparent
Il cache les machines du réseau privé
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Filtrage de paquets
Circuit Level GatewayProxy
Firewall Multi-couches
Proxy
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Filtrage de paquets
Circuit Level GatewayProxy
Firewall Multi-couches
Fonctionnement du Proxy
Fonctionnement
Similaire au « Circuit Level Gateway »
Spécifique à une application
Avantages
Les paquets entrants et sortants ne peuvent accéder aux services pour lesquels il n’y a pas de proxy
Permet de filtrer des commandes spécifiques (ex: GET ou POST pour HTTP)
Le plus haut degré de sécurité
Inconvénients
Les performances les plus faibles
N’est pas transparent pour les utilisateurs
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Filtrage de paquets
Circuit Level GatewayProxy
Firewall Multi-couches
Firewall Multi-couches
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Filtrage de paquets
Circuit Level GatewayProxy
Firewall Multi-couches
Routeur à filtrage de paquets
Réseau local avec serveurs
Internet mail, dns, etc.
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Routeur à filtrage de paquets
Dual Homed GatewayScreened Host FirewallScreened Subnet Firewall
Dual Homed Gateway
Réseau local avec serveurs
Routeur
Internet
IP forwarding désactivé
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Routeur à filtrage de paquets
Dual Homed GatewayScreened Host FirewallScreened Subnet Firewall
Screened Host Firewall
Réseau local avec serveurs
Bastion host
Internet
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Routeur à filtrage de paquets
Dual Homed GatewayScreened Host FirewallScreened Subnet Firewall
Screened Subnet Firewall
Réseau local avec serveurs
Bastion host
Internet
Zone démilitarisée
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Routeur à filtrage de paquets
Dual Homed GatewayScreened Host FirewallScreened Subnet Firewall
Outils, Coûts
Noyau Linux
GNU Gratuit Firewall a filtrage de paquets
Proxy Squid
GNU Gratuit Proxy FTP/HTTP
Check Point Firewall 1
Check Point Software Technologieswww.checkpoint.com
56000F (100 utilisateurs)
LeaderContrôle Temporel
Eagle Family
Raptor Systemswww.axent.com
45000F (100 utilisateurs)
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Exemple Firewall et Pont
Réseau local Firewall/Proxy Pont Fournisseur d’accès/ Internet
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Firewall+Pont
HOWTO
Bat710
Exemple Firewall-HOWTO
Réseau local (BON)
SMTP
Internet (MAUVAIS)
DNS Proxy HTTP, FTP
ppp0 : 192.84.219.1
eth1 : 192.168.1.250
eth0 : 192.84.219.250
Réseau de serveurs (Zone Démilitarisée - ZDM)
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Firewall+Pont
HOWTO
Bat710
Exemple Bat710
Miage
SMTP, POP3
NT Workstation
bat710
Linux
Samba, Proxy HTTP, FTP, News, HTTPS
Internet
NFS
Réseau du batiment 710
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Firewall+Pont
HOWTO
Bat710
Conclusion
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Autres éléments de protection
VPN
IPSec
NAT (Network Address Translation)
Anti-virus
Bibliographie
Regroupements d’information sur les firewall en anglais
www.firewall.com
Documents sur les firewall en français
www.chez.com/firewallsxtream.online.fr/project/securite.html
FAQ sur les firewall
www.vicomsoft.com/knowledge/reference/firewalls1.html
HOWTO
IPCHAINSBridge+Firewall
Problématique
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Paquet IP
Version Version IHL TOS
Identification Flags Offset
TTL Protocole Checksum
@ source
@ destination
options
Problématique
Rappels techniques
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Couches
IP
ICMP
TCP
Paquet ICMP
Code CheckSum Type
Type:
8: Echo0: Réponse Echo…
Problématique
Rappels techniques
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Couches
IP
ICMP
TCP
Paquet TCP
Sequence Number
Ack Number
Flags
options
Port Source Port Destination
Data Offset Reservé Window
CheckSum Urgent Pointer
Problématique
Rappels techniques
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Couches
IP
ICMP
TCP
Connexion TCP
machine A (client)
machine B (serveur)
SYN
SYN, ACK
ACK
Problématique
Rappels techniques
Attaques et Outils associésTechnologie
Architectures
Outils, Coûts
Exemples
Avenir
Couches
IP
ICMP
TCP