SÉCURITÉ DES PARTAGES DE CONNEXION

Transcription

1 SÉCURITÉ DES PARTAGES DE CONNEXION I. Introduction Chaque ordinateur connecté à Internet (et d'une manière plus générale à n'importe quel réseau) est susceptible d'être victime d'une intrusion pouvant compromettre l'intégrité du système ou bien d altérer les données. Les pirates informatiques voulant s'introduire dans les systèmes informatiques recherchent dans un premier temps des failles, c'est-à-dire une vulnérabilité nuisible à la sécurité du système, dans les protocoles, les systèmes d'exploitations, les applications, voire même au sein du personnel d'une organisation! Ils scrutent donc le réseau (en envoyant des paquets de données dirigés ou de manière aléatoire) à la recherche d'une machine connectée (machine cible), puis cherchent une faille de sécurité afin de l'exploiter et d'accéder aux données se trouvant sur cette machine. Cette menace est d'autant plus grande que la machine est connectée en permanence à Internet. En effet dans le cas d'une connexion permanente à haut débit : La machine cible est susceptible d'être connectée sans pour autant être surveillée La machine cible est généralement connectée avec une plus large bande passante La machine cible ne change pas (ou peu) d'adresse IP Pour éviter les accès malveillants, on utilise généralement un ou des dispositifs en vue de construire un pare-feu ou firewall. Son rôle est d isoler intelligemment l intérieur de l extérieur. C est un point de contrôle à travers lequel va passer tout le trafic entrant et sortant. Seuls les utilisateurs autorisés et les services Internet approuvés passent le firewall. Il défend donc l entreprise des agressions mais il y a un prix à payer celui de la limitation d accès à certains services Internet. II. Qu'est-ce qu'un pare-feu? Un pare-feu, est un système physique (matériel) ou logique (logiciel) servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations contenues dans les couches 3, 4, et 7 du modèle OSI. Il s'agit donc d'une machine (spécifique dans le cas d'un firewall matériel ou d'un ordinateur sécurisé hébergeant une application particulière) comportant en général au moins deux interfaces réseau : une interface pour le réseau à protéger (réseau interne) et une interface pour le réseau externe. Marie-pascale Delamare d après différents sites web 1/9

2 III. Quels sont les dispositifs utilisables pour construire un parefeu? Il existe différents dispositifs pour construire un pare-feu. Les plus connus sont le serveur PROXY, le routeur NAT (NETWORK ADRESSES TRANSLATING) et le routeur filtrant. 1. Le serveur proxy Le proxy permet de filtrer les communications application par application, ce qui signifie qu'il travaille au niveau de la couche 7 du modèle OSI. Le filtrage applicatif suppose donc une connaissance des protocoles applicatifs (HTTP, FTP etc.) de la famille des protocoles TCP/IP. Un proxy est appelé serveur mandataire en français ou passerelle applicative car il permet de relayer des informations entre plusieurs réseaux en effectuant un filtrage fin au niveau du contenu des données échangées. Il s'agit donc d'un dispositif performant assurant une bonne protection du réseau, pour peu qu'il soit correctement administré. En contrepartie une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, comme toujours dès lors qu on «monte» dans les couches du modèle OSI. Admettons que notre entreprise soit connectée à Internet à l aide d un serveur proxy. Lorsqu un ordinateur du réseau local veut télécharger une page web sur Internet, il ouvre une connexion vers le proxy, sur le port défini pour le service concerné (ici http), et lui fait la demande de la page web. A son tour, le proxy ouvre une nouvelle connexion vers le serveur d'internet concerné par la demande, récupère l'information et la retransmet aussitôt à l'ordinateur local. Dans ce schéma, on constate qu on est en présence d'une double connexion. Comme le serveur proxy remonte jusqu à la couche 7 du modèle OSI, il est capable de connaître URL demandé par le poste client. C est donc sa façon de fonctionner qui lui permet de proposer des fonctions supplémentaires comme la mise en cache ou le filtrage d URL En effet un serveur proxy peut généralement stocker dans un cache local les pages web visitées. Ainsi, si un ordinateur du LAN désire voir une page qui a déjà été téléchargée préalablement, le proxy est capable de fournir la page demandée directement depuis son cache local, ce qui est beaucoup plus rapide et économise le trafic sur Internet, c est à dire la bande passante. D autre part la connaissance de l URL demandée par le client permet de faire du filtrage URL. Certains proxies proposent cette fonction supplémentaire. Ce filtrage peut alors s effectuer de deux manières ; soit, on télécharge une liste de sites interdits que l on rentre en paramètre dans le serveur mandataire ; soit, on filtre les accès par mots clés en interdisant par exemple tous les sites contenant les mots pornographie, piratage etc. Enfin les derniers avantages du serveur mandataire sont que de l extérieur seul ce dernier est visible et que celui-ci reste attentif à toute connexion entrant chez lui sur les ports bien précis qui ont été configurés. Il "n'écoute" donc pas toutes les connexions; il ne s'intéresse qu'à celles pour lesquelles il a été configuré ce qui permet de définir les services Internet que l on peut utiliser. C'est donc une nouvelle sécurité contre des attaques TCP/IP extérieures qui ont lieu généralement sur d'autres ports que ceux utilisés d habitude pour les services Internet classiques. Cependant le proxy n est pas un routeur et les commandes «ping» par exemple ne passent pas à travers. D autre part, lorsque le proxy n est pas transparent, les utilisateurs doivent configurer les options «PROXY» de leur navigateur pour se connecter ensuite au serveur «PROXY» qui lui va transmettre la requête au serveur WEB réel ce qui augmente le travail d administration du réseau. 2. Le routeur NAT Le routeur NAT, comme son nom l'indique, fait réellement du routage de paquets IP, c'est à dire qu'il transmet bien les paquets reçus par un ordinateur du LAN vers Internet (et inversement), contrairement à un serveur proxy qui ouvre une seconde connexion. Le routeur NAT travaille donc au niveau 3 du modèle OSI. Marie-pascale Delamare d après différents sites web 2/9

3 L'ingéniosité du routage NAT vient de sa manière de gérer plusieurs ordinateurs locaux d'adresses IP de type x, de transmettre leurs paquets respectifs vers Internet, et de leur redistribuer les paquets reçus. L'astuce est la suivante : Lorsque le routeur NAT reçoit un paquet IP d'un des ordinateurs du LAN, il en modifie : l'adresse IP de l'expéditeur pour y mettre sa propre adresse. le port de l'application cliente par une valeur particulière Le routeur NAT loge ensuite ces informations dans une table. Lorsque le serveur de l'internet répond à la requête et renvoie des paquets IP sur le routeur, ce dernier vérifie dans ses tables qu'il possède bien l'entrée correspondante (par rapport au port de l'application cliente), puis y réécrit les coordonnées (IP + port) de l'ordinateur du LAN. Le paquet IP peut ainsi rejoindre sa dans le LAN. Exemple : votre ordinateur du LAN d'adresse IP veut accéder à la page web du serveur (d'adresse IP ) via un routeur NAT travaillant sur l'ip (locale) et l'ip (Internet). Les deux tableaux suivants montrent précisément ce qui se passe. Etablissement de la connexion Ordinateur Interface Coordonnées du paquet IP destinataire : , 80 ordinateur expéditeur : , 7364 LAN destinataire : , expéditeur : , 7364 routeur NAT destinataire : , expéditeur : , Internet destinataire : , expéditeur : , Marie-pascale Delamare d après différents sites web 3/9

4 Transfert des données Ordinateur Interface Coordonnées du paquet IP destinataire : , Expéditeur : , 80 Internet destinataire : , Expéditeur : , 80 routeur NAT destinataire : , Expéditeur : , 80 Internet destinataire : , 7364 ordinateur Expéditeur : , 80 Quelques remarques s'imposent : 1. Les routeurs NAT travaillent souvent sur des ports "élevés". A titre d'exemple, le logiciel Winroute utilise des ports au-delà de On peut se demander pourquoi le routeur NAT modifie le port de l'expéditeur puisqu'il retient de toute façon le port sur lequel l'application cliente a fait sa requête. En fait, cette modification est nécessaire pour éviter des désagréments dans le cas où plusieurs ordinateurs du LAN feraient une requête sur le même port client. 3. L'inconvénient du routeur NAT est d'être très pointilleux sur les connexions entrantes : si le routeur NAT n'a pas dans ses tables une entrée concernant une connexion, il ne laisse rien "entrer". C'est en quelque sorte une mesure de sécurité, et aussi une conséquence de sa façon de fonctionner : si vous voulez faire tourner sur un ordinateur du LAN un serveur (par ex. http ou ftp) qui soit accessible par Internet, il vous faudra configurer le routeur NAT pour accepter et rediriger correctement une connexion entrante. 3. Le routeur-filtrant Le routeur-filtrant, comme son nom l'indique, fait réellement du routage de paquets IP, c'est à dire qu'il transmet bien les paquets reçus par un ordinateur du LAN vers Internet (et inversement), contrairement à un serveur proxy qui ouvre une seconde connexion. Cependant en plus d une fonction de routage, il possède une fonction de filtrage. Pour filtrer, on saisit un ensemble de règles d autorisation ou d interdiction selon la politique de sécurité retenue. Un routeur filtrant contient un ensemble de règles prédéfinies permettant : Marie-pascale Delamare d après différents sites web 4/9

5 Soit d'autoriser uniquement les communications ayant été explicitement autorisées. "Tout ce qui n'est pas explicitement autorisé est interdit". Soit d'empêcher les échanges qui ont été explicitement interdits Le choix de l'une ou l'autre de ces méthodes dépend de la politique de sécurité adoptée pour mettre en œuvre un filtrage des communications. La première méthode est certainement la plus sûre, mais elle impose une définition précise et contraignante des besoins en termes de communication. 1. Le filtrage de statique Le fonctionnement des routeurs-filtrants, est basé sur le principe du filtrage des paquets IP, c'est-à-dire sur l'analyse des en-têtes des paquets IP échangés entre deux machines. En effet les machines d'un réseau relié à Internet sont repérées par une adresse IP. Ainsi, lorsqu'une machine de l'extérieur se connecte à une machine du réseau local, et vice-versa, les paquets de données passant par le routeur filtrant contiennent les en-têtes suivants : L'adresse IP de la machine émettrice et l adresse IP de la machine réceptrice ; Le type de paquet (TCP, UDP...) et les numéros de ports (client et serveur). Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. Lorsque le filtrage est basé sur les adresses IP on parle de filtrage par adresse (address filtering), tandis que le terme de filtrage par protocole (protocol filtering) est utilisé lorsque le type de paquet et le port sont analysés. Le matériel se situe toujours au niveau 3 du modèle OSI même s il utilise des données de la couche 4 pour effectuer son traitement. Certains ports sont associés à des services courants (les ports 25 et 110 sont généralement associés au courrier électronique, le port 80 au Web ) et ne sont généralement pas bloqués. Toutefois, il est recommandé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue). Le port 23 par exemple est critique car il correspond au service Telnet qui permet d'émuler un accès par terminal à une machine du réseau de manière à pouvoir exécuter des commandes saisies au clavier à distance Exemple de table de filtrage politique de sécurité «tout est interdit» soit le schéma réseau suivant : Routeur ADSL Deux adresses IP1 : IP2 : fournie par le FAI PAS : rout eurfiltrant Deux adresses IP Clie nt du Lan Client du Lan Marie-pascale Delamare d après différents sites web 5/9

6 N de règle Interface d'arrivée sur le routeur filtrant Décision All /24 All Accepte /24 All All 80 Accepte Dans ce cas, il faut explicitement gérer le trafic autorisé. Les règles précédentes permettent au réseau local d accéder à tous les sites web de l internet (règle 2 pour la demande de page web en provenance du LAN et règle 1 pour gérer la réponse des serveurs web d internet). Attention il faut penser à gérer le trafic dans les deux sens. politique de sécurité «tout est autorisé» soit le schéma réseau suivant : Deux adresses routeur-filtrant Client du Lan Routeur ADSL IP1 : IP2 : fournie par le FAI Deux adresses IP PAS : IP Client du Lan N de règle Interface d'arrivée sur le routeur filtrant Décision All All /24 23 Refuse All All / Refuse Dans ce cas, il faut explicitement gérer le trafic interdit. Les règles précédentes permettent de bloquer toutes les tentatives de l extérieur à du réseau local sur les ports 23 (Telnet) et 6969 (port utilisé par le cheval de Troie «Acmsoda» ou «GateCrasher»). Par contre, aucune règle ne gérant les accès du LAN vers l extérieur, tout est autorisé dans ce sens. Cette politique de sécurité peut se révéler très dangereuse. Enfin il convient de noter que les règles inscrites dans les tables de filtrage et ce quelle que soit la politique de sécurité retenue, s exécutent séquentiellement. Il est donc très important de vérifier la cohérence d exécution des règles enregistrées. Marie-pascale Delamare d après différents sites web 6/9

7 Mauvaise table de filtrage N de règle Interface d'arrivée sur le routeur filtrant Décision All All /24 22 Refuse /32 All /22 22 Accepte On suppose, dans ce cas, que l entreprise possède un serveur SSH, sur la machine d adresse , accessible seulement depuis le poste personnel de son administrateur réseau d adresse , situé à son domicile. Ces règles ne permettent pas l administration à distance depuis le domicile de l administrateur simplement parce qu elles sont écrites dans le mauvais ordre. En effet la première règle plus générale, interdit tout accès sur le port SSH, la deuxième règle ne sera donc jamais exploitée car c est la première règle qui s applique qui est exécutée. Bonne table de filtrage N de règle Interface d'arrivée sur le routeur filtrant Décision /32 All /32 22 Accepte All All /24 22 Refuse Dans ce cas, l administrateur réseau peut administrer à distance car s il tente de se connecter c est la première règle qui sera exécutée. Par contre si on tente de se connecter depuis n importe quelle autre adresse sur le port 22, c est la deuxième règle qui s appliquera et l accès sera bien refusé. De façon générale, les règles les plus précises doivent donc toujours être écrites en premier. 3. Le filtrage dynamique La méthode de " Stateful inspection" ajoute un peu d'intelligence à un filtre de paquet classique. En effet, ce type de routeur-filtrant fait appel à la notion de connexion TCP (d où l intérêt de bien comprendre le rôle des flags «SYN et ACK») en plus du filtrage classique de paquet. Un routeur filtrant de ce type gardera en mémoire les connexions TCP ouvertes dans des tables de connexion et pourra ainsi déterminer si une connexion est encore active ou non. Les paquets seront ainsi examinés dans un premier temps pour savoir s'ils peuvent être rattachés à une connexion déjà établie, dans ce cas là ils seront soit acceptés soit refusés suivant l'état de la connexion. Dans le cas où ils ne feraient pas partie d'une connexion, les paquets sont examinés à travers les filtres prédéfinis. Le terme "Stateful Inspection" a été déposé par la société CheckPoint, dont le pare-feu FireWall-1 utilise cette technologie Voici un exemple de règle de filtrage «Stateful inspection» Marie-pascale Delamare d après différents sites web 7/9

8 Règle IP IP destinataire destinataire Etat TCP Décision 1 * * * > 1024 établi Accepte IV. Comment réaliser un pare-feu? Au niveau technique le firewall est constitué d un ou de l ensemble des éléments suivants : 1. Un routeur-filtrant, possédant éventuellement une fonction NAT, qui regarde chaque morceau de trafic, fait un contrôle selon les règles établies et qui stoppe ou laisse passer le message. Les données du routage sont fondées sur l en-tête des messages. (ce qui constitue leur faiblesse puisque les pirates savent changer ces données). En général un routeur filtrant analyse les données suivantes : L adresse de ; L adresse de ; Le service d application désiré (FTP, TELNET, SMTP etc.) via le numéro de port ; Le rattachement à une connexion dans le cas de «stateful inspection». 2. Un serveur PROXY. On les appelle souvent passerelles de niveau application ou de niveau circuit. Certains proxies en plus de la configuration des services internet autorisés en général permettent en particulier de refuser les connexions en provenance de l extérieur ou de certaines adresses du réseau interne vers certains services Internet. Les plus sophistiqués vont jusqu à gérer les utilisateurs à travers leurs Noms de connexion et permettent d assigner à chaque personne ou à chaque groupe de personne des droits d accès très précis. V. Où placer le pare-feu? Quand certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (comme c'est le cas par exemple pour un serveur web, un serveur de messagerie, un serveur FTP public...) il est souvent nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise. On parle ainsi de zone démilitarisé (souvent notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public. Le pare-feu possède alors trois cartes réseau, une pour l extérieur, une pour la DMZ et une pour le LAN. Mais DMZ ou pas, le pare-feu est la première machine à recevoir le trafic en provenance de l extérieur de l entreprise. Marie-pascale Delamare d après différents sites web 8/9

9 9/9