Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année ZHANG Tuo tuo.zhang@u-bourgogne.

Transcription

1 Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année ZHANG Tuo tuo.zhang@u-bourgogne.fr

2 Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu Linux Exemple Autres mécanismes

3

4 Pare-feu et Filtre de Confiance requirement

5 Fonctions de filtrage

6 Décomposition et recomposition des trames

7 Pare-feu (Firewall)(1/2)

8 Pare-feu(2/2) Définition Fonctions Principe Objectifs Ensemble de composants appliquant une politique de contrôle d'accès entre deux réseaux Autoriser ou interdire l'ouverture d'un service utilisant un protocole Autoriser ou bannir une adresse IP source / destination Vérifier / inspecter la conformité du trafic Tout ce qui n'est pas explicitement autorisé, est interdit Se protéger des malveillances "externes" Éviter la fuite d information non contrôlée vers l extérieur Surveiller les flux d'informations internes / externes Faciliter l administration du réseau

9 Types de pare-feu(1/2) pare-feu à filtrage de paquets

10 Types de pare-feu(1/2) pare-feu à filtrage de paquets

11 La Grande Muraille filtrage de paquets

12 Filtrage de paquets

13 Filtrage de paquets

14 Différence entre filtrage statique et dynamique Le filtrage statique analyse les paquets indépendamment les uns des autres Pour tcp seul les flags sont regardés pour «established» Le filtrage dynamique introduit la notion de session (Aussi bien en TCP qu en UDP) un flux de retour sera autorisé uniquement si on a déjà «vu passer un paquet similaire» dans l autre sens

15 Les Décision de firewall

16 Exemple de règle en entreprise

17 Avantages et Inconvénients

18 Différents Types de firewalls Pare-feu niveau réseau(iptables, paquet filter, ) Firewall fonctionnant à un niveau bas de la pile TCP/IP Basé sur le filtrage des paquets Possibilité (si mécanisme disponible) de filtrer les paquets suivant l état de la connexion Intérêt: Transparence pour les utilisateurs de réseau Pare-feu au niveau applicatif.(inetd, xinetd, ) Firewall fonctionnant au niveau le plus haut de la pile TCP/IP Généralement basé sur des mécanisme de proxy Intérêt: Possibilité d interpréter le contenu du trafic Pare-feu des applications. (/etc/ftpaccess pour ftp, ) Restrictions au niveau des différentes applications

19 Proxy(1/2)

20 Proxy (2/2)

21 Filtrage applicatif(proxy, )

22 DMZ(DeMilitarized Zone)(1/2) Définition: Une zone démilitarisée est un sous-réseau se trouvant entre le réseau local et le réseau extérieur. Propriétés: Les connexions à la DMZ sont autorisées de n importe où. Les connections à partir de la DMZ ne sont autorisées que vers l extérieur. Intérêt: Rendre des machines accessible à partir de l extérieur(possibilité de mettre en place des serveurs( DNS,SMTP, ) )

23 DMZ(DeMilitarized Zone)(2/2)

24 DMZ

25 DMZ

26 Bastion

27 Architecture(1/2)

28 Exemple Architecture(1/2)

29 Configurations

30 NAT(Network Address Translation) C est aussi une mécanisme de filtrage des paquets Permet de renuméroter les adresse et les ports source/destination Traduction dynamique ou statique Table de correspondances adresse: port en entrée/ adresse : port traduite

31 NAT statique

32 NAT statique: Principe

33 NAT dynamique:masquerading

34 NAT dynamique: Principe(1/2)

35 NAT dynamique: Principe(2/2)

36 Pare-feu Linux

37 Linux firewall Quand une paquet arrive à la firewall de linux, il peut être accepté par application de hôte ou bien transféré par l autre interface d après sa destination. Pare-feu libre Netfilter/iptables(Linux)

38 netfilter Un framework implémentant un pare-feu au sein du noyau Linux.(version>=2.4) Il prévoit des accroches(hooks)dans le noyau pour l interception et la manipulation des paquets réseau lors des appels des routines de réception ou d émission des paquets des interfaces réseaux.

39 Netfilter Hook 5 hooks dans la pile réseau, soit Pre-Routing, Local-IN, Forward, Local-Out et Post-Routing

40 Netfilter Hook routage

41 Netfilter Table Netfilter défini trois Tables différents, soit NAT, Mangle et Filter Utilisateur peut configure les actions à travers les tables différents pour satisfaire les exigences.

42 Netfilter Table

43 Filter table 3 chaînes : INPUT : Paquets rentrants vers des processus locaux OUTPUT : Paquets sortant des processus locaux FORWARD : Paquets passant d'une interface à l'autre

44 NAT table 3 chaînes : PREROUTING : Paquets rentrants dans la couche réseau POSTROUTING : Paquets sortants de la couche réseau OUTPUT : Paquets sortants des processus locaux

45 Mangle table

46 Table et Hook

47 Exemple pour expliquer iptables Supposons la configuration dans Filter table: si on a une règle: protocole=icmp, on fait DROP iptables -A INPUT -p ICMP -j DROP

48 Explication(flèche1) Flèche1:le paquet transférer à travers les interfaces réseaux Le paquet entre de Pre-Routing, via Forward Post-Routing et puis sort. Quand le paquet passe via Forward(Check Point A), on va check si c est paquet de ICMP et puis log.

49 Explication(flèche2) Le paquet entré dans application de Hôte Linux Le paquet passe via Pre-Routing, puis passe INPUT, donc faire le check si c est paquet de ICMP dans le point B, si oui, log it.

50 Explication(flèche3) Paquet via hôte linux vers extérieur Via OUTPUT, Faire le check dans le Point C

51 Bilan Fonctionnement: Tous les paquets émis par des processus locaux au routeur traversent la chaine OUTPUT.

52 Bilan

53 Connection Tracking Un mécanisme permettant netfliter manager et contrôler l état de connexion. On peut faire TCP Connection Tracking à travers iptables Quatre état(state) de TCP Connection Tracking : NEW ESTABLISHED RELATED et INVALID Sauf le paquet produit par le hôte est dans le chaine OUTPUT, toutes les autres Connection Tracking fonctionnent dans le chaine Pre-Routing.

54 État de Connection Tracking(connect TCP)

55 État de Connection Tracking(disconnect TCP)

56 État de Connection Tracking(connect UDP)

57 État de Connection Tracking(connect ICMP)

58 Commands iptables iptables est noyau de contrôle sur netfilter de userspace Trois genres de configuration iptables: Table, Chain, Rule Trois genres de tables: Filter,NAT, Mangle. Iptable v L peut lister toutes les règles et infos de table. Il est utilisé pour expliquer Table, Chain, Rule

59 Un exemple de résultat iptables -v -L

60 Ex: Format de command iptables

61 Format iptables

62 Liste de iptables Table

63 Liste de iptables Table

64 Liste des autre iptables commands

65 Liste de iptables Generic match

66 Liste de iptables implicit match

67 Liste de iptables explicit match

68 Liste de iptables target/jump

69 EXEMPLE

70 Exemple1 port 53 de hôte accepte un paquet UDP vient de # iptables -A INPUT -p UDP -s dport 53 -j ACCEPT Rajouter une règle(rule), puis le supprimer # iptables -A test -p tcp -j ACCEPT # iptables -D test -p tcp -j ACCEPT

71 Exemple2 accpte paquet ICMP comme 3(ping) # iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT Si 20 paquet de tcp SYN se produit par seconde, log it, le prefix est SYN Flood. # iptables -A INPUT -p tcp --syn -m limit --limit 20/second -j \ LOG logdatagrammeprefix "SYN Flood:"

72 Exemple3 Fonctionnalité NAT d iptables(1/2)

73 Exemple4-a Fonctionnalité NAT d iptables(1/2)

74 Exemple4-b Fonctionnalité NAT d iptables(1/2)

75 Fonctionnalités NAT d Iptables (2/2)

76 Transfert de ports

77 Iptables et filtrage(1/2)

78 Iptables et filtrage(1/2)

79 Iptables et filtrage(2/2)

80 Iptables et filtrage(2/2)

81 Iptables et suivi des connexions(1/2)

82 Iptables et suivi des connexions(2/2)

83 Outils de diagnostic Traces iptables. Possibilité de tracer certaines actions iptables. exemple : 1. Tracer toutes les actions iptables : 2. Rajouter une règle pour tracer les paquets rejetés nmap, nessus,.... Logiciels permettant de diagnostiquer l état d un firewall (trouver les ports ouverts, détecter les services utilisant les ports,... )

84 Outils et liens

85 Autres mécanismes de sécurité détection d instrusion(1/3)

86 Autres mécanismes de sécurité détection d instrusion(2/3)

87 Autres mécanismes de sécurité détection d instrusion(3/3)

88 Autres mécanismes de sécurité IPS et Honeypots