590 likes | 982 Views
FIREWALL. AMPIGNY Christophe - 10/12/2001. Plan. Définitions Principes Techniques Monter son firewall Attaques Produits Bibliographie. Définition. Un firewall est plus un concept qu’un matériel ou un logiciel Constitué de : 1 (ou plusieurs) routeur filtrant
E N D
FIREWALL AMPIGNY Christophe - 10/12/2001
Plan • Définitions • Principes • Techniques • Monter son firewall • Attaques • Produits • Bibliographie
Définition • Un firewall est plus un concept qu’un matériel ou un logiciel • Constitué de : • 1 (ou plusieurs) routeur filtrant • 1 (ou plusieurs) système bastion qui vont assurer les fonctions de : • proxy • authentification • log
Pourquoi utiliser un firewall ? • Se protéger contre : • les curieux • les vandales • les espions • Restreindre le nombre des machines à surveiller et à administrer sur le bout des doigts
Pourquoi utiliser un firewall ? • Avoir un point de passage obligé pour : • vérifier si les règles de sécurité spécifiées dans la politique de sécurité de l’établissement sont réellement celles qui sont appliquées • contrôler le trafic entre le réseau interne et externe • auditer/tracer de façon "centrale" ce trafic, aider à prévoir les évolutions du réseau (statistiques possibles) • éventuellement avoir une vue de la consommation Internet des différents utilisateurs/services.
Pourquoi utiliser un firewall ? • Possibilité de mettre en œuvre des outils spécifiques que l'on ne pourrait pas activer sur tous les systèmes • Economiser sur les adresses IP
De quoi ne protège pas un firewall ? • Les attaques qui ne passe pas par lui • Les traîtres et les idiots qui sont à l’intérieur du réseau • Les virus
Politique de sécurité • Réflexion à propos de : • l'objectif à atteindre • de la politique de sécurité et d'utilisation du réseau • des moyens que l'on est prêt à y mettre • Acceptée par tous ==> choix de solutions techniques et organisationnelles
Politique de sécurité 2 philosophies : • tout ce qui n'est pas explicitement interdit est autorisé • tout ce qui n'est pas explicitement autorisé est interdit
Filtrage de paquets : principe • Rôle : filtre entre le réseau local et un autre réseau • Routeur ou ordinateur dédié qui transmet les paquets en suivant un certain nombre de règles déterminées • Supervise le trafic entrant et sortant
Filtrage de paquets : principe • Chaque paquet IP contient des informations que le routeur va extraire et étudier : • l'adresse de l'expéditeur • l'adresse du destinataire • le port IP du service demandé • le port IP du poste demandeur • le flag (drapeau) qui précise si le paquet est une réponse à une demande de service, ou une demande d'établissement de connexion. Un flag ayant la valeur "ACK" (acknowledge) indique que le paquet fait partie d'une discussion en cours • etc...
Filtrage de paquets : principe • Le filtre peut alors mettre en application plusieurs règles, contenues dans un fichier de règles, et basées sur les informations des paquets • Il existe deux façons de décrire les règles d’un filtre : • Tout ce qui n'est pas explicitement interdit est autorisé • Tout ce qui n'est pas explicitement autorisé est interdit
Filtrage de paquets : exemple • Une société dispose d'un réseau interne et d'un serveur web. Les machines doivent être inaccessibles de l'extérieur, sauf le serveur web qui peut être consulté par n'importe quel équipement connecté à l'Internet • La liste de règles doit servir pour interdire toutes les connexions venant de l'extérieur, sauf vers le port 80 du serveur web.
Filtrage de paquets : avantages • Plug & play • Sécurité suffisante dans beaucoup de cas • Pas cher • Filtrage des services par le port
Filtrage de paquets : inconvénients • Bonne connaissance des protocoles réseaux • Pas d’authentification des utilisateurs • Pas de traces des sessions individuelles • Problème de performances s ’il y a trop de règles
Serveur mandataire : principes • Un serveur mandataire est une machine sur laquelle on a installé tous les services que l’on souhaite fournir aux utilisateurs • Les clients ne se connectent pas directement à l’extérieur, mais par l’intermédiaire du serveur mandataire
Serveur mandataire : principes • Il peut enregistrer tout ce qu'il fait • Si une connexion entre le réseau interne et externe est attaquée, seule la connexion entre le proxy et l’attaquant est attaquée. • Si le serveur mandataire est compromis, on s’en aperçoit très rapidement.
Serveur mandataire : avantages • Règles simples à définir • Authentification de l’utilisateur • Translation d’adresse • Cache • Log
Serveur mandataire : inconvénients • Cher • Trop efficace pour des petits réseaux • Utilisation non transparente • Administration du système demande plus de temps et d’efforts qu’un simple filtrage de paquets.
Mandataire SOCKS : principes • Ressemble à un vieux central téléphonique à fiches. Il interconnecte simplement une machine interne à une autre externe. • Filtrage au niveau transport • Le client établit une connexion TCP avec la passerelle en demandant de communiquer avec le serveur.
Mandataire SOCKS : avantages La passerelle peut : • vérifier l'adresse IP du client • autoriser une connexion sur un port pour une durée maximale fixée • n'autoriser la réutilisation d'un même port qu'après un certain délai • enregistrer la destination de la connexion de chaque utilisateur • enregistrer l’utilisateur qui a demandé la connexion.
Mandataire SOCKS : inconvénients • Pas d ’authentification de l ’utilisateur
Architecture 1 Cas particulier : 1 seule machine : la vôtre ==> Utiliser un logiciel tel que • IPChains • LookNStop • etc …
Architecture 2: avantages • Facile à mettre en place • Pas cher
Architecture 2 : inconvénients • Lorsque le routeur est contourné ou paralysé, le réseau entier est ouvert ! • Traces peu exploitables
Architecture 3 : principe Les informations à enregistrer : • démarrage de session TCP(ou toute tentative) avec : • adresse (source, destination) • port (source, destination),
Architecture 3 : avantages Par rapport à la solution précédente : • traces exploitables • et surtout, possibilité d’alarme • si le routeur est compromis, il y a encore un peu de temps pour réagir
Architecture 4 Routeur et proxy sur une machine
Architecture 4 : avantages La machine : • filtre • joue le rôle de serveur • fait office de proxy avec authentification • log • etc...
Architecture 4 : inconvénients • Aucune faiblesse sur la machine !!!! • Problèmes de performance. ==> Précautions : utiliser un autre système que cette machine au moins pour : • Assurer l'authentification • Stocker les logs
Architecture 5 : avantages • Système sûr • Abordable
Architecture 5 : inconvénients • Le système comporte deux sécurités distinctes, le routeur et le proxy. • Si l'une des deux est paralysée, le réseau est menacé dans son intégralité
Architecture 6 • Avantages : • système très sûr • Inconvénients • coût d ’investissement élevé • effort administratif important
DMZ • Zones intermédiaires dans lesquelles des serveurs réalisent des traitements sur des flux de données • Crées pour : • faciliter la gestion des flux de données au niveau du point de cloisonnement • empêcher les flux de données de passer d’une zone sûre à une zone non sûre directement et inversement • séparer les grandes fonctionnalités
DMZ • Publique, privée, semi-privée ==> dépend de la gestion + ou - restrictive • Paraissent plus sécurisées que les architectures simples
Monter son firewall : filtrage • Matériel : • un 486-DX66 avec 16 Mo de RAM • un disque dur de 200 Mo (500 Mo sont tout de même recommandés) • des connexions réseaux (carte Ethernet, port série, …) • un moniteur et un clavier • Logiciel • Linux avec IPChains
Monter son firewall : proxy • Matériel : • un Pentium II avec 64 Mo de RAM • un disque dur de 2 Go pour contenir toutes les traces • deux connexions réseau (on peut s ‘en sortir avec une, mais 2 sont préférables) • un moniteur et un clavier. • Logiciel : • Squid • la boîte à outils TIS Firewall (FWTK) • SOCKS
Attaques : smurf • 1 PING de 1Ko de données envoyé à un serveur broadcast reroutant vers 1000 machines ==> 1Mo de données reçus par la victime. • Si l’on utilise 10 serveurs broadcast reroutant chacun vers 1000 machines ==> 10 Mo de données reçus très rapidement par la victime
Attaques : TCP-SYN Flooding • Trouver la machine de confiance • Mettre hors service cette machine de confiance • Prédire les numéros de séquence TCP du serveur cible • Lancer l'attaque
X est sécurisé Y croit X Attaques : TCP-SYN Flooding SYN Connecté SYN/ACK ACK