Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs Réseaux locaux virtuels (VLAN) Introduction à la Qos Authentification niveau 2 Moyens de sécurisation Interdire les accès non autorisés Piratage Contrôler l accès aux sites gourmands en bande passante Contrôler les informations non professionnelles Autoriser les accès pour les applications professionnelles Virus Serveurs Internet Non professionnel Firewall Professionnel? Postes Utilisateurs 1
Sécurité en couches (couches TCP/IP) implémentées en plusieurs points du réseau Filtres de paquets entrants (routeur, couche 3) Fonctions SPI et NAT (pare-feu, couche 4) SPI: Stateful packet Inspection 5. Application 4. TCP & UDP (transport) 3. IP (réseau) 2. Liaison de données 1. Physique Filtrage statique / routeur Filtrage effectué sur le niveau réseau adresses IP et numéros de ports TCP ou UDP Travail au niveau de la pile IP du routeur Souvent inadapté pour les protocoles gérant les ports dynamiquement (Peer to Peer, FTP, H323, ) Utilisation d Access-lists: -Couche 3 & 4 du modèle TCP/IP -Examen du contenu des paquets et application de certaines règles Transmission du paquet Suppression du paquet Logs Retour d informations à l émetteur Technologie très répandue au début d internet: c est la première ligne de défense Technique très utilisée mais insuffisante. Access-lists: voir TP Cisco et ASA Différents types d ACLs ACL standards et étendues (CISCO) Adresse source et destination Ports Fonctionnement : inspection de chaque paquet Remarque : traitement de l information rapide Exemple d ACL standard routeur CISCO Autoriser les paquets (permit) Interdire les paquets (deny) access-list 10 permit any 192.168.10.0 access-list 10 permit any 192.168.20.0 access-list 10 deny any 192.168.30.0 ACL étendue (Cisco) access-list numéro-liste-accès {deny permit} protocole \ adresse-source masque-source [opérateur port] \ adresse-destination masque-destination [opérateur port] [log] access-list 101 permit udp any host 192.9.200.1 eq domain 2
Fonctionnement de l inspection de paquets avec suivi de l état de connexion (SPI) (1/2) Statefull Protocol Inspection : la règle dépend des informations contenues dans les entêtes IP, UDP, TCP, ICMP du paquet et des paquets qui sont passés avant. à Il y a donc un suivi des connexions. Inspection d un premier paquet «autorisé» (par le routeur): Une entrée est créée dans une table (nouvelle connexion) Fonctionnement de l inspection de paquets avec suivi de l état de connexion (SPI) (2/2) Examen de l en-tête du paquet Adresses source et destination Type de protocole (TCP, UDP, ICMP ) Ports source et destination Flags (SYN, ACK, FIN, RST ) Comparaison aux règles de contrôle du trafic Exemple: Ne laisser passer que le trafic HTTP Généralement, le pare-feu autorise les connexions vers l'extérieur => entrée dans la table d'état =>les paquets entrants (retours de requêtes) appartenant à ces connexions ne sont pas filtrés TCP SYN TCP SYN + ACK TCP ACK TCP RST UDP requête DNS UDP réponse DNS état du module conntrack : NEW ESTABLISHED TCP ACK ét at ESTABLISHED pour le protocole TCP à partir d ici Ex : Module Netfilter LINUX (Commande iptables) NEW : une nouvelle connexion est établie. ESTABLISHED : la connexion analysée a déjà été établie RELATED : la connexion est en relation avec une autre connexion déjà établie (par exemple, une connexion de donnée de type..). INVALID : le paquet n'appartient à aucune des trois catégories précédentes. 3
Exemple avec les connexions FTP Serveur FTP eth0 eth1 modprobe ip_conntrack_ftp iptables - t filter A FORWARD - o eth0 i eth1 - p tcp \ - - dport ftp - m state - - state NEW,ESTABLISHED - j ACCEPT iptables - t filter A FORWARD - i eth0 o eth1 - p tcp \ - - sport ftp - m state - - state ESTABLISHED - j ACCEPT iptables - t filter A FORWARD - i eth0 o eth1 - p tcp - - sport 20\ - m state - - state ESTABLISHED,RELATED - j ACCEPT iptables - t filter A FORWARD - o eth0 i eth1 - p tcp - - dport 20\ - m state - - state ESTABLISHED - j ACCEPT Règles de filtrage / Pare-feu Règles balayées dans l ordre croissant Nécessité de mettre les règles les plus utilisées au début (performance) Nécessité de mettre les règles les plus restrictives avant les autres (ex.: si une machine à certains droits et le réseau auquel elle appartient ne les a pas) Interdire tout trafic vers le pare-feu Règle implicite interdisant tout trafic ne correspondant pas à une règle explicite Interface graphique pour iptables/netfilter: fwbuilder 4
Pare-feux applicatifs Vérification complète de la validité des informations échangées dans la connexion Ex: protocole HTTP dans connexion port destination 80 Nécessitent beaucoup plus de puissance de calcul Conviennent aux applications qui utilisent l attribution de port dynamiquement Non nécessité de laisser des ports ouverts de manière statique (les ports restent ouverts uniquement le temps de la session) Cas du FTP (connexion DATA) Nombre limité d applications connues sur chaque pare-feu Dépend du constructeur, du modèle, des modules d extensions choisis, etc Exemple: FFS et CABC sur routeurs Cisco FFS: Firewall Feature Set mises en place d Access-lists statiques et dynamiques pour filtrer Module CBAC Ip inspect name nom_protocole Protocoles connus: (telnet, http, https, smtp, tftp, snmp, ftp, H323, RPC, Oracle ODAS, etc) Suivi de l état des sessions Suivi des sessions TCP à demi-ouvertes, ouvertes et fermées pour éviter les attaques SYN Flood Numéros de session et débits de transmission doivent être compris dans des seuils définis par l administrateur Journalisation des sessions Dates et heures Hôtes source et destination Ports Nombre total d octets transmis Pare-feux avec identification Laisse passer le trafic en fonction de l utilisateur, de son ordinateur, des logiciels présents (version d antivirus, etc) Base de comptes locales au pare-feu Pare-feu client LDAP, Radius, Tacacs, Kerberos, etc. Voir TP ASA 5505 pour mise en place de ces techniques Exemple Serveur Radius client Radius Internet Firewall Login + password +Certificat Windows Seven + Mises à jour + Antivirus à jour Serveurs 5
Limitations des pare-feux Ne peuvent empêcher des utilisateurs ou attaquants utilisant des modems d accéder à l intérieur du réseau Ne peuvent empêcher une mauvaise utilisation des mots de passe (non respect de la stratégie de mots de passe par les utilisateurs) Concentration du trafic en un seul point = goulet d étranglement = source de panne fatale Translation d adresse: NAT NAT statique Même adresse IP publique à une adresse IP privée donnée Ex : serveur WEB NAT dynamique Associe à une adresse IP privée une adresse publique aléatoire tirée d'un groupe (pool) PAT (Port Address translation) Associe une seule adresse publique à plusieurs adresses privées en utilisant divers ports Rappel : 65 535 ports TCP sont supportés par adresse IP Filtrage et NAT sur Linux Réseau nat PREROUTING route? filter FORWARD nat POSTROUTING Réseau route? filter INPUT filter OUTPUT nat OUTPUT Processus local 6
Sécurité avec NAT Plus difficile pour un attaquant de : Déterminer la topologie du réseau et le type de connectivité de l'entreprise cible Identifier le nombre de systèmes qui s'exécutent sur le réseau Identifier le type des machines et leurs systèmes d'exploitation Réaliser des attaques de type déni de service (Ex : SYN Flood, scan de ports, injection de paquets) Inconvénients de NAT Connexions UDP mal gérées Estimation du temps où la connexion doit rester ouverte D'autres protocoles sont mal gérés Kerberos, X Windows, rsh (remote shell), SIP (Session Initiation Protocol) Systèmes de chiffrement et d'authentification Ces systèmes sont basés sur l'intégrité des paquets Or NAT modifie ces paquets Journalisation compliquée Mise en corrélation des journaux demande d'intégrer les traductions réalisées par NAT Problème de partage d'adresse avec PAT Authentification auprès d'une ressource extérieure protégée (tous les utilisateurs partageant la même adresse risquent de pouvoir utiliser cette ressource) Pare-feux personnels Peut-être intégré au système (Windows, Mac ) Ex Windows => dans le panneau de configuration 7
Pare-feux personnels Pare-feux personnel Windows XP :netsh firewall set icmpsetting 8 enable Vista, Seven: netsh advfirewall firewall add rule name= ping entrant ok protocol=icmpv4:8,0 dir=in action=allow Pare feu personnel (Seven) 8
Autres caractéristiques des pare-feux Pare-feu tout en un: intègrent les fonctionnalités suivantes: Routeur Commutateur ethernet Point d accès sans fil pare-feu Pare-feu pour bureau de taille moyenne Ex : ASA5505 Cisco, Watchguard séries 5 et 8, F50 Netasq Pare-feu d entreprise Ex : ASA5515, F200 Netasaq Watchguard 1050, 1500, etc Différences entre les gammes de pare-feux Nombre de connexions supportées Capacité CPU, mémoire (RAM ou flash) Souvent modulaires Nombre de DMZ Nombre de tunnels simultanés Bande passante dans tunnels. Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC Du concentrateur à la commutation Hubs et switchs Réseaux locaux virtuels Introduction à la Qos Authentification niveau 2 Zone démilitarisée (DMZ, Demilitarized Zone) Zone du réseau interne isolée (entre la zone publique et la zone privée) Serveur web Serveur de messagerie Serveur FTP Serveur DNS (données publiques, données internes)... Cela permet au trafic venant d internet d aller dans cette zone, mais pas de pénétrer ailleurs sur le réseau interne Possibilité d auditer le trafic échangé avec la DMZ Possibilité de placer un système de détection d intrusion 9
Localisation et fonction d une DMZ Réseau d entreprise interne (privé) 192.168.2.1 public Pare-feu Routeur 209.164.3.1 209.164.3.2 152.77.128.1 Internet 192.168.2.10 Serveur FTP Serveur de messagerie 152.77.128.103 Serveur web Zone démilitarisée (DMZ) Serveur DNS 152.77.128.104 Réseau d entreprise interne (privé) Autre architecture avec DMZ public Pare-feu Pare-feu Routeur Internet Serveur FTP Serveur de messagerie Serveur DNS Serveur web Zone démilitarisée (DMZ) Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs Réseaux locaux virtuels Introduction à la Qos Authentification niveau 2 10