1 / 48

FIREWALL Exposé NT Réseaux

FIREWALL Exposé NT Réseaux. Jérôme CHEYNET Miguel DA SILVA Nicolas SEBBAN. Plan. Présentation Générale Architectures Firewalls matériels Firewalls logiciels professionnels Firewalls personnels Démonstration. Présentation générale. Présentation - Plan. Qu’est-ce qu’un Firewall ?

dong
Download Presentation

FIREWALL Exposé NT Réseaux

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. FIREWALLExposé NT Réseaux Jérôme CHEYNET Miguel DA SILVA Nicolas SEBBAN

  2. Plan • Présentation Générale • Architectures • Firewalls matériels • Firewalls logiciels professionnels • Firewalls personnels • Démonstration Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  3. Présentation générale Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  4. Présentation - Plan • Qu’est-ce qu’un Firewall ? • Pourquoi utiliser un Firewall ? • Principales fonctionnalités Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  5. Qu’est-ce qu’un Firewall ? • Un firewall est plus un concept qu’un matériel ou un logiciel • Filtre le trafic entre réseaux à différents niveaux de confiance • Met en oeuvre une partie de la politique de sécurité Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  6. Qu’est-ce qu’un Firewall ? • Système physique ou logique servant d’interface entre un ou plusieurs réseaux • Analyse les informations des couches 3, 4 et 7 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  7. Pourquoi utiliser un Firewall ? Les pare-feux sont utilisés principalement dans 4 buts : • Se protéger des malveillances "externes" • Éviter la fuite d’information non contrôlée vers l’extérieur • Surveiller les flux internes/externes • Faciliter l’administration du réseau Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  8. Principales fonctionnalités • Filtrage • Authentification/Gestion des droits • NAT • Proxy Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  9. Architectures Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  10. Architectures - Plan • DMZ • Routeur filtrant • Firewall Stateful • Proxy • NAT Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  11. DMZ DeMilitarized Zone Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  12. Routeur filtrant • Premier élément de sécurité • « IP-Spoofing Ready » • Évite l’utilisation inutile de bande passante mais ne protège pas des hackers Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  13. Stateful Inspection • 2 principes fondamentaux : • Analyse complète du paquet au niveau de la couche réseau • Définition et maintien des tables des connexions autorisés (états) Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  14. Proxy (1/2) • Firewall Proxy dispose d’agents spécifiques à chaque protocole applicatif (FTP, HTTP..) • Filtrage très précis • Comprend les spécificités de chaque protocole • Le réassemblage des paquets élimine les attaques par fragmentation Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  15. Proxy (2/2) • Firewall Proxy présente 2 inconvénients : • Performances : le filtrage d’un paquet nécessite sa remonté jusqu’à la couche application • Disponibilités des agents (protocoles propriétaires ou exotique) Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  16. NAT(Network Address Translation) Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  17. Firewalls matériels Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  18. Firewalls matériels - Plan • Définition • Différences firewall logiciel/matériel • Catégories de firewalls matériels • Routeurs • Firewalls spécialisés • Modules firewall pour commutateurs Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  19. Définition • Système d’exploitation et matériel conçus par le constructeur et spécifiquement pour du filtrage • Simple PC, matériel dédié, circuit intégré spécialisé (ASIC) • Ex de firewall non matériel Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  20. Différences firewall logiciel/matériel • Peuvent offrir fonctions et services identiques • Différences: • SAV: 1 seul constructeur fournit la solution complète • Résistance: conçu pour être un produit de sécurité • Distribution de la fonction firewall dans les points stratégiques du réseau Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  21. Catégories de firewalls matériels • Routeurs: • filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags TCP • Stateless ou Stateful • Moins d’applications complexes/multimédia supportées que firewall spécialisés (NAT) • Routeurs conçus initialement pour commuter paquets -> attention • Filtres des tables de routage • Performances: • de qques kb/s -> plusieurs Mb/s • Perte de performances de 15 à 20% en Stateful • Performances dépendent du nombre de fonctions utilisées (IPSec, détection d’intrusion, codecs pour voix sur IP, QOS) • Routeur stateful idéaux pour relier bureaux via internet: site a protéger rarement important Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  22. Catégories de firewalls matériels • Firewalls spécialisés • Conçus uniquement pour faire du filtrage • Très performant: • > 1Gbit/s • 500 000 connexions • Plusieurs dizaines de milliers de nouvelles connexions par seconde • Supportent rarement les interfaces WAN  nécessité d’être associés à des routeurs pour la connectivité • Disponibles également pour le grand public • Pour accès toujours connectés (DSL, câble) • Ouverts en sortie • Certains permettent le filtrage dans les deux sens  adaptés à l’hébergement de services • Performances: • 1à 2 Mb/s (vitesse d’accès) • Limitations au niveau du nombre de sessions supportées et nombre de nouvelles connexions par seconde. • Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  23. Catégories de firewalls matériels • Modules firewall pour commutateurs • Sous forme de carte • Firewall stateful • Intégrés aux commutateurs pour fournir protection entre différents VLAN • Support de contextes virtuels  services de filtrages a des réseaux distincts • Performances: • jusqu’à 5 Gb/s • 1 000 000 de connexions • 100 000 nouvelles connexions par seconde • Jusqu’à 100 interfaces virtuelles • Possibilité d’utiliser plusieurs cartes  débit de 30 Gb/s • Utilisés pour cloisonner le réseau interne Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  24. Firewalls logiciels professionnels Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  25. Firewalls logiciels professionnelsPlan • Deux firewalls stateful : • Firewall libre : Netfilter / iptables • Firewall commercial : CheckPoint Firewall-1 • Ce que les firewalls laissent passer Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  26. Firewalls logiciels en passerellelibre : Netfilter • Intégré au noyau 2.4 de linux • Interface utilisateur séparée : iptables • Stateless : • iptables -A INPUT -s 200.200.200.1 -p tcp --destination-port telnet -j DROP • Stateful : • iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT • INVALID / ESTABLISHED / NEW / RELATED Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  27. Firewall logiciels en passerellelibre : Netfilter • Spécificités • Ajout de plugins au système de suivi de connections FTP / H323 / IRC / … • Plugins divers : modification du comportement de la pile IP • Front ends de configuration graphiques • Avantage décisif sur les autres firewalls libres Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  28. Firewall logiciels en passerellecommercial : CP Firewall-1 • Disponible sur plusieurs plateformes Windows Server – Linux Red Hat – HP-UX - Solaris • Prix • 39€ HT par utilisateur (100 machines) • Au nombre de plugins fournis • + Formations Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  29. Firewall logiciels en passerellecommercial : CP Firewall-1 • Spécificités • Décomposable en plusieurs modules – serveurs • antivirus, serveur d’authentification, reporting • Authentification des utilisateurs • Avec LDAP, RADIUS, TACACS • Pour filtrer les URL, • Pour la limitation du temps, • Permissions au niveau de l’utilisateur plutôt qu’au niveau d’un adresse IP Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  30. Firewall logiciels en passerellece qu’ils laissent passer • Les attaques d’application web • Vulnérables si elles ne filtrent pas assez les données entrées par l’utilisateur. • Insertion de code sur les Forums • Insertion de requêtes SQL dans un champ de formulaire Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  31. Firewall logiciels en passerellece qu’ils laissent passer • Injection de requête SQL : SELECT * FROM table_Clients WHERE champ_Nom=Name l'utilisateur entre son nom : toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password') La requête finale est : SELECT * FROM table_Clients WHERE champ_Nom=toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password') Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  32. Firewall logiciels en passerellece qu’ils laissent passer • Solution : « Reverse Proxy » • Rôle de l’administrateur réseau ? Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  33. Firewalls personnels Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  34. Firewalls personnels - Plan • Cible et besoins • Principe • Limites • Firewalls personnels sous Windows et Linux Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  35. Cible et besoins • Logiciel de sécurité réseau simple et efficace pour connexions Internet personnelles: poste directement relié à Internet • Postes principalement « client »  principale menace: réception de chevaux de Troie  logiciels espions / backdoors •  empêcher connexion de programmes non autorisés Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  36. Cible et besoins • Filtrage simple de paquets: la plage de ports 1024-65535 doit être autorisée pour que les applis puissent fonctionner dans les deux sens •  filtrage de paquets problématique Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  37. Principe • Contrôle des applications pour accéder ou non au réseau •  liste applications autorisées à initier flux réseau ou a écouter • Pour chaque appli: • Localisation de l’exécutable • Protocole de niveau 4 utilisé (TCP, UDP, ICMP) • Jeux de ports utilisés • Sens de flux associé Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  38. Principe • La configuration doit être aisée pour correspondre à la cible de marché configuration par apprentissage • Permet également de faire de la remontée d’alertes • Dans le modèle OSI: • Entre couches IP et liaison: règles indépendantes d’une application / flux déjà autorisés • Entre couches réseau et applicative: intercepter les demandes d’ouverture de socket Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  39. Limites • Certaines prises de décision nécessitent connaissances • Certains produits ne gèrent que TCP, UDP et ICMP, décision silencieuse • Beaucoup d’appli accèdent au réseau par différents protocoles  nombre d’entrées important, difficile à maintenir Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  40. Limites • Lacunes courantes: • Impossibilité de spécifier des règles indépendamment d’une appli • Impossibilité de restreindre les jeux de ports utilisable par une appli autorisée • Impossibilité de spécifier des règles pour autres protocoles que TCP, UDP ou ICMP • Absence de filtrage à état ou absence des modules de prise en charges de protocoles applicatifs complexes (limite au niveau 4) Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  41. Limites • Absence de sécurité de certains OS: pas de contrôle d’accès ou comptes utilisateurs non utilisés • Application pouvant se lancer en super-utilisateur --> écraser exécutables concernés par configuration du firewall, tuer d’autres applis (anti-virus, firewall), annuler les protections • Possibilité de profiter de failles de sécurité dans autres applications autorisées (navigateur) • Ne travaille qu’à partir du niveau IP, tout ce qui se trouve en dessous (Ethernet) n’est pas vu du firewall Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  42. Firewalls personnels sous Windows et Linux • Windows: Kerio, Zone Alarm, … • Linux: module « owner » de Netfilter + patch « owner-cmd » • Critères de filtrages relatifs aux processus: • UID , GID propriétaire • PID/SID du process • Nom du process iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT • Attention, ne vérifie pas la localisation de l’exécutable, limiter les packets iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  43. Démonstration Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  44. Démonstration 1/3 • 1er outil, Webmin + Turtle Firewall + Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  45. Démonstration 2/3 • 2ème outil, Nessius Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  46. Démonstration 3/3 • 3ème outil, Ettercap Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  47. Références • LINUX Magazine – « le firewall votre meilleur ennemi » (janvier/fevrier 2003) • « Sécurité internet » - B.Dunsmore, J.Brown, M.Cross, S.Cunningham • Sites: • www.netfilter.org • www.webmin.com • www.nessus.com • ettercap.sourceforge.net Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

  48. Questions Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN

More Related