Firewall Net Integrator Vue d ensemble

Transcription

1 Net Integration Technologies, Inc. Julius Network Solutions Firewall Net Integrator Vue d ensemble Version 1.00

2 TABLE DES MATIERES 1 INTRODUCTION ARCHITECTURE FIREWALL La Vie d un Paquet Stateful Inspection NAT Permanent Sûr Par Défaut Sécurité MultiCouche INTEGRATION SERVEUR INTELLIGENTE Gestion Centrale de la Configuration Réseaux de Confiance ou Pas (Trusted and Untrusted Networks) Générateur de Règles Intelligent GESTION des ADRESSES DYNAMIQUES Statique contre Dynamique Multihoming Transparent Double Vision Internet Failover LE RESEAU PRIVÉ VIRTUEL (VPN) A PROPOS DE NET INTEGRATION TECHNOLOGIES A PROPOS DE JULIUS NETWORK SOLUTIONS... 8

3 1 INTRODUCTION Chez Net Integration Technologies, nous prenons la sécurité réseau très au sérieux. Une nouveau serveur se connectant à Internet aujourd hui va être testé discrètement par des scripts d attaquants potentiels dans les 24 heures. Si le serveur affiche une quelconque faiblesse, le pirate va être de retour rapidement pour creuser la faille. Quand l environnement est aussi hostile, il n est simplement pas raisonnable d utiliser un serveur ou connecter un bureau à Internet sans une forme de protection firewall c est clair. Cependant, il faut trouver le juste équilibre entre sécurité et fonctionnalités, et chaque entreprise a des besoins de sécurité différents. Bloquer les requêtes Web des visiteurs améliorera certainement la sécurité, mais si vous utilisez un site e-commerce, ce n est pas acceptable. Comme déverrouiller la porte d entrée d une banque, il faut parfois réduire la sécurité afin d offrir un service. Nos clients ont besoin d un firewall sérieux qui peut faire ce dont ils ont besoin et évoluer quand leurs besoins changent. Parce que nous prenons la sécurité tellement au sérieux, beaucoup d utilisateurs de nos serveurs Net Integrator sont surpris de ne pas trouver d écran de configuration du firewall: nulle part ou ajouter et créer des règles, nulle part ou il faille prendre des décisions à propos de structures TCP/IP, et nulle part ou sélectionner quels numéros de ports entrants et sortants doivent être ouverts. Si la sécurité est si importante, alors comment peut prendre un firewall au sérieux s il ne possède pas ces options? En fait, nous prenons la sécurité tellement au sérieux que nous avons supprimés délibérément et avec attention chacune de ces options de configuration du Net Integrator. Le reste de ce document explique comment et pourquoi et décrit également quelques unes des fonctions les plus avancées. 2 ARCHITECTURE FIREWALL Dans leur forme la plus basique, tous les routeurs et firewall sont similaires. Ils ont toujours plus d une interface (Ethernet, DSL, câble, modem, etc ). Ils acceptent un paquet IP (Internet Protocol) sur une interface, le décodent, le recodent, et le transmettent à une des autres interfaces. Les firewalls basiques diffèrent des routeurs principalement parce qu ils vérifient les contenus et adresses de chaque paquet avant de les transmettre et parfois élimine des paquets qui ne suivent pas les règles. Les firewalls modernes, avancés font aussi d autres choses intéressantes avec les paquets, comme l encryption, le ré-adressage, les associations adresse-versutilisateur, des analyses statistiques, ou du cache. Finalement, toutes ces opérations se traduisent par un ensemble de règles firewall qui définissent la politique de sécurité. Il se trouve que le firewall du Net Integrator est particulièrement flexible, mais il fonctionne généralement comme les autres. 2.1 La Vie d un Paquet Le Net Integrator utilise une version du système d opération Linux renforcée et épurée ; Il hérite ainsi de ses outils de firewall basiques. Nous avons également ajouté de nombreuses fonctions avancées, comme NetGuide, le VPN Tunnel Vision (Virtual Private Network, Réseau Privé Virtuel), et Internet Failover, sur lesquels nous reviendrons plus tard. Et bien sur, le Net Integrator configure ces outils firewall Linux automatiquement, créant plus de 130 règles de firewall s adaptant à la configuration courante. Page 3/8

4 2.2 Stateful Inspection Le firewall du Net Integrator utilise une technique avancée appelée stateful inspection, qui permet de créer des règles de firewall temporaires pour les nouveaux paquets en fonction de l activité passée. Par exemple, le Net Integrator empèche toutes les réponses externes du serveur Web (appelées des paquets ACK) de passer au travers du firewall sauf s il a vu une requête récente (appelée paquet SYN) au même serveur Web à partir d une station à l intérieur du réseau. Cela semble évident, mais il est très difficile d écrire des règles de firewall traditionnelles pour effectuer cela. Dans beaucoup de systèmes firewall, les paquets ACK sont simplement passes au travers du firewall en espérant qu il seront ignorés à la destination. 2.3 NAT Permanent Le Net Integrator utilise une technique appelée NAT (Network Address Translation) pour faire paraître tout le trafic externe comme venant du Net Integrator. Les adresses IP utilisées sur le réseau interne protégé ne sont jamais autorisées à passer le firewall ou elles seraient visibles et potentiellement dangereuses lors d une attaque. A la place, les paquets sortants sont ré-adressés avec l adresse source du Net Integrator. Quand une réponse arrive, l adresse de destination finale de la réponse est rétablie, donc ni la station de travail d origine ni le serveur Internet ne voient la différence. NAT a été conçu au départ pour les comptes Internet très chers qui n avaient qu une adresse IP publique, donc plus d un ordinateur pouvait se partager la même connexion Internet. Cependant, le Net Integrator réalise quelques ajustements afin d offrir un autre avantage important: étant donné que le firewall ré-adresse tout le trafic sortant, il a seulement besoin d accepter les paquets Internet qui lui sont proprement destinés, et pas pour une seule adresse IP sur le réseau interne. Cela rend impossible une éventuelle attaque directe vers un poste de travail ou un serveur derrière le firewall. A la place, le pirate doit trouver une faille de sécurité avec le firewall lui même, ce qui est considérablement plus difficile. 2.4 Sûr Par Défaut A partir du premier moment ou il est allumé, le Net Integrator se configure lui même avec un set initial de plus de 130 règles de firewall pour verrouiller toutes les connexions entrantes sur tous les ports. Au fur et à mesure que le temps passe et qu il analyse le trafic réseau, le Net Integrator ajoute et supprime des règles automatiquement pour améliorer la sécurité grâce à sa «Net Intelligence» et ses routines stateful inspection. Pour accepter des connexions entrantes, l utilisateur doit requérir explicitement que les requêtes à ce service soient autorisées, et il ajoutera automatiquement les règles de firewall correspondantes. A contrario, la plupart des systèmes d opération et produits firewall commerciaux sont non sûrs par défaut; ils nécessitent que l administrateur bloque chaque service indésirable individuellement, rendant très facile l oubli d une règle ou une erreur. Une des 10 erreurs de sécurité les plus graves listées par le SANS (The System Administration, Networking, and Security trade organization) n est pas non installation d un firewall c est implémentation d un firewall avec des règles qui ne bloquent pas le trafic risqué. En d autres mots, tout le monde fait des erreurs, et faire une erreur dans la configuration d un firewall est à la fois commun et grave. Quand il faut plusieurs jours et plus d une centaine de règles ésotériques juste pour établir la politique initiale, il est facile de voir comment les erreurs peuvent arriver. Mais chaque utilisateur du Net Integrator bénéficie automatiquement de nos experts en sécurité, revues indépendantes, et années d expérience. Le firewall du Net Integrator est plus sûr précisément parce qu il requiert moins d intervention de la part de l administrateur. Page 4/8

5 2.5 Sécurité MultiCouche Pour pénétrer un firewall de Net Integrator et attaquer une station ou serveur de l autre coté, un pirate devrait vaincre plusieurs niveaux de sécurité: Les règles du firewall elles-mêmes, NAT inclus. Au moins un processus serveur (comme le serveur de fichier ou Web). Un processus passerelle de sécurité, afin d obtenir les privilèges administrateur. Le système d opération complet du Net Integrator, incluant le firewall, les utilitaires de configuration, et tous les logiciels du serveur, tient en moins de 10 Mo sur une mémoire flash. Même si un pirate venait à trouver une faille dans le firewall, l environnement logiciel est si minimaliste qu il est quasi impossible d utiliser cette faille pour aller plus loin. Au contraire, beaucoup de firewall commerciaux fonctionnent sur des systèmes volumineux comme Windows ou Solaris, qui sont entre 100 et 200 fois plus lourds que le système du Net Integrator. Parmi les nombreuses données et programmes dans ces systèmes d opération se trouvent plusieurs outils peu sûrs qui peuvent permettre d achever une attaque une fois le firewall franchi. 3 INTEGRATION SERVEUR INTELLIGENTE La section précédente décrivait les fonctions avancées du firewall du Net Integrator. Dans cette partie, nous allons décrire plusieurs fonctions qui permettent à l administrateur de faire usage de toutes ces fonctions sans avoir à les comprendre complètement. 3.1 Gestion Centrale de la Configuration La configuration, le firewall, et les processus serveur sont intimement liés au sein du Net Integrator. Grâce à cela, des nombreux changements internes peuvent intervenir lors de la modification d une seule option de configuration. Par exemple, la création d un compte utilisateur entraîne la création d un compte , d une page Web, de partages de fichiers Windows et Macintosh, une entrée carnet d adresse, et un compte VPN pour cet utilisateur. De la même manière, le changement d une simple option comme "activer serveur web" "enable web server" (ou FTP) ne reconfigure pas simplement le serveur en question mais informe également le module firewall de ce que l administrateur est en train d accomplir. Le module firewall procède alors à la création d un nouveau set de règles automatiquement afin de s aligner avec la nouvelles politique de sécurité. Sur des systèmes avec un écran de configuration firewall séparé ou sur des réseau ou le firewall est une unité complètement distincte, ce processus est divisé en plusieurs étapes, augmentant par la même la probabilité d erreur. 3.2 Réseaux de Confiance ou Pas (Trusted and Untrusted Networks) Le firewall du Net Integrator est toujours activé, ainsi, il n y a pas d option "activer/désactiver le firewall". A la place, pour chaque interface réseau, il y a un réglage "Confiance", et pour chaque type de service, il y a des paramètres "Activer pour les hôtes de confiance uniquement " ou "Activer pour tous". Le Net Integrator configure automatiquement son firewall en fonction de ces paramètres. Généralement, les requêtes de stations sur les réseaux de confiance peuvent passer de façon transparente le firewall vers d autres réseaux de confiance ou non. La plupart des requêtes en Page 5/8

6 provenance de réseaux sans confiance sont bloquées par défaut, sauf s elles sont explicitement autorisées pour ce type de service. 3.3 Générateur de Règles Intelligent Le module générateur de règles intelligent est responsable de la conversion de la politique de sécurité de haut niveau en un set de règles firewall spécifiques. Les règles générées sont en fait très compliquées étant donné qu elles ont besoin de considérer l interaction entre tous les différent sous-systèmes (comme le VPN et Internet Failover). Cependant, en exemple simplifié, il convertira la politique "Activation du serveur WWW " en une série de règles similaires à celles de la Figure 1. Comportement par défaut: Accepter toutes les requêtes paquets (SYN) sur le port 80 local et les ajouter à la table Stateful Inspection. Refuser toutes les requêtes paquets (SYN) à partir du port 80 local. Refuser toutes les réponses paquets (ACK) sur le port 80 local. Refuser toutes les réponses paquets (ACK) à partir du port 80 local. Règles Stateful Inspection: Uniquement pour les connexions connues de Stateful Inspection, accepter les paquets ACK de et à partir du port 80 local. Supprimer les connexions de la table Stateful Inspection si une erreur (RST) ou une message de fin de transaction (FIN) est reçu. Figure 1. Règles firewall générées pour activer un serveur Web. Dans l exemple, ces six règles sont simplement créées en conséquence de l activation du serveur Web. En réalité, les règles sont encore plus compliquées sachant qu elle doivent considérer si le message arrive d un réseau de confiance ou non, ou si les paquets réponses doivent être ré-adressés avec NAT, et ainsi de suite. Il est aisé de voir comment un administrateur humain pourrait oublier d ajouter une ou plus des règles précédentes après avoir modifié les paramètres serveurs, introduisant alors des failles de sécurité. Le générateur de règles intelligent ne rend pas uniquement le firewall facile à utiliser, il améliore également la sécurité. 4 GESTION des ADRESSES DYNAMIQUES Parce que les règles de firewall du Net Integrator sont générées automatiquement à partir de la connaissance de la configuration complète du système, cela peut fonctionner aussi efficacement avec des adresses IP dynamiques et statiques. Cela permet également au firewall de supporter plus de fonctions avancées, comme le Multihoming Transparent (utilisation de plus d un serveur Web protégé par firewall), Double Vision (multiple connexions Internet dynamiques) et Internet Failover (passage automatique à une seconde connexion Internet si la première échoue). 4.1 Statique contre Dynamique Dans un système à adresse IP statique, le Fournisseur d Accès Internet (FAI) fournit une ou plusieurs adresses IP Internet valide pour à utiliser pour les requêtes. Ces adresses ne changent jamais, ce qui signifie qui n est généralement pas nécessaire pour un administrateur de changer les règles du firewall à moins que la politique de sécurité ne change. Page 6/8

7 D un autre coté, les adresses IP dynamiques changent souvent. En fonction du FAI, cela peut être une fois pas jour, quand le routeur redémarre, ou dès que la connexion est perdue et est rétablie. Pour configurer correctement un firewall sûr, il est nécessaire de changer les règles en fonction de l adresse IP courante, donc beaucoup de firewalls ne sont pas optimaux dans des situations ou seules des adresses IP dynamiques sont disponibles. Cependant, étant donné que le Net Integrator récrit ses règles de firewall automatiquement dès que la configuration réseau change, cela fonctionne parfaitement avec des adresses IP dynamiques sans intervention utilisateur supplémentaire. 4.2 Multihoming Transparent Parfois un seul serveur physique peut avoir besoin d héberger plus d un site Web. Une façon de faire est de requérir plus d une adresse IP statique à votre FAI, et ensuite assigner toutes ces adresses au Net Integrator et configurer un serveur Web différent sur chaque adresse. Dans ce cas, les règles du firewall seront mises à jour automatiquement pour tenir compte de chacune des adresses IP statiques assignées, et pas uniquement l adresse primaire. 4.3 Double Vision Le Net Integrator utilise des fonctions avancées de son système firewall pour supporter le partage de chargeuse (load balancing) entre plusieurs connexions Internet simultanées. Cette fonction est appelée "Double Vision." Généralement, cette fonction est utilisée pour améliorer le débit et la fiabilité Internet. Quand une connexion sortante est créée (par exemple, par un navigateur Web sur le réseau local) Double Vision choisit un des liens Internet actifs et configure ses règles Stateful Inspection pour ré-adresser avec cette connexion. De cette manière, chaque connexion utilise un lien Internet particulier, ce qui évite aux autres firewall d être confus et de bloquer la connexion. 4.4 Internet Failover Lors de l utilisation de Double Vision pour l amélioration de la fiabilité, il est important de ne pas utiliser des liens Internet instables, peu fiables ou en panne. Quand la Net Intelligence du Net Integrator détermine qu une connexion est tombée, elle demande au firewall de bloquer toutes les connexions entrante et sortante sur ce lien. Ainsi, Double Vision n attachera jamais une connexion sortante à ce lien, et toutes les requêtes entrantes seront transmises au lien qui marche à la place. Dans un système ou les règles de firewall sont écrites manuellement par l administrateur, une fonction comme Internet Failover nécessiterait soit une intervention manuelle à chaque fois ou une réduction de la sécurité du firewall. 5 LE RESEAU PRIVÉ VIRTUEL (VPN) Un réseau privé virtuel établie un lien sûr, de confiance, crypté entre deux réseaux au travers d Internet. Une fois le VPN établi, les ordinateurs sur les 2 réseaux peuvent utiliser de façon transparente n importe quel service sur les 2 réseaux comme s ils étaient directement connectés. En termes de sécurité, le VPN permet à des utilisateurs ou ordinateurs spécifiques n importe ou sur Internet de franchir le firewall du Net Integrator. Page 7/8

8 Le Net Integrator supporte 2 types de connexions VPN: PPTP(Point-to-Point Tunneling Protocol), le Protocole de Tunnel Point-à-Point de Microsoft, permettant à des stations Windows individuelles (comme des portables ou des PC) de se connecter au réseau central. Chaque compte utilisateur sur le Net Integrator peut avoir l accès PPTP activé ou désactivé. Tunnel Vision, un VPN propriétaire créé par Net Integration Technologies, permet aux Net Integrators de connecter les réseaux entiers l un à l autre. C est très utile pour connecter plusieurs agences à un bureau central, par exemple. A la fois PPTP et Tunnel Vision utilisent une encryption 128 bits symétrique de haut niveau pour protéger les données lorsqu elles traversent Internet. Tunnel Vision utilise également des clés RSA 1024 bits pour autoriser les nouvelles connexions. 6 A PROPOS DE NET INTEGRATION TECHNOLOGIES Net Integration Technologies Inc. développe et fabrique des serveurs appliance réseau tout-en-un économiques, hautes performances conçus pour satisfaire les besoins informatiques des PME. La famille de produit Net Integrator La famille de produits Net Integrator exploite les technologies de Net Integration afin d offrir une solution simple, fiable, puissante et rentable. La famille de produits de Net Integration inclut les Net Integrator Lite, Net Integrator Mark I, Net Integrator Mark II et Net Integrator Mark IIIR. Cette famille est flexible, extensible et ne nécessitent pas de compétences informatiques poussées pour sa mise en place, son maintien ou sa gestion. En éliminant les besoins de matériels, logiciels et experts informatiques coûteux, le Net Integrator offre aux PME un accès aux technologies informatiques nécessaires pour leur succès. Pour toutes informations complémentaires, visitez 7 A PROPOS DE JULIUS NETWORK SOLUTIONS Julius Network Solutions SARL est une jeune société extrêmement dynamique créée fin La société a pour vocation d'apporter des solutions informatiques clé en main aux entreprises, en particulier les PME, afin de leur simplifier l'accès à des outils pointus, le tout pour un coût le plus minime possible. A ce titre et fort logiquement, JNS est le distributeur français des meilleurs serveurs clé en main du marché, les Net Integrators. Les produits Net Integrator sont vendus au travers de notre réseau de partenaires. Pour toutes informations complémentaires, visitez Page 8/8