Pare-feu

Introduction:
Chaque ordinateur connect internet est expos aux attaques de pirates.
La mthodologie gnralement employe par les pirates consiste scruter le rseau
(en envoyant des paquets de donnes de manire alatoire) la recherche d'une
machine connecte, puis chercher une faille de scurit afin de l'exploiter.
Cette menace est d'autant plus grande que la machine est connecte en permanence
internet pour plusieurs raisons :

La machine cible est susceptible d'tre connecte sans pour autant tre surveille ;
La machine cible est gnralement connecte avec une plus large bande passante ;
La machine cible ne change pas (ou peu) d'adresse IP.

Un pare-feu (coupe-feu, garde-barrire - firewall), est un systme permettant

de protger un ordinateur des intrusions provenant d'internet.
Le pare-feu est un systme permettant de filtrer les paquets de donnes
changs avec le rseau, il s'agit ainsi d'une passerelle filtrante comportant au
minimum les interfaces rseau suivante :
une interface pour le rseau protger (rseau interne)
une interface pour le rseau externe

Les attaques contre les firewalls

La premire tape lors d'une attaque est de dterminer les rgles actives
sur le pare-feu.
Le but est simple : savoir quels ports ne sont pas filtrs (utiliser un scan).
Nmap peut dterminer quels ports sont ou ne sont pas filtrs. Exemple :
[root@nowhere.net /root]# nmap 192.168.1.2
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on (192.168.1.2) : (The 1549 ports scanned but not shown below are
in state : closed)
Port State Service
21/tcp filtered ftp
22/tcp filtered ssh
111/tcp open sunrpc 515/tcp open printer
1024/tcp open kdm
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
Les ports 21 (ftp) et 22 (ssh) sont filtrs.

Le systme firewall est un systme logiciel, reposant parfois

sur un matriel rseau ddi, constituant un intermdiaire entre
le rseau local (ou la machine locale) et un ou plusieurs
rseaux externes.
Il est possible de mettre un systme pare-feu sur n'importe
quelle machine et avec n'importe quel systme pourvu que :
La machine soit suffisamment puissante pour traiter le
traffic ;
Le systme soit scuris ;

Aucun autre service que le service de filtrage de paquets

ne fonctionne sur le serveur.
4

De quoi protge un pare-feu?

Voici les principaux problmes contre lesquels un pare-feu correctement
configur peut vous protger:
Les chevaux de Troie et autres logiciels espions qui tentent de lire des
donnes votre insu sur votre PC, voire de le commander distance.
L'accs par une "porte drobe":
de nombreux programmes possdent ce que l'on appelle des
"portes drobes" ("backdoor") ouvrant un accs de l'extrieur.
D'autres prvoient un service de tlmaintenance dont il peut tre fait un
usage abusif. Le pare-feu peut y faire obstacle.
Les bombes e-mail sont des attaques durant lesquelles un utilisateur
reoit encore et toujours le mme mail. Le pare-feu peut les contrer.
Les virus: les pare-feu peuvent aussi contribuer protger un rseau
contre les virus. Cela ne dispense pas pour autant l'utilisateur ayant un
pare-feu de prendre les mesures de prvention d'usage.
5

Fonctionnement d'un systme pare-feu

Un systme pare-feu contient un ensemble de rgles prdfinies permettant:

D'autoriser la connexion (allow)

De bloquer la connexion (deny)
De rejeter la demande de connexion sans avertir l'metteur (drop).
L'ensemble de ces rgles permet de mettre en uvre une mthode de filtrage
dpendant de la politique de scurit adopte par l'entit.
On distingue habituellement deux types de politiques de scurit permettant :
soit d'autoriser uniquement les communications ayant t explicitement
autorises :
"Tout ce qui n'est pas explicitement autoris est interdit".
soit d'empcher les changes qui ont t explicitement interdits.
La premire mthode est sans nul doute la plus sre, mais elle impose
une dfinition prcise et contraignante des besoins en communication.
6

Le filtrage simple de paquets

Un systme pare-feu fonctionne sur le principe du filtrage simple de
paquets stateless packet filtering .
Il analyse les en-ttes de chaque paquet de donnes chang entre une
machine du rseau interne et une machine extrieure.
Ainsi, les paquets de donnes changes entre une machine du rseau
extrieur et une machine du rseau interne transitent par le pare-feu et
possdent les en-ttes suivants, systmatiquement analyss par le firewall :
adresse IP de la machine mettrice ;
adresse IP de la machine rceptrice ;
type de paquet (TCP, UDP) ;
numro de port (un port est un numro associ un service ou une
application rseau).
Le type de paquet et le numro de port donnent une indication sur le type
de service utilis.
7

...
Les ports reconnus (dont le numro est compris entre 0 et 1023) sont
associs des services courants.
(les ports 25 et 110 sont par exemple associs au courrier lectronique, et le
port 80 au Web).
La plupart des dispositifs pare-feu sont au minimum configurs de manire
filtrer les communications selon le port utilis.
Il est gnralement conseill de bloquer tous les ports qui ne sont pas
indispensables (selon la politique de scurit retenue).
Le port 23 est par exemple souvent bloqu par dfaut par les dispositifs
pare-feu car il correspond au protocole Telnet
Les donnes changes par Telnet ne sont pas chiffres, ce qui signifie
qu'un individu est susceptible d'couter le rseau et de voler les ventuels
mots de passe circulant en clair.

...

10

Le filtrage dynamique
Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP
indpendamment les uns des autres, ce qui correspond au niveau 3 du modle OSI.

La plupart des connexions reposent sur le protocole TCP, qui gre la notion de
session, afin d'assurer le bon droulement des changes.
De nombreux services (le FTP par exemple) initient une connexion sur un port
statique, ouvrent dynamiquement (manire alatoire) un port afin d'tablir une
session entre la machine faisant office de serveur et la machine cliente.
Ainsi, il est impossible avec un filtrage simple de paquets de prvoir les ports
laisser passer ou interdire.

Pour y remdier, le systme de filtrage dynamique de paquets est bas sur

l'inspection des couches 3 et 4 du modle OSI, permettant d'effectuer un suivi des
transactions entre le client et le serveur.
Le terme anglo-saxon est stateful inspection ou stateful packet filtering ,
filtrage de paquets avec tat .

11

Plus de prcision:
Pour le protocole Ftp (et les protocoles fonctionnant de la mme
faon), il faut grer l'tat de deux connexions.
En effet, le protocole Ftp, gre un canal de contrle tabli par le
client, et un canal de donnes tabli par le serveur.
Le Firewall devra donc laisser passer le flux de donnes tabli par
le serveur.
Ce qui implique que le Firewall connaisse le protocole Ftp, et tous
les protocoles fonctionnant sur le mme principe.
Cette technique est connue sous le nom de filtrage dynamique
(Stateful Inspection) et a t invente par Checkpoint

12

...
Un dispositif pare-feu de type stateful inspection est capable d'assurer un
suivi des changes, i.e de tenir compte de l'tat des anciens paquets pour
appliquer les rgles de filtrage.

De cette manire, partir du moment o une machine autorise initie une

connexion une machine situe de l'autre ct du pare-feu, les paquets
transitant dans le cadre de cette connexion seront implicitement accepts par
le pare-feu.
Si le filtrage dynamique est plus performant que le filtrage de paquets
basique, il ne protge pas pour autant de l'exploitation des failles
applicatives, lies aux vulnrabilits des applications.
Or ces vulnrabilits reprsentent la part la plus importante des risques en
terme de scurit.

13

Le filtrage applicatif
Le filtrage applicatif permet de filtrer les communications application par application.
Le filtrage applicatif opre au niveau 7 (couche application) du modle OSI,
contrairement au filtrage de paquets simple (niveau 3).
Le filtrage applicatif suppose une connaissance des protocoles utiliss par chaque
application.
.
Le filtrage applicatif suppose donc une bonne connaissance des applications prsentes
sur le rseau, et notamment de la manire dont elle structure les donnes changes
(ports, etc.).
Un firewall effectuant un filtrage applicatif est appel passerelle applicative (ou
proxy ), car il sert de relais entre deux rseaux en s'interposant et en effectuant
une validation fine du contenu des paquets changs.

14

PROXY:
Le proxy est un intermdiaire entre les machines du rseau
interne et le rseau externe, subissant les attaques leur place.

Le filtrage applicatif permet la destruction des en-ttes

prcdant le message applicatif, ce qui permet de fournir un
niveau de scurit supplmentaire.
Il s'agit d'un dispositif performant, assurant une bonne
protection du rseau.

En contrepartie, une analyse fine des donnes applicatives

requiert une grande puissance de calcul et se traduit donc
souvent par un ralentissement des communications, chaque
paquet devant tre finement analys.
Le proxy doit ncessairement tre en mesure d'interprter une vaste gamme
de protocoles et de connatre les failles affrentes pour tre efficace.
15

Plus de prcision:
Il faut nuancer la supriorit du filtrage applicatif par rapport la
technologie Stateful:
Les proxys doivent tre paramtrs suffisamment finement pour limiter le
champ d'action des attaquants.
ce qui ncessite une trs bonne connaissance des protocoles autoriss
traverser le firewall.
Un proxy est plus susceptible de prsenter une faille de scurit
permettant un pirate d'en prendre le contrle, et de lui donner un
accs sans restriction tout le systme d'information.
Il faut protger le proxy par un Firewall de type Stateful Inspection. Il vaut
mieux viter d'installer les deux types de filtrage sur le mme Firewall,
(compromission de l'un entrane la compromission de l'autre).

16

Un serveur proxy (serveur mandataire) est une machine intermdiaire

entre les ordinateurs d'un rseau local
(utilisant parfois des protocoles autres que le protocole TCP/IP) et
internet.
La plupart du temps le serveur proxy est utilis pour le web, il s'agit
alors d'un proxy HTTP.

Il peut exister des serveurs proxy pour chaque protocole applicatif

(FTP, etc.).

17

Fonctionnement d'un proxy:

il s'agit d'un serveur "mandat" par une application pour effectuer une
requte sur Internet sa place:

Lorsqu'un utilisateur se connecte internet l'aide d'une application cliente

configure pour utiliser un serveur proxy, celle-ci va se connecter en premier
lieu au serveur proxy et lui donner sa requte.

Le serveur proxy va se connecter au serveur que l'application cliente cherche

joindre et lui transmettre la requte.

Le serveur va ensuite donner sa rponse au proxy, qui va son tour la

transmettre l'application cliente.

18

Mise en place d'un serveur proxy:

Le proxy le plus rpandu est Squid, un logiciel libre disponible sur Unix, Windows et
Linux.

Squid est un logiciel permettant la ralisation d'un cache pour les clients web. Squid
peut aussi jouer le rle de filtre http.
* Cache : espace o l'on stocke les pages les plus visites

Squid est un logiciel protg par la GPL (Gnu Public Licence).

Son url est http://www.squidguard.org

Squid est un cache proxy :

Squid agit comme un agent qui reoit des requtes de clients, les transmet au
serveur Internet concern et stocke l'information retourne par le serveur Internet.

Si l'information est demande plusieurs fois, alors le contenu stock sera retourn
aux clients, ce qui rduit la bande passante utilise et acclre les oprations.
19

Notion de pare-feu personnel

Dans le cas o la zone protge se limite l'ordinateur sur
lequel le firewall est install on parle de firewall personnel
(pare-feu personnel).
Un firewall personnel permet de contrler l'accs au rseau
des applications installes sur la machine, et notamment
empcher les attaques du type cheval de Troie, i.e des
programmes nuisibles ouvrant une brche dans le systme afin
de permettre une prise en main distance de la machine par un
pirate informatique.
Le firewall personnel permet de reprer et d'empcher
l'ouverture non sollicite de la part d'applications non
autorises se connecter.
20

Les limites des firewalls

Un systme pare-feu n'offre bien videmment pas une
scurit absolue.
Les firewalls n'offrent une protection que dans la mesure o
l'ensemble des communications vers l'extrieur passe
systmatiquement par leur intermdiaire et qu'ils sont
correctement configurs.
Ainsi, les accs au rseau extrieur par contournement du
firewall sont autant de failles de scurit.
C'est notamment le cas des connexions effectues partir du
rseau interne l'aide d'un modem ou de tout moyen de
connexion chappant au contrle du pare-feu.
21

Les limites des firewalls

L'introduction de supports de stockage de l'extrieur sur des
machines internes au rseau ou bien d'ordinateurs portables peut
porter fortement prjudice la politique de scurit globale.
Afin de garantir un niveau de protection maximal, il est
ncessaire d'administrer le pare-feu et de surveiller son journal
d'activit pour dtecter les tentatives d'intrusion et les anomalies.
Il est recommand d'effectuer une veille de scurit (utilisation
dalertes de scurit) afin de modifier le paramtrage de son
dispositif en fonction de la publication des alertes.
La mise en place d'un firewall doit donc se faire en accord avec
une vritable politique de scurit
22

Zone dmilitarise

DMZ dsigne la zone dmilitarise qui spare la Core du Nord de

la Core du sud sur 30 km. Elle assure que chacun des deux camps
pourra apercevoir une manuvre de l'ennemi de pntration de la
zone. C'est ce que l'on nomme un no man's land au Royaume-Uni et
un glacis en France.
En scurit informatique, une zone dmilitarise (DMZ) est un
sous-rseau isol par un pare-feu.
Ce sous-rseau contient des machines se situant entre le LAN et le
WAN.
La DMZ permet ses machines d'accder Internet et/ou de
publier des services sur Internet.
En cas de compromission d'une machine, l'accs vers le rseau
interne sera interdit.
Elle est utilise dans le cadre d'un routage de type NAT, toutes
les connexions non rediriges vers les ports dfinis sont rediriges
vers la DMZ.
23

24

Architectures scurises:
Architecture accs DMZ via le pare-feu
connecter directement le serveur web de lentreprise sur une des
interfaces rseau du pare-feu.

firewall

25

Architecture scurise:
Un firewall a en gnral 3 cartes rseau. Une relie au routeur connecte
Internet, une connecte la DMZ, la dernire connecte au LAN local.

26

Les firewalls matriels

Ils se trouvent souvent sur des routeurs achets dans le commerce par de
grands constructeurs comme Cisco ou Nortel.

Intgrs directement dans la machine, ils font office de boite noire , et ont
une intgration parfaite avec le matriel.
Leur configuration est souvent relativement ardue, mais leur avantage est
que leur interaction avec les autres fonctionnalits du routeur est simplifie de
par leur prsence sur le mme quipement rseau.
Souvent relativement peu flexibles en terme de configuration, ils sont aussi
peu vulnrables aux attaques, car prsent dans la boite noire qu'est le
routeur.
De plus, tant souvent trs lis au matriel, l'accs leur code est assez
difficile, et le constructeur a eu toute latitude pour produire des systme de
codes signs afin d'authentifier le logiciel (systme RSA ou assimils).
27

28

29

30

31

32

33

34

35

36

37

38