FIREWALL Exposé NT Réseaux Jérôme CHEYNET Miguel DA SILVA Nicolas SEBBAN
FIREWALLExposé NT Réseaux
Jérôme CHEYNET
Miguel DA SILVA
Nicolas SEBBAN
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 211/04/23
Plan
Présentation Générale Architectures Firewalls matériels Firewalls logiciels professionnels Firewalls personnels Démonstration
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 311/04/23
Présentation générale
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 411/04/23
Présentation - Plan
Qu’est-ce qu’un Firewall ?
Pourquoi utiliser un Firewall ?
Principales fonctionnalités
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 511/04/23
Qu’est-ce qu’un Firewall ?
Un firewall est plus un concept qu’un matériel ou un logiciel
Filtre le trafic entre réseaux à différents niveaux de confiance
Met en oeuvre une partie de la politique de sécurité
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 611/04/23
Qu’est-ce qu’un Firewall ?
Système physique ou logique servant d’interface entre un ou plusieurs réseaux
Analyse les informations des couches 3, 4 et 7
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 711/04/23
Pourquoi utiliser un Firewall ?
Les pare-feux sont utilisés principalement dans 4 buts :
Se protéger des malveillances "externes"Éviter la fuite d’information non contrôlée vers
l’extérieurSurveiller les flux internes/externesFaciliter l’administration du réseau
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 811/04/23
Principales fonctionnalités
Filtrage Authentification/Gestion des droits NAT Proxy
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 911/04/23
Architectures
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1011/04/23
Architectures - Plan
DMZ Routeur filtrant Firewall Stateful Proxy NAT
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1111/04/23
DMZ DeMilitarized Zone
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1211/04/23
Routeur filtrant
Premier élément de sécurité « IP-Spoofing Ready » Évite l’utilisation inutile de bande passante
mais ne protège pas des hackers
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1311/04/23
Stateful Inspection
2 principes fondamentaux :Analyse complète du paquet au niveau de la
couche réseauDéfinition et maintien des tables des
connexions autorisés (états)
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1411/04/23
Proxy (1/2)
Firewall Proxy dispose d’agents spécifiques à chaque protocole applicatif (FTP, HTTP..)
Filtrage très précis Comprend les spécificités de chaque
protocole Le réassemblage des paquets élimine les
attaques par fragmentation
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1511/04/23
Proxy (2/2)
Firewall Proxy présente 2 inconvénients :Performances : le filtrage d’un paquet
nécessite sa remonté jusqu’à la couche application
Disponibilités des agents (protocoles propriétaires ou exotique)
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1611/04/23
NAT(Network Address Translation)
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1711/04/23
Firewalls matériels
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1811/04/23
Firewalls matériels - Plan
Définition Différences firewall logiciel/matériel Catégories de firewalls matériels
RouteursFirewalls spécialisésModules firewall pour commutateurs
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 1911/04/23
Définition
Système d’exploitation et matériel conçus par le constructeur et spécifiquement pour du filtrage
Simple PC, matériel dédié, circuit intégré spécialisé (ASIC)
Ex de firewall non matériel
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2011/04/23
Différences firewall logiciel/matériel
Peuvent offrir fonctions et services identiques
Différences: SAV: 1 seul constructeur fournit la solution complète Résistance: conçu pour être un produit de sécurité Distribution de la fonction firewall dans les points
stratégiques du réseau
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2111/04/23
Catégories de firewalls matériels
Routeurs: filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags
TCP Stateless ou Stateful Moins d’applications complexes/multimédia supportées que firewall
spécialisés (NAT) Routeurs conçus initialement pour commuter paquets -> attention Filtres des tables de routage Performances:
de qques kb/s -> plusieurs Mb/s Perte de performances de 15 à 20% en Stateful Performances dépendent du nombre de fonctions utilisées (IPSec, détection
d’intrusion, codecs pour voix sur IP, QOS) Routeur stateful idéaux pour relier bureaux via internet: site a protéger
rarement important
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2211/04/23
Catégories de firewalls matériels Firewalls spécialisés
Conçus uniquement pour faire du filtrage Très performant:
> 1Gbit/s 500 000 connexions Plusieurs dizaines de milliers de nouvelles connexions par seconde
Supportent rarement les interfaces WAN nécessité d’être associés à des routeurs pour la connectivité
Disponibles également pour le grand public Pour accès toujours connectés (DSL, câble) Ouverts en sortie Certains permettent le filtrage dans les deux sens adaptés à l’hébergement de
services Performances:
1à 2 Mb/s (vitesse d’accès) Limitations au niveau du nombre de sessions supportées et nombre de nouvelles
connexions par seconde. Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2311/04/23
Catégories de firewalls matériels Modules firewall pour commutateurs
Sous forme de carte Firewall stateful Intégrés aux commutateurs pour fournir protection entre différents VLAN Support de contextes virtuels services de filtrages a des réseaux
distincts Performances:
jusqu’à 5 Gb/s 1 000 000 de connexions 100 000 nouvelles connexions par seconde Jusqu’à 100 interfaces virtuelles Possibilité d’utiliser plusieurs cartes débit de 30 Gb/s
Utilisés pour cloisonner le réseau interne
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2411/04/23
Firewalls logiciels professionnels
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2511/04/23
Firewalls logiciels professionnelsPlan Deux firewalls stateful :
Firewall libre : Netfilter / iptablesFirewall commercial : CheckPoint Firewall-1
Ce que les firewalls laissent passer
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2611/04/23
Firewalls logiciels en passerellelibre : Netfilter Intégré au noyau 2.4 de linux Interface utilisateur séparée : iptables Stateless :
iptables -A INPUT -s 200.200.200.1 -p tcp --destination-port telnet -j DROP
Stateful : iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
INVALID / ESTABLISHED / NEW / RELATED
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2711/04/23
Firewall logiciels en passerellelibre : Netfilter Spécificités
Ajout de plugins au système de suivi de connections
FTP / H323 / IRC / …
Plugins divers : modification du comportement de la pile IP
Front ends de configuration graphiques
Avantage décisif sur les autres firewalls libres
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2811/04/23
Firewall logiciels en passerellecommercial : CP Firewall-1 Disponible sur plusieurs plateformes
Windows Server – Linux Red Hat – HP-UX - Solaris
Prix39€ HT par utilisateur (100 machines)Au nombre de plugins fournis+ Formations
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2911/04/23
Firewall logiciels en passerellecommercial : CP Firewall-1 Spécificités
Décomposable en plusieurs modules – serveurs antivirus, serveur d’authentification, reporting
Authentification des utilisateurs Avec LDAP, RADIUS, TACACS
Pour filtrer les URL,Pour la limitation du temps,Permissions au niveau de l’utilisateur plutôt qu’au
niveau d’un adresse IP
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3011/04/23
Firewall logiciels en passerellece qu’ils laissent passer Les attaques d’application web
Vulnérables si elles ne filtrent pas assez les données entrées par l’utilisateur.
Insertion de code sur les Forums Insertion de requêtes SQL dans un champ de
formulaire
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3111/04/23
Firewall logiciels en passerellece qu’ils laissent passer
Injection de requête SQL :
SELECT * FROM table_Clients WHERE champ_Nom=Name
l'utilisateur entre son nom :
toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password')
La requête finale est :
SELECT * FROM table_Clients WHERE champ_Nom=toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password')
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3211/04/23
Firewall logiciels en passerellece qu’ils laissent passer
Solution : « Reverse Proxy »
Rôle de l’administrateur réseau ?
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3311/04/23
Firewalls personnels
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3411/04/23
Firewalls personnels - Plan
Cible et besoins Principe Limites Firewalls personnels sous Windows et
Linux
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3511/04/23
Cible et besoins
Logiciel de sécurité réseau simple et efficace pour connexions Internet personnelles: poste directement relié à Internet
Postes principalement « client » principale menace: réception de chevaux de Troie logiciels espions / backdoors
empêcher connexion de programmes non autorisés
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3611/04/23
Cible et besoins
Filtrage simple de paquets: la plage de ports 1024-65535 doit être autorisée pour que les applis puissent fonctionner dans les deux sens
filtrage de paquets problématique
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3711/04/23
Principe
Contrôle des applications pour accéder ou non au réseau
liste applications autorisées à initier flux réseau ou a écouter
Pour chaque appli: Localisation de l’exécutable Protocole de niveau 4 utilisé (TCP, UDP, ICMP) Jeux de ports utilisés Sens de flux associé
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3811/04/23
Principe La configuration doit être aisée pour correspondre
à la cible de marché configuration par apprentissage
Permet également de faire de la remontée d’alertes Dans le modèle OSI:
Entre couches IP et liaison: règles indépendantes d’une application / flux déjà autorisés
Entre couches réseau et applicative: intercepter les demandes d’ouverture de socket
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3911/04/23
Limites
Certaines prises de décision nécessitent connaissances
Certains produits ne gèrent que TCP, UDP et ICMP, décision silencieuse
Beaucoup d’appli accèdent au réseau par différents protocoles nombre d’entrées important, difficile à maintenir
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4011/04/23
Limites
Lacunes courantes: Impossibilité de spécifier des règles
indépendamment d’une appli Impossibilité de restreindre les jeux de ports
utilisable par une appli autorisée Impossibilité de spécifier des règles pour autres
protocoles que TCP, UDP ou ICMPAbsence de filtrage à état ou absence des
modules de prise en charges de protocoles applicatifs complexes (limite au niveau 4)
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4111/04/23
Limites
Absence de sécurité de certains OS: pas de contrôle d’accès ou comptes utilisateurs non utilisés
Application pouvant se lancer en super-utilisateur --> écraser exécutables concernés par configuration du firewall, tuer d’autres applis (anti-virus, firewall), annuler les protections
Possibilité de profiter de failles de sécurité dans autres applications autorisées (navigateur)
Ne travaille qu’à partir du niveau IP, tout ce qui se trouve en dessous (Ethernet) n’est pas vu du firewall
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4211/04/23
Firewalls personnels sous Windows et Linux Windows: Kerio, Zone Alarm, … Linux: module « owner » de Netfilter + patch «
owner-cmd » Critères de filtrages relatifs aux processus:
UID , GID propriétaire PID/SID du process Nom du process
iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT
Attention, ne vérifie pas la localisation de l’exécutable, limiter les packets
iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4311/04/23
Démonstration
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4411/04/23
Démonstration 1/3
1er outil, Webmin + Turtle Firewall
+
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4511/04/23
Démonstration 2/3
2ème outil, Nessius
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4611/04/23
Démonstration 3/3
3ème outil, Ettercap
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4711/04/23
Références
LINUX Magazine – « le firewall votre meilleur ennemi » (janvier/fevrier 2003)
« Sécurité internet » - B.Dunsmore, J.Brown, M.Cross, S.Cunningham
Sites: www.netfilter.org www.webmin.com www.nessus.com ettercap.sourceforge.net
Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4811/04/23
Questions ?