Sécurité 2. Université Kasdi Merbah Ouargla. Département d Informatique et des Technologies de l Information. Septembre 2014

Transcription

1 Sécurité 2 Université Kasdi Merbah Ouargla Département d Informatique et des Technologies de l Information Les techniques de défense et les outils de sécurité 2 ème Année Master RCS Septembre 2014 Master RCS Sécurité informatique 1

2 Plan du cours 1. Conseils 1.1 Règles de base 1.2 La veille en sécurité Les outils de sécurité 2. Les scanners 2.1 Nmap 2.2 Nessus 2.3 Services d écoute 3. Les pare feux / Firewalls 3.1 Filtrage de paquet 3.2 La technique de stateful inspection 3.3 Relayage de paquets: application-level gateway et circuit-level gateway 2

3 Plan du cours Remarque : slides basés sur les cours de sécurité d Anas ABOU EL KALAM 3 Master RCS Sécurité informatique 3

4 1.1 Les règles de base Conseils Verrouillez les stations Protéger les accès, sécurité physiques, cadenas,... Désactiver le boot sur le flash disque et sur le lecteur de CDROM. Linux : Evitez d'avoir option failsafe (mode sans échec) au démarrage proposé par Lilo (LInux Loader) Cette option peut permettre d'obtenir les accès root (sans mot de passe) pour la maintenance du système. Windows : Le système de fichier NTFS permet une sécurisation accrue par rapport aux systèmes de fichier FAT et FAT 32. Windows 95, 98 et Me : niveau de sécurité très bas on ne peut faire confiance au champ adresse source Protéger l'accès du BIOS par un mot de passe! Master RCS Sécurité informatique 4

5 Conseils Limitation programmes s'exécutant avec droits administrateur repérer les programmes s'exécutant avec les droits administrateur. Ainsi, vous pouvez changer leurs droits pour qu'ils ne deviennent pas un point critique pour la vulnérabilité du système. # find / -perm liste pgms s'exécutant avec droits administrateur Master RCS Sécurité informatique 5

6 Protection des pwd L'attaque par dictionnaire Le programme utilise une liste de mots prédéfinis dans un fichier externe. Cette liste est appelée un dictionnaire; ces mots sont la plupart du temps ceux provenant d'un dictionnaire contenant les mots du langage courant. Le programme les chiffre (hashe) un par un et les compare au mot de passe stocké. Le brute forcing générer des mots de passe avec une suite aléatoire de caractères, les chiffrer (hasher) et les comparer au mot de passe à découvrir. Master RCS Sécurité informatique 6

7 Protection des pwd Tester la fiabilité de vos mots de passe! John the Ripper ( Programme libre Sous UNIX & Windows Supporte un grand nombre d'algos de chiffrement présente un important paramétrage des attaques. LophtCrack Cain Dernières versions payantes, sous Windows ou sur Unix Test fiabilité pwd (Sous Windows 9x, les pwd sont dispersés dans le répertoire racine de Windows dans différents fichiers d'extension ".PWL" portant comme nom celui de l'utilisateur ou dans win.ini,...) Master RCS Sécurité informatique 7

8 1.2 La veille : sites d'info dédiés à la sécurité Le réseau des Computer Emergency Response Teams publie des rapports sur toute nouvelle faille de sécurité. Ces équipes peuvent aussi fournir une assistance en cas de piratage. Descriptions précises sur des nouvelles failles de sécurité, outils sécurité CERT ( de l'université de Carnegie Mellon. CERT RENATER ( Centre d'expertise gouvernemental de Réponse et de Traitement des Attaques informatiques ( Archives Bugtraq ( Bugtraq France ( Packet storm security ( packetstormsecurity.nl) SecurityFocus ( fournit un moteur de recherches thématique pratique pour lister les vulnérabilités Master RCS Sécurité informatique 8 liées à un logiciel-j ACCEPT

9 1.3 Outils de sécurité Evaluation & diagnostic réseau Tcpdump (sniffer) - Ethereal/Wireshark (sniffer) - DSniff (sniffer) - Kismet (Wifi) - Airsnort (Wifi) - Nessus (scanner) - Nmap (scanner de ports) - john (mots de passe) - Surveillance & supervision Systèmes & Réseaux Logcheck - IPTraf - IPBand - Nagios - Netflow - Master RCS Sécurité informatique 9

10 1.3 Outils de sécurité Durcissement protocoles réseau TCP_wrapper - xinetd - Tiger - Bastille - Authentification & autorisation Kerberos - LDAP - PAM - Radius - ACL - Chiffrement GnuPG -- SSH -- OpenSSL Kame/Racoon OpenSwan (IPSec) Master RCS Sécurité informatique 10

11 1.3 Outils de sécurité Gestion des droits & Firewalls IPFilter (FreeBSD) - PF (OpenBSD) - Netfilter (Linux) - IPFW - Firewall-1 de CheckPoint Mwall de Matranet Pix de CISCO Netwall d'evidian Proxys & contrôle de contenu Squid - Squidguard - DansGuardian - Delegate - Master RCS Sécurité informatique 11

12 1.3 Outils de sécurité AntiVirus & AntiSpams ClamAV (moteur), Mailscanner -Amavisd ( ), DansGuardian - SquidClam (navig), mod_clamav (serveur web), ClamWin (poste client), SpamAssassin - Razor - Sauvegardes & Redondance BackupExe -- BackupPC - Bacula - Amanda - Rsync (synchronisation) - HA - RAID - Master RCS Sécurité informatique 12

13 IDS 1.3 Outils de sécurité Snort (NIDS) -- Prellude (NIDS) -- AIDE -- Tripwire -- Filtrage niveau 7 / IDS proactifs l7--fillter -- Hogwash -- flexresp // guarrdian -- cf.. Snort Les correctifs anti--débordement mémoire pour le noyau ++ outils complémentaires au noyau Linux permettent de limiter les possibilités d'exécution d'exploits utilisant les bogues de dépassement de mémoire (pile, tas). OpenWall [ grsecurity [ Master RCS Sécurité informatique 13

14 2 Les Scanners La collecte d'information Mode de fonctionnement du pirate : Avant de mener une attaque, il repère les serveurs offrant des services non protégés. Pour obtenir ces infos, le pirate va utiliser un scanner. Le but de cette section est de savoir utiliser un scanner (e.g., NMAP) pour anticiper les futures attaques présenter des méthodes de protections contre le scan (en utilisant des règles de firewalling sous iptables/ipchains par exemple) Master RCS Sécurité informatique 14

15 La collecte d'information : les scanners Intérêt du scanner trouver dans délai très court, tous les ports ouverts sur une machine distante. Types de scanner certains se contentent juste de donner : la liste des ports ouverts, le type et la version de l'os tournant sur le serveur (e.g., Nmap) D'autres scanners comme Nessus permettent de tester différentes failles connues sur ces services Master RCS Sécurité informatique 15

16 2.1 La collecte d'information : exemple avec Nmap Utilisons Nmap pour connaître les services en écoute sur la machine d'@ IP [root@nowhere.net /root]# nmap Starting nmap V. 2.54BETA31 ( ) Interesting ports on ( ) : (The 1544 ports scanned but not shown below are in state : closed) Port State Service 21/tcp open ftp 53/tcp open domain 80/tcp open http 110/tcp open pop-3 111/tcp open sunrpc 113/tcp open auth 631/tcp open cups 845/tcp open unknown 901/tcp open samba-swat 10000/tcp open snet-sensor-mgmt Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds. Master RCS Sécurité informatique 16

17 2.1 La collecte d'information : exemple avec Nmap ==> Nmap donne un aperçu assez complet des services s'exécutant sur la machine dans un temps assez bref. ==> On peut observer dans l'exemple précédent que des serveurs FTP, DNS, WEB, POP-3... sont en attente de connexion Master RCS Sécurité informatique 17

18 La collecte d'info : comment marche Nmap Nmap envoie de paquets sur tous les ports de cette machine et analyse les réponses. Le scan vanilla TCP connect Nmap procède à l'appel de la fonction connect() sur tous les ports de la machine # nmap [ip de la machine cible] ou # nmap -st [ip de la machine cible] Ce type de scan est facilement repérable. Master RCS Sécurité informatique 18

19 La collecte d'info : comment marche Nmap Les scans furtifs Le scan en connexion demi-ouverte ou "Syn-scan" Nmap envoie sur chaque port un paquet TCP avec le flag SYN armé ; si 1 port est ouvert, il renverra un paquet avec flags SYN & ACK armés Scan FIN # nmap -ss [adresse IP de la machine cible] envoi paquets TCP avec seulement le flag FIN armé. # nmap -sf [adresse IP de la machine cible] Scan NULL envoi paquets TCP avec seulement le flag NULL armé. # nmap -sn [adresse IP de la machine cible] Xmas scan (traduisez le scan de Noël) envoi paquets TCP avec les flags FIN/URG/PUSHV armés. # nmap -sx [adresse IP de la machine cible] Pour FIN, NULL, Xmas : système répond avec paquet RST si port fermé et ne répond pas si port ouvert Master RCS Sécurité informatique 19

20 Nmap : détermination OS #nmap O ==> Nmap indique que la machine cible utilise un noyau Windows 7 Master RCS Sécurité informatique 20

21 Nmap : résumé options utiles -h help -ss Scan TCP SYN -st, pour scanner les ports TCP ouvert -su, pour scanner les ports UDP ouvert -O permet de connaître le système d exploitation qui tourne sur la cible -sv Détection version du service - p permet de spécifier un port spécifique. - v qui permet d avoir plus d informations. -F Scan rapide : seulement ports dans le fichier de services Nmap -P0 Scan sans ping La cible peut IP, classe d'ip : , réseau : nmap *, masque... Exemples Pour une utilisation classique : nmap Pour vérifier si le port du ftp est ouvert (port 21) : nmap p Pour connaître le système d exploitation de la cible : nmap O Master RCS Sécurité informatique 21

22 Option de logs Nmap : résumé options de log -on affichage écran (normal) -ox log sous forme de fichier XML -og Log au format Grepable -sa Tous formats de logs --resume Résumé des scans à partir de normal (-on) ou grepable (-og) Exemples nmap -og MonLog.gnmap -ox MonLog.xml -ss Nmap -sa Monlog Options de traces de packets --packet_trace Nmap affiche détails packets (@/port source/destination) --version_trace Un sous ensemble du cas 1), seulement détails sur service Master RCS Sécurité informatique 22

23 Nmap : fichiers logs et interet Généralement dans /usr/share/nmap nmap.dtd DTD pour les fichiers logs XML de Nmap nmap.xsl Feuille de style XML nmap-protocols Fichier texte avec mappage N protocole IP <--> nom nmap-services Fichier texte avec mappage N ports <--> service nmap-services-probes Liste de detection des versions des services Intérêt pouvoir prévoir les futures attaques, pouvoir connaitre quels services tournent sur une machine. Une installation faite un peu trop vite peut laisser des services en écoute (donc des ports ouverts sans que cela ne soit nécessaire) et donc vulnérables à une attaque. Master RCS Sécurité informatique 23

24 Nmap : comment s'en protéger? Vérifiez que votre pare-feu (si ce n'est pas iptables) supporte la détection de scans. Configurer votre pare-feu pour empêcher les scans e.g., détecter l'envoi d un grand nombre de paquets TCP avec les flags FIN et/ou SYN et/ou ACK et/ou RST armé (s). iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit -- limit 1/s -j ACCEPT Master RCS Sécurité informatique 24

25 2.2 Nessus, c'est quoi? Nessus est disponible sous Linux et Windows, et il est entièrement gratuit. Nessus est un scanner de vulnérabilité de scanner une ou plusieurs machines la recherche des vulnérabilité : erreurs dans le code, portes dérobées (backdoors)... Fait des tests de pénétration (pen test) Injecter plusieurs attaques pour savoir si une ou plusieurs machines sont vulnérables Il produit un rapport détaillé et propose même des solutions Nessus se compose de partie serveur (nessusd) : contient BD vulnérabilités, en charge des attaques Client : Sert d'ihm Processus L'utilisateur se connecte sur le serveur grâce au client Authentification utilisateur L'utilisateur ordonne au serveur de procéder aux tests d 1 ou pls machines. Master RCS Sécurité informatique 25

26 Nessus, installation Commencez par décompresser les sources des logiciels tar -xzvf /où_est/nessus-libraries tar.gz tar -xzvf /où_est/libnasl tar.gz tar -xzvf /où_est/nessus-core tar.gz tar -xzvf /où_est/nessus-plugins tar.gz Compilez et installez nessus-librairies : cd nessus-libraries/. /configure --prefix=/usr make make install Compilez et installez libnasl : cd../libnasl/./configure prefix=/usr make make install Compilez et installez nessus-core : cd../nessus-core/./configure prefix=/usr make make install Compilez et installez nessus-plugins : cd../nessus-plugins/./configure --prefix=/usr make make install Master RCS Sécurité informatique 26

27 Nessus, configuration Avant de lancer le daemon nessusd, il faut rajouter, au moins, un utilisateur et son pwd # nessus-adduser Possibilité de définir ++ users avec # droits # Accept /24 # l'utilisateur a droit de scanner uniquement les classes d'adresses # Deny /24 # peut scanner tout sauf le réseau : /24 # accept client_ip # n'a le droit de scanner que sa machine Ne pas oublier de terminer ses règles avec default accept ou default deny selon le cas Générer, le certificat SSL et les clés privés pour le serveur # nessus-mkcert Afficher fichier config (/usr/etc/nessus/nessusd.conf) nessusd -s Lancer le daemon /usr/sbin/nessusd D Vérifiez : ps aux grep nessusd #root ? S 19:04 0:00 usr/sbin/nessusd -D Master RCS Sécurité informatique 27

28 Nessus : lancement client Master RCS Sécurité informatique 28

29 Nessus : un scan dans la fenêtre de nessus, cliquez sur "start the scan" pour lancer le scan Master RCS Sécurité informatique 29

30 Nessus : un scan Laissez le test se dérouler: Quand le scan est finit, il vous affiche une fenêtre récapitulative. En cliquant sur un hôte vous obtenez les résultats de son scan. Clic sur "save report" ==> sauvegarder le rapport dans le format de votre choix. Si vous choisissez html avec graphe, il vous suffit d'indiquer un répertoire et il créera lui-même les fichiers html et les images qui vont avec. vous pouvez consulter résultats par machine, sous-réseau, port, sévérité... Master RCS Sécurité informatique 30

31 Nessus : un scan Exemple de rapport d'attaques Master RCS Sécurité informatique 31

32 Nessus : Post-installation Lancer nessusd au démarrage de l'ordinateur rajouter Dans votre /etc/rc.d/rc.local /usr/sbin/nessusd -D Supprimer un utilisateur /usr/sbin/nessus-rmuser informations sur votre installation /usr/etc/nessus/nessusd.conf Fichiers logs /usr/var/nessus/logs/nessusd.messages Master RCS Sécurité informatique 32

33 2.3 Services d écoute Collecte d Info. avec Netcat Netcat permet d'établir une connexion (TCP ou UDP) sur un port souhaité et d'y envoyer ou d'y recevoir des données. # nc Netcat comporte d'autres fonctionnalités (comme l'envoi de scripts...). Le pirate n'a plus qu'à trouver faille applicative sur logiciel correspondant Comment s'en protéger? Retirer les bannières donnant les versions de logiciel et les messages d'aide ou de bienvenue d'un service réseau en écoute qui peuvent donner des informations sur votre système. Master RCS Sécurité informatique 33

34 Collecte d'info : Finger & ident Le service finger permet d'obtenir des informations sur utilisateurs du système # finger n'est pas dangereux mais le laisser en écoute, sans en avoir réellement besoin, est une grossière erreur. Comment s'en protéger? Sous Linux Il est conseillé de désactiver le service finger dans /etc/inetd.conf Inetd est un "super-serveur" Internet. Le super-serveur est un programme qui écoute les connexions réseau et les redirige vers le programme approprié Ajouter # devant la ligne relative au service finger. # finger stream tcp nowait root /usr/sbin/tcpd in.fingerd Sous Windows désactivez le programme associé au service finger. Si vous ne souhaitez pas désactiver le service finger, configurez votre firewall pour limiter les accès vers ce service Master RCS Sécurité informatique 34

35 3-Les firewalls : principe La prolifération des attaques externes et leurs conséquences parfois catastrophiques ont poussé les administrateurs réseaux à repenser les architectures réseaux pour aller vers des architectures de sécurité Idée de base permettre aux gens au sein de l entreprise de pouvoir accéder à des ressources partagées (éventuellement sur Internet) de façon contrôlée cacher en partie la structure interne du réseau de l entreprise notion de pare-feu (firewall) sépare deux réseaux par une fonction de filtrage. un réseau est considéré comme "propre" (le réseau interne) l autre non (en principe Internet) Master RCS Sécurité informatique 35

36 3-Les firewalls : principe faire en sorte que seul le trafic (sortant ou entrant soit autorisé); le Firewall doit être un passage obligé en entrée et en sortie du réseau interne 2 catégories principales : le filtrage de paquets (packet filters) et le relayage de paquets Filtrage de paquets : routeurs permettant le filtrage des paquets en fonction au moins des adresses IP et des numéros de port, source et destination Relayage de paquets Application-Level Gateway : passerelle relayant trafic au niveau des applications Circuit-level Gateway : passerelle relayant trafic au niveau connexions TCP, UDP (au niveau transport) Master RCS Sécurité informatique 36

37 3-Les firewalls : principe nouveau paquet arrive, Source & destination? FW confronte ces infos avec ses règles et détermine s il s agit d un paquet «en transit», (ne fait que passer d 1 interface à 1 autre) => Passe dans FORWARD paquet adressé au FW ==> confronté au filtre INPUT Si le paquet sort du firewall c est la chaîne OUTPUT qui est concernée. Master RCS Sécurité informatique 37

38 Les firewalls : Principe de INPUT / OUTPUT/FORWARD INPUT / OUTPUT connexions à destination et depuis le firewall à lui-même. Ces connexions peuvent arriver et sortir par différentes cartes réseau, mais c est le firewall lui-même qui est concerné par ces filtres. Iptables I INPUT p tcp --dport 80 j ACCEPT autorise les connexions sur le port 80 de la machine concernée. (Serveur Web) Iptables I OUTPUT p tcp --dport 80 j ACCEPT autorise les connexions vers des serveurs sur le port 80 en tcp (le Websurf). FORWARD : pour filtrer trafic transitant entre deux interfaces réseau. Ex: si paquet est reçu par carte connexion Internet et qu il doit aller vers serveur de mail par la carte «DMZ», alors ce paquet transit dans la chaîne FORWARD. iptables I FORWARD i eth0 o eth1 j ACCEPT iptables I FORWARD s d j ACCEPT iptables FORWARD i eth0 s o eth1 d p tcp --dport 80 j ACCEPT Remarque :Carte d Interface DMZ correspond au serveur visible depuis Internet, possédant IP Publique Master RCS Sécurité informatique 38

39 3.1 Les firewalls : filtrage de paquets permet de contrôler le flot de paquets suivant un ensemble de critères entre 2 réseaux effectué par un routeur (délivré par constructeur ou machine banalisée) possédant : DEUX cartes réseau et logiciel lui permettant d effectuer le filtrage FW applique les règles de filtrage des paquets sur la base des champs : en-têtes de couche IP (adresse IP source et destination) et transport (N de port UCP ou TCP) Master RCS Sécurité informatique 39

40 Les firewalls : ex filtrage de paquets Règle implicite : Tout ce qui n est pas autorisé doit être interdit par défaut Master RCS Sécurité informatique 40

41 Les firewalls : ex de règles sur routeur CISCO chaque règle est appelée une ACL (Access Control List) pour chaque paquet donné, l ACL rend deux valeurs deny (paquet rejeté) permit (paquet peut transiter par le routeur) on associe à chaque interface du routeur une ACL qui peut être du type in (trafic entrant par cette interface) ou out (trafic sortant par cette interface) Master RCS Sécurité informatique 41

42 Les firewalls : exemples d'iptable iptables [PIADR] [INPUT FORWARD OUTPUT]... j [LOG DROP ACCEPT MASQUERADE] I = insert rule, on ajoute une règle en tête du filtre. A = append rule, on ajoute une règle à la fin du filtre. D = delete, on efface une règle. R = replace, on remplace un règle. L = list, on liste une chaîne. F = flush, on efface les règle d une chaîne. P = Policy, réaction par défaut. syntaxe servant à préciser les règles * -s ip source // --d ip cible * -sport port source // --dport port destination * -p type de protocol (tcp /udp/ ) * -m type de match (par exemple state) * --state (NEW, ESTABLISHED, RELATED) Master RCS Sécurité informatique 42

43 Les firewalls : exemples d'iptable Master RCS Sécurité informatique 43

44 Les firewalls : exemples d'iptable iptables I INPUT s j DROP Dégage tous les paquets provenant de à destination du firewall iptables I OUTPUT p tcp --dport 80 d j ACCEPT Autorise le firewall à se connecter en port 80 sur uniquement. iptables F INPUT Vide les règles du filtre INPUT iptables P INPUT DROP Règle la politique par défaut à drop sur le filtre INPUT Dans tous les cas, il faut régler la politique par défaut à DROP sur tous les filtres et ensuite accepter seulement les flux «licites» : iptables -P INPUT DROP, iptables -P OUTPUT DROP, iptables -P FORWARD DROP De cette façon, si vous avez oublié une règle, dans le pire cas le paquet sera dropé, mais il n atteindra pas sa destination. En gros tout ce qui n est pas explicitement autorisé est interdit. Master RCS Sécurité informatique 44

45 Les firewalls : exemples d'iptable Je souhaite pouvoir héberger un dns/mail/http/ftp sur ma machine qui fait aussi firewall : Mail : iptable i INPUT p tcp --dport 25 j ACCEPT DNS : iptable i INPUT p udp --dport 53 j ACCEPT http : iptable i INPUT p TCP --dport 80 j ACCEPT ftp : iptable i INPUT p TCP --dport 21 m state --state NEW j ACCEPT iptable i INPUT p TCP --dport 20 m state --state RELATED j ACCEPT Master RCS Sécurité informatique 45

46 3.2 Les firewalls : La technique de stateful inspection Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d'assurer le bon déroulement des échanges. ==> Impossible avec filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire Pour y remédier, le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur Master RCS Sécurité informatique 46

47 Les firewalls : La technique de stateful inspection le filtrage de type stateful inspection, (existe dans tous FW marché) consiste à filtrer des paquets dont on mémorise le contexte ==> le datagramme IP ne doit pas être analysé de façon isolé mais il faut tenir compte du contexte dans lequel il est émis ==> assurer un suivi des échanges, i.e., tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage ==> à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare-feu, l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu. le firewall maintient donc une table des connexions ouvertes et lorsqu un nouveau paquet arrive, regarde s il fait partie d une connexion avant de lui appliquer les règles le firewall est également capable d analyser les paquets jusqu au niveau applicatif Master RCS Sécurité informatique 47

48 Les firewalls : La technique de stateful inspection exemple d une connexion ftp sans stateful inspection, il faut laisser passer tous paquets à destination de port > 1024 sur le serveur (on ne sait pas à priori quel port va choisir le serveur) avec stateful inspection, le port choisi par le serveur pour l échange des données est mémorisé par le firewall et seul ce port est ouvert Master RCS Sécurité informatique 48

49 Les firewalls : La technique de stateful inspection parer aux attaques IP spoofing Eliminer tous les paquets entrant avec comme adresse source une adresse interne Fragmentation (Tiny ou Overlaping) Eliminer paquets possédant le champ fragmentation offset à 1 L attaque du type «Ping of Death» Interdire trafic ICMP Les attaques DNS interdire tout accès direct au serveur DNS (nécessite une mise en œuvre d autres mécanismes, e.g., authentification) Master RCS Sécurité informatique 49

50 Les firewalls : La technique de stateful inspection Avantages concept simple complètement transparent pour l utilisateur interne ou externe (aucune modification de sa machine ou de ses logiciels) Rapide Inconvénients difficultés à paramétrer la configuration de façon cohérente (certains logiciels ne gèrent pas la cohérence des règles!!) pas de mécanisme d authentification Master RCS Sécurité informatique 50

51 3.3 Firewalls : Relayage de paquets (application-level gateway) Principe - permet d établir un relai entre le réseau internet et le réseau externe en se basant sur le contenu des messages au niveau applicatif - basé sur le principe de l authentification : un User externe demande une connexion TCP/IP à la passerelle, qui l authentifie et qui, en cas de succès, contacte l application que l utilisateur demande - nécessite la collaboration de la part des systèmes finaux => exemple : utilisation d un serveur proxy cache http pour sortir sur internet depuis un réseau interne, il est nécessaire sur le poste client de modifier la configuration du browser pour qu il utilise bien le serveur http interne Master RCS Sécurité informatique 51

52 Firewalls : Relayage de paquets (application-level gateway) Avantages - plus haut niveau de sécurité que le simple filtrage de paquets mécanisme d authentification et de loging spécifique sur le relai l'authentification ne s'effectue pas uniquement par rapport à IP ou à N port, mais sur l'identité même d'1 individu (quelque soit la machine qu'il utilise). - Plus légère que la précédente, car seuls les flux concernant les applications autorisées (souvent peu nombreuses) à filtrer sont contrôlés. - Très simple à mettre en place, car elle ne nécessite que de renseigner quelles applications peuvent être utilisées ou non à travers le firewall. Inconvénients - overhead introduit peut être important (pas vrai dans le cas d un proxy http qui, au contraire, en se comportant en cache, peut améliorer les performances) - pas toujours possible d effectuer des contrôles car le contenu de la transaction n est pas toujours visible (par exemple, s il est chiffré avec SSL) Master RCS Sécurité informatique 52

53 Principe Firewalls : Relayage de paquets (circuit-level gateway) permet d établir un relai au niveau transport empêche l établissement d une connexion TCP (ou UDP) point à point Intérêt établissement de deux connexions différentes la première dans le réseau protégé avec la machine interne et la seconde avec la machine externe Masquer ce qui se passe derrière le firewall le réseau interne est totalement invisible pour le domaine externe Les Circuit-Level Gateways sont moins connus que les deux premiers et sont le plus souvent combinés avec un Application-Level Gateway Master RCS Sécurité informatique 53

54 Filtrage au niveau IP Les firewalls : règles de bon usage limiter l'accès à votre réseau à des Users connus utilisant IP statique rejeter toutes les autres requêtes venant d'user IP non autorisée. Fermez tous les ports en écoute sur les différents serveurs et ouvrez seulement ceux dont vous avez besoin. Filtrez ces ports (rejetez autres requêtes sur autres ports que ceux en écoute) Empêchez toutes les connexions sortantes sur des services non autorisés. définir nombre limité de services auxquels les serveurs et les clients peuvent accéder (mail, ftp, web...). Ensuite, configurer le firewall pour rejeter les connexions depuis l'intérieur vers l'extérieur sur des services différant de ceux définis. Master RCS Sécurité informatique 54

55 Les firewalls : pour empêcher les attaques déterminer les règles actives sur FW savoir quels ports ne sont pas filtrés. Par ex # nmap Starting nmap V. 2.54BETA31 ( ) Interesting ports on ( ) : (The 1549 ports scanned but not shown below are in state : closed) Port State Service 21/tcp filtered ftp 22/tcp filtered ssh 111/tcp open sunrpc 515/tcp open printer 1024/tcp open kdm Nmap run completed -- 1 IP address (1 host up) scanned in 1 second ==> Les ports 21 (ftp) et 22 (ssh) sont filtrés. Master RCS Sécurité informatique 55