1 / 55

FIREWALL

FIREWALL. AMPIGNY Christophe - 10/12/2001. Plan. Définitions Principes Techniques Monter son firewall Attaques Produits Bibliographie. Définition. Un firewall est plus un concept qu’un matériel ou un logiciel Constitué de : 1 (ou plusieurs) routeur filtrant

Jims
Download Presentation

FIREWALL

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. FIREWALL AMPIGNY Christophe - 10/12/2001

  2. Plan • Définitions • Principes • Techniques • Monter son firewall • Attaques • Produits • Bibliographie

  3. Définition • Un firewall est plus un concept qu’un matériel ou un logiciel • Constitué de : • 1 (ou plusieurs) routeur filtrant • 1 (ou plusieurs) système bastion qui vont assurer les fonctions de : • proxy • authentification • log

  4. Pourquoi utiliser un firewall ? • Se protéger contre : • les curieux • les vandales • les espions • Restreindre le nombre des machines à surveiller et à administrer sur le bout des doigts

  5. Pourquoi utiliser un firewall ? • Avoir un point de passage obligé pour : • vérifier si les règles de sécurité spécifiées dans la politique de sécurité de l’établissement sont réellement celles qui sont appliquées • contrôler le trafic entre le réseau interne et externe • auditer/tracer de façon "centrale" ce trafic, aider à prévoir les évolutions du réseau (statistiques possibles) • éventuellement avoir une vue de la consommation Internet des différents utilisateurs/services.

  6. Pourquoi utiliser un firewall ? • Possibilité de mettre en œuvre des outils spécifiques que l'on ne pourrait pas activer sur tous les systèmes • Economiser sur les adresses IP

  7. De quoi ne protège pas un firewall ? • Les attaques qui ne passe pas par lui • Les traîtres et les idiots qui sont à l’intérieur du réseau • Les virus

  8. Politique de sécurité • Réflexion à propos de : • l'objectif à atteindre • de la politique de sécurité et d'utilisation du réseau • des moyens que l'on est prêt à y mettre • Acceptée par tous ==> choix de solutions techniques et organisationnelles

  9. Politique de sécurité 2 philosophies : • tout ce qui n'est pas explicitement interdit est autorisé • tout ce qui n'est pas explicitement autorisé est interdit

  10. Filtrage de paquets : principe • Rôle : filtre entre le réseau local et un autre réseau • Routeur ou ordinateur dédié qui transmet les paquets en suivant un certain nombre de règles déterminées • Supervise le trafic entrant et sortant

  11. Filtrage de paquets : principe

  12. Filtrage de paquets : principe • Chaque paquet IP contient des informations que le routeur va extraire et étudier : • l'adresse de l'expéditeur • l'adresse du destinataire • le port IP du service demandé • le port IP du poste demandeur • le flag (drapeau) qui précise si le paquet est une réponse à une demande de service, ou une demande d'établissement de connexion. Un flag ayant la valeur "ACK" (acknowledge) indique que le paquet fait partie d'une discussion en cours • etc...

  13. Filtrage de paquets : principe • Le filtre peut alors mettre en application plusieurs règles, contenues dans un fichier de règles, et basées sur les informations des paquets • Il existe deux façons de décrire les règles d’un filtre : • Tout ce qui n'est pas explicitement interdit est autorisé • Tout ce qui n'est pas explicitement autorisé est interdit

  14. Filtrage de paquets : exemple • Une société dispose d'un réseau interne et d'un serveur web. Les machines doivent être inaccessibles de l'extérieur, sauf le serveur web qui peut être consulté par n'importe quel équipement connecté à l'Internet • La liste de règles doit servir pour interdire toutes les connexions venant de l'extérieur, sauf vers le port 80 du serveur web.

  15. Filtrage de paquets : exemple

  16. Filtrage de paquets : avantages • Plug & play • Sécurité suffisante dans beaucoup de cas • Pas cher • Filtrage des services par le port

  17. Filtrage de paquets : inconvénients • Bonne connaissance des protocoles réseaux • Pas d’authentification des utilisateurs  • Pas de traces des sessions individuelles • Problème de performances s ’il y a trop de règles

  18. Serveur mandataire : principes • Un serveur mandataire est une machine sur laquelle on a installé tous les services que l’on souhaite fournir aux utilisateurs • Les clients ne se connectent pas directement à l’extérieur, mais par l’intermédiaire du serveur mandataire

  19. Serveur mandataire : principes

  20. Serveur mandataire : principes • Il peut enregistrer tout ce qu'il fait • Si une connexion entre le réseau interne et externe est attaquée, seule la connexion entre le proxy et l’attaquant est attaquée. • Si le serveur mandataire est compromis, on s’en aperçoit très rapidement.

  21. Serveur mandataire : exemple

  22. Serveur mandataire : avantages • Règles simples à définir • Authentification de l’utilisateur • Translation d’adresse • Cache • Log

  23. Serveur mandataire : inconvénients • Cher • Trop efficace pour des petits réseaux • Utilisation non transparente • Administration du système demande plus de temps et d’efforts qu’un simple filtrage de paquets.

  24. Mandataire SOCKS : principes • Ressemble à un vieux central téléphonique à fiches. Il interconnecte simplement une machine interne à une autre externe. • Filtrage au niveau transport • Le client établit une connexion TCP avec la passerelle en demandant de communiquer avec le serveur.

  25. Mandataire SOCKS : avantages La passerelle peut : • vérifier l'adresse IP du client • autoriser une connexion sur un port pour une durée maximale fixée • n'autoriser la réutilisation d'un même port qu'après un certain délai • enregistrer la destination de la connexion de chaque utilisateur • enregistrer l’utilisateur qui a demandé la connexion.

  26. Mandataire SOCKS : inconvénients • Pas d ’authentification de l ’utilisateur

  27. Architecture 1 Cas particulier : 1 seule machine : la vôtre ==> Utiliser un logiciel tel que • IPChains • LookNStop • etc …

  28. Architecture 2

  29. Architecture 2: avantages • Facile à mettre en place • Pas cher

  30. Architecture 2 : inconvénients • Lorsque le routeur est contourné ou paralysé, le réseau entier est ouvert ! • Traces peu exploitables

  31. Architecture 3

  32. Architecture 3 : principe Les informations à enregistrer : • démarrage de session TCP(ou toute tentative) avec : • adresse (source, destination) • port (source, destination),

  33. Architecture 3 : avantages Par rapport à la solution précédente : • traces exploitables • et surtout, possibilité d’alarme • si le routeur est compromis, il y a encore un peu de temps pour réagir

  34. Architecture 4 Routeur et proxy sur une machine

  35. Architecture 4 : avantages La machine : • filtre • joue le rôle de serveur • fait office de proxy avec authentification • log • etc...

  36. Architecture 4 : inconvénients • Aucune faiblesse sur la machine !!!! • Problèmes de performance. ==> Précautions : utiliser un autre système que cette machine au moins pour : • Assurer l'authentification • Stocker les logs

  37. Architecture 5

  38. Architecture 5 : avantages • Système sûr • Abordable

  39. Architecture 5 : inconvénients • Le système comporte deux sécurités distinctes, le routeur et le proxy. • Si l'une des deux est paralysée, le réseau est menacé dans son intégralité

  40. Architecture 6

  41. Architecture 6 • Avantages : • système très sûr • Inconvénients • coût d ’investissement élevé • effort administratif important

  42. DMZ • Zones intermédiaires dans lesquelles des serveurs réalisent des traitements sur des flux de données • Crées pour : • faciliter la gestion des flux de données au niveau du point de cloisonnement • empêcher les flux de données de passer d’une zone sûre à une zone non sûre directement et inversement • séparer les grandes fonctionnalités

  43. DMZ • Publique, privée, semi-privée ==> dépend de la gestion + ou - restrictive • Paraissent plus sécurisées que les architectures simples

  44. Monter son firewall : filtrage • Matériel : • un 486-DX66 avec 16 Mo de RAM • un disque dur de 200 Mo (500 Mo sont tout de même recommandés) • des connexions réseaux (carte Ethernet, port série, …) • un moniteur et un clavier • Logiciel • Linux avec IPChains

  45. Monter son firewall : proxy • Matériel : • un Pentium II avec 64 Mo de RAM • un disque dur de 2 Go pour contenir toutes les traces • deux connexions réseau (on peut s ‘en sortir avec une, mais 2 sont préférables) • un moniteur et un clavier. • Logiciel : • Squid • la boîte à outils TIS Firewall (FWTK) • SOCKS

  46. Attaques : smurf

  47. Attaques : smurf • 1 PING de 1Ko de données envoyé à un serveur broadcast reroutant vers 1000 machines ==> 1Mo de données reçus par la victime. • Si l’on utilise 10 serveurs broadcast reroutant chacun vers 1000 machines ==> 10 Mo de données reçus très rapidement par la victime

  48. Attaques : smurf

  49. Attaques : TCP-SYN Flooding • Trouver la machine de confiance • Mettre hors service cette machine de confiance • Prédire les numéros de séquence TCP du serveur cible • Lancer l'attaque

  50. X est sécurisé Y croit X Attaques : TCP-SYN Flooding SYN Connecté SYN/ACK ACK

More Related