Livre blanc

________________________

Firewalls et contrle des flux

--o-Principes, mise en uvre et outils open source
________________________

Collection systme et infrastructure

Page 2

Firewalls et contrle de flux

PRAMBULE
Smile
Smile est une socit dingnieurs experts dans la mise en uvre de solutions open source et lintgration de systmes appuys sur lopen source. Smile est membre de lAPRIL, lassociation pour la promotion et la dfense du logiciel libre. Smile compte 290 collaborateurs en France, 320 dans le monde (septembre 2009), ce qui en fait la premire socit en France spcialise dans lopen source.

www.smile.fr

Depuis 2000, environ, Smile mne une action active de veille technologique qui lui permet de dcouvrir les produits les plus prometteurs de lopen source, de les qualifier et de les valuer, de manire proposer ses clients les produits les plus aboutis, les plus robustes et les plus prennes. Cette dmarche a donn lieu toute une gamme de livres blancs couvrant diffrents domaines dapplication. La gestion de contenus (2004), les portails (2005), la business intelligence (2006), les frameworks PHP (2007), la virtualisation (2007), et la gestion lectronique de documents (2008), ainsi que les PGIs/ERPs (2008). Parmi les ouvrages publis en 2009, citons galement Les VPN open source , et Firewall est Contrle de flux open source , dans le cadre de la collection Systme et Infrastructure . Chacun de ces ouvrages prsente une slection des meilleures solutions open source dans le domaine considr, leurs qualits respectives, ainsi que des retours dexprience oprationnels. Au fur et mesure que des solutions open source solides gagnent de nouveaux domaines, Smile sera prsent pour proposer ses clients den bnficier sans risque. Smile apparat dans le paysage informatique franais comme le prestataire intgrateur de choix pour accompagner les plus grandes entreprises dans ladoption des meilleures solutions open source. Ces dernires annes, Smile a galement tendu la gamme des services proposs. Depuis 2005, un dpartement consulting accompagne nos clients, tant dans les phases davant-projet, en recherche de solutions, quen accompagnement de projet. Depuis 2000, Smile dispose dun studio graphique, devenu en 2007 Agence Media Interactive, proposant outre la cration graphique, une expertise e-marketing, ditoriale, et

Smile Open Source Solutions

Page 3

Firewalls et contrle de flux

interfaces riches. Smile dispose aussi dune agence spcialise dans la Tierce Maintenance Applicative, le support et lexploitation des applications. Enfin, Smile est implant Paris, Lyon, Nantes, Bordeaux et Montpellier. Et prsent galement en Espagne, en Suisse, en Ukraine et au Maroc.

Quelques rfrences
Intranets - Extranets
Socit Gnrale, Caisse d'pargne, Bureau Veritas, Commissariat l'Energie Atomique, Visual, Vega Finance, Camif, Lynxial, RATP, SPIE, Sonacotra, Faceo, CNRS, AmecSpie, Chteau de Versailles, Banque PSA Finance, Groupe Moniteur, CIDJ, CIRAD, Bureau Veritas, Ministre de lEnvironnement, JCDecaux, Ministre du Tourisme, DIREN PACA, SAS, Institut National de lAudiovisuel, Cogedim, Ecureuil Gestion, IRP-Auto, AFNOR, Conseil Rgional Ile de France, Verspieren, Zodiac, OSEO, Prolea, Conseil Gnral de la Cte dOr, IPSOS, Bouygues Telecom, Pimki Diramode, Prisma Presse, SANEF, INRA, HEC, ArjoWiggins

www.smile.fr

Internet, Portails et e-Commerce

cadremploi.fr, chocolat.nestle.fr, creditlyonnais.fr, explorimmo.com , meilleurtaux.com, cogedim.fr, capem.fr, editions-cigale.com, hotels-exclusive.com, souriau.com, pci.fr, dsvcea.fr, egide.asso.fr, osmoz.com, spie.fr, nec.fr, sogeposte.fr, nouvelles-frontieres.fr, metro.fr, stein-heurtey-services.fr, bipm.org, buitoni.fr, aviation-register.com, cci.fr, schneider electric.com, calypso.tm.fr, inra.fr, cnil.fr, longchamp.com, aesn.fr, Dassault Systemes 3ds.com, croix rouge.fr, worldwatercouncil.org, projectif.fr, editionsbussiere.com, glamour.com, fratel.org, tiru.fr, faurecia.com, cidil.fr, prolea.fr, ETS Europe, ecofi.fr, credit cooperatif.fr, odit france.fr, pompiersdefrance.org, watermonitoringaliance.net, bloom.com, meddispar.com, nmmedical.fr, medistore.fr, Yves Rocher, jcdecaux.com, cg21.fr, Bureau Veritas veristar.com, voyages sncf.fr, eurostar.com, AON, OSEO, cea.fr, eaufrance.fr, banquepsafinance.com, nationalgeographic.fr, idtgv.fr, prismapub.com, Bouygues Construction, Hachette Filipacchi Media, ELLE.fr, femmeactuelle.fr, AnnoncesJaunes.fr

Applications mtier, business intelligence

systmes

documentaires,

Renault, Le Figaro, Sucden, Capri, Libration, Socit Gnrale, Ministre de lEmploi, CNOUS, Neopost Industries, ARC, Laboratoires Merck, Egide, Bureau Veritas, ATELHotels, Exclusive Hotels, Ministre du Tourisme, Groupe Moniteur, Verspieren, Caisse dEpargne, AFNOR, Souriau, MTV, Capem, Institut Mutualiste Montsouris, Dassault Systemes, Gaz de France, CFRT, Zodiac, Croix-Rouge Franaise, Centre dInformation de la Jeunesse (CIDJ), Pierre Audoin Consultants, EDF, Conseil Rgional de Picardie, Leroy Merlin, Renault F1, lINRIA, Primagaz, Volia Propret, Union de la Coopration Forestire Franaise, Ministre Belge de la Communaut Franaise, Prodigg

Smile Open Source Solutions

Page 4

Firewalls et contrle de flux

Ce livre blanc
Ce livre blanc, consacr aux principes et outils de firewalling et de contrle de flux, est le premier volume d'une collection traitant des outils d'infrastructure, dans laquelle on peut ranger galement le livre blanc intitul Plateformes web Hautes Performances - Principes darchitecture et outils open source , paru dbut 2009. Selon le schma habituel de nos livres blancs, nous prsentons ici la fois les concepts fondamentaux, et une slection des meilleurs outils. Nous exposons les caractristiques de chacun, les possibilits et outils de leur mise en uvre et configuration, afin d'aider le lecteur dans la slection d'outils adapts chaque contexte d'utilisation.

www.smile.fr
Smile Open Source Solutions

Page 5

Firewalls et contrle de flux

Table des matires

PRAMBULE......................................................................................................2
SMILE................................................................................................................................2 QUELQUES RFRENCES ..........................................................................................................3 Intranets - Extranets..............................................................................................................3 Internet, Portails et e-Commerce............................................................................................3 Applications mtier, systmes documentaires, business intelligence..............................................................................................................3 CE LIVRE BLANC.....................................................................................................................4

INTRODUCTION.................................................................................................7
POURQUOI FILTRER ?...............................................................................................................7 ROUTAGE ET FILTRAGE.............................................................................................................7 POLITIQUE DE FILTRAGE............................................................................................................8 DIFFRENTS NIVEAUX POUR DIFFRENTS USAGES..............................................................................10 Filtrage rseau.....................................................................................................................10 Filtrage applicatif.................................................................................................................10 QUALIT DE SERVICE.............................................................................................................11 SUIVI DE CONNEXION.............................................................................................................11 QUEL MATRIEL ?.................................................................................................................12

www.smile.fr

L'OFFRE OPENSOURCE EN MATIRE DE FILTRAGE........................................13

FILTRAGE NIVEAU 3...............................................................................................................13 Netfilter (iptables).................................................................................................................13 NuFW...................................................................................................................................13 pf.........................................................................................................................................14 Choix d'une solution de filtrage rseau................................................................................16 INTERFACES DE CONFIGURATION.................................................................................................16 Uncomplicated Firewall........................................................................................................17 Firewall Builder...................................................................................................................17 FILTRAGE NIVEAU 7...............................................................................................................18 Squid....................................................................................................................................18
La mise en cache des requtes....................................................................................19 Le contrle d'accs....................................................................................................19

Snort....................................................................................................................................19 spamd..................................................................................................................................20
La liste noire.............................................................................................................21 La liste blanche.........................................................................................................21 La liste grise ........................................................................................................21

QOS : QUALIT DE SERVICE....................................................................................................22 PRIO.....................................................................................................................................22 HFSC...................................................................................................................................23 PRODUITS INTGRS..............................................................................................................24 IpCop...................................................................................................................................24 pfSense................................................................................................................................25 Untangle..............................................................................................................................27

ARCHITECTURES CLASSIQUES.......................................................................28
PETITE
ENTREPRISE

/ AGENCE

RGIONALE....................................................................................28

Smile Open Source Solutions

Page 6

Firewalls et contrle de flux

Plan du rseau.....................................................................................................................28 Politique de filtrage..............................................................................................................29 Implmentation....................................................................................................................30 Particularits........................................................................................................................30 ENTREPRISE DE TAILLE MOYENNE...............................................................................................30 Plan du rseau.....................................................................................................................31 Politique de filtrage..............................................................................................................31 Particularits........................................................................................................................32 HBERGEUR.......................................................................................................................32 Plan du rseau.....................................................................................................................32 Politique de filtrage .............................................................................................................32 Implmentation....................................................................................................................33 PARTICULARITS...................................................................................................................34

CONCLUSION...................................................................................................35

www.smile.fr
Smile Open Source Solutions

Page 7

Firewalls et contrle de flux

INTRODUCTION
Pourquoi filtrer ?
Les menaces contre les systmes d'information sont multiples, qu'il s'agisse de menaces externes, ou parfois internes l'entreprise, intentionnelles ou non, il est devenu vital de prter une attention permanente la scurit de ces rseaux. Un grand nombre de ces menaces prennent la forme d'une attaque directe contre une machine. Qu'il s'agisse d'un commutateur rseau, d'un serveur ou d'une simple station de travail, tout systme expose diffrents services que les attaquants peuvent exploiter afin de compromettre la machine. Une autre varit de menace est indirecte : la machine n'est plus compromise directement par une attaque rseau originaire de l'extrieur, mais par son propre utilisateur. Il peut s'agir par exemple d'un virus dclench en ouvrant un document ou un lien internet malicieux. Dans ce cas, l'attaque en elle mme n'est pas toujours dtectable, mais ses consquences sont visibles : envoi de spam, participation des attaques massives de dni de service, etc. Dans la plupart des cas, une attaque informatique transite par un composant rseau. Les firewalls sont des quipements qui viennent se placer sur le chemin rseau entre les machines et l'extrieur, et qui sont capables de dtecter les utilisations anormales et menaces et de bloquer. On parle galement de filtre rseau.

www.smile.fr

Routage et filtrage
La notion de firewall, est souvent lie celle de routage c'est dire l'acheminement des flux rseau entre les diffrentes machines. En effet on ne peut raisonnablement installer des systmes complexes de filtrage rseau sur chaque machine. De plus, en cas de compromission il est indispensable de pouvoir observer le comportement d'une machine de l'extrieur, car les propres systmes de scurit de la machine compromise ne sont plus dignes de confiance. Les firewalls sont donc gnralement installs sur des quipements de routage, dont ils sont une partie intgrante. Ce qui signifie que le routage peut tre modifi par une dcision du firewall, et que le firewall

Smile Open Source Solutions

Page 8

Firewalls et contrle de flux

appliquera des rgles de filtrage diffrentes selon l'origine et la destination du trafic. Ainsi, tout le trafic destination d'un rseau distant sera soumis au filtrage. L'quipement de routage devient alors le point central de filtrage, mme si on continue gnralement appliquer un filtrage supplmentaire sur chaque machine, car en matire de scurit, la redondance n'est pas superflue.

Politique de filtrage
Un des principes de base de la scurit rseau est la notion de zone. La plupart des rseaux peuvent tre dcoups en zones pour lesquelles une mme politique de scurit s'applique. Ces zones correspondent trs souvent des sous-rseaux, c'est dire des ensembles de machines qui communiquent directement entre elles sans passer par un routeur. Si une zone peut tre compose d'un ou plusieurs sousrseaux, il est rare qu'un mme sous-rseau fasse partie de plusieurs zones, en particulier lorsque la majorit du filtrage est effectu par les routeurs. Les zones se caractrisent gnralement par leur niveau de confiance. Ainsi, le rseau de l'entreprise est gnralement considr comme plus sr que l'Internet, mais moins sr que le sous-rseau ddi aux serveurs. On peut gnralement rsumer la configuration des firewalls une politique de filtrage, qui dcrit simplement les interactions entre les zones. La politique de filtrage rseau n'est bien sr qu'un sousensemble de la politique de scurit de l'entreprise, et n'assure pas elle seule la scurit de l'ensemble des ressources informatiques. Voici pour illustrer ces propos, un exemple de rseau d'entreprise.

www.smile.fr

Smile Open Source Solutions

Page 9

Firewalls et contrle de flux

www.smile.fr

Sur cet exemples on a identifi trois zones : internet, la zone A constitue de deux sous-rseaux (par exemple : deux tages diffrents d'un btiment), et la zone B, plus sensible, constitue des postes stockant des donnes comptables. Et voici un exemple de politique de scurit applicable ce rseau :

Autoriser les connexions de la zone A vers internet. Autoriser les connexions de la zone B vers internet uniquement sur certains services de confiance (fournisseurs, etc.) Refuser les connexions provenant d'Internet, et les connexions entre les deux zones.

vers Zone A De Zone A ... De Zone B ... De Internet ... N/A Interdit Interdit

vers Zone B Interdit N/A Interdit

vers Internet Autoris Filtr N/A

Smile Open Source Solutions

Page 10

Firewalls et contrle de flux

Diffrents niveaux pour diffrents usages

Chaque trame qui circule sur un rseau est compose d'enveloppes imbriques qui correspondent aux diffrents niveaux de protocoles. Au moment o le firewall reoit du trafic, il peut inspecter les informations contenues plus ou moins en profondeur, on parle de niveau de filtrage.

Filtrage rseau
Les filtres rseau se contentent d'examiner les couches 3 et 4, c'est dire IP (routage) et TCP (transport) de chaque paquet: leur adresse d'origine, de destination et le protocole contact (sous la forme d'un numro de port). De ce fait, les filtres qui travaillent ce niveau sont capables de travailler avec des routeurs (niveau 3) et permettent un niveau de filtrage suffisant dans la majorit des cas. Leur principale utilisation est de rendre une zone inaccessible depuis une autre, ou de limiter l'accs certains services (mail, web...).

www.smile.fr

Filtrage applicatif
Les filtres applicatifs travaillent au niveau 7, le niveau application , du modle OSI c'est dire qu'ils analysent les donnes applicatives elles-mmes, et non les seules enveloppes ; ils ont donc une meilleure comprhension du trafic qu'ils analysent. En revanche, ils requirent un traitement spcifique au protocole applicatif utilis pour pouvoir travailler. Par exemple, un firewall applicatif permet de ne restreindre l'accs au web qu' certaines URL prcises, ou filtrer le courrier indsirable (spam, virus) aprs avoir analys le contenu de chaque e-mail. La diffrence avec un firewall rseau est qu'un firewall applicatif permet un contrle plus fin des accs, mais n'est pas aussi polyvalent : chaque protocole tant particulier, il faut mettre en place un filtre applicatif par protocole, ou utiliser un filtre gnrique qui intgre la connaissance de plusieurs protocoles, mais qui n'est pas souvent aussi performant qu'un logiciel spcialis dans un seul protocole. Cependant, les filtres applicatifs sont souvent ncessaires, en particulier pour protger les mails et le web, car de plus en plus d'attaques prennent aujourd'hui pour cible ces mdias.

Smile Open Source Solutions

Page 11

Firewalls et contrle de flux

Qualit de service
Le rle d'un firewall ne se limite pas toujours autoriser ou interdire l'accs une ressource. Il est possible d'utiliser un firewall dans un rle plus qualitatif, plus fin. La bande passante disponible sur un quipement de routage est souvent limite, notamment vers et en provenance d'Internet ou d'autres rseaux distants. Or certaines applications, en particulier la VOIP qui fera l'objet d'un autre livre blanc de Smile, ont des exigences particulires vis vis de la qualit et l'encombrement des liaisons rseaux. Selon le protocole utilis, selon la source et la destination du trafic, et parfois mme selon des critres applicatif, il est possible de favoriser ou de pnaliser un type de trafic par rapport un autre.

www.smile.fr

Certains algorithmes de gestion de la qualit de service permettent de garantir une bande passante minimale, et parfois un temps de traitement maximal du trafic ainsi que la possibilit de fournir des pics de bande passante pendant une courte dure.

Suivi de connexion
Interdire l'ensemble du trafic rseau dans un sens mais pas dans l'autre est irraliste, en ralit, ce que l'on cherche faire c'est plutt d'interdire l'tablissement de connexions dans un sens, et l'autoriser dans un autre. Mais une fois la connexion ouverte, le trafic doit tre capable de circuler dans les deux sens entre le client et le serveur. Dans le cas de protocoles comme le Web (HTTP), le suivi de connexion prend tout son sens, car le gros du trafic est constitu non pas des requtes adresses par les clients, mais des rponses mises par le serveur. Les rponses doivent videmment traverser le firewall, alors qu'une requte provenant d'Internet destination d'un hte du rseau local ne doit pas tre autorise. Pour raliser cela, les firewalls disposent d'un mcanisme appel suivi de connexion (connection tracking), qui leur permet de garder une trace des connexions tablies, afin d'autoriser tout les changes relatifs une mme session. Le suivi de connexion permet galement de mettre en place une translation d'adresse (NAT). Dans ce cas, le firewall rcrit l'adresse source ou l'adresse de destination de chaque paquet relatif une connexion.

Smile Open Source Solutions

Page 12

Firewalls et contrle de flux

L'utilisation du NAT est indispensable ds lors que l'on possde moins d'adresses IP que de machines, ce qui est le cas le plus gnral. Enfin, le suivi de connexion parfois besoin d'examiner le contenu des paquets pour travailler, c'est notamment le cas du protocole FTP. Ce protocole archaque mais nanmoins toujours utilis ncessite la communication sur plusieurs ports, qui sont choisi lors d'une ngociation sur un port connu. Il faut donc que le firewall capture cette ngociation pour pouvoir ouvrir automatiquement les ports demands. Le mme problme se pose avec certains protocoles multimdias comme le H.323 (voix sur IP). On appelle cela du suivi de connexion applicatif (ou niveau 7). Dans la pratique, on utilise presque permettant un suivi de connexion. uniquement des firewalls

www.smile.fr

Quel matriel ?
Le filtrage simple du trafic rseau n'est pas une activit trs exigeante en termes de matriel, la plupart des firewalls commerciaux sont construits autour de puces peu puissantes. Le besoin de performance apparat souvent au fur et mesure que l'on remonte les couches OSI : plus on examine les paquets plus il faut de puissance, en particulier avec des outils de dtection d'intrusion qui doivent appliquer un grand nombre de traitements sur chaque paquet rseau traversant la machine. Pour un firewall/routeur travaillant principalement au niveau 3 et proposant quelques services de niveau 7 comme un proxy et un antispam simple, mme une machine de bureau peut convenir. Dans beaucoup de petites entreprises de telles machines sont recycles en firewall. Pour supporter des dbits levs (suprieurs 20-30 Mb/s), tout en offrant des services niveau 7 plus consquents comme de la dtection d'intrusion, une analyse virale du trafic web ou un anti-spam complexe, il faudra souvent s'orienter vers du matriel plus haut de gamme, un serveur dot de cartes rseau de meilleure qualit et de meilleures capacits de traitement (processeur, disques rapides...).

Smile Open Source Solutions

Page 13

Firewalls et contrle de flux

L'OFFRE OPENSOURCE

EN MATIRE

DE FILTRAGE

Filtrage niveau 3
La plupart des solutions de niveau 3 interagissent fortement avec le systme de routage de paquets, c'est pourquoi elles font partie intgrante des principaux systmes d'exploitation open source.

Netfilter (iptables)

www.smile.fr

Netfilter est la solution native de filtrage rseau sous Linux. Cette solution est plus connue sous le nom de son principal outil d'administration en ligne de commande : iptables. Ses nombreux modules lui permettent de filtrer le trafic selon des critres trs divers : sous-rseau d'origine, de destination, ports, heure de la journe et, via des programmes utilisateurs, n'importe quel autre critre. Il dispose galement de modules permettant le suivi d'tat de protocoles tels que FTP ou H.323, qui ncessitent une inspection des paquets au niveau 7. Son principal dfaut est son systme de configuration : Netfilter se configure par l'excution successive d'un certain nombre de commandes iptables, la syntaxe peu intuitive. Cependant il existe de nombreux outils, tels que ufw, qui simplifient la configuration en excutant automatiquement ces commandes partir d'un fichier crit dans une syntaxe plus lisible. L'inconvnient de ces outils simplifiant l'interface est que l'on perd en fonctionnalits puisqu'ils n'implmentent en gnral qu'un sousensemble des fonctions de NetFilter.

NuFW
NuFW est une surcouche Netfilter qui lui rajoute la gestion des utilisateurs. En effet, les firewalls ont un point de vue sur le trafic uniquement au niveau rseau : lorsqu'un administrateur veut dterminer quelle personne physique est responsable d'une action, il doit utiliser une autre source d'information (DNS, domaine windows, etc.). De plus, si plusieurs utilisateurs partagent le mme poste ou en changent rgulirement il devient difficile de tracer leurs activits.
Smile Open Source Solutions

Page 14

Firewalls et contrle de flux

NuFW comble ces lacunes en authentifiant chaque utilisateur du rseau. Avant de pouvoir accder au rseau l'utilisateur lance un programme sur sa machine, qui l'authentifie par un mot de passe ou un certificat numrique. Ensuite, le firewall est capable de grer des rgles par utilisateur et non plus par sous-rseau. A chaque connexion, le firewall dialogue avec le programme client pour valider l'accs. Ceci permet une plus grande souplesse d'utilisation : un administrateur rseau qui dispose d'un accs privilgi ses serveurs le conserve lors de ses dplacements, et une tierce personne ne peut plus essayer d'usurper son adresse rseau pour obtenir le mme accs. De plus cela permet de relier directement un utilisateurs chaque alerte leve par le firewall. A ce jour aucun autre produit ne propose cette fonctionnalit : les autres firewall dits authentifiants se contentent en ralit de lier un utilisateur une IP pendant la phase d'authentification puis travaillent avec cette IP ce qui est beaucoup moins fiable. Enfin NuFW peut tre utilis comme source d'authentification par des services rseau, puisqu'il exporte une base de donne SQL contenant le propritaire de chaque connexion. N'importe quelle application capable d'accder cette base peut dterminer qui est l'utilisateur qui vient de se connecter l'application. Le principal dfaut de NuFW est la ncessit d'installer un outil ct client sur les postes des utilisateurs.

www.smile.fr

pf
pf (Packet Filter) est la solution native de filtrage rseau sous les systmes drivs de BSD, c'est dire aujourd'hui FreeBSD, OpenBSD, NetBSD et DragonFlyBSD. En plus de permettre le filtrage de paquets, pf s'interface avec le reste de la pile rseau de ces systmes, en particulier le routage, la QoS et les systmes de haute disponibilit. Les interactions de pf avec le systme de haute disponibilit d'OpenBSD sont dcrites dans le livre blanc de Smile consacr aux solutions de haute disponibilit. pf est similaire Netfilter dans ses possibilits de base : il possde un suivi d'tat, est capable de bloquer ou d'accepter du trafic en fonction des adresses et des ports de destination, et est capable de grer des translations d'adresse. De plus pf possde un systme de tables similaire au module recent de Netfilter : il permet de grer en temps rel une liste d'accs, par exemple pour autoriser temporairement une personne se connecter sans devoir diter le jeu de rgles, ou pour bannir les utilisateurs qui font trop de

Smile Open Source Solutions

Page 15

Firewalls et contrle de flux

connexions simultanes un servir (prvention de DoS, Denial of Service, ou de bruteforcing).

pf dispose d'un systme d'ancres qui permet un programme utilisateur de rajouter des rgles la vole, ce qui permet de dlguer une partie de l'administration du firewall des programmes; il est au cur de l'implmentation d'une solution de haute disponibilit sous OpenBSD. Enfin, pf permet d'effectuer quelques oprations d' embellissement du trafic, en particulier le r-assemblage de paquets fragments, le blocage de paquets errons, etc. Ce qui permet de purifier un peu le rseau et d'viter certaines attaques qui tirent parti de bugs dans le traitement de paquets errons sur un OS prcis.

www.smile.fr

Il dispose cependant de moins de modules que Netfilter, en particulier concernant les possibilits de suivi de connexion au niveau 7. En effet, le suivi de connexion pour le FTP est assur par un proxy et non pas directement par pf. De mme le H.323 n'est pas gr. Cependant, sa configuration est beaucoup plus simple que celle de Netfilter, et son intgration des outils comme spamd, relayd, pfsync ou sasyncd le rendent trs attractif pour des utilisations en haute disponibilit. Le point fort de pf, notamment par rapport Netfilter, est sa syntaxe. Voici titre d'exemple une rgle qui autorise le trafic web d'un LAN vers internet.
pass out on $net_if proto tcp from $lan_net to any port http

La syntaxe est proche du langage naturel, et l'utilisation de variables et de noms symboliques simplifie l'administration. De plus, un systme de tags permet d'obtenir une configuration d'un plus haut niveau d'abstraction, o la politique de filtrage est clairement en vidence.
# Classification des paquets en entre du firewall pass in on $lan from $lan_net to any tag LAN_TO_INTERNET pass in on $internet from any to $lan_net tag DANGEROUS pass in on $lan proto tcp from $lan_net to any port smtp tag MAILS_SENT # Implementation de la politique de filtrage en sortie du firewall block out log tagged DANGEROUS pass out on $internet tagged LAN_TO_INTERNET pass out log on $internet tagged MAILS_SENT

Avec un jeu de rgles de cette forme, il est possible de facilement modifier une rgle sans modifier la politique de filtrage globale, par
Smile Open Source Solutions

Page 16

Firewalls et contrle de flux

exemple, pour interdire aux utilisateurs de se connecter une machine sur internet par telnet, il suffit d'ajouter la rgle suivante la partie classification du trafic :
pass in on $lan proto tcp from $lan_net to any port telnet tag DANGEROUS

Ainsi ces paquets sont classifis comme tant dangereux, et la partie politique du jeu de rgle prendra les mesures appropries (abandon de la connexion et notification dans le log). De mme, si on souhaite temporairement autoriser le trafic dangereux, pas besoin de changer l'ensemble des rgles qui identifient ce trafic, il suffit de changer la rgle qui traite ce trafic :
pass out tagged DANGEROUS

www.smile.fr

Dans un rseau complexe avec plusieurs sous-rseaux diffrents ayant chacun des droits diffrents, ce type de configuration en deux tapes prend tout son sens.

Choix d'une solution de filtrage rseau

Ainsi, pf et Netfilter sont trs similaires en terme de fonctionnalits gnrales, et seuls quelques cas particuliers peuvent faire pencher la balance de faon dfinitive. Netfilter sera privilgi lors de la ncessit d'utiliser des modules spcialiss comme par exemple le suivi de connexion niveau 7 d'un protocole exotique. pf quant lui est un systme plus unifi, qui permet de grer en mme temps le filtrage, le NAT et la QoS. Il est noter que pf n'est disponible que sous BSD, et que Netfilter n'est disponible que sous Linux, bien souvent c'est ce critre qui emporte la dcision.

Interfaces de configuration
Les solutions que nous avons prsentes sont puissantes et trs intgres au systme d'exploitation d'origine. Par consquent leur configuration n'est pas toujours aise en particulier pour les administrateurs qui n'ont pas l'habitude des produits Open Source. De plus, chaque produit possde sa propre culture en terme d'dition de rgles. Heureusement, il existe des logiciels dont le but est d'automatiser la cration d'un jeu de rgle, parfois mme indpendamment de la solution de filtrage choisie.

Smile Open Source Solutions

Page 17

Firewalls et contrle de flux

Uncomplicated Firewall
Le but du projet ufw, pour Uncomplicated FireWall est de faciliter l'administration d'un firewall Netfilter sous Linux. Ce projet vise plus les serveurs que les routeurs, et permet de mettre en place rapidement une scurit rseau de base. Sa syntaxe est assez proche de pf :
ufw allow proto tcp from any to any port 22

ufw gre la notion d'application, et permet par exemple de dsactiver tout les ports utiliss par une mme application simultanment :
ufw delete allow apache

Cette commande, par exemple, permet d'interdire les connexion Apache.

Firewall Builder

www.smile.fr

Firewall Builder est une interface graphique permettant de crer une politique de filtrage. Son avantage est qu'il permet de crer et d'installer automatiquement la configuration correspondante sur plusieurs produits diffrents : firewalls Netfilter, firewalls pf, et mme certains quipements rseau comme les firewalls Cisco PIX. Firewall Builder permet de manipuler des htes, des sous-rseaux, des services, gre la notion de plage horaire et permet de configurer automatiquement les translations d'adresse (NAT) et les redirections de port. Il intgre galement des assistants permettant de configurer rapidement un rseau typique tel que ceux prsents en fin de ce document. Voici un exemple :

Smile Open Source Solutions

Page 18

Firewalls et contrle de flux

www.smile.fr

Les outils tels que Firewall Builder permettent de s'affranchir d'une plate-forme particulire et de se concentrer sur la politique de filtrage et non son implmentation. La contrepartie et que, comme toute les interfaces graphiques, Firewall Builder, n'implmente pas la totalit des fonctionnalits de ses plate-formes de destination, et certaines applications trs spcifiques, ou optimisations, ncessitent une configuration manuelle dans le langage natif de la solution de filtrage. C'est le cas par exemple des modules spcialiss de Netfilter ou des fonctionnalits de haute disponibilit de pf.

filtrage niveau 7
Squid
Squid est un serveur proxy HTTP. Son but est de servir d'intermdiaire entre les clients, et le Web (pour mmoire, proxy en anglais signifie procuration). ce titre, il possde deux fonctionnalits principales :

Smile Open Source Solutions

Page 19

Firewalls et contrle de flux

La mise en cache des requtes Le rsultat de chaque requte est conserv sur le proxy pour tre dlivr plus rapidement si la mme requte est faite plus tard. Cela conomise de la bande passante, amliore le confort de navigation et allge la charge des serveurs. Le contrle d'accs Squid permet d'authentifier ses utilisateurs, et de dfinir des contrles d'accs en fonction de l'utilisateur, de son sous rseau, du site web demand, de l'heure de la journe, etc. C'est la fonctionnalit de contrle d'accs qui permet d'utiliser Squid pour filtrer le trafic web, en effet Squid possde un mode transparent qui permet de l'utiliser sans configuration ct client. Il est donc possible d'utiliser un firewall rseau permettant la redirection de trafic pour forcer tout le trafic web passer par Squid, puis utiliser Squid pour filtrer le trafic web. Squid permet d'utiliser des programmes externes pour filtrer le trafic : l'outil SquidGuard permet de grer automatiquement des listes publiques d'URL classes par catgorie (jeux en ligne, rseaux sociaux, sites pornographiques etc.) et autoriser ou interdire l'accs des catgories de sites. Squid peut galement s'interfacer avec d'autres programmes. L'utilisation la plus rpandue est l'interface avec un antivirus. En effet ces programmes sont trs spcialiss, ils ne comportent pas les fonctionnalits avances de Squid et ne peuvent donc pas tre utiliss directement en tant que proxy. Une autre possibilit est le filtrage des popup, publicits, cookies intempestifs et autres nuisances.

www.smile.fr

Snort
Snort est un outil d'analyse rseau. Son but premier est la dtection et la prvention des intrusions. Snort est dot d'un moteur de dtection bas sur des motifs de recherche, la socit SourceFire fournit (contre abonnement payant) des motifs permettant de dtecter un trs grand nombre d'attaques, de l'exploitation de failles classiques aux tout derniers virus. Des jeux de rgles gratuits sont galement disponibles depuis plusieurs sources : la socit SourceFire fournit ses motifs gratuitement au bout de 30 jours, et le site EmergingThreats fournit des motifs pour dtecter les failles rcentes. Snort dispose de deux modes de fonctionnement : sonde ou filtre.

Smile Open Source Solutions

Page 20

Firewalls et contrle de flux

En mode sonde, le serveur snort simplement un but prventif : il analyse le trafic rseau et envoie des alertes lorsqu'une attaque est dtecte. En mode filtre, snort devient un systme de prvention d'intrusion : ds qu'un paquet suspect est dtect, la connexion est bloque ce qui permet d'annuler l'attaque. En plus de vritables attaques, snort est capable de dtecter certains comportements non souhaitables sur un rseau d'entreprise, et ainsi bloquer des actions invisibles au niveau 3 comme la connexion un service de messagerie instantane travers un proxy Web, ou le tlchargement de fichiers pirats. Les rgles snort sont relativement simples crire, ce qui permet de l'adapter ses propres besoins. Voici un exemple de rgle :

www.smile.fr

alert tcp $HOME_NET any <> $EXTERNAL_NET 5555 (msg:"P2P Napster Client Data"; flow:established; content:".mp3"; nocase; classtype:policy-violation; sid:564; rev:7;)

Cette rgle dclenche une alerte lorsqu'une connexion TCP sur le port 5555 entre le rseau local et le rseau extrieur contient le message ".mp3" Snort dispose de beaucoup de motifs, certains sont trs stricts et dclencheront des alertes au moindre comportement suspect, mme si celui-ci est lgitime. Les journaux de snort sont rapidement remplis de faux positifs et peuvent dcourager l'administrateur. Pour faciliter l'utilisation d'une sonde snort, il sera souvent ncessaire d'utiliser une interface telle que le projet BASE. BASE permet de consulter des statistiques sur les alertes, leur provenance, leur frquence, et d'autres informations. Ainsi l'administrateur peut affiner les sondes de snort, par exemple en dsactivant un motif dclench par une application lgitime.

spamd
spamd est un filtre applicatif spcialis dans le traitement des mails. Son but est de bloquer les spam, c'est dire l'envoi de courrier en masse. spamd vient se placer devant le serveur de mails de l'entreprise, et agit lui-mme comme un serveur de mails afin d'effectuer un premier travail de filtrage ce qui permet de soulager considrablement le serveur de mails rel. Contrairement des systmes tels que SpamAssassin, qui font une analyse en profondeur du contenu du mail via une intelligence

Smile Open Source Solutions

Page 21

Firewalls et contrle de flux

artificielle labore, spamd, lui, se focalise sur la faon dont le mail est mis. En effet, les machines envoyant de trs grandes quantits de spam ne ne soucient pas d'implmenter correctement le protocole SMTP, les mails sont envoys au moyen de quelques commandes simples et ne sont jamais r-mis en cas d'erreur. spamd dispose de trois listes : La liste noire La liste noire de spamd est une liste de l'ensemble des serveurs dont aucun mail ne sera accept, de nombreuses organisations travers le monde traquent les envois massifs de spam et mettent jour de telles listes. spamd est capable de se baser sur ces listes, ainsi que sur une liste maintenue par l'administrateur local, pour savoir quelles sont les machines ne pas couter.

www.smile.fr

La liste blanche Contraire de la liste noire, la liste blanche contient l'ensemble des htes de confiance que l'administrateur a explicitement autoris envoyer des mails au serveur protg. Tout mail arrivant d'une machine sur liste blanche est transmis immdiatement au serveur de mails rel. La liste grise Il ne s'agit pas d'une vritable liste telle que les deux autres, le terme liste grise dsigne le comportement de spamd face une machine qui n'est ni sur liste noire, ni sur liste blanche. Lorsqu'une machine inconnue contacte spamd pour la premire fois, celui-ci prtend ne pas tre prt recevoir le mail, et invite la machine ressayer plus tard. La plupart des robots de spam sont suffisamment mal conus pour ignorer cette invitation et abandonnent l'envoi du mail, cependant, si le mail est effectivement r-mis ultrieurement, le serveur est pass sur liste blanche. L'inconvnient de cette technique est l'introduction d'un dlai systmatique la premire fois qu'un serveur mail contacte le systme protg. Cela peut tre gnant dans des applications de messagerie ou les interlocuteurs ne sont pas connus l'avance et ou la ractivit est primordiale (recrutement, prospection...). Enfin, spamd dispose d'une fonctionnalit supplmentaire par rapport aux autres logiciels du mme type. En effet lorsqu'un hte sur liste noire se connecte lui, spamd fait semblant d'accepter la connexion, mais au lieu de transmettre le mail au vritable serveur il fait traner

Smile Open Source Solutions

Page 22

Firewalls et contrle de flux

l'change en acceptant le mail trs lentement ce qui fait perdre un temps prcieux au spammeur mais consomme trs peu de ressources. On appelle cette technique un tar pit , du mot anglais dsignant une mare de goudron de laquelle il est difficile de s'chapper.

QoS : Qualit de service

Sous Linux, la qualit de service (QoS: Quality of Service) est contrle par le noyau via l'outil tc. La configuration est indpendante de Netfilter, mais un systme de marquage de paquet permet tc d'identifier les paquets ayant t intercepts par certaines rgles et vite ainsi les redondances. Sous BSD, la QoS est gre par ALTQ, une structure intgre pf. Les dcisions de filtrage et de priorisation du trafic sont effectues en mme temps. Un concept important en QoS est la notion de file d'attente : sans une solution de QoS les trames rseau sont mises dans l'ordre ou elles sont dclenches par les applications. La QoS permet de crer des files d'attentes dans lesquelles sont rangs les paquets, et qui ont des priorits diffrentes au moment de l'mission de la trame sur le rseau. Il est vident que la QoS ne peut s'appliquer qu' des paquets sortants de la machine. Ceci peut compliquer la cration de rgles de QoS sur les routeurs, en effet il faudra dans un premier temps identifier le trafic au moment ou il entre dans le routeur, puis appliquer la rgle de QoS au moment ou il sort. Il existe diffrents algorithmes permettant de dfinir une qualit de service, en voici deux parmi les plus utiliss :

www.smile.fr

PRIO
PRIO, appel PRIQ sous BSD, est un algorithme basique de QoS bas sur les priorits. Chaque flux possde une certaine priorit et lorsqu'un paquet doit tre mis par le noyau, celui-ci choisit d'abord celui qui a la plus haute priorit. Cet algorithme ne permet pas un contrle fin du flux, mais il permet d'obtenir un minimum de contrle, et d'viter que des flux importants ne perturbent des applications qui ont besoin de ractivit.

Smile Open Source Solutions

Page 23

Firewalls et contrle de flux

Cet algorithme est souvent utilis car il est simple configurer et limine en grande partie la perte de ractivit observe lorsqu'une connexion sature en bande passante.

HFSC
HFSC est un algorithme de QoS permettant de satisfaire simultanment deux exigences :

La vitesse de transmission Le dlai de transmission

En effet, certains protocoles ncessitent la fois un dbit de donne garanti, et un faible dlai de transmission, c'est le cas par exemple de la VOIP.

www.smile.fr

Contrairement PRIO, il est possible avec HFSC de contrler beaucoup plus finement le flux, en dfinissant une courbe de service pour chaque file d'attente. Cette courbe dfinit la bande passante maximale, et la possibilit d'allouer une bande passante plus importante au dbut de la transmission (on parle de burst ). On peut galement dfinir une exigence de traitement en temps rel, pour les paquets qui doivent tre transfrs ds la rception, et une priorit. HFSC est un algorithme hirarchique, c'est dire qu'il permet de dcouper la bande passante disponible de faon logique, voici un exemple :

On choisit par exemple d'allouer 10% de toute la bande passante disponible aux applications temps rel (par exemple la tlphonie), 10% aux applications critiques (management, etc.) et le reste aux transferts de fichiers, tout en faisant la distinction entre le trafic web "classique" et par exemple la copie de fichiers vers un environnement externalis, que l'on priorise.

Smile Open Source Solutions

Page 24

Firewalls et contrle de flux

Produits intgrs
En plus de ces composants individuels permettant de construire un firewall la carte , certains projets open source proposent des solutions prtes l'emploi construites partir des produits cits.

IpCop
IpCop est une distribution Linux utilisable comme routeur, firewall et point d'accs VPN, elle est construite autour de solutions Open Source prsentes prcdemment comme Netfilter, Squid, OpenVPN, et d'autres. Elle est souvent utilise pour redonner vie une machine de bureau en tant que firewall domestique ou de petite entreprise en raison de ses faibles pr-requis en matires de ressources. La configuration d'IPCop est trs simple et repose principalement sur une interface web. Chaque rseau connect la machine est identifi par une couleur reprsentant son niveau de confiance : rouge pour internet, vert pour le rseau local, etc. L'laboration d'un jeu de rgle est rendu plus intuitif par cette convention. Cependant, IPCop est avant tout un outil de filtrage rseau, ses capacit d'analyse applicative sont limites.

www.smile.fr

Smile Open Source Solutions

Page 25

Firewalls et contrle de flux

pfSense
Le projet pfSense propose une distribution de FreeBSD spcialement conue pour une utilisation en firewall/routeur, entirement configurable via une interface web. Il est l'quivalent d'IPCop sous FreeBSD mais possde plus de fonctionnalits que ce dernier, en particulier la possibilit de rpartir le trafic entre plusieurs liens internet, dans un but de redondance ou d'augmentation de la bande passante. Le principal dfaut de la plupart des composants prsents prcdemment est leur difficult de prise en main. pfSense y remdie en proposant un systme unifi, extrmement complet en terme de fonctionnalits, orient filtrage niveau 3 et disposant d'un systme de paquets permettant d'y installer des filtres de niveau applicatif. pfSense est un produit trs stable, grce la robustesse des outils open source qui le composent (en particulier la pile rseau FreeBSD), et utilis par de nombreuses institutions et particuliers. Ses principaux avantages sont :

www.smile.fr

Une interface d'administration Web facile utiliser Un systme de configuration par alias qui permet de grer facilement des jeux de rgles complexes. La cohrence entre les diffrents composants (routage, filtrage, VPN, QoS) Des fonctions avances de QoS et de haute disponibilit telles que HFSC et CARP/pfsync . La possibilit de rajouter des composants supplmentaires qui s'intgrent alors dans l'interface (Squid, outils de monitoring, etc.)

En revanche, ses capacits de traitement applicatif sont limites :

Snort n'est pas officiellement disponible sur pfSense : il peut tre install via FreeBSD mais n'est pas support lors des upgrades et ne dispose pas d'une interface d'administration web intgre. Le systme de suivi d'tat niveau 7 ne fonctionne que pour le FTP sortant. La seule solution antispam disponible est spamd

Configuration des rgles de filtrage sous pfSense :

Smile Open Source Solutions

Page 26

Firewalls et contrle de flux

www.smile.fr

Untangle
Untangle est un projet similaire pfSense, bas sur Linux, beaucoup plus ax sur le filtrage applicatif que ce dernier au dtriment des capacits rseau. Ses avantages sont :

Intgration d'un filtre antispam, d'un antivirus et d'un IDS. Possibilit de management centralis.

Ses limitations principales sont :

Pas de redondance. N'est pas utilisable comme concentrateur VPN IPSEC

De plus, Untangle est capable de fonctionner de faon transparente sur le rseau, on peut donc le placer juste derrire un routeur plus fonctionnel (pfSense par exemple) pour lui rajouter des capacits de filtrage applicatif avances. Configuration du filtre de contenu sous Untangle :

Smile Open Source Solutions

Page 27

Firewalls et contrle de flux

www.smile.fr
Smile Open Source Solutions

Page 28

Firewalls et contrle de flux

ARCHITECTURES

CLASSIQUES

Afin de faciliter la mise en place d'un firewall, on se ramne souvent une des architectures classiques prsentes ici. Cette section prsente les pratiques courantes en matire de filtrage dans 3 cas de figure habituels.

Petite entreprise / Agence rgionale

Ce premier cas de figure reprsente un petit rseau. Typiquement constitu de moins d'une centaine de postes, quelques serveurs (mail, intranet, application mtier...) et un accs internet. On rencontre ce type de rseau dans les PME/TPE ou les antennes rgionales de plus grandes entreprises, auquel cas on rajoutera un VPN comme prsent dans le livre blanc de Smile consacr aux VPN open source.

www.smile.fr

Plan du rseau

Smile Open Source Solutions

Page 29

Firewalls et contrle de flux

www.smile.fr

Un rseau classique de petite entreprise contient des stations de travail, des serveurs, et parfois des quipements sans fil (PC portables, PDA...) Un firewall central sert de routeur pour tous les sous-rseaux correspondant, et filtre tout le trafic vers chaque sous rseau.

Politique de filtrage
Voici la politique mise en place au niveau rseau :

Tout trafic non autoris explicitement est interdit. L'accs aux services offerts par les serveurs est autoris depuis internet et depuis les postes de travail et les quipements mobiles. Les serveurs, les postes de travail et les quipements mobiles ont accs au Web.

Smile Open Source Solutions

Page 30

Firewalls et contrle de flux

Les serveurs peuvent relayer les mails et les rsolutions de nom vers internet.

Et au niveau applicatif :

Les accs au Web des postes et des quipements mobiles sont filtrs par Squid L'arrive de mails sur le serveur mail depuis internet est protge par spamd L'ensemble du trafic est surveill par snort.

Implmentation
Voici une implmentation possible avec pf de la politique rseau :

www.smile.fr

# Tout traffic non autorise par une regle est interdit et journalise block in log pass out # Les serveurs sont accessibles depuis internet, les postes, et le wifi pass in on $inet_if proto tcp from any to $serveurs port $services_ext pass in on $lan_if proto tcp from $lan_net to $serveurs port $services_int pass in on $lan_if proto udp from $lan_net to $serveurs port $services_int_udp pass in on $wifi_if proto tcp from $wifi_net to $serveurs port $services_int pass in on $wifi_if proto udp from $wifi_net to $serveurs port $services_int_udp # Les serveurs peuvent envoyer des mails et des requtes DNS pass in on $dmz_if proto {tcp,udp} from $serveurs to any port domain pass in on $dmz_if proto tcp from $serveurs to any port smtp # Les clients peuvent accder au web via le proxy local pass in on $lan_if proto tcp from $lan_net to localhost port 3128 pass in on $wifi_if proto tcp from $wifi_net to localhost port 3128

Particularits
Une architecture de ce type est relativement simple mettre en place et demande peu de maintenance. Il faudra simplement veiller tenir jour les listes d'URL de Squid, les blacklist mail de spamd, et les motifs de Snort.

Entreprise de taille moyenne

Nous avons choisi comme exemple pour illustrer les concepts courants dans les rseaux de taille moyenne, une usine comportant une partie administrative, un atelier, une quipe de recherche et dveloppement

Smile Open Source Solutions

Page 31

Firewalls et contrle de flux

travaillant sur les applications mtier, et une quipe d'administration rseau. Cette usine possde 3 types de serveurs : des serveurs de support (messagerie, comptabilit, etc.) infogrs dans un extranet, des serveurs pour les applications mtier, hbergs et grs en interne, et des serveurs de tests pour les futures versions des applications mtiers.

Plan du rseau

www.smile.fr

Les rseaux sont protgs par deux firewalls, un firewall interne FWI et un firewall externe FWE. Le firewall interne est relativement basique et ne se contente de filtrage niveau rseau. Le firewall externe lui est plus sensible car il assure la connexion avec internet, il devra donc tre dot de fonctionnalits de filtrage applicatif et d'un IDS.

Politique de filtrage
Sur le schma sont montrs les flux principaux :

L'administratif accde aux applications de l'extranet L'administratif accde internet L'atelier n'accde qu'aux applications mtier et extranet

Smile Open Source Solutions

Page 32

Firewalls et contrle de flux

La R&D accde aux serveurs de tests, aux serveurs de production, et l'extranet

Les autres flux sont :

Les administrateurs rseau accdent tout le rseau. La DMZ de tests accde la DMZ de production et l'extranet La DMZ de production accde l'extranet La DMZ de production est accessible depuis internet (de faon restreinte)

Particularits

www.smile.fr

Ce type d'architecture est frquemment rencontr dans les entreprises de taille moyenne disposant d'un extranet, ou d'agences qui viennent s'interconnecter leur rseau. Souvent, l'ensemble du trafic vers ou en provenance d'internet est centralis et passe par un point de contrle unique : le firewall extrieur, gnralement situ au sige de l'entreprise. Bien sr, pour tre fiable, une infrastructure de ce type devra tre tolrante aux pannes : un futur livre blanc de Smile expliquera comment mettre en place des couples de firewalls qui agissent comme un unique point de passage, afin d'assurer cette tolrance.

Hbergeur
Un rseau d'hbergeur est lgrement diffrent d'un rseau de type entreprise, on n'y trouve en effet que des serveurs, et les besoins en filtrage y sont moins levs, cependant la qualit de service devient primordiale de mme que la dtection d'intrusions.

Plan du rseau
Dans cette architecture, un firewall principal gr par l'hbergeur assure l'interconnexion avec internet. Puis, suivant les clients, un firewall secondaire, gr par le client peut tre intercal. Ceci permet aux clients de grer eux mme une partie du contrle d'accs, et de pouvoir utiliser connecter leur plateforme externe leur rseau au moyen d'un VPN.

Politique de filtrage
La politique de filtrage est plus simple que dans un rseau de type entreprise. Il s'agit simplement de n'autoriser que les services fournis

Smile Open Source Solutions

Page 33

Firewalls et contrle de flux

par les serveurs depuis internet, et les services d'administration depuis le rseau priv de l'hbergeur. Les serveurs ont galement souvent besoin de pouvoir se connecter internet pour leur mise jours ou pour rcuprer des donnes d'une autre application. Les fonctions de QoS sont utilises afin de garantir une certaine bande passante chaque client. De plus un IDS ou un IPS permettent de dtecter rapidement les attaques comme le dni de service, le scan de ports, etc. et de ragir immdiatement dans le cas d'un IPS.

www.smile.fr
En plus de son rle de filtre, le firewall a galement un rle de monitoring, comme il reoit tout le trafic, il peut comptabiliser le trafic de chaque client pour facturation.

Implmentation
Voici le jeu de rgles pf du firewall principal correspondant cette architecture :
############################### ## Politique par defaut ## block all

Smile Open Source Solutions

Page 34

Firewalls et contrle de flux

##############################

## Classification du trafic ## # Clients disposant de leur firewall pass in on $internet from any to $client1 pass in on $serveurs from $client1 to any pass in on $internet from any to $client2 pass in on $serveurs from $client2 to any

tag IN_CLIENT1 tag OUT_CLIENT1 tag IN_CLIENT2 tag OUT_CLIENT2

# Clients protgs par ce firewall pass in on $internet proto tcp from any to $client3 \ port $client3_services_tcp tag IN_CLIENT3 #(etc. une regle de classification par flux entrant ou sortant) # Administration pass in on $intranet proto tcp from $administrateurs to any \ port $admin_services_tcp tag IN_ADMIN # Flux risques pass in on $internet proto tcp from any to $client3 \ port $admin_services_tcp tag IN_DANGEROUS #(etc.) ##################################### ## Politique de filtrage et de QoS ## # Trafic entrant pass out on $serveurs tagged IN_CLIENT1 queue qos_in_client1 pass out on $serveurs tagged IN_CLIENT2 queue qos_in_client2 pass out on $serveurs tagged IN_CLIENT3 queue qos_in_client3 pass out on $serveurs tagged IN_ADMIN queue qos_in_admin block out log on $serveurs tagged IN_DANGEROUS # Trafic sortant pass out on $internet tagged OUT_CLIENT1 queue qos_out_client1 pass out on $internet tagged OUT_CLIENT2 queue qos_out_client2 pass out on $internet tagged OUT_CLIENT3 queue qos_out_client3 block out log on $internet tagged OUT_DANGEROUS

www.smile.fr

Particularits
Dans ce jeu de rgle, on utilise une politique de filtrage base sur les tags, qui t dj prsente dans la partie sur pf, ce type de jeu de rgle est trs bien adapt un hbergeur qui doit pouvoir agir rapidement et globalement sur sa politique de filtrage sans devoir retoucher chaque rgle une par une, tout en tant capable de grer des exceptions ponctuelles.

Smile Open Source Solutions

Page 35

Firewalls et contrle de flux

CONCLUSION
En matire de scurit, l'open source prsente des atouts essentiels:

La robustesse associe dploiements oprationnels

des

centaines

de

milliers

de

L'ouverture du code au peer review , qui garantit l'absence de back-door dans des composants critiques Le moindre cot de dploiement, qui permet de ne jamais avoir de compromis faire.

www.smile.fr

C'est pourquoi dans ce domaine plus encore, dployer des solutions propritaires n'a pas de sens. Certains botiers prts l'emploi, en mode appliance , peuvent tre des alternatives gages de simplicit. Mais, si c'est la simplicit qui est vise, alors des distributions ddies, dployes sur un petit serveur, offriront un meilleur rapport qualit/prix. Et pour des infrastructures haut de gamme, les meilleurs outils de firewalling open source permettront de combiner flexibilit et matrise.

Smile Open Source Solutions