firewall ampigny christophe - 10/12/2001. plan n définitions n principes n techniques n monter son...
TRANSCRIPT
FIREWALLFIREWALL
AMPIGNY Christophe - 10/12/2001
Plan
Définitions Principes Techniques Monter son firewall Attaques Produits Bibliographie
Définition
Un firewall est plus un concept qu’un matériel ou un logiciel
Constitué de :– 1 (ou plusieurs) routeur filtrant– 1 (ou plusieurs) système bastion qui vont
assurer les fonctions de :• proxy
• authentification
• log
Pourquoi utiliser un firewall ?
Se protéger contre :– les curieux– les vandales– les espions
Restreindre le nombre des machines à surveiller et à administrer sur le bout des doigts
Pourquoi utiliser un firewall ?
Avoir un point de passage obligé pour :– vérifier si les règles de sécurité spécifiées dans la
politique de sécurité de l’établissement sont réellement celles qui sont appliquées
– contrôler le trafic entre le réseau interne et externe
– auditer/tracer de façon "centrale" ce trafic, aider à prévoir les évolutions du réseau (statistiques possibles)
– éventuellement avoir une vue de la consommation Internet des différents utilisateurs/services.
Pourquoi utiliser un firewall ?
Possibilité de mettre en œuvre des
outils spécifiques que l'on ne pourrait
pas activer sur tous les systèmes Economiser sur les adresses IP
De quoi ne protège pas un firewall ?
Les attaques qui ne passe pas par lui
Les traîtres et les idiots qui sont à
l’intérieur du réseau
Les virus
Politique de sécurité
Réflexion à propos de :– l'objectif à atteindre– de la politique de sécurité et d'utilisation du
réseau – des moyens que l'on est prêt à y mettre
Acceptée par tous
==> choix de solutions techniques et organisationnelles
Politique de sécurité
2 philosophies :
tout ce qui n'est pas explicitement interdit est autorisé
tout ce qui n'est pas explicitement autorisé est interdit
Filtrage de paquets : principe
Rôle : filtre entre le réseau local et un
autre réseau Routeur ou ordinateur dédié qui
transmet les paquets en suivant un certain nombre de règles déterminées
Supervise le trafic entrant et sortant
Filtrage de paquets : principe
Filtrage de paquets : principe
Chaque paquet IP contient des informations que le routeur va extraire et étudier :– l'adresse de l'expéditeur
– l'adresse du destinataire
– le port IP du service demandé
– le port IP du poste demandeur
– le flag (drapeau) qui précise si le paquet est une réponse à une demande de service, ou une demande d'établissement de connexion. Un flag ayant la valeur "ACK" (acknowledge) indique que le paquet fait partie d'une discussion en cours
– etc...
Filtrage de paquets : principe
Le filtre peut alors mettre en application plusieurs règles, contenues dans un fichier de règles, et basées sur les informations des paquets
Il existe deux façons de décrire les règles d’un filtre :– Tout ce qui n'est pas explicitement interdit est
autorisé
– Tout ce qui n'est pas explicitement autorisé est interdit
Filtrage de paquets : exemple
Une société dispose d'un réseau interne et
d'un serveur web. Les machines doivent être
inaccessibles de l'extérieur, sauf le serveur
web qui peut être consulté par n'importe quel
équipement connecté à l'Internet La liste de règles doit servir pour interdire
toutes les connexions venant de l'extérieur, sauf vers le port 80 du serveur web.
Filtrage de paquets : exemple
Filtrage de paquets : avantages
Plug & play Sécurité suffisante dans beaucoup de
cas Pas cher Filtrage des services par le port
Filtrage de paquets : inconvénients
Bonne connaissance des protocoles
réseaux Pas d’authentification des utilisateurs Pas de traces des sessions
individuelles Problème de performances s ’il y a trop
de règles
Serveur mandataire : principes
Un serveur mandataire est une machine
sur laquelle on a installé tous les
services que l’on souhaite fournir aux
utilisateurs Les clients ne se connectent pas
directement à l’extérieur, mais par l’intermédiaire du serveur mandataire
Serveur mandataire : principes
Serveur mandataire : principes
Il peut enregistrer tout ce qu'il fait Si une connexion entre le réseau
interne et externe est attaquée, seule la connexion entre le proxy et l’attaquant est attaquée.
Si le serveur mandataire est compromis, on s’en aperçoit très rapidement.
Serveur mandataire : exemple
Serveur mandataire : avantages
Règles simples à définir Authentification de l’utilisateur Translation d’adresse Cache Log
Serveur mandataire : inconvénients
Cher Trop efficace pour des petits réseaux Utilisation non transparente Administration du système demande
plus de temps et d’efforts qu’un simple filtrage de paquets.
Mandataire SOCKS : principes
Ressemble à un vieux central téléphonique à fiches. Il interconnecte simplement une machine interne à une autre externe.
Filtrage au niveau transport Le client établit une connexion TCP
avec la passerelle en demandant de communiquer avec le serveur.
Mandataire SOCKS : avantages
La passerelle peut : vérifier l'adresse IP du client
autoriser une connexion sur un port pour une durée maximale fixée
n'autoriser la réutilisation d'un même port qu'après un certain délai
enregistrer la destination de la connexion de chaque utilisateur
enregistrer l’utilisateur qui a demandé la connexion.
Mandataire SOCKS : inconvénients
Pas d ’authentification de l ’utilisateur
Architecture 1
Cas particulier : 1 seule machine : la vôtre
==> Utiliser un logiciel tel que
IPChains
LookNStop
etc …
Architecture 2
Architecture 2: avantages
Facile à mettre en place
Pas cher
Architecture 2 : inconvénients
Lorsque le routeur est contourné ou paralysé, le réseau entier est ouvert !
Traces peu exploitables
Architecture 3
Architecture 3 : principe
Les informations à enregistrer :
démarrage de session TCP(ou toute
tentative) avec :– adresse (source, destination)
– port (source, destination),
Architecture 3 : avantages
Par rapport à la solution précédente : traces exploitables et surtout, possibilité d’alarme si le routeur est compromis, il y a
encore un peu de temps pour réagir
Architecture 4
Routeur et proxy sur une machine
Architecture 4 : avantages
La machine : filtre joue le rôle de serveur fait office de proxy avec authentification log etc...
Architecture 4 : inconvénients
Aucune faiblesse sur la machine !!!! Problèmes de performance.
==> Précautions : utiliser un autre système
que cette machine au moins pour :– Assurer l'authentification– Stocker les logs
Architecture 5
Architecture 5 : avantages
Système sûr
Abordable
Architecture 5 : inconvénients
Le système comporte deux sécurités
distinctes, le routeur et le proxy.
Si l'une des deux est paralysée, le
réseau est menacé dans son intégralité
Architecture 6
Architecture 6
Avantages :– système très sûr
Inconvénients– coût d ’investissement élevé– effort administratif important
DMZ Zones intermédiaires dans lesquelles
des serveurs réalisent des traitements sur des flux de données
Crées pour :– faciliter la gestion des flux de données au
niveau du point de cloisonnement– empêcher les flux de données de passer
d’une zone sûre à une zone non sûre directement et inversement
– séparer les grandes fonctionnalités
DMZ
Publique, privée, semi-privée
==> dépend de la gestion + ou - restrictive
Paraissent plus sécurisées que les architectures simples
Monter son firewall : filtrage
Matériel :– un 486-DX66 avec 16 Mo de RAM– un disque dur de 200 Mo (500 Mo sont tout de
même recommandés)– des connexions réseaux (carte Ethernet, port
série, …)– un moniteur et un clavier
Logiciel– Linux avec IPChains
Monter son firewall : proxy
Matériel :– un Pentium II avec 64 Mo de RAM– un disque dur de 2 Go pour contenir toutes les traces– deux connexions réseau (on peut s ‘en sortir avec une, mais
2 sont préférables)– un moniteur et un clavier.
Logiciel :– Squid
– la boîte à outils TIS Firewall (FWTK)
– SOCKS
Attaques : smurf
Attaques : smurf
1 PING de 1Ko de données envoyé à un serveur broadcast reroutant vers 1000 machines ==> 1Mo de données reçus par la victime.
Si l’on utilise 10 serveurs broadcast reroutant chacun vers 1000 machines ==> 10 Mo de données reçus très rapidement par la victime
Attaques : smurf
Attaques : TCP-SYN Flooding
Trouver la machine de confiance Mettre hors service cette machine de
confiance Prédire les numéros de séquence TCP
du serveur cible Lancer l'attaque
Attaques : TCP-SYN Flooding
X est sécurisé
Y croit X
SYN
SYN/ACK
ACK
Connecté
Attaques : TCP-SYN Flooding
SYN
SYN/ACK
Echec
ACK
REJ
Produits
Produits
Bibliographie
Réseaux – A.Tannenbaum Firewall and Proxy Server HOWTO Linux IPCHAINS HOWTO Le HOWTO du pare-feu et des serveurs
mandataires WEB
– http://www.cru.fr/securite/1INDEXs/gb.html
– http://www.firewall-net.com
– http://www.commentcamarche.com
– http://www.guill.net/
Voilà, c’est fini !!!!
Des questions ?