Vous êtes sur la page 1sur 48

FIREWALL

Expos NT Rseaux

Prsentation Gnrale
Architectures
Firewalls matriels
Firewalls logiciels professionnels
Firewalls personnels
Dmonstration

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Plan

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Prsentation gnrale

Prsentation - Plan

Principales fonctionnalits

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Pourquoi utiliser un Firewall ?

20/02/16

Quest-ce quun Firewall ?

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Un firewall est plus un concept quun matriel ou


un logiciel
Filtre le trafic entre rseaux diffrents niveaux
de confiance
Met en oeuvre une partie de la politique de
scurit

20/02/16

Quest-ce quun
Firewall ?

Analyse les
informations des
couches 3, 4 et 7

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Systme physique ou logique servant dinterface


entre un ou plusieurs rseaux

20/02/16

Quest-ce quun
Firewall ?

Pourquoi utiliser un
Firewall ?

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Se protger des malveillances "externes"


viter la fuite dinformation non contrle vers
lextrieur
Surveiller les flux internes/externes
Faciliter ladministration du rseau

20/02/16

Les pare-feux sont utiliss principalement dans 4


buts :

Filtrage
Authentification/Gestion des droits
NAT
Proxy

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Principales
fonctionnalits

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Architectures

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

DMZ
Routeur filtrant
Firewall Stateful
Proxy
NAT

20/02/16

Architectures - Plan

10

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

DMZ DeMilitarized Zone

11

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Premier lment de scurit


IP-Spoofing Ready
vite lutilisation inutile de bande passante mais
ne protge pas des hackers

20/02/16

Routeur filtrant

12

Analyse complte du paquet au niveau de la couche


rseau
Dfinition et maintien des tables des connexions
autoriss (tats)

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

2 principes fondamentaux :

20/02/16

Stateful Inspection

13

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Firewall Proxy dispose dagents spcifiques


chaque protocole applicatif (FTP, HTTP..)
Filtrage trs prcis
Comprend les spcificits de chaque protocole
Le rassemblage des paquets limine les attaques
par fragmentation

20/02/16

Proxy (1/2)

14

Performances : le filtrage dun paquet ncessite sa


remont jusqu la couche application
Disponibilits des agents (protocoles propritaires ou
exotique)

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Firewall Proxy prsente 2 inconvnients :

20/02/16

Proxy (2/2)

15

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

NAT

(Network Address Translation)

16

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Firewalls matriels

17

Routeurs
Firewalls spcialiss
Modules firewall pour commutateurs

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Dfinition
Diffrences firewall logiciel/matriel
Catgories de firewalls matriels

20/02/16

Firewalls matriels - Plan

18

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Systme dexploitation et matriel conus par le


constructeur et spcifiquement pour du
filtrage
Simple PC, matriel ddi, circuit intgr
spcialis (ASIC)
Ex de firewall non matriel

20/02/16

Dfinition

19

Diffrences:
SAV: 1 seul constructeur fournit la solution
complte
Rsistance: conu pour tre un produit de scurit
Distribution de la fonction firewall dans les points
stratgiques du rseau

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Peuvent offrir fonctions et services identiques

20/02/16

Diffrences firewall
logiciel/matriel

20

Catgories de firewalls
matriels

de qques kb/s -> plusieurs Mb/s


Perte de performances de 15 20% en Stateful
Performances dpendent du nombre de fonctions utilises
(IPSec, dtection dintrusion, codecs pour voix sur IP, QOS)

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

filtres entrants/sortants, rgles sur adresses, ports, types


ICMP, flags TCP
Stateless ou Stateful
Moins dapplications complexes/multimdia supportes
que firewall spcialiss (NAT)
Routeurs conus initialement pour commuter paquets ->
attention
Filtres des tables de routage
Performances:

20/02/16

Routeurs:

Routeur stateful idaux pour relier bureaux via internet:


site a protger rarement important
21

Catgories de firewalls
matriels
Firewalls spcialiss

Supportent rarement les interfaces WAN ncessit dtre associs des


routeurs pour la connectivit

Disponibles galement pour le grand public


Pour accs toujours connects (DSL, cble)
Ouverts en sortie
Certains permettent le filtrage dans les deux sens adapts
lhbergement de services
Performances:
1 2 Mb/s (vitesse daccs)
Limitations au niveau du nombre de sessions supportes et nombre de nouvelles
connexions par seconde.

Meilleur choix pour protger laccs principal Internet ou serveurs


publics

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

> 1Gbit/s
500 000 connexions
Plusieurs dizaines de milliers de nouvelles connexions par seconde

20/02/16

Conus uniquement pour faire du filtrage


Trs performant:

22

Catgories de firewalls
matriels

jusqu 5 Gb/s
1 000 000 de connexions
100 000 nouvelles connexions par seconde
Jusqu 100 interfaces virtuelles
Possibilit dutiliser plusieurs cartes dbit de 30 Gb/s

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Sous forme de carte


Firewall stateful
Intgrs aux commutateurs pour fournir protection entre diffrents
VLAN
Support de contextes virtuels services de filtrages a des rseaux
distincts
Performances:

20/02/16

Modules firewall pour commutateurs

Utiliss pour cloisonner le rseau interne

23

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Firewalls logiciels
professionnels

24

Ce que les firewalls laissent passer

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Firewall commercial : CheckPoint Firewall-1

20/02/16

Firewalls logiciels
professionnels
Deux firewalls stateful :
Plan
Firewall libre : Netfilter / iptables

25

iptables -A INPUT -s 200.200.200.1 -p tcp


--destination-port telnet -j DROP

Stateful :
iptables -A INPUT -p tcp -m state --state
ESTABLISHED -j ACCEPT
INVALID / ESTABLISHED / NEW / RELATED

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Interface utilisateur spare : iptables


Stateless :

20/02/16

Firewalls logiciels en
passerelle
Intgr:au
noyau 2.4 de linux
libre
Netfilter

26

Plugins divers : modification du comportement


de la pile IP
Front ends de configuration graphiques

Avantage dcisif sur les autres firewalls


libres

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Ajout de plugins au systme de suivi de


connections
FTP / H323 / IRC /

20/02/16

Firewall logiciels en
passerelle
Spcificits
libre
: Netfilter

27

39 HT par utilisateur (100 machines)


Au nombre de plugins fournis
+ Formations

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Prix

20/02/16

Firewall logiciels en
passerelle
Disponible sur plusieurs
plateformes
Windows
commercial
:
CP
Firewall-1
Server Linux Red Hat HP-UX - Solaris

28

Firewall logiciels en passerelle


commercial : CP Firewall-1
antivirus, serveur dauthentification, reporting

Authentification des utilisateurs


Avec LDAP, RADIUS, TACACS

Pour filtrer les URL,


Pour la limitation du temps,
Permissions au niveau de lutilisateur plutt
quau niveau dun adresse IP

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Dcomposable en plusieurs modules serveurs

20/02/16

Spcificits

29

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

entres par lutilisateur.


Insertion de code sur les Forums
Insertion de requtes SQL dans un champ de
formulaire

20/02/16

Firewall logiciels en
passerelle
Lesquils
attaques dapplication
web
ce
laissent
passer
Vulnrables si elles ne filtrent pas assez les donnes

30

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

SELECT * FROM table_Clients WHERE


champ_Nom=Name
l'utilisateur entre son nom :
toto ; INSERT INTO table_Users
VALUES('Mon_login', 'Mon_password')
La requte finale est :
SELECT * FROM table_Clients WHERE
champ_Nom=toto ; INSERT INTO
table_Users VALUES('Mon_login',
'Mon_password')

20/02/16

Firewall logiciels en
passerelle
requte SQLpasser
:
ce Injection
quilsdelaissent

31

Rle de ladministrateur rseau ?

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Firewall logiciels en
passerelle
: Reverse Proxy
ce Solution
quils
laissent passer

32

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Firewalls personnels

33

Cible et besoins
Principe
Limites
Firewalls personnels sous Windows et Linux

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Firewalls personnels Plan

34

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Logiciel de scurit rseau simple et efficace pour


connexions Internet personnelles: poste
directement reli Internet
Postes principalement client principale
menace: rception de chevaux de Troie logiciels
espions / backdoors
empcher connexion de programmes non
autoriss

20/02/16

Cible et besoins

35

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Filtrage simple de paquets: la plage de ports


1024-65535 doit tre autorise pour que les
applis puissent fonctionner dans les deux sens
filtrage de paquets problmatique

20/02/16

Cible et besoins

36

Localisation de lexcutable
Protocole de niveau 4 utilis (TCP, UDP,
ICMP)
Jeux de ports utiliss
Sens de flux associ

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Contrle des applications pour accder


ou non au rseau
liste applications autorises initier
flux rseau ou a couter
Pour chaque appli:

20/02/16

Principe

37

Entre couches IP et liaison: rgles indpendantes dune


application / flux dj autoriss
Entre couches rseau et applicative: intercepter les
demandes douverture de socket

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

La configuration doit tre aise pour correspondre


la cible de march configuration par
apprentissage
Permet galement de faire de la remonte
dalertes
Dans le modle OSI:

20/02/16

Principe

38

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Certaines prises de dcision ncessitent


connaissances
Certains produits ne grent que TCP, UDP et ICMP,
dcision silencieuse
Beaucoup dappli accdent au rseau par
diffrents protocoles nombre dentres
important, difficile maintenir

20/02/16

Limites

39

Limites

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Impossibilit de spcifier des rgles


indpendamment dune appli
Impossibilit de restreindre les jeux de ports
utilisable par une appli autorise
Impossibilit de spcifier des rgles pour autres
protocoles que TCP, UDP ou ICMP
Absence de filtrage tat ou absence des modules
de prise en charges de protocoles applicatifs
complexes (limite au niveau 4)

20/02/16

Lacunes courantes:

40

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Absence de scurit de certains OS: pas de


contrle daccs ou comptes utilisateurs
non utiliss
Application pouvant se lancer en superutilisateur --> craser excutables
concerns par configuration du firewall,
tuer dautres applis (anti-virus, firewall),
annuler les protections
Possibilit de profiter de failles de scurit
dans autres applications autorises
(navigateur)
Ne travaille qu partir du niveau IP, tout
ce qui se trouve en dessous (Ethernet)
nest pas vu du firewall

20/02/16

Limites

41

Critres de filtrages relatifs aux processus:


UID , GID propritaire
PID/SID du process
Nom du process
iptables A OUTPUT m owner cmd-owner ping j ACCEPT

Attention, ne vrifie pas la localisation


de lexcutable, limiter les packets
iptables A OUTPUT m owner cmd-owner ping p icmp icmp-type echo-request j
ACCEPT

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

Windows: Kerio, Zone Alarm,


Linux: module owner de Netfilter +
patch owner-cmd

20/02/16

Firewalls personnels sous


Windows et Linux

42

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Dmonstration

43

Dmonstration 1/3

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

1er outil, Webmin + Turtle Firewall

44

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Dmonstration 2/3
2me outil, Nessius

45

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Dmonstration 3/3
3me outil, Ettercap

46

Sites:

www.netfilter.org
www.webmin.com
www.nessus.com
ettercap.sourceforge.net

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

LINUX Magazine le firewall votre


meilleur ennemi (janvier/fevrier
2003)
Scurit internet - B.Dunsmore,
J.Brown, M.Cross, S.Cunningham

20/02/16

Rfrences

47

Firewall - J. CHEYNET, M. DA
SILVA et N. SEBBAN

20/02/16

Questions

48