Title: FIREWALL Expos
1FIREWALLExposé NT Réseaux
- Jérôme CHEYNET
- Miguel DA SILVA
- Nicolas SEBBAN
2Plan
- Présentation Générale
- Architectures
- Firewalls matériels
- Firewalls logiciels professionnels
- Firewalls personnels
- Démonstration
3Présentation générale
4Présentation - Plan
- Quest-ce quun Firewall ?
- Pourquoi utiliser un Firewall ?
- Principales fonctionnalités
5Quest-ce quun Firewall ?
- Un firewall est plus un concept quun matériel ou
un logiciel - Filtre le trafic entre réseaux à différents
niveaux de confiance - Met en oeuvre une partie de la politique de
sécurité
6Quest-ce quun Firewall ?
- Système physique ou logique servant dinterface
entre un ou plusieurs réseaux
- Analyse les informations des couches 3, 4 et 7
7Pourquoi utiliser un Firewall ?
- Les pare-feux sont utilisés principalement dans 4
buts - Se protéger des malveillances "externes"
- Éviter la fuite dinformation non contrôlée vers
lextérieur - Surveiller les flux internes/externes
- Faciliter ladministration du réseau
8Principales fonctionnalités
- Filtrage
- Authentification/Gestion des droits
- NAT
- Proxy
9Architectures
10Architectures - Plan
- DMZ
- Routeur filtrant
- Firewall Stateful
- Proxy
- NAT
11DMZ DeMilitarized Zone
12Routeur filtrant
- Premier élément de sécurité
- IP-Spoofing Ready
- Évite lutilisation inutile de bande passante
mais ne protège pas des hackers
13Stateful Inspection
- 2 principes fondamentaux
- Analyse complète du paquet au niveau de la couche
réseau - Définition et maintien des tables des connexions
autorisés (états)
14Proxy (1/2)
- Firewall Proxy dispose dagents spécifiques à
chaque protocole applicatif (FTP, HTTP..) - Filtrage très précis
- Comprend les spécificités de chaque protocole
- Le réassemblage des paquets élimine les attaques
par fragmentation
15Proxy (2/2)
- Firewall Proxy présente 2 inconvénients
- Performances le filtrage dun paquet nécessite
sa remonté jusquà la couche application - Disponibilités des agents (protocoles
propriétaires ou exotique)
16NAT(Network Address Translation)
17Firewalls matériels
18Firewalls matériels - Plan
- Définition
- Différences firewall logiciel/matériel
- Catégories de firewalls matériels
- Routeurs
- Firewalls spécialisés
- Modules firewall pour commutateurs
19Définition
- Système dexploitation et matériel conçus par le
constructeur et spécifiquement pour du filtrage - Simple PC, matériel dédié, circuit intégré
spécialisé (ASIC) - Ex de firewall non matériel
20Différences firewall logiciel/matériel
- Peuvent offrir fonctions et services identiques
- Différences
- SAV 1 seul constructeur fournit la solution
complète - Résistance conçu pour être un produit de
sécurité - Distribution de la fonction firewall dans les
points stratégiques du réseau
21Catégories de firewalls matériels
- Routeurs
- filtres entrants/sortants, règles sur adresses,
ports, types ICMP, flags TCP - Stateless ou Stateful
- Moins dapplications complexes/multimédia
supportées que firewall spécialisés (NAT) - Routeurs conçus initialement pour commuter
paquets -gt attention - Filtres des tables de routage
- Performances
- de qques kb/s -gt plusieurs Mb/s
- Perte de performances de 15 à 20 en Stateful
- Performances dépendent du nombre de fonctions
utilisées (IPSec, détection dintrusion, codecs
pour voix sur IP, QOS) - Routeur stateful idéaux pour relier bureaux via
internet site a protéger rarement important
22Catégories de firewalls matériels
- Firewalls spécialisés
- Conçus uniquement pour faire du filtrage
- Très performant
- gt 1Gbit/s
- 500 000 connexions
- Plusieurs dizaines de milliers de nouvelles
connexions par seconde - Supportent rarement les interfaces WAN ?
nécessité dêtre associés à des routeurs pour la
connectivité - Disponibles également pour le grand public
- Pour accès toujours connectés (DSL, câble)
- Ouverts en sortie
- Certains permettent le filtrage dans les deux
sens ? adaptés à lhébergement de services - Performances
- 1à 2 Mb/s (vitesse daccès)
- Limitations au niveau du nombre de sessions
supportées et nombre de nouvelles connexions par
seconde. - Meilleur choix pour protéger laccès principal à
Internet ou serveurs publics
23Catégories de firewalls matériels
- Modules firewall pour commutateurs
- Sous forme de carte
- Firewall stateful
- Intégrés aux commutateurs pour fournir protection
entre différents VLAN - Support de contextes virtuels ? services de
filtrages a des réseaux distincts - Performances
- jusquà 5 Gb/s
- 1 000 000 de connexions
- 100 000 nouvelles connexions par seconde
- Jusquà 100 interfaces virtuelles
- Possibilité dutiliser plusieurs cartes ? débit
de 30 Gb/s - Utilisés pour cloisonner le réseau interne
24Firewalls logiciels professionnels
25Firewalls logiciels professionnelsPlan
- Deux firewalls stateful
- Firewall libre Netfilter / iptables
- Firewall commercial CheckPoint Firewall-1
- Ce que les firewalls laissent passer
26Firewalls logiciels en passerellelibre
Netfilter
- Intégré au noyau 2.4 de linux
- Interface utilisateur séparée iptables
- Stateless
- iptables -A INPUT -s 200.200.200.1 -p tcp
--destination-port telnet -j DROP - Stateful
- iptables -A INPUT -p tcp -m state --state
ESTABLISHED -j ACCEPT - INVALID / ESTABLISHED / NEW / RELATED
27Firewall logiciels en passerellelibre Netfilter
- Spécificités
- Ajout de plugins au système de suivi de
connections - FTP / H323 / IRC /
- Plugins divers modification du comportement de
la pile IP - Front ends de configuration graphiques
- Avantage décisif sur les autres firewalls libres
28Firewall logiciels en passerellecommercial CP
Firewall-1
- Disponible sur plusieurs plateformes Windows
Server Linux Red Hat HP-UX - Solaris - Prix
- 39 HT par utilisateur (100 machines)
- Au nombre de plugins fournis
- Formations
29Firewall logiciels en passerellecommercial CP
Firewall-1
- Spécificités
- Décomposable en plusieurs modules serveurs
- antivirus, serveur dauthentification, reporting
- Authentification des utilisateurs
- Avec LDAP, RADIUS, TACACS
- Pour filtrer les URL,
- Pour la limitation du temps,
- Permissions au niveau de lutilisateur plutôt
quau niveau dun adresse IP
30Firewall logiciels en passerellece quils
laissent passer
- Les attaques dapplication web
- Vulnérables si elles ne filtrent pas assez les
données entrées par lutilisateur. - Insertion de code sur les Forums
- Insertion de requêtes SQL dans un champ de
formulaire
31Firewall logiciels en passerellece quils
laissent passer
- Injection de requête SQL
- SELECT FROM table_Clients WHERE champ_NomName
- l'utilisateur entre son nom
- toto INSERT INTO table_Users VALUES('Mon_login',
'Mon_password') - La requête finale est
- SELECT FROM table_Clients WHERE champ_Nomtoto
INSERT INTO table_Users VALUES('Mon_login',
'Mon_password')
32Firewall logiciels en passerellece quils
laissent passer
- Solution Reverse Proxy
- Rôle de ladministrateur réseau ?
33Firewalls personnels
34Firewalls personnels - Plan
- Cible et besoins
- Principe
- Limites
- Firewalls personnels sous Windows et Linux
35Cible et besoins
- Logiciel de sécurité réseau simple et efficace
pour connexions Internet personnelles poste
directement relié à Internet - Postes principalement client ? principale
menace réception de chevaux de Troie ? logiciels
espions / backdoors - ? empêcher connexion de programmes non autorisés
36Cible et besoins
- Filtrage simple de paquets la plage de ports
1024-65535 doit être autorisée pour que les
applis puissent fonctionner dans les deux sens - ? filtrage de paquets problématique
37Principe
- Contrôle des applications pour accéder ou non au
réseau - ? liste applications autorisées à initier flux
réseau ou a écouter - Pour chaque appli
- Localisation de lexécutable
- Protocole de niveau 4 utilisé (TCP, UDP, ICMP)
- Jeux de ports utilisés
- Sens de flux associé
38Principe
- La configuration doit être aisée pour
correspondre à la cible de marché ?configuration
par apprentissage - Permet également de faire de la remontée
dalertes - Dans le modèle OSI
- Entre couches IP et liaison règles indépendantes
dune application / flux déjà autorisés - Entre couches réseau et applicative intercepter
les demandes douverture de socket
39Limites
- Certaines prises de décision nécessitent
connaissances - Certains produits ne gèrent que TCP, UDP et ICMP,
décision silencieuse - Beaucoup dappli accèdent au réseau par
différents protocoles ? nombre dentrées
important, difficile à maintenir
40Limites
- Lacunes courantes
- Impossibilité de spécifier des règles
indépendamment dune appli - Impossibilité de restreindre les jeux de ports
utilisable par une appli autorisée - Impossibilité de spécifier des règles pour autres
protocoles que TCP, UDP ou ICMP - Absence de filtrage à état ou absence des modules
de prise en charges de protocoles applicatifs
complexes (limite au niveau 4)
41Limites
- Absence de sécurité de certains OS pas de
contrôle daccès ou comptes utilisateurs non
utilisés - Application pouvant se lancer en
super-utilisateur --gt écraser exécutables
concernés par configuration du firewall, tuer
dautres applis (anti-virus, firewall), annuler
les protections - Possibilité de profiter de failles de sécurité
dans autres applications autorisées (navigateur) - Ne travaille quà partir du niveau IP, tout ce
qui se trouve en dessous (Ethernet) nest pas vu
du firewall
42Firewalls personnels sous Windows et Linux
- Windows Kerio, Zone Alarm,
- Linux module owner de Netfilter patch
owner-cmd - Critères de filtrages relatifs aux processus
- UID , GID propriétaire
- PID/SID du process
- Nom du process
- iptables A OUTPUT m owner cmd-owner ping j
ACCEPT - Attention, ne vérifie pas la localisation de
lexécutable, limiter les packets - iptables A OUTPUT m owner cmd-owner ping p
icmp icmp-type echo-request j ACCEPT
43Démonstration
44Démonstration 1/3
- 1er outil, Webmin Turtle Firewall
45Démonstration 2/3
46Démonstration 3/3
47Références
- LINUX Magazine le firewall votre meilleur
ennemi (janvier/fevrier 2003) - Sécurité internet - B.Dunsmore, J.Brown,
M.Cross, S.Cunningham - Sites
- www.netfilter.org
- www.webmin.com
- www.nessus.com
- ettercap.sourceforge.net
48Questions