Cours de scurit

Pare-feux
(Firewalls)
Grard Florin
- CNAM - Laboratoire CEDRIC -

Plan pare-feux
Introduction
Filtrage des paquets et des segments
Conclusion
Bibliographie

Pare-Feux

Introduction

Pare-feux (firewalls):
Architecture de base
Rseau
interne

Rseau
externe

Pare-feu
1) Un domaine protger : un rseau interne.

Un rseau dentreprise/personnel que lon veut protger

Vis vis dun rseau externe dou des intrus sont suceptibles de conduire des
attaques.

2) Un pare-feu

Install en un point de passage obligatoire entre le rseau protger (interne)

et un rseau non scuritaire (externe).
Cest un ensemble de diffrents composants matriels et logiciels qui contrlent
le traffic intrieur/extrieur selon une politique de scurit.
Le pare-feu comporte assez souvent un seul logiciel, mais on peut avoir aussi
un ensemble complexe comportant plusieurs filtres, plusieurs passerelles,
4
plusieurs sous rseaux .

Pare-feux (firewalls):
Dfinitions de base
1) Firewall : en anglais un mur qui empche la propagation
dun incendie dans un btiment => Franais mur pare-feu.
2) Pare-feu : en informatique une protection dun rseau
contre des attaques.
3) Technique employe : le contrle daccs (le filtrage).

a) Notion de guichet : restriction de passage en un point prcis et

contrle des requtes.
b) Notion dloignement : empcher un attaquant dentrer dans un
rseau protg ou mme de sapprocher de trop prs de machines
sensibles.
c) Notion de confinement : empcher les utilisateurs internes de
sortir du domaine protg sauf par un point prcis.
d) Gnralement un pare-feu concerne les couches basses Internet
(IP/TCP/UDP), mais aussi la couche application (HTTP, FTP, SMTP. ).

4) Image militaire la plus voisine de la ralit dun pare-feu:

les dfenses dun chateau-fort (murailles, douves, portes/pont
levis, bastion=> confinement, dfense en profondeur, filtrage).
5

Pare-feux :
le possible et limpossible
Ce que peut faire un pare-feux :

1) Etre un guichet de scurit: un point central de contrle de

scurit plutt que de multiples contrles dans diffrents
logiciels clients ou serveurs.
2) Appliquer une politique de contrle daccs.
3) Enregistrer le traffic: construire des journaux de scurit.
4) Appliquer une dfense en profondeur (multiples pare-feux)

Ce que ne peut pas faire un pare-feux :

1) Protger contre les utilisateurs internes (selon leurs droits).

2) Protger un rseau dun traffic qui ne passe pas par le
pare-feu (exemple de modems additionnels)
3) Protger contre les virus.
4) Protger contre des menaces imprvues (hors politique).
6
5) Etre gratuit et se configurer tout seul.

Dfinir un politique de scurit

1) Interdire tout par dfaut
Prsentation gnrale de cette approche:
Tout ce qui nest pas explicitement permis est interdit.

Mise en oeuvre :
Analyse des services utiliss par les utilisateurs.
Exemple 1 : Un hte serveur de courrier doit pouvoir utiliser SMTP.
Exemple 2 : Un hte devant accder au Web doit pouvoir utiliser HTTP.

Dfinition des droits donner : dfinition de la politique de scurit.

Attribution des droits dans un outil appliquant la politique,
Suppression de tous les autres droits.

Avantages/inconvnients
Solution la plus scuritaire et la plus confortable pour
ladministrateur de la scurit.
Solution qui limite considrablement les droits des usagers.

Solution la plus recommande et la plus souvent

utilise.

Politiques de scurit :
2) Autoriser tout par dfaut
Prsentation gnrale de la solution :
On permet tout sauf ce qui est considr comme dangereux => Tout ce
qui nest pas explicitement interdit est autoris.

Mise en oeuvre :
On analyse les diffrents risques des applications qui doivent sexcuter.
=> On en dduit les interdictions appliquer, on autorise tout le reste.
Exemple 1 : Interdire compltement les accs en Telnet depuis
lextrieur ou les autoriser sur une seule machine.
Exemple 2 : Interdire les transferts FTP ou les partages NFS depuis
lintrieur (protection des donnes).

Avantages/inconvnients
Solution inconfortable pour ladministrateur de la scurit.
Solution qui facilite laccs des usagers au rseau.

Solution peu recommande et peu utilise.

8

Outils dans les pare-feux :

1) Filtre de paquets et de segments
Concerne le trafic chang aux niveaux IP (paquets) et
TCP/UDP (segments).
Ensemble de rgles autorisant ou refusant un transfert
combinant la plupart des informations disponibles dans
les messages : adresses sources destination, indicateurs .
En fait : dfinition dune politique de scurit capacits.
Solution implante de nombreux emplacements dans
les rseaux: ordinateurs clients ou serveurs, routeurs filtrants
(screening router), quipements ddis.
Avantages : solution peu coteuse et simple agissant sur tous
les types de communications.
Inconvnients :
Des rgles de filtrage correctes et bien adaptes aux besoins peuvent
tre difficiles tablir.
On nagit quaux niveaux 3 et 4.
9

Architecture de pare-feu avec

routeur filtrant (screening router)
Flux interdits
Flux autoriss

Rseau interne

Rseau
externe

Routeur
Flux interdits
Flux autoris

Pare-feu

10

Outils dans les pare-feux :

2) Filtre applicatif (proxy)
Proxy de scurit : analyse du trafic chang au niveau
application (niveau 7) pour appliquer une politique de scurit
spcifique de chaque application.
Un serveur proxy est ncessaire : pour chaque protocole
dapplication SMTP, FTP, HTTP, ...
parcequil faut interprter les messages de faon diffrente pour chaque
application.

Contrle des droits : implique que chaque usager soit

authentifi.
Avantage : on peut intervenir de manire fine sur chaque
zone des charges utiles transportes au niveau applicatif.
Inconvnient : solution coteuse car il faut dfinir des droits
complexes.
11

Outils dans les pare-feux :

3) Hte double rseau
Terminologie : Hte double rseau
En anglais Dual homed host.
Dfinition :
Un hte qui possde au moins deux interfaces rseaux (qui
interconnecte au moins deux rseaux).

Proprit:
Si un hte connecte deux sous rseaux,
Et sil nest pas configur en routeur.
=> Il est impossible un paquet de passer dun rseau
lautre sans tre trait au niveau applicatif.
=> Cest un proxy incontournable.
12

Outils dans les pare-feux :

4) Bastion
Dfinition :
Un hte expos au rseau externe (rendu accessible de lextrieur par la
dfinition de la politique de scurit).
Il constitue un point de contact entre rseau externe et rseau interne.

Serveur pour un ensemble de services prdfinis :

Service toile (HTTP), service de noms (DNS), service de messagerie .
Le bastion peut agir en rendant directement le service concern.
Le bastion peut agir en relayant les requtes vers dautres serveurs
aprs avoir effectu un contle daccs applicatif (proxy-serveur).
Le bastion doit tre incontournable pour lensemble des services prvus.

Le bastion peut servir dans la dtection dintrusion:

Analyse des communications pour dtecter des attaques : IDS
(Intrusion Detection System).
Fonction pot de miel (Honeypot) : un service semblant attractif pour
un attaquant et qui nest en ralit quun pige pour dtecter lattaquant.
13

Architecture de pare-feu avec

routeur filtrant et bastion

Rseau
interne

Bastion

Rseau
externe

Routeur filtrant

Pare-feu

14

Outils dans les pare-feux :

5) Zone dmilitarise (rseau expos)
Terminologie :
Rseau expos, rseau priphrique ( Peripheral Network)
Zone dmilitarize , DMZ, De Militarized Zone

Dfinition :
Une partie dun pare-feu qui est un sous-rseau.
Ce sous rseau plac en passerelle entre un rseau
protger et un rseau externe non protg.

Proprits vises :
La zone dmilitarize est plus ouverte sur le rseau externe
que le rseau interne.
Elle dessert les systmes exposs lextrieur :
principalement les bastions .
15

Architecture de pare-feu avec

routeurs, bastions et DMZ

Routeur
filtrant
interne
Rseau
interne

Bastion

Rseau
Expos
(DMZ)

Bastion

Pare-feu

Rseau
externe
Routeur
filtrant
externe

16

En association avec le pare-feu :

6) Traducteur dadresses NAT
Traduction des adresses IP et TCP :
NAT Network Address Translation et PAT Port Address
Translation => Traduction combine de port et d'adresse
rseau: NAPT Network Address and Port Translation.
Solution introduite pour conomiser des adresses IP V4.

Solution utilise en scurit:

NAPT permet de cacher le plan dadressage interne:
les adresses IP et les numros de port ne sont plus connus
lextrieur.
NAPT nautorise pas les connexions initialises depuis
le rseau externe.
Solution diffrente du filtrage de paquets mais solution
complmentaire.
17

Pare-Feux

Filtrage des paquets et

des segments

18

Rappel: Structure dun datagramme

IP avec un segment TCP

19

Zones importantes pour les

pare-feux (1)
Protocole de niveau liaison (PPP, niveau mac):
Zone protocole utilisateur (dmultiplexage): IP, IPX
Zones adresses: Adresses Ethernet IEEE802, (permettent de
dterminer la source et la destination sur la liaison donc
lentre ou la sortie)

Protocole IP:
Adresses source et destination.
Drapeaux (Flags): en particulier ceux qui concernent la
fragmentation.
Le type de protocole destinataire: TCP, UDP, ICMP, ...
Analyse des zones dextension par exemple en routage par
la source => Demande de destruction de ces datagrammes
20
car utilisation possible du routage par la source en attaque.

Zones importantes pour les

pare-feux (2)
Protocole TCP :
Numros de port source et destination: permet destimer quel est le
service concern dans la mesure ou lon respecte lutilisation des
numros bien connus => Il est toujours possible pour un attaquant
dusurper un numro de port.
Drapeaux de contrle (flags)
ACK: positionn sauf dans le premier segment (utilisation possible pour
bloquer des connexions).
SYN: positionn dans les deux premiers segments (permet didentifier
les connexions).
RST: fermeture non ngocie de connexion.

Protocole dapplication :
Analyse non ralise par les filtres de paquets mais par les proxys
serveurs.
Lapplication filtre doit tre trs stabilise.

21

Les principaux services Internet

contrler
Le courrier lectronique SMTP Simple Mail Transfer Protocol.
Le transfert de fichiers FTP File Transfer Protocol et laccs
fichier distant NFS Network File System.
Les accs distance protocoles telnet, rlogin, ssh
La toile HTTP Hypertext Transfer Protocol
Les informations sur les utilisateurs: finger
Les services de conferences CUseeMe, Netmeeting,
Lannuaire des noms de domaine DNS Domain Name
Service.
Ladministration de rseau SNMP Simple Network
Management Protocol.
La synchronisation dhorloges NTP Network Time Protocol.
Les systmes multi fentres X-Windows
Les systmes dimpressions LPR/LPD Line Printing
22
Les nouvelles (news) NNTP Network News Transfer Protocol.

Smantique du filtrage des paquets

: Trois notions de direction (1)
Les rgles sont assez souvent exprimes selon une
notion de direction : entrant ou sortant.
1) Direction associe au rseau protger.
Filtre

Rseau
interne

Direction sortante

Rseau
externe

Direction entrante

Les rgles ne sont pas symtriques : on donne des droits un hte

interne vers lextrieur et on refuse ces droits de lextrieur vers lintrieur.

2) Position du filtrage dans un routeur filtrant selon

linterface.
Filtre
Paquet sortant
Paquet entrant

Paquet entrant
Paquet sortant
Paquet entrant

Paquet sortant

Application dune rgle de filtrage : soit des la rception (on filtre les
paquets arrivs) ou avant lmission (on filtre les paquets aprs le routage
23
juste avant la sortie)

Smantique du filtrage des paquets

: Trois notions de direction (2)
3) Notion de direction selon le sens de
connexion

La direction concerne des connexions (ouvreur actif TCP

vers ouvreur passif) ou des services applicatifs
(client/serveur).
Rgles concernant des services sortants : la
connexion est la demande dun ouvreur ou dun client
interne (Exemple: telnet sortant).
Rgles concernant des services entrants : la
connexion est la demande dun ouvreur ou dun client
externe (Exemple: http entrant).

Conclusion : Introduction dans certains filtres dun

smantique de sens dans lexpression des rgles => Bien

connatre la smantique de la direction dans le filtre utilis24
concernant les notions dentrant et de sortant.

Les trois tapes du filtrage :

Etape 1 : Spcification abstraite
Dfinir abstraitement la politique de scurit :
ce qui est autoris et ce qui est interdit
Choisir une politique densemble:
Solution 1) Tout ce qui nest pas explicitement autoris est interdit.
Solution 2) Tout ce qui nest pas explicitement interdit est autoris.

Enoncer des rgles

Exemple de rgle 1) Autoriser un hte intrene recevoir
du courrier lectronique de toute provenance parceque
cest un serveur de courrier smtp.
Exemple de rgle 2) Interdire un hte externe prcis
denvoyer du courrier SMTP un serveur de courrier
interne parcequil est en liste noire.
25

Les trois tapes du filtrage :

Etape 2: Etablir des rgles prcises
Traduire la politique de scurit en des rgles prcises
concernant des communications IP
Rgles concernant des datagrammes IP : adresses source/destination,
protocole utilisateur TCP port source/destination, indicateurs TCP, autres
Exemple 1) Rgle interdisant tout par dfaut
Rgle

IP Source

Port Source

IP Dest

Port Dest

Complment

Interdire

TCP

Exemple 2) Rgle autorisant la reception du courrier par un serveur

Rgle

IP Source

Port Source

IP Dest

Port Dest

Complment

Autoriser

Smtp-local

25

TCP

Exemple 3)Rgle interdisant lmission par un serveur de courrier suspect

Rgle

IP Source

Port Source

IP Dest

Port Dest

Complment

Interdire

Smtp_distant

TCP
26

Les trois tapes du filtrage :

Etape 3 : Configurer un outil prcis
Rentrer les rgles dans un pare-feu rel en utilisant la
syntaxe et la smantique de linterface de loutil

Smantique la plus frquente : exploitation des rgles dans lordre.

La premire rgle satisfaite provoque lautorisation de la transmission ou
la destruction du datagramme.
En fait un pare-feu interprte un programme qui est une suite de: si
(condition sur datagramme) alors action (autoriser/interdire).
Exemple : Liste ordonne des rgles prcdentes.

Rgle

IP Source

Port Source

IP Dest

Port Dest

Complment

Interdire

Smtp-distant

TCP

Autoriser

Smtp_local

25

TCP

Interdire

TCP

Transformer les rgles dans la syntaxe du pare-feu disponible

Exemple : Syntaxe de rgle avec le pare-feu LINUX (iptables).
27
[root@ firewall]#iptables A FORWARD p smtp d 192.168.0.10 j ACCEPT

Affiner les rgles de filtrage

Utilisation des indicateurs : ACK
Exemple dutilisation dindicateurs
(flags) TCP.
Besoin frquent : autoriser la
connexion dun client interne sur un
serveur interne (ou externe) mais
refuser la connexion dun client externe
sur le mme serveur interne.
Une solution : lutilisation de
lindicateur ACK en TCP.
Rappel : Fonctionnement de lACK.

Envoyer
SYN, seq=x

Recevoir
SYN,
ACK segment
Envoyer
ACK prsent dans pratiquement tous les
segments sauf le premier (exception les ACK y+1
segments RST quon peut autoriser
explicitement).
Il suffit de bloquer un segment sans segment ACK
ACK pour interdire la mise en place
donc lexistence dune connexion.

segment ACK

Recevoir
segment SYN
Envoyer
SYN, seq=y
ACK x+1

Recevoir
segment ACK
segment ACK
segment28ACK

Filtrage avec indicateur ACK TCP :

Fonctionnement prcis
Premire politique : un client autoris peut utiliser un service de
numro de port bien connu ou quil soit.
La premire rgle autorise certains htes slectionns (possiblement tout
mon domaine) communiquer avec un service distant (interne ou
externe) de numro de port bien connu (not ici service-tcp, par ex 80).
Seconde politique : un site externe ne peut commencer une
communication avec un serveur interne sur le port bien connu mais
il peut continuer une communication qui a t initialise.
La seconde rgle autorise tous les htes de linternet (internes ou
externes) qui utilisent le numro de port bien connu communiquer
condition que le bit ACK soit positionn => on autorise en fait les
rponses par un serveur une communication initialise en interne.
Rgle

IP Source

Port Source

IP Dest

Port Dest

Complment

Autoriser

Mes-hotes

Service-TCP

TCP

Autoriser

Service-TCP

TCP, ACK29

Conclusion
Avantages des filtres de paquets
Un filtre de paquets peut protger en un
seul dispositif tout un rseau dentreprise.
La mise en place du filtre peut tre
ralise par lquipe systme
indpendamment des usagers qui grent les
postes clients ou serveurs.
Les filtres de paquets sont trs rpandus
dans tous les routeurs
sous forme de logiciels filtres logiciels libres ou
propritaires.

30

Conclusion : Inconvnients des

filtres de paquets
Le filtrage de paquets pose des problmes de
mise en oeuvre.
Rgles difficiles dfinir.
Rgles difficiles assembler en une suite cohrente.
Fonctionnalits des filtres dont on dispose spcifiques ou
incompltes ou difficiles comprendre.

Certains protocoles applicatifs posent des

problmes pour le filtrage

Exemples : utilisation de ports allous dynamiquement.

Les filtres de paquets ne prennent pas en

compte les donnes des applications

Exemple: filtrer sur le nom dun usager dans un accs

distant ou dans un transfert de fichier.
Ncessit de mettre en uvre des proxys.

31

Bibliographie :
ParePare-feux
D. Brent Chapman, Elisabeth D. Wwicky La
scurit sur Internet Firewalls OReilly ,
1996.
William R. Cheswick, Steven M. Bellovin,
Firewalls and Internet security, Addison
Wesley, 1994.

32