Vous êtes sur la page 1sur 23

Laboratoire de Cryptologie et Virologie Oprationnelles

38, rue des Docteurs Calmette et Gurin


Parc Universitaire
53000 Laval
02 43 59 24 24

Rapport de stage technique du cycle ingnieur ESIEA

Rarchitecture du pare-feu
d'ALCASAR pour un
comportement dynamique
Auteur : Jean-Baptiste Couprit 4A

Matre de stage : Franck Bouijoux


Tuteur ESIEA : Richard Rey

Priode du 07 avril au 07 aot 2014

Soutenu le : 18 juillet 2014

Rsum
Ce rapport traite de la refonte du pare-feu d'ALCASAR (Application Libre pour le Contrle d'Accs
Scuris et Authentifi au Rseau). ALCASAR est un contrleur d'accs au rseau permettant de protger les
connexions de ses utilisateurs, que ce soit partir d'un ordinateur, d'un tlphone portable, ou encore d'une
tablette. Par consquent, cet quipement doit tre plac entre un routeur d'accs Internet (box) et ses
utilisateurs. Ce projet libre sous licence GPLv3 est bas sous la distribution franaise Mageia et intgre
plusieurs logiciels libres (Apache, Netfilter, OpenSSL, Dnsmasq, etc). Ce logiciel permet de tracer, imputer
et authentifier ses utilisateurs, ce qui lui permet de rpondre aux exigences franaises lgales et
rglementaires.
Mon travail au sein de l'quipe a t de changer la philosophie du pare-feu d'ALCASAR. Un parefeu est un logiciel dont le but est de faire respecter des politiques de scurit rseau, travers un ensemble
de rgles. De cette manire, les flux de donnes peuvent tre contrls. Le pare-feu de l'actuelle version
d'ALCASAR (V2.8) dfinit des rgles universelles et figes, ce qui implique que tous les utilisateurs hritent
des mmes droits, pralablement fixs par l'administrateur du systme. L'objectif de la refonte du pare-feu
tait de mettre en place des rgles dynamiques, personnalises chacun. Grce cette nouveaut, chaque
utilisateur aura des droits qui lui seront propres, et qui seront grs indpendamment dans le pare-feu. De
cette manire, il sera dsormais possible de faire cohabiter sur un mme systme, une structure d'entreprise
o le directeur ne veut pas tre filtr, tout en ayant un groupe d'employs avec un premier niveau de filtrage
et un second groupe avec un second niveau de filtrage, ainsi qu'une personne avec le plus grand niveau de
restrictions. chaque connexion d'un utilisateur ALCASAR, le pare-feu s'adaptera automatiquement
celui-ci afin de lui attribuer les rgles qui lui sont propres.
Ce document rcapitule l'ensemble de mes travaux effectus au cours de quatre mois de stage au
laboratoire CVO, de la prise en main d'ALCASAR, la refonte du pare-feu, en passant par les difficults
rencontres, et surtout, la manire dont elles ont t surmontes.

Stage de quatrime anne Jean-Baptiste Couprit

Abstract
This report deals with the ALCASAR's (Application Libre pour le Contrle d'Accs Scuris et
Authentifi au Rseau) firewall recasting. ALCASAR is a network access controller which is able to protect
its users' connections, from a computer, a smartphone, or a tablet. Therefore, this device must be placed
between a router and its users. This open-source project under GPLv3 licence is based on the french
distribution Mageia and includes severals free softwares like Apache, Netfilter, OpenSSL, Dnsmasq, etc. Its
features are to impute, trace and authenticate its users, allowing it to respect legal requirements and
regulations.
My work in the ALCASAR team, was to change the philosophy of the firewall. A firewall is a
software which aims to enforce network security politics, through a set of rules. By this way, data streams
can be handled. The firewall of the current ALCASAR version (V2.8), defines fixed and universal rules,
which involves that all users inherit from same rights, beforehand, fixed by the system administrator. For the
next version (V2.9) which will be released in a couple of months, the purpose was to implement a dynamic
firewall, that is to say, with the adding or not of rules according users. With this innovation, each user will
have own rules, which will be handled independently in the firewall. By this way, it will be possible to have,
on a same system, without changing any rights, for example, a company structure in which the director
doesn't want to be filtered, while having a group of employees with a low level filtering, an other group of
employees with a medium level of filtering and a single person with an high filtering level. For each
connection to ALCASAR, the firewall will automatically fit, in order to attribute rules to users.
This document summarizes all my work during my four month internship, at the CVO laboratory,
from the beginning, to the recasting of the firewall, through the difficulties, and most importantly, how they
were overcome.

Stage de quatrime anne Jean-Baptiste Couprit

Table des matires


tablissement d'accueil..................................................................................................................................7
Prsentation d'ALCASAR.............................................................................................................................7
Architecture de ce document.........................................................................................................................9
Problmatique..............................................................................................................................................10
Sujet........................................................................................................................................................10
Pourquoi un pare-feu dynamique ?.........................................................................................................10
1 - Ajout de fonctionnalits..............................................................................................................................11
2 - Fusion des pages ticket rapide et ticket usager...........................................................................................12
3 - Amliorations de la partie Filtrage ........................................................................................................14
Liste noire....................................................................................................................................................14
Liste blanche................................................................................................................................................16
4 - Pare-feu dynamique....................................................................................................................................17
5 - Mise jour de Mageia 2 vers Mageia 4......................................................................................................19
Basculement.................................................................................................................................................19
Compilation d'un paquet..............................................................................................................................19
Rsolution d'un bogue ...........................................................................................................................19
Annexe 1 : Architecture d'ALCASAR.........................................................................................................22

Stage de quatrime anne Jean-Baptiste Couprit

Table des illustrations


Illustration 1: Logo d'ALCASAR......................................................................................................................7
Illustration 2: Exemple de rseau avec ALCASAR...........................................................................................8
Illustration 3: Interception client........................................................................................................................8
Illustration 4: Panel d'administration d'ALCASAR...........................................................................................9
Illustration 5: Pare-feu......................................................................................................................................10
Illustration 6: Aiguillage d'un usager...............................................................................................................10
Illustration 7: Description d'une catgorie........................................................................................................11
Illustration 8: Cration d'un usager..................................................................................................................12
Illustration 9: Ticket gnr par ALCASAR....................................................................................................13
Illustration 10: Catgories de la liste noire.......................................................................................................14
Illustration 11: Blocage par le pare-feu............................................................................................................14
Illustration 12: Rhabilitation et filtrage d'adresses IP.....................................................................................15
Illustration 13: Fichiers d'adresses IP...............................................................................................................15
Illustration 14: Catgories de la liste blanche..................................................................................................16
Illustration 15: Filtrage usager.........................................................................................................................17

Stage de quatrime anne Jean-Baptiste Couprit

Remerciements
Je remercie toutes les personnes ayant particip de prs ou de loin la russite de ce stage,
l'ensemble du personnel du laboratoire CVO qui a su m'accueillir et m'intgrer l'quipe et tout
particulirement les personnes suivantes :
Monsieur Richard Rey : pour m'avoir fait l'honneur d'tre mon tuteur, pour m'avoir guid et paul
durant cette exprience pleine d'intrts.
Monsieur Franck Bouijoux : qui m'a accompagn tout au long de ce stage, bnficier de son
exprience a t trs enrichissant et instructif. Je le remercie pour tout le temps qu'il m'a consacr ainsi que
pour les responsabilits qu'il m'a confies, ce qui m'a permis de beaucoup apprendre.

Stage de quatrime anne Jean-Baptiste Couprit

Introduction
tablissement d'accueil
En tant qu'lve ingnieur en quatrime anne l'ESIEA, j'ai pour but de mettre en pratique
l'ensemble de mes connaissances travers un stage technique en entreprise. L'objectif d'un tel stage est non
seulement d'acqurir de l'exprience sur le monde du travail qui m'attend dans quelques mois, mais aussi
d'approfondir mes comptences travers un projet extrascolaire.
L'entreprise m'ayant accueillie est le Laboratoire de Cryptologie et Virologie Oprationnelles (CVO),
dirig par monsieur ric Filiol, appartenant l'cole Suprieure d'Informatique, lectronique et
Automatique, situe Laval (53). Ce laboratoire et l'un des quatre que compte l'ESIEA. Parmi ceux-ci nous
trouvons :

Un laboratoire en Ralit Virtuelle et Systmes Embarqus (RVSE)

Un laboratoire d'Art et de Recherche NUMrique (ARNUM)

Un laboratoire d'Acquisition et Traitement des Images et du Signal (ATIS)

Le laboratoire CVO est implant l'ESIEA de Laval depuis 2007. Au dpart, il s'agissait d'un
laboratoire travaillant en collaboration avec le Laboratoire de Virologie et de Cryptologie de l'cole
Suprieure et d'Application des Transmissions (ESAT) de Rennes, jusqu' accueillir dfinitivement les
ressources de l'ESAT en 2008. Sous tutelle du Ministre de la Dfense, ce laboratoire est habilit mener
des recherches dites classifies de dfense et est rattach l'cole doctorale de l'cole Polytechnique de
Palaiseau. l'heure actuelle, cette structure comprend quatre enseignants-chercheurs temps complet, deux
ingnieurs de recherche ainsi que six doctorants. Les thmes des recherches abords sont les suivants :

Cryptologie symtrique, cryptologie asymtrique, cryptanalyse et cryptographie

Systmes stganographiques

Virologie informatique

Guerre informatique

Scurit des environnements embarqus

Algorithmie et implmentation scurise

Prsentation d'ALCASAR
ALCASAR (Application Libre pour le Contrle d'Accs Scuris et Authentifi au Rseau) est un
contrleur d'accs au rseau libre, sous licence GPLv3, exploitant Mageia. Il a t cr par Rexy et 3abtux et
est toujours en dveloppement. Sa version actuelle est la V2.8. Il s'agit d'un portail permettant de scuriser
l'accs un rseau, en authentifiant, traant et imputant les connexions des utilisateurs, quelque soit les
supports utiliss (ordinateurs, tablettes ou encore tlphones portables). L'authentification est ralise la
suite de l'interception d'une station du rseau qui est effectue par un identifiant et un mot de passe.
L'administrateur du systme cre les comptes usagers, ou les groupes d'usagers, avec la possibilit d'allouer

Illustration 1: Logo
d'ALCASAR
Stage de quatrime anne Jean-Baptiste Couprit

chacun un grand nombre d'attributs tels que leur priode de connexion, la date d'expiration du compte, la
taille maximale de transfert de donnes, et bien d'autres. Si une personne ne possde pas d'identifiants, elle
sera bloque.
L'imputabilit et la traabilit sont raliss grce un systme de journalisation par fichiers, ce qui
permet d'avoir une trace de chaque activit utilisateurs (tlchargements, consultation de courriers
lectroniques, navigation, etc.). De plus, ALCASAR garantit le respect de la vie prive de chaque utilisateur
en chiffrant les flux lis l'authentification et l'impossibilit de modifier les fichiers de traces des
connexions. De ce fait, il y a non-rpudiation des traces. Tout ceci permet par consquent de rpondre aux
exigences des politiques d'accs.
La scurit, quant elle, est ralise grce un pare-feu coupl un antivirus afin de protger chaque
utilisateur des menaces extrieures d'une part, ainsi que de modules spcifiques afin de protger chaque
utilisateur de tentatives de piratage interne d'autre part.
ALCASAR fonctionne sur un ordinateur ddi plac entre le routeur d'accs Internet (box) et un
rseau de consultation. Il est totalement indpendant des technologies utilises.

Illustration 2: Exemple de rseau avec ALCASAR


ALCASAR est destin aux grandes structures telles que les htels, les coles, les aroports, etc. Il est
aussi utilis comme outils d'apprentissage pour les filires de la scurit rseau.
Du point de vue du client, ALCASAR intercepte les utilisateurs
lors de la demande d'une page web suite au lancement d'un
navigateur, et demande des identifiants pour pouvoir bnficier
d'un accs Internet.

Illustration 3: Interception client

Nous pouvons trouver sur cette page les principales


informations de l'entreprise et du portail. L'usager, s'il le
souhaite, a la possibilit de changer son mot de passe. Tant
qu'une personne n'est pas authentifie, l'accs Internet est
totalement bloqu. Une fois authentifi, un utilisateur se
retrouve dirig sur la page qu'il demandait lors de son
interception. Ds lors, une session scurise lui est attribue, et
sa vie prive respecte. En fonction de son niveau de filtrage,

Stage de quatrime anne Jean-Baptiste Couprit

dtermin par un administrateur, un usager aura ou n'aura pas le droit de naviguer sur certains sites.
Du point de vue de l'administrateur, ALCASAR offre un centre de gestion complet permettant de
visualiser l'tat du rseau et des services lancs, de grer les utilisateurs en leur allouant par exemple une
dure de connexion maximale, une limitation de la bande passante, une date d'expiration de compte, etc. Un
systme de liste noire / liste blanche est intgr afin de filtrer la navigation des usagers en slectionnant des
catgories de sites par exemple le shopping, chat, audio-vido, etc. Un systme de visualisation de
statistiques d'exploitation du rseau est aussi intgr, permettant de voir en temps rel le taux de donnes
transfr. Cette interface offre galement la possibilit de rcuprer les archives des fichiers journaux,
pouvant tre utilises dans la cadre d'enqutes judiciaires. Cette interface est accessible distance, au moyen
d'un tunnel scuris et chiffr (SSH).

Illustration 4: Panel d'administration d'ALCASAR

Architecture de ce document
Ce document dcrit tout d'abord la problmatique lie ma priode de stage, en dtaillant l'utilit
d'un pare-feu dynamique dans le projet ALCASAR. Il se poursuit par l'amlioration de certains points de
l'interface d'administration, comme l'amlioration de la gestion de la liste noire, ou la simplification du menu
d'administration. Dans la partie suivante, nous dtaillerons l'amlioration du filtrage par liste noire grce
l'ajout du filtrage par adresse IP. Cette prcdente tape nous permet d'arriver au coeur de mon stage : la
modification du pare-feu. Cette partie rcapitule les tapes de mes tudes et recherches sur le pare-feu en
vue de l'amlioration de son comportement. Enfin, j'voquerai la bascule du support de Mageia 2 vers
Mageia 4.

Stage de quatrime anne Jean-Baptiste Couprit

Problmatique
Sujet
Afin de dbuter mon stage dans les meilleures conditions possible, j'ai tudi l'installation et le
fonctionnement d'ALCASAR avant le dbut de celui-ci afin de me familiariser avec ses principales
fonctionnalits et son architecture. ALCASAR tant beaucoup plus qu'un simple contrleur d'accs, il
intgre un grand nombre de fonctionnalits (authentification, filtrage, traage, etc.), et l'tudier dans sa
globalit demande beaucoup de temps. la suite de cette tude, ayant eu la chance de choisir mon sujet de
stage, je me suis dirig vers la partie de filtrage des usagers ralise par le pare-feu Netfilter. Le but tant de
rendre un pare-feu non plus statique, mais dynamique, c'est dire s'adaptant chaque utilisateur, d'o le
sujet suivant : Rorganisation des flux du pare-feu d'ALCASAR.
Un pare-feu, pouvant tre matriel ou logiciel, permet de faire respecter des politiques de scurit
rseau, travers un ensemble de rgles. De cette manire, les flux de donnes entre Internet et un rseau de
consultation peuvent tre contrls.

Illustration 5: Pare-feu
La mise en place d'un pare-feu joue un rle crucial pour la scurit d'un rseau local. En effet, un
pare-feu permet d'interdire les connexions dfinies comme illgitimes en provenance d'Internet, tout en
laissant circuler librement les autres connexions. Pour cela, un pare-feu analyse les adresses IP, les
protocoles, les ports source et de destination, et, suivant la politique qui lui aura t dicte, autorisera,
ignorera ou rejettera les paquets qui transitent. Un pare-feu n'offre cependant pas une scurit absolue. En
effet, plusieurs autres lments sont ncessaire pour couvrir l'ensemble du domaine (antivirus, serveur
mandataire, dtecteurs d'intrusion, bon comportement des utilisateurs, etc.). ALCASAR tant un projet libre
et gratuit, il se devait d'intgrer un pare-feu libre, et surtout rput. C'est la raison pour laquelle Netfilter a
t choisi.

Pourquoi un pare-feu dynamique ?


Le pare-feu de l'actuelle version d'ALCASAR (V2.8) tant statique, cela
signifie que ses rgles s'appliquent pour l'ensemble des utilisateurs du rseau de
consultation. La future version d'ALCASAR V2.9 ayant pour but d'attribuer des
niveaux de filtrage diffrents par utilisateur, cette approche a donc d tre
repense afin d'attribuer des rgles diffrentes en fonction des usagers. Cela
signifie qu'un utilisateur ne sera plus dirig vers un unique chemin, mais sera
aiguill lors de sa connexion en fonction de son niveau de filtrage.

Stage de quatrime anne Jean-Baptiste Couprit

Illustration 6: Aiguillage
d'un usager

10

1 Ajout de fonctionnalits
Les premires tches qui m'ont t confies avaient pour but de me faire dcouvrir le fonctionnement
d'ALCASAR pour pouvoir descendre plus en profondeur par la suite : la partie pare-feu, se situant au coeur
du systme. J'ai donc eu pour mission d'amliorer certains points de l'interface d'administration, et plus
particulirement le filtrage des sites web (liste noire). ALCASAR dispose d'un systme de filtrage de sites
web qui s'appui sur la liste noire de Toulouse (http://dsi.ut-capitole.fr/blacklists/), nous offrant diffrentes
catgories interdire allant des sites de jeux aux sites pdophiles. Dans la version 2.8 d'ALCASAR, la
description des catgories tait crite la main par un membre de l'quipe d'ALCASAR. Cela peut poser
problme, car cette liste est en constante volution et par consquent, des catgories peuvent tre ajoutes ou
enleves, ce qui gnre des erreurs. Mon rle a donc t d'automatiser cette tche. La liste noire intgre une
description des catgories, j'ai donc bascul le systme afin qu'il s'appuie pour chaque catgorie, sur la
description fournie. Ainsi, lors du tlchargement, la liste est traite afin d'tre diffrents endroits et c'est
ce moment que le script rcupre les descriptions et les affecte aux catgories. Ensuite, lorsque l'on clique
sur une catgorie dans le panel d'administration, la page PHP va chercher l'information et l'affiche.
ce moment prcis, nous ne disposions que
d'une description et l'administrateur ne pouvait
pas savoir ce qui se trouvait rellement dans les
catgories (tant composes de noms de domaine,
d'URL et d'adresses IP). Dans la continuit de
cette dmarche, j'ai implment un code
permettant d'afficher le nombre de noms de
domaine, d'URL et d'adresses IP que contient
chaque catgorie et c'est ce moment que j'ai
rencontr ma premire difficult. Certaines
catgories contiennent plus d'un million de noms
de domaine, d'URL ou d'adresses IP et calculer
leur nombre prenait environ neuf secondes en
PHP sur disque dur, ce temps d'attente tant
beaucoup trop long pour l'administrateur, j'ai
dcid de faire appel un code plus rapide, le
Illustration 7: Description d'une catgorie
BASH, qui lui offre des fonctions en langage C
optimis. Aprs la mise en place de celui-ci, nous sommes passs de neuf secondes une seconde pour les
trs grosses catgories, ce qui est plus acceptable. Enfin, dans le but de permettre l'administrateur de
visualiser ce que contiennent rellement les catgories, des liens sur les nombres de noms de domaine,
d'URL et d'adresses IP ont t crs. Lors d'un clic sur ces liens, les premires lignes de chaque fichier sont
affiches, ce qui donne un aperu de ce que contient une catgorie. ce point, si un utilisateur cliquait par
exemple, sur le nombre d'adresses IP, puis sur le nombre d'URL, le calcul de ces nombres tait refait
chaque fois, ce qui n'tait pas une solution adapte. J'ai donc choisi de faire les calculs une seule fois lors
d'un clic sur les catgories et de passer les nombres obtenus en paramtres lors de l'appel de la page web
(mthode GET). De cette faon, le temps d'attente n'intervient qu'une seule fois.
Cette premire partie s'est acheve avec la mise en place du nombre total d'adresses IP, d'URL et de
noms de domaines que compte la liste noire dans le panel d'administration, afin de donner un aperu de ce
qu'elle contient, globalement.

Stage de quatrime anne Jean-Baptiste Couprit

11

2 Fusion des pages ticket rapide et ticket usager


Ma mission s'est poursuivie par la simplification de l'interface d'administration en fusionnant la page
de cration d'un usager et celle de cration d'un ticket rapide, car celles-ci convergent vers le mme but. De
cette faon, l'administration du systme est simplifie. La page de cration d'un ticket rapide offre la
possibilit de crer un usager avec des attributs gnraux tels que l'e-mail, la date d'expiration du compte, le
nombre de connexions simultanes, etc., contrairement la page de cration d'un usager qui elle, offre une
plus large gamme d'attributs. Parmi ceux-ci, nous pouvons trouver le temps maximal d'une connexion, le
nombre maximal de donnes transfres ou encore la limitation de la bande passante. Le but a t de crer
une unique page (cration d'un usager), pouvant s'tendre si l'administrateur le souhaite. La page de cration
d'un ticket rapide a t employe, sur laquelle j'ai rajout un bouton permettant d'tendre le choix des
attributs, ce qui permet de rendre l'utilisation de l'interface plus intuitive.

Illustration 8: Cration d'un usager


C'est aussi grce cette page qu'ALCASAR offre la possibilit aux usagers de s'authentifier
automatiquement lorsque leur adresse MAC est reconnue, en renseignant leur adresse MAC la place du
nom d'utilisateur et le mot password pour le mot de passe, lors de la cration de leur compte. Dans la
version 2.8 d'ALCASAR, l'administrateur, pour la cration d'un tel compte, doit entrer une adresse MAC
uniquement de la forme 08-00-27-F3-DF-68, ce qui peut poser problme si l'administrateur se trompe. C'est
la raison pour laquelle j'ai mis en place un systme d'expressions rgulires afin que l'administrateur puisse
entrer une adresse MAC du type 08-00-27-f3-df-68, 08:00:27:F3:DF:68 ou encore 08:00:27:f3:dF:68. Une
fois l'adresse MAC reconnue, celle-ci est transforme en un format unique compatible avec les champs de la
base de donnes. Ce mcanisme permet de limiter le risque d'erreurs de la part de l'administrateur.
Une fois un compte cr, un ticket est gnr par ALCASAR, rcapitulant les informations d'un
compte, pour tre donn l'utilisateur.

Stage de quatrime anne Jean-Baptiste Couprit

12

Illustration 9: Ticket gnr par ALCASAR


Dans la version 2.8, lorsqu'un administrateur veut crer un compte avec une adresse MAC, un ticket
est gnr, ce qui peut s'avrer inutile, parce qu'un utilisateur n'a besoin d'aucune information (mot de passe,
identifiant) pour se connecter, son adresse MAC tant reconnue, il se fait automatiquement connecter. J'ai
donc supprim l'appel la gnration automatique d'un ticket lors de la cration d'un tel compte.

Stage de quatrime anne Jean-Baptiste Couprit

13

3 Amliorations de la partie Filtrage


Liste noire
Ma mission s'est ensuite poursuivie en descendant un peu plus en profondeur dans le systme. Pour
la partie filtrage des usagers, ALCASAR s'appuie sur la liste noire de Toulouse (http://dsi.utcapitole.fr/blacklists/). Il s'agit d'une archive diffuse par l'Universit de Toulouse 1, permettant un meilleur
contrle de l'utilisation d'Internet. En effet, cette archive contient d'une part une liste noire compose
d'adresses IP, d'URL et de noms de domaine frauduleux, pornographiques, dangereux, etc., regroups en
catgories (Radio, Adult, Bank, etc), et d'autre part, une liste blanche regroupant des sites jugs fiables et
inoffensifs. Cette archive est activement maintenue non seulement, par des dizaines de contributeurs, mais
aussi par des robots explorant Internet.
Dans son menu d'administration, ALCASAR propose un filtrage des usagers bas sur la liste noire.
Avec ce filtrage, un administrateur a la possibilit de mettre jour la liste noire, et de slectionner la ou les
catgories qu'il souhaite interdire pour son rseau de consultation.

Illustration 10: Catgories de la liste noire


S'il le souhaite, l'administrateur peut rhabiliter ou filtrer des noms de domaine prcis, ou encore des
URL. Dans la version 2.8, le filtrage par adresse IP n'est pas prsent. Mon travail a donc t d'intgrer au
systme un filtrage par adresse IP venant complter celui des URL et des noms de domaine, jusqu'
maintenant non utilis du fait d'un temps d'attente trop important au niveau de l'ajout de ces adresses dans le
pare-feu, mais dsormais surmontable au moyen de l'intgration de SET par le noyau Linux. Un SET peut
tre assimil une sorte de tableau dans lequel nous pouvons ajouter ce que l'on dsire dans le but de le
traiter au niveau du pare-feu, ce qui vite de crer des centaines de rgles (coteux en temps).
Ma premire approche a consist faire une boucle alimentant un SET dans le pare-feu nomm
Blacklist_ip_blocked avec les adresses IP des catgories slectionnes par l'administrateur, puis d'ajouter
des rgles bloquant ces adresses IP. La taille du SET correspondant au nombre d'adresses IP des catgories
slectionnes. Les limites de cette approche sont vite apparues. En effet, cette mthode fonctionne
parfaitement sur un petit nombre d'adresses IP, mais lorsqu'une catgorie d'un million d'adresses IP est
ajoute, le temps d'attente devient alors inacceptable. Pour rsoudre ce problme, aprs des recherches plus
approfondies, j'ai remarqu que les SET, grs avec la commande BASH ipset pouvaient tre sauvegards
dans des fichiers textes, afin de repeupler un SET dans le futur. J'ai donc dcid de tester cette mthode afin
de comparer le temps d'attente avec le prcdent. Les tests se
sont avrs fructueux, puisque la remise en mmoire d'un SET
de plus d'un million d'entres, grce un fichier de sauvegarde,
prend quelques secondes contre quelques minutes pour la
premire mthode. Suite cette tude, afin d'optimiser le code,
j'ai donc pris l'initiative, avec l'accord de mon matre de stage,
de crer un fichier de sauvegarde par catgorie, respectant le
format attendu par la commande ipset, la suite du
tlchargement de la liste noire. Cette mthode me permettant
donc de directement, et rapidement, peupler le SET
Blacklist_ip_blocked avec les fichiers de sauvegarde de
Illustration 11: Blocage par le pare-feu
chaque catgorie slectionne. Par la suite, si un utilisateur
connect souhaite aller sur une des adresses IP appartenant ce SET, il est bloqu par le pare-feu, dans le cas
Stage de quatrime anne Jean-Baptiste Couprit

14

inverse, il navigue librement.


Une fois cette solution intgre, il fallait offrir la possibilit l'administrateur, de pouvoir rhabiliter
ou filtrer les adresses IP qu'il souhaite, sans pour autant dsactiver ou activer une catgorie complte. De
plus, la rhabilitation et le filtrage des URL tant inappropris (le plus souvent, un site complet est interdit
d'accs ou autoris), ils ont donc t supprims afin de mettre en place le systme d'adresse IP.
L'administrateur peut alors, librement ajout ou rhabiliter, des adresses IP. Au niveau du pare-feu, le filtrage
personnel d'adresses IP se traduit par l'ajout de ces adresses dans le SET Blacklist_ip_blocked. Si des
adresses doivent tre rhabilites, elles sont supprimes du SET. La taille du SET est gale au nombre
d'adresses IP des fichiers de sauvegarde slectionns par l'administrateur, plus les adresses IP filtres, moins
les adresses IP rhabilites.

Illustration 12: Rhabilitation et filtrage d'adresses IP


De plus, afin de satisfaire une demande des utilisateurs d'ALCASAR, j'ai mis au point un systme
d'ajout de fichiers d'adresses IP destins tre filtrs. Si un administrateur veut ajouter sa liste noire
d'adresses IP bloquer, il pourra dsormais le faire dans la version V2.9 d'ALCASAR.

Illustration 13: Fichiers d'adresses IP


Une fois envoys ALCASAR, ces fichiers d'adresses IP ne sont pas simplement ajouts au SET
Blacklist_ip_blocked. Ils sont d'abord reconstruits afin d'viter les erreurs au niveau du pare-feu. C'est-dire que chaque fichier est parcouru dans son intgralit afin d'en extraire uniquement les adresses IP (via
des expressions rgulires). De cette faon, mme si le fichier contient du texte comme des commentaires, il
ne sera pas pris en compte. Ensuite, le fichier est modifi afin de ne mettre qu'une seule adresse IP par ligne
et les doublons sont limins. Une fois cette procdure termine, la syntaxe des fichiers de sauvegarde pour
les SET est mise en place, afin que l'ajout des adresses IP dans le SET Blacklist_ip_blocked soit le plus
rapide possible. Bien entendu, la taille du SET est recalcule en fonction de ces fichiers ( la taille du SET est
gale au nombre d'adresses IP des fichiers de sauvegarde slectionns par l'administrateur, plus les adresses
IP filtres, moins les adresses IP rhabilites, plus le nombre d'adresses IP que contient chaque fichier ajout
par l'administrateur). Si le fichier d'adresses IP ajout par l'administrateur contient des adresses IP dj
prsentes dans la liste noire de Toulouse, celles-ci sont ignores. Ce problme permet d'tre rsolu avec le
paramtre -! passer la commande ipset .

Stage de quatrime anne Jean-Baptiste Couprit

15

Liste blanche
Le systme de liste blanche n'tant pas prsent dans la version V2.8 d'ALCASAR, j'ai eu pour tche
de la rendre oprationnelle pour la future version. Contrairement une liste noire qui filtre certains sites, une
liste blanche n'autorise que certains sites et bloque les autres. Concernant les noms de domaine, il a fallu
mettre en place un nouveau serveur lger DNS : Dnsmasq, n'autorisant que les noms de domaine des
catgories slectionnes par l'administrateur, et bloquant les autres. Ce problme tant rsolu, un deuxime a
fait son apparition : une personne connaissant l'avance une adresse IP peut joindre le site sans tre filtre.
Dans le but de rsoudre ce problme, j'ai dans un premier temps contact monsieur Fabrice Prigent de la
liste noire de Toulouse afin qu'il fournisse les adresses IP des noms de domaine dans l'archive de la liste
noire. La rponse s'est avre ngative, car un site peut en cacher d'autres, et par consquent leurs accs
pourraient tre bloqus par le premier. Dans un second temps, j'ai dcid de rcuprer les adresses IP de tous
les noms de domaine, avec des rsolutions DNS, afin de faire le lien au niveau du pare-feu entre les noms de
domaine et les adresses IP (si l'adresse IP d'un site n'est pas rpertorie, son accs est bloqu). Pour ce faire,
lors du tlchargement de la liste noire, je faisais une rsolution DNS par nom de domaine. En les lanant
toutes en parallle, un temps d'attente d'environ deux minutes tait ncessaire. Cette seconde solution
fonctionnait, jusqu' ce que Google (utilis comme serveur DNS) assimile ce procd une attaque DOS
(dni de service) et par consquent bloque l'accs ses services. Enfin, en effectuant plus de recherches, une
solution a merg. Il se trouve que Dnsmasq (logiciel utilis dans ALCASAR) possde une option
permettant de peupler un SET du pare-feu, avec les adresses IP qu'il a rsolues. Grce ce procd, soit un
site est libre d'accs et nous avons son adresse IP, soit il est interdit par Dnsmasq qui ne renseigne pas son
adresse IP.
La solution a t la suivante : j'ai cr un SET whitelist_ip_allowed accueillant les adresses IP
proposes par Dnsmasq. Ensuite, j'ai ajout une rgle dans le pare-feu permettant de bloquer l'accs un site
si son adresse IP ne figure pas dans le SET. De ce fait, soit un utilisateur demande un site autoris, Dnsmasq
le laisse pass et l'adresse IP est ajoute au SET whitelist_ip_allowed, soit il entre directement une adresse
IP dans la barre de recherche de son navigateur, si celle-ci est prsente dans le SET, il accde au site, sinon
il se trouve bloqu. Concernant la taille allouer ce SET, je me suis bas sur une moyenne globale des
adresses IP des sites de la liste blanche : sur l'ensemble des sites, certains ont une seule adresse IP, d'autres
en ont deux ou trois, et des sites comme Google peuvent avoir jusqu' six adresses IP. Aprs cette tude j'ai
donc choisi de prendre la moyenne (6+2+1 / 3 = 3), ce qui donne trois fois plus d'espace pour stocker les
adresses IP, qu'il y a de noms de domaine, en sachant que les utilisateurs n'iront jamais sur tous les sites de la
liste blanche. Dans le cas, o les usagers consulteraient tous les sites et que la taille du SET viendrait ne
plus suffire (ce qui semble impossible), la liste blanche fonctionnera encore, car si un SET est plein,
Dnsmasq n'ajoute plus d'adresse IP, et donc permet le maintien du filtrage.
Enfin, la liste blanche intgre galement un systme d'adresse IP et de noms de domaine autoriss, au
cas o l'administrateur voudrait autoriser certains sites bloqus.

Illustration 14: Catgories de la liste blanche

Stage de quatrime anne Jean-Baptiste Couprit

16

4 Pare-feu dynamique
Mon travail s'est poursuivi en descendant au coeur du systme, le but tant non plus d'avoir un parefeu global, mais d'avoir un pare-feu dynamique, c'est dire s'adaptant chaque utilisateur en fonction de son
niveau de filtrage. Pour cela, la premire tape a t de dfinir les niveaux de filtrage des utilisateurs. Afin
de satisfaire un maximum de clients d'ALCASAR et de rpartir au mieux les filtres, quatre grands niveaux
de filtrages ont t retenus :
1. pas de filtrage
2. filtrage par antivirus
3. filtrage par antivirus + liste noire
4. filtrage par antivirus + liste blanche
J'ai ensuite intgr ces diffrents niveaux de filtrage au systme de cration de comptes afin que
l'administrateur ait la possibilit d'attribuer chaque utilisateur, un niveau de filtrage.

Illustration 15: Filtrage usager


En base de donnes, ce paramtre est cod de la manire suivante :
1. aucun paramtre : pas de filtrage
2. 00000001 : l'utilisateur est filtr uniquement par l'antivirus
3. 00000011 : l'utilisateur est filtr par l'antivirus et la liste noire
4. 00000101 : l'utilisateur est filtr par l'antivirus et la liste blanche
Le premier bit correspond l'antivirus, le second la liste noire et le troisime la liste blanche. De
cette faon, ce paramtre pourra facilement s'adapter d'autres niveaux de filtrage, si l'quipe d'ALCASAR
dcide d'en mettre d'autres un jour. L'ajout d'aucun paramtre en base de donnes si l'utilisateur n'a pas de
filtrage est trs important, car c'est grce cela que s'il fait partie d'un groupe, les attributs du groupe
prendront le dessus sur ceux de l'utilisateur. En revanche, si un niveau de filtrage diffrent a t attribu
l'utilisateur et que celui-ci fait partie d'un groupe, ce seront les attributs utilisateur qui seront prioritaires.
Au niveau du pare-feu, ces niveaux de filtrages se sont traduits par quatre SET :
1. no_filtering_set pour les usagers sans filtrage
2. havp_set pour les usagers filtrs avec l'antivirus (HAVP+LibClamav)
3. havp_bl_set pour les usagers filtrs avec l'antivirus et par la liste noire
4. havp_wl_set pour les usagers filtrs avec l'antivirus et la liste blanche
Aucune taille n'a t renseigne pour ces SET car de base, un SET peut contenir 65536 entres, ce
qui est jug comme plus que satisfaisant en vue du nombre potentiel d'utilisateurs d'ALCASAR connects
simultanment.
Lorsqu'un utilisateur se connecte, la passerelle d'interception Coova-Chilli gnre un Hook
(dclenche un vnement) nous permettant de rcuprer en direct les attributs propres l'utilisateur. Grce
cette fonctionnalit, en fonction de l'tat de la variable correspondant au filtrage, on ajoute l'adresse IP de
l'utilisateur dans le SET correspondant. De cette faon, les utilisateurs se trouvent aiguills vers leur niveau
Stage de quatrime anne Jean-Baptiste Couprit

17

de filtrage. Ensuite, dans le pare-feu, je dirige les SET dans le chemin qui leur est destin (voir le schma de
l'architecture d'ALCASAR en annexe), en ayant pris soin de camoufler les ports utiliss afin d'viter les
scans de port, et de filtrer les SET havp_bl_set et havp_wl_set.
Concernant le filtrage par l'antivirus, deux instances de l'antivirus doivent tre prsentes. Un
antivirus tant en mode non-transparent afin d'accueillir les paquets provenant de Dansguardian (servant au
filtrage des URL) dans le cas du filtrage par la liste noire et un en mode transparent afin d'y envoyer
directement les paquets dans le cas du filtrage par l'antivirus uniquement (via le SET havp_set). J'ai donc
intgr ce procd au systme.
Aussi, afin de rendre le systme de filtrage par noms de domaine oprationnel, deux nouvelles
instances de Dnsmasq ont t mises en place. Une nomme Dnsmasq-blacklist , afin de rediriger les
utilisateurs vers une page de blocage s'ils tentent d'accder un site bloqu. Une seconde nomme
Dnsmasq-whitelist , afin d'interdire tous les noms de domaine sauf ceux autoriss par la liste blanche.

Stage de quatrime anne Jean-Baptiste Couprit

18

5 Mise jour de Mageia 2 vers Mageia 4


Basculement
La future version d'ALCASAR V2.9, devant sortir sous Mageia 4, j'ai donc d adapter mon travail
cette nouvelle distribution afin que tout reste fonctionnel. Les scripts d'installation et de dsinstallation ont
t modifis afin qu'ALCASAR intgre mes modifications lors de son installation, et les supprime lors de sa
dsinstallation. De plus, Mageia 4 exploitant le nouveau lanceur SystemD , diffrents paquets ont d tre
modifis et recompils afin qu'ils puissent s'adapter (Proxy antivirus : HAVP, Dnsmasq). Enfin, j'ai
reffectu tous les tests afin d'tre compltement sr que tout fonctionne convenablement sous ce nouveau
systme.

Compilation d'un paquet


ALCASAR V2.9 fonctionnant sous Mageia 4, se servait encore du logiciel HAVP (Proxy antivirus)
packag pour Mageia 2. Dsirant acqurir un maximum d'exprience durant ces quatre mois de stage, j'ai
voulu le packager pour Mageia 4. J'ai donc effectu des recherches sur la compilation de paquets, et bien
entendu modifi le code de HAVP pour qu'il s'adapte l'architecture de Mageia 4. Une fois ce paquet
termin, et s'installant correctement, j'ai eu pour objectif de le proposer Mageia. Mageia fonctionne avec
un systme de Mentoring pour les nouveaux contributeurs. Dans le but de devenir contributeur, j'ai pris
contact avec l'quipe de dveloppement sur le forum IRC de Mageia et j'ai demand la procdure suivre.
Un site m'a alors t indiqu, sur lequel je me suis inscrit en indiquant mes connaissances, afin qu'un Mentor
m'accepte. Je suis l'heure actuelle en attente d'une rponse.

Rsolution d'un bogue


Suite la mise jour du logiciel antivirus LibClamAV (0.98.4), HAVP ne pouvait plus fonctionner,
indiquant que la base de donnes ne pouvait tre charge cause d'un problme d'allocation de mmoire.
Aprs quelques recherches, il s'est trouv que Clamav avait intgr OpenSSL et que certaines fonctions
d'initialisation devaient tre appeles par HAVP. J'ai donc intgr les fonctions int
cl_initialize_crypto(void) et void cl_cleanup_crypto(void) au fichier d'en-tte correspondant
(/usr/include/clamav.h), puis modifi le code source d'HAVP afin qu'il prenne en compte l'appel ces
fonctions. Aprs recompilation, tout fonctionnait parfaitement. J'ai donc propos un patch l'quipe de
HAVP qui m'a rpondu que ma solution tait correcte, mais qu'ils attendent un retour de l'quipe de Clamav
pour le moment.

Stage de quatrime anne Jean-Baptiste Couprit

19

Conclusion
Au cours de cette exprience de quatre mois, j'ai eu la chance de participer au dveloppement d'un
projet libre, au travers duquel j'ai pu mettre en pratique et amliorer mes connaissances, que cela soit du
point de vue de la scurit des systmes, ou de celui de la programmation. En travaillant au sein de ce projet,
j'ai eu la chance de pouvoir largir mon exprience en m'intressant la compilation de paquets et la
rsolution de bogues, ce qui m'a permis d'entrer en contact avec les quipes d'HAVP et de Mageia, pour
peut-tre une contribution future. ALCASAR tant un projet collaboratif, j'ai pu dcouvrir la faon de
fonctionner d'un tel projet et donc me familiariser avec des logiciels de travail collaboratif.
Travailler sur ce projet c'est aussi prendre en considration les problmes que peuvent rencontrer ses
utilisateurs. C'est la raison pour laquelle, j'ai pu entrer en contact avec quelques membres du forum afin de
leur venir en aide sur des problmes que j'tais en mesure de rgler, et d'avoir quelques retours de personnes
externes l'quipe d'ALCASAR propos de la prochaine version.
Pour conclure, j'aurai souhait avoir un peu plus de temps afin de poursuivre mon travail sur
ALCASAR, pour tudier d'autres branches d'volution.

Stage de quatrime anne Jean-Baptiste Couprit

20

Glossaire
BASH : Bourne-Again Shell
DNS : Domain Name System
GET : tableau des valeurs passes au script courant via les paramtres d'URL en PHP
GPL : General Public Licence
IP : Internet Protocol
MAC : Media Access Control
PHP : Language de programmation libre pour produire des sites web
SSH : Secure Shell
URL : Uniform Resource Locator

Stage de quatrime anne Jean-Baptiste Couprit

21

Annexes
Annexe 1 : Architecture d'ALCASAR

Stage de quatrime anne Jean-Baptiste Couprit

22

Vous aimerez peut-être aussi