La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic IP, éditions Eyrolles S. Coulondre, cours de sécurité, INSA Lyon, dpt TC Introduction Les pare-feu (firewall) Constituent une barrière entre le réseau et l extérieur Les équipements de sécurité les plus installés Permet de filtrer le trafic passant à travers 1
Introduction Définition «Ensemble de composants applicant une politique de contrôle d accès entre deux réseaux» Fonctions Autoriser ou interdire l ouverture d un service Utiliser un protocole Autoriser ou bannir une adresse IP source/destination Vérifier/inspecter la conformité du trafic «Tout ce qui n est pas explicitement autorisé est interdit» Introduction L exemple du pare-feu personnel: autorise ou interdit à un programme d accepter des connexions de l extérieur autorise ou interdit l utilisation d un protocole donné en entrée ou en sortie ex: Windows XP, Linux (netfilter), Zonealarm Avantages Contrôle des flux sur chaque poste Inconvénients Si OS différents? Souvent pas de centralisation de la confirguration Pop up intempestives mauvaise configuration Que se passe-t-il en dehors des postes? Ne remplacent JAMAIS un parefeu autonome Filtrage de paquets 2
Filtrage de paquets Filtrage statique But : autoriser / interdire le passage d un paquet selon: le port source/destination le protocole (UDP, TCP, ICMP) l adresse source/destination le type du paquet ICMP la taille du paquet interface d entrée / de sortie Filtrage de paquets Filtrage dynamique. En plus: l état des connexions du pare feu (stateful) ce paquet est-il une réponse? ce paquet a-t-il des analogies avec un précédent (taille, source )? modification du paquet à la volée (NAT) redirection transparente du paquet adapter dynamiquement ses règles (blocage du trafic de et vers un site anormal) Filtrage de paquets Décision ACCEPT / DROP / REFUSE Inscription dans les logs Déclencher une alarme 3
Filtrage de paquets Exemples de règles restrictives pour une salle TP étudiante Autoriser en sortie : le port 80 (http) le port 443 (https) le port 21 (ftp) le port 22 (ssh) le port 25 (smtp) le port 110 (pop) le port 53 (dns) Filtrage de paquets Mais exemple plus complexe : Trafic du service comptabilité Trafic du service développement Trafic de la DSI Accès pour le fournisseur X au service Y Accès pour la maintenance de la SSII X Accès du partenaire X au service Y pour une durée d Attention : tout oubli est une porte d accès de l extérieur Filtrage de paquets Avantages Ensemble de règles régissant toute la politique de filtrage de l entreprise Centralisation du contrôle de trafic Traitement rapide (niveau 4) De très nombreux produits 4
Filtrage de paquets Inconvénients Règles par port / par adresses microscopique et non intuitif Règles manuelles complexes à gérer Historique des règles (tel service n a plus besoin de telle règle) Redondance/conflit de certaines règles? Audit périodique nécessaire S arrête au niveau 4 encapsulation possible Accès WIFI accès à Internet via une encapsulation dans les echo request Filtres applicatifs Filtres applicatifs Proxy Introduit un élément intermédiaire obligatoire entre le client et le serveur Proxy applicatifs Niveau 7 du modèle OSI Proxy de type circuit Niveau 5 du modèle OSI 5
Filtres applicatifs Proxy applicatif Analyse de la charge utile du paquet Lenteur d inspection du paquet Décisions propres à l application ftp en download seulement) suppression des javascripts suppression de certains mots sur des pages webs Un proxy par protocole (http, dns, smtp, pop ) Fonctionnement Analyse le paquet et sa charge utile Bascule si besoin est à une inspection classique (SSL) Filtres applicatifs Proxy de type circuit Création d un circuit virtuel client serveur Le client initie une connexion vers le mandataire pour un serveur les anciens centraux téléphoniques Règles autoriser pour une durée donnée enregistrer l utilisateur, la durée de connexion Nécessite l installation d un module sur le client N interprète pas les protocoles applicatifs Même si une connexion est coupée, continue à accepter des paquets Règles de filtrage statiques ex : connexions sur le port 20 possibles sans connexion antérieure sur le port 21 Utile lorsque l implémentation d un proxy applicatif est trop complexe / impossible Filtres applicatifs Un exemple : SOCKS v5 (Linux) Authentification de l utilisateur Support de TCP / UDP / ICMP Source : SOCKS 6
Filtres applicatifs Avantages Inspection plus fine des paquets Cache possible Attaques sur des comportements anormaux éliminées Inconvénients Plus la granularité augmente, plus l inspection est lente NAT NAT Network Address Translation Permet de renuméroter les adresses source ou destination Traduction dynamique ou statique des ports Table de correspondance adresse arrivée/adresse traduite 7
NAT @a : 1000 @c : 1234 @b : 1234 / @c : 80 @a : 1000 / @c :80 @b : 1234 / @c : 80 A @a : 1000 / @c : 80 B C NAT Avantages Renumérotation de réseaux entiers Cache la topologie interne du réseau Accès Internet possible pour les réseaux privés Inconvénients Incompatible avec certains protocoles (H323) Incompatibilité si contrôle d intégrité (IPSEC) Encapsulation des paquets IPSEC dans UDP Modification du paquet lui-même ftp s 8
Routeur filtrant des ACL donnent les règles de filtrage support de beaucoup de constructeurs Utilisation se combine généralement avec d autres produits simple peu coûteux performant fonctionnalités limitées Bastion Une machine en interne joue le pare feu Un routeur filtrant n autorise que le trafic de et vers ce bastion + Du trafic peut passer directement à travers le routeur filtrant (performances) - Vulnérabilité bastion + Vulnérabilité routeur filtrant 9
Double interface en coupure du réseau possède une adresse IP par interface redirection transparente possible + en coupure totale le pare feu est arêté rien ne passe tout est filtré redirection transparente possible vers des mandataires possibilité de cloisonner x réseaux internes si x+1 interfaces - performances requises importantes DMZ (zone démilitarisée) la possibilité d offrir des services sans les placer à l intérieur rappel : corruption d un serveur un pied dans le réseau offre une zone isolée de l intérieur et de l extérieur possibilité de définir de multiples DMZ cloisonnement des zones cloisonnement des flux si une zone tombe, les autres fonctionnent De plus en plus utilisé 10
Exemple avec un bastion Exemple avec une passerelle multi-interfaces Il n existe pas d architecture idéale Il faut l adapter en fonction de la structure organisationnelle de la structure géographique des partenariats de la criticité des applications du budget / du personnel associé à la sécurité 11
Conclusion 12
Conclusion Conclusion témoin de l engouement des pare feu Outil nécéssaire pour le filtrage intérieur/extérieur MAIS pas la solution miracle règles microscopiques attaques internes possibles encapsulation des paquets (filtrage de paquets) autorisation de connexions et non d utilisateurs SPOF + résistance à la charge (liens Gigabits) équilibrage de charge possible déni de service 13