FIREWALL Expos - PowerPoint PPT Presentation

About This Presentation
Title:

FIREWALL Expos

Description:

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN. 2. 12/17/09. Plan. Pr sentation G n rale ... Qu'est-ce qu'un Firewall ? Pourquoi utiliser un Firewall ? Principales fonctionnalit s ... – PowerPoint PPT presentation

Number of Views:220
Avg rating:3.0/5.0
Slides: 49
Provided by: Tau52
Category:

less

Transcript and Presenter's Notes

Title: FIREWALL Expos


1
FIREWALLExposé NT Réseaux
  • Jérôme CHEYNET
  • Miguel DA SILVA
  • Nicolas SEBBAN

2
Plan
  • Présentation Générale
  • Architectures
  • Firewalls matériels
  • Firewalls logiciels professionnels
  • Firewalls personnels
  • Démonstration

3
Présentation générale
4
Présentation - Plan
  • Quest-ce quun Firewall ?
  • Pourquoi utiliser un Firewall ?
  • Principales fonctionnalités

5
Quest-ce quun Firewall ?
  • Un firewall est plus un concept quun matériel ou
    un logiciel
  • Filtre le trafic entre réseaux à différents
    niveaux de confiance
  • Met en oeuvre une partie de la politique de
    sécurité

6
Quest-ce quun Firewall ?
  • Système physique ou logique servant dinterface
    entre un ou plusieurs réseaux
  • Analyse les informations des couches 3, 4 et 7

7
Pourquoi utiliser un Firewall ?
  • Les pare-feux sont utilisés principalement dans 4
    buts
  • Se protéger des malveillances "externes"
  • Éviter la fuite dinformation non contrôlée vers
    lextérieur
  • Surveiller les flux internes/externes
  • Faciliter ladministration du réseau

8
Principales fonctionnalités
  • Filtrage
  • Authentification/Gestion des droits
  • NAT
  • Proxy

9
Architectures
10
Architectures - Plan
  • DMZ
  • Routeur filtrant
  • Firewall Stateful
  • Proxy
  • NAT

11
DMZ DeMilitarized Zone
12
Routeur filtrant
  • Premier élément de sécurité
  •  IP-Spoofing Ready 
  • Évite lutilisation inutile de bande passante
    mais ne protège pas des hackers

13
Stateful Inspection
  • 2 principes fondamentaux
  • Analyse complète du paquet au niveau de la couche
    réseau
  • Définition et maintien des tables des connexions
    autorisés (états)

14
Proxy (1/2)
  • Firewall Proxy dispose dagents spécifiques à
    chaque protocole applicatif (FTP, HTTP..)
  • Filtrage très précis
  • Comprend les spécificités de chaque protocole
  • Le réassemblage des paquets élimine les attaques
    par fragmentation

15
Proxy (2/2)
  • Firewall Proxy présente 2 inconvénients
  • Performances le filtrage dun paquet nécessite
    sa remonté jusquà la couche application
  • Disponibilités des agents (protocoles
    propriétaires ou exotique)

16
NAT(Network Address Translation)
17
Firewalls matériels
18
Firewalls matériels - Plan
  • Définition
  • Différences firewall logiciel/matériel
  • Catégories de firewalls matériels
  • Routeurs
  • Firewalls spécialisés
  • Modules firewall pour commutateurs

19
Définition
  • Système dexploitation et matériel conçus par le
    constructeur et spécifiquement pour du filtrage
  • Simple PC, matériel dédié, circuit intégré
    spécialisé (ASIC)
  • Ex de firewall non matériel

20
Différences firewall logiciel/matériel
  • Peuvent offrir fonctions et services identiques
  • Différences
  • SAV 1 seul constructeur fournit la solution
    complète
  • Résistance conçu pour être un produit de
    sécurité
  • Distribution de la fonction firewall dans les
    points stratégiques du réseau

21
Catégories de firewalls matériels
  • Routeurs
  • filtres entrants/sortants, règles sur adresses,
    ports, types ICMP, flags TCP
  • Stateless ou Stateful
  • Moins dapplications complexes/multimédia
    supportées que firewall spécialisés (NAT)
  • Routeurs conçus initialement pour commuter
    paquets -gt attention
  • Filtres des tables de routage
  • Performances
  • de qques kb/s -gt plusieurs Mb/s
  • Perte de performances de 15 à 20 en Stateful
  • Performances dépendent du nombre de fonctions
    utilisées (IPSec, détection dintrusion, codecs
    pour voix sur IP, QOS)
  • Routeur stateful idéaux pour relier bureaux via
    internet site a protéger rarement important

22
Catégories de firewalls matériels
  • Firewalls spécialisés
  • Conçus uniquement pour faire du filtrage
  • Très performant
  • gt 1Gbit/s
  • 500 000 connexions
  • Plusieurs dizaines de milliers de nouvelles
    connexions par seconde
  • Supportent rarement les interfaces WAN ?
    nécessité dêtre associés à des routeurs pour la
    connectivité
  • Disponibles également pour le grand public
  • Pour accès toujours connectés (DSL, câble)
  • Ouverts en sortie
  • Certains permettent le filtrage dans les deux
    sens ? adaptés à lhébergement de services
  • Performances
  • 1à 2 Mb/s (vitesse daccès)
  • Limitations au niveau du nombre de sessions
    supportées et nombre de nouvelles connexions par
    seconde.
  • Meilleur choix pour protéger laccès principal à
    Internet ou serveurs publics

23
Catégories de firewalls matériels
  • Modules firewall pour commutateurs
  • Sous forme de carte
  • Firewall stateful
  • Intégrés aux commutateurs pour fournir protection
    entre différents VLAN
  • Support de contextes virtuels ? services de
    filtrages a des réseaux distincts
  • Performances
  • jusquà 5 Gb/s
  • 1 000 000 de connexions
  • 100 000 nouvelles connexions par seconde
  • Jusquà 100 interfaces virtuelles
  • Possibilité dutiliser plusieurs cartes ? débit
    de 30 Gb/s
  • Utilisés pour cloisonner le réseau interne

24
Firewalls logiciels professionnels
25
Firewalls logiciels professionnelsPlan
  • Deux firewalls stateful
  • Firewall libre Netfilter / iptables
  • Firewall commercial CheckPoint Firewall-1
  • Ce que les firewalls laissent passer

26
Firewalls logiciels en passerellelibre
Netfilter
  • Intégré au noyau 2.4 de linux
  • Interface utilisateur séparée iptables
  • Stateless
  • iptables -A INPUT -s 200.200.200.1 -p tcp
    --destination-port telnet -j DROP
  • Stateful
  • iptables -A INPUT -p tcp -m state --state
    ESTABLISHED -j ACCEPT
  • INVALID / ESTABLISHED / NEW / RELATED

27
Firewall logiciels en passerellelibre Netfilter
  • Spécificités
  • Ajout de plugins au système de suivi de
    connections
  • FTP / H323 / IRC /
  • Plugins divers modification du comportement de
    la pile IP
  • Front ends de configuration graphiques
  • Avantage décisif sur les autres firewalls libres

28
Firewall logiciels en passerellecommercial CP
Firewall-1
  • Disponible sur plusieurs plateformes Windows
    Server Linux Red Hat HP-UX - Solaris
  • Prix
  • 39 HT par utilisateur (100 machines)
  • Au nombre de plugins fournis
  • Formations

29
Firewall logiciels en passerellecommercial CP
Firewall-1
  • Spécificités
  • Décomposable en plusieurs modules serveurs
  • antivirus, serveur dauthentification, reporting
  • Authentification des utilisateurs
  • Avec LDAP, RADIUS, TACACS
  • Pour filtrer les URL,
  • Pour la limitation du temps,
  • Permissions au niveau de lutilisateur plutôt
    quau niveau dun adresse IP

30
Firewall logiciels en passerellece quils
laissent passer
  • Les attaques dapplication web
  • Vulnérables si elles ne filtrent pas assez les
    données entrées par lutilisateur.
  • Insertion de code sur les Forums
  • Insertion de requêtes SQL dans un champ de
    formulaire

31
Firewall logiciels en passerellece quils
laissent passer
  • Injection de requête SQL
  • SELECT FROM table_Clients WHERE champ_NomName
  • l'utilisateur entre son nom
  • toto INSERT INTO table_Users VALUES('Mon_login',
    'Mon_password')
  • La requête finale est
  • SELECT FROM table_Clients WHERE champ_Nomtoto
    INSERT INTO table_Users VALUES('Mon_login',
    'Mon_password')

32
Firewall logiciels en passerellece quils
laissent passer
  • Solution  Reverse Proxy 
  • Rôle de ladministrateur réseau ?

33
Firewalls personnels
34
Firewalls personnels - Plan
  • Cible et besoins
  • Principe
  • Limites
  • Firewalls personnels sous Windows et Linux

35
Cible et besoins
  • Logiciel de sécurité réseau simple et efficace
    pour connexions Internet personnelles poste
    directement relié à Internet
  • Postes principalement client ? principale
    menace réception de chevaux de Troie ? logiciels
    espions / backdoors
  • ? empêcher connexion de programmes non autorisés

36
Cible et besoins
  • Filtrage simple de paquets la plage de ports
    1024-65535 doit être autorisée pour que les
    applis puissent fonctionner dans les deux sens
  • ? filtrage de paquets problématique

37
Principe
  • Contrôle des applications pour accéder ou non au
    réseau
  • ? liste applications autorisées à initier flux
    réseau ou a écouter
  • Pour chaque appli
  • Localisation de lexécutable
  • Protocole de niveau 4 utilisé (TCP, UDP, ICMP)
  • Jeux de ports utilisés
  • Sens de flux associé

38
Principe
  • La configuration doit être aisée pour
    correspondre à la cible de marché ?configuration
    par apprentissage
  • Permet également de faire de la remontée
    dalertes
  • Dans le modèle OSI
  • Entre couches IP et liaison règles indépendantes
    dune application / flux déjà autorisés
  • Entre couches réseau et applicative intercepter
    les demandes douverture de socket

39
Limites
  • Certaines prises de décision nécessitent
    connaissances
  • Certains produits ne gèrent que TCP, UDP et ICMP,
    décision silencieuse
  • Beaucoup dappli accèdent au réseau par
    différents protocoles ? nombre dentrées
    important, difficile à maintenir

40
Limites
  • Lacunes courantes
  • Impossibilité de spécifier des règles
    indépendamment dune appli
  • Impossibilité de restreindre les jeux de ports
    utilisable par une appli autorisée
  • Impossibilité de spécifier des règles pour autres
    protocoles que TCP, UDP ou ICMP
  • Absence de filtrage à état ou absence des modules
    de prise en charges de protocoles applicatifs
    complexes (limite au niveau 4)

41
Limites
  • Absence de sécurité de certains OS pas de
    contrôle daccès ou comptes utilisateurs non
    utilisés
  • Application pouvant se lancer en
    super-utilisateur --gt écraser exécutables
    concernés par configuration du firewall, tuer
    dautres applis (anti-virus, firewall), annuler
    les protections
  • Possibilité de profiter de failles de sécurité
    dans autres applications autorisées (navigateur)
  • Ne travaille quà partir du niveau IP, tout ce
    qui se trouve en dessous (Ethernet) nest pas vu
    du firewall

42
Firewalls personnels sous Windows et Linux
  • Windows Kerio, Zone Alarm,
  • Linux module owner de Netfilter patch
    owner-cmd
  • Critères de filtrages relatifs aux processus
  • UID , GID propriétaire
  • PID/SID du process
  • Nom du process
  • iptables A OUTPUT m owner cmd-owner ping j
    ACCEPT
  • Attention, ne vérifie pas la localisation de
    lexécutable, limiter les packets
  • iptables A OUTPUT m owner cmd-owner ping p
    icmp icmp-type echo-request j ACCEPT

43
Démonstration
44
Démonstration 1/3
  • 1er outil, Webmin Turtle Firewall


45
Démonstration 2/3
  • 2ème outil, Nessius

46
Démonstration 3/3
  • 3ème outil, Ettercap

47
Références
  • LINUX Magazine  le firewall votre meilleur
    ennemi  (janvier/fevrier 2003)
  •  Sécurité internet  - B.Dunsmore, J.Brown,
    M.Cross, S.Cunningham
  • Sites
  • www.netfilter.org
  • www.webmin.com
  • www.nessus.com
  • ettercap.sourceforge.net

48
Questions
Write a Comment
User Comments (0)
About PowerShow.com