Académique Documents
Professionnel Documents
Culture Documents
Mes parents
Aucune expression ne saurait exprimer laffection, lestime et l'amour que
je vous porte.
Et en remerciant de tout que vous faites pour moi afin de pouvoir russir
dans les buts que je me propose dans la vie (spcialement ma cher
mre)
Toute Ma famille
Particulirement ma tante Hilaria Carlota MANGUE OANA AKELE,
mes oncles Gaudencio BEE OANA et Santiago OANA AKELE, ma
tante Mariana MOKOKO MIBUY pour tous les efforts collaboration et
amour que vous mavais apport durant tout ce priodes de ma vie. Et
tous mes autres oncles/tantes, frres/surs, cousin/cousines, sans
oublier mes grand pres/mres.
Et finalement tous mes amis et camarades de classe spcialement
*Hanane EL BOUZIADI* et Ndey BAH.
................................................................................................3
Le contexte gnral................................................................................................................3
Origine du terme ........................................................................................................................3
Terminologie ..............................................................................................................................3
La problmatique ...................................................................................................................3
Acquis/pr-requis .......................................................................................................................4
Attaques TCP/IP .........................................................................................................................4
Format.......................................................................................................................................14
Applications ............................................................................................................................25
Direction des ACLs .................................................................................................................... 26
Le contexte gnral
Origine du terme
Selon le contexte, le terme peut revtir diffrentes significations :
Dans le domaine de la lutte contre les incendies de fort, il se rfre
aux alles pare-feu destines contenir l'extension des feux de forts ;
Au thtre, le dclenchement d'un mcanisme pare-feu (ou coupe-feu )
permet d'viter la propagation du feu de la salle vers la scne ;
Dans le domaine de l'architecture, il fait rfrence aux portes coupe-feu ou
tout autre dispositif constructif destin contenir l'extension d'un incendie.
En informatique l'usage du terme pare-feu est donc mtaphorique : il
voque une porte empchant les flammes de l'Internet d'entrer chez soi
et/ou de contaminer un rseau informatique.
Terminologie
Un pare-feu est parfois appel coupe-feu, garde-barrire, barrire de scurit,
ou encore firewall.
Dans un environnement Unix BSD (Berkeley Software Distribution), un pare-feu
est aussi appel packet filter.
La problmatique
Le pare-feu tait jusqu' ces dernires annes considr comme une des pierres
angulaires de la scurit d'un rseau informatique (il perd en importance au fur et
mesure que les communications basculent vers le HTTP sur SSL, court-circuitant tout
filtrage). Il permet d'appliquer une politique d'accs aux ressources rseau ( serveurs).
Dans les objectifs principaux sont :
Assurer une bonne connexion entre les diffrentes zones de confiances.
Assurer la bonne transmission des informations partir de linternet.
Protger les ordinateurs comme les rseaux des entreprisse contre les attaques
venant de lextrieur.
Mais on doit savoir lutiliser dune manier adquate.
Acquis/pr-requis
Rappels TCP/IP
Concepts de scurit, attaques, menaces, contre-mesures
La matrise de la configuration des ACLS
Une topologie route fonctionnelle en TCP/IP GNS3/VirtualBox/VMWare.
Des services dploys : Telnet, SSH, DHCP, SNMP, DNS, Syslog, ICMP,
OSPF.
Tunnel traversant les pare-feu
Attaques TCP/IP
IP Spoofing, TCP/IP scanning, Flooding, DoS, DDoS, variante TCP/UDP,
variantes IPv6.
Attaques sur les protocoles de routage intrieurs et BGP
Attaques dhomme du milieu (MitM), de reconnaissance, dvasion, attaque en
force-brute, trafic
malicieux, phishing, dnis de service (DoS, DDoS), par rflexion, backdoor,
injections Web, via malware ou worms
Les objectifs
Ce document est un support de formation thorique et pratique dinitiation aux parefeu TCP/IP. Il est destin un public ayant dj une connaissance de TCP/IP.
Le propos prend pour illustration la topologie Cisco IOS.
Le lab. proposs peut tre ralis individuellement pour tout le monde dans son
propre PC.
Ce document vise pdagogique nest en rien un rapporte du projet livre de recette
ou un guide. Une prsence et une participation active la lecture est ncessaire pour
bien suivre la prsentation
Pare-feu / Firewall
Dans un systme d'information, les politiques de filtrage et de contrle du trafic
sont places sur un matriel ou un logiciel intermdiaire communment appel
pare-feu (firewall).
Il permet de protger un ordinateur ou un rseau des ordinateurs des intrusions
provenant dun rseau tiers (internet).
Cet lment du rseau a pour fonction dexaminer et filtrer le trafic qui le
traverse
On peut le considrer comme une fonctionnalit dun rseau scuris : la
fonctionnalit pare-feu
Lide qui prvaut ce type de fonctionnalit est le contrle des flux du rseau
TCP/IP.
Le pare-feu limite le taux de paquets et de connexions actives. Il reconnat les
flux applicatifs.
Niveau de confiance
Le niveau de confiance est la certitude que les utilisateurs vont respecter les
politiques de scurit de lorganisation.
Ces politiques de scurit sont dictes dans un document crit de manire
gnrale. Ces recommandations touchent tous les lments de scurit de
lorganisation et sont traduites particulirement sur les pare-feu en diffrentes
rgles de filtrage.
On notera que le pare-feu nexamine que le trafic qui le traverse et ne protge en
rien des attaques internes, notamment sur le LAN.
Politiques de filtrage
Selon les besoins, on placera les politiques de filtrage diffrents endroits du
rseau, au minimum sur chaque hte contrl (pare-feu local) et en bordure du
rseau administr sur le pare-feu. Ces emplacements peuvent tre distribus dans la
topologie selon sa complexit.
Pour viter qu'il ne devienne un point unique de rupture, on s'efforcera d'assurer la
redondance des pare-feu. On placera plusieurs pare-feu dans larchitecture du
rseau des fins de contrle au plus proche dune zone ou pour rpartir la charge.
Filtrage
La configuration d'un pare-feu consiste la plupart du temps en un ensemble
de rgles qui dterminent une action de rejet ou d'autorisation du trafic qui passe
les interfaces du pare-feu en fonction de certains critres tels que :
L'origine et la destination du trafic,
Des informations d'un protocole de couche 3 (IPv4, IPv6, ARP, etc.),
Des informations d'un protocole de couche 4 (ICMP, TCP, UDP, etc.)
Et/ou des informations d'un protocole applicatif (HTTP, SMTP, DNS, etc.
Dcision de filtrage
Les rgles sont appliques en fonction de la direction du trafic entrant ou sortant sur
une interface, avant ou aprs le processus de routage des paquets. Cette dernire
ralit diffre selon le logiciel ou le matriel choisi pour remplir ces tches.
Rgles
Chaque rgle est examine selon son ordonnancement.
Si le trafic ne correspond pas la premire rgle, la seconde rgle est
value et ainsi de suite.
Lorsqu'il y a correspondance entre les critres de la rgle et le trafic, l'action
dfinie est excute et les rgles suivantes ne sont pas examines.
La terminologie des actions usuelles peuvent tre accept, permit, deny, block,
reject, drop, ou similaires.
En gnral, un ensemble de rgles se termine par le refus de tout trafic, soit
en dernier recours le refus du trafic qui traverse le pare-feu. Ce comportement
habituellement dfini par dfaut ou de manire implicite refuse tout trafic pour
lequel il n'y avait pas de correspondance dans les rgles prcdentes.
Rgle
Action
Protocol
IP source
IP destination
N de
port
deny
TCP
192.168.10.20
192.168.60.30
80
Permit
IP
any
any
any
cach
deny
IP
any
any
any
Pare-feu tat
En informatique, un pare-feu tats (stateful firewall, stateful inspection firewall
ou stateful packet inspection firewall en anglais) est un pare-feu qui garde en
mmoire l'tat de connexions rseau (comme les flux TCP, les communications
UDP) qui le traversent.
Le fait de garder en souvenir les tats de connexions prcdents permet de
mieux dtecter et carter les intrusions et assurer une meilleure scurit. Le parefeu est programm pour distinguerles paquets lgitimes pour diffrents types de
connexions. Seuls les paquets qui correspondent une connexion active connue
seront autoriss par le pare-feu, d'autres seront rejets.
Linspection dtat (stateful inspection), appele aussi le filtrage dynamique
(Dynamic Packet Filtering) est une fonctionnalit de scurit qui est souvent
implmente dans des rseaux d'entreprises. Cette fonctionnalit a t invente
par Check Point Software, qui la lance avec leur logiciel FireWall-1 en 1994.
Pare-feu applicatif
Un pare-feu applicatif vrifie la conformit du paquet par rapport un protocole
applicatif attendu.
Par exemple, ce type de pare-feu permet de vrifier que seul du trafic HTTP passe
par le port TCP 80. Ce traitement est trs gourmand en temps de calcul ds que le
dbit devient trs important. Il est justifi par le fait que de plus en plus de protocoles
rseaux utilisent un tunnel TCP afin de contourner le filtrage par ports.
Une autre raison de l'inspection applicative est l'ouverture dynamique de ports.
Certains protocoles comme le fameux FTP en mode passif change entre le client et
le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles sont dits
contenu sale ou passant difficilement les pare-feu car ils changent au niveau
applicatif (FTP) des informations du niveau IP (change d'adresses) ou du niveau
TCP (change de ports). Ce qui transgresse le principe de la sparation des couches
rseaux. Pour cette raison, les protocoles contenu sale passent
difficilement voire pas du tout les rgles de NAT ...dynamiques, moins
qu'une inspection applicative ne soit faite sur ce protocole.
Format
On trouvera des pare-feu en format :
1. Appliance hardware, ddi (commercial en gnral).
2. En Software, commercial ou Open-Source installer sur son propre
Hardware, en virtualisation (DC ou lab.)
3. En produits spcialiss ou fonctionnels.
Offre et cibles
Logiciels Open source.
Offres commerciales Segments/cibles.
CPE/Soho Firewalls.
UTM : SMB Firewalls.
Enterprise Firewalls.
Offres spcialises.
Appliance
Matriel physique dinterconnexion.
Minimum des interfaces Gigabit Ethernet Cuivre et +
Filtrage de Haut niveau et services intgrs.
Architectures Intel : puissance, portabilit.
Architectures ARM : faible consommation, portabilit.
Virtualisation
Solutions pare-feu pour Data Center (DC) :
Cisco CSR1000V.
Cisco Adaptive Security Virtual Appliance (ASAv).
Vyatta.org et Vyatta.com (Brocade).
pfSense.
...
Firewall Entreprise
"Le march de pare-feu de rseau entreprise reprsent par ce Magic Quadrant est
compos principalement d'appareils construite cet effet et virtualise modles de
scurisation des rseaux d'entreprise. Les produits doivent tre en mesure de
soutenir le single-dploiements de pare-feu d'entreprise et les dploiements
grandes chelle mondiales, y compris les succursales. Ces produits sont
accompagns d'une vente, produits, gestion hautement volutive et consoles
considres et cosystme de soutien axs sur l'entreprise.
"Bien que le pare-feu/VPN et IPS sont convergentes, autres produits de scurit ne
sont pas. All-in-one ou unifi menace management (UTM) produits conviennent pour
des petites ou moyennes entreprises (PME), mais pas pour l'entreprise : Gartner
prvoit que cette sparation se poursuivra jusqu'au moins 2016. Pare-feu succursale
deviennent des produits spcialiss, divergeant de produits SMB
Fonctionnalits de la topologie
En bordure du rseau, le pare-feu tablit connectivit IPv4 avec des fonctions de
routage et de
NAT. Packet Tracer (PT) ne supporte pas cette topologie.
On peut par contre utiliser ;
du vrai matriel
GNS3/Virtualbox
CSR1000v/VMWare
Configuration de la topologie
Le pare-feu est virtualis(GNS3)
Le LAN est aussi virtualis de la mme faon par exemple. On y trouve une
station avec un OS graphique : 192.168.1XY.0/24
Le WAN se connecte au rseau local de la machine physique et obtient ses
paramtres IP
dynamique (configuration GNS3 Bridging)
Les DMZ est virtualise sur VMWare.
Composants personnels
Stations agnostiques
Console directe sur lIOS.
Routeur Cisco IOS : C7200 ADVENTERPRISEK9-MVersion 12.4(15) T14.
Des attaquants potentiels, les stations hardware du rseau physique
Paramtres rseau
Lordre de cration des interfaces est :
Firewall-SiteA
Tableau 2: Configuration des interfaces FA
Zone
LAN
WAN
DMZ
Description
important
IOS int
DHCP
Bridged, NAT Sortant
STATIC, Server
f0/0
f2/0
f1/0
Address IP
192.168.1XY .1/24
192.168.115.1/24
192.168.137.254/24
192.168.XY.1/24
Firewall-SiteB
Tableau 3: Configuration des interfaces FB
Zone
LAN
WAN
DMZ
Description
important
IOS int
STATIC
Bridged, NAT Sortant
STATIC, Server
f0/0
f2/0
f1/0
Address IP
192.168.1XY .1/24
192.168.11.1/24
192.168.137.253/24
192.168.XY.1/24
Accs la console
Les routeurs/pare-feu Cisco sont fourni avec une configuration vierge
Configuration de dpart
# Service password-encryptation
# Enable secret santy
!
# Hostname firewall
# Ip domain name igiam.lan
# ip name-server 8.8.8.8
# ip domain-lookup
!
# ip dns server
!
# username root secret santy
!
# line vty 0 4
# password cisco
# login local
!
#crypto key generate rsa
Service DHCP
#ip dhcp excluded-address 192.168.115.1 192.168.115.99
#ip dhcp excluded-address 192.168.120.1 192.168.120.99
!
#ip dhcp pool LAN
#network 192.168.115.0 255.255.255.0
#default-router 192.168.115.1
#dns-server 212.217.0.1
#domain-name igiam.lan
!
#ip dhcp pool DMZ
#network 192.168.120.0 255.255.255.0
#default-router 192.168.120.10
#dns-server 212.217.0.1
#domain-name iisga.local
NAT Overload
#ip nat inside source list NAT_source interface FastEthernet2/0 overload
!
#ip access-list standard NAT_source
#permit 192.168.115.0 0.0.0.255
#permit 192.168.120.0 0.0.0.255
!
#interface FastEthernet0/0
#description interface zone LAN
#ip nat inside
!
#interface FastEthernet2/0
#description interface zone WAN
ACLs numrotes
Les ACLs numrotes sont constitues dun ensemble de rgles :
ordonnes selon la frappe
ayant un mme numro
ACL nommes
Les ACLs nommes prennent un Nom.
Il faut spcifier le type standard ou extended en IPv4. Les ACLs IPv6 sont
doffice
o extended .
les rgles sincrmentent dun numro dordre (tous les
10). Cet ID permet dinsrer des rgles dans une liste.
(config)#ip access-list standard
ACL_IPv4_STD (config-stdnacl)#permit | deny ?
(config)#exit
(config)#ip access-list extended ACL_IPv4_EXT
(config-ext-nacl)#permit | deny ?
(config)#exit
(config)#ipv6 access-list ACL_IPv6
(config-ipv6-acl)#permit | deny ?
Applications
En soi, une ACL na pas de porte si elle nest pas applique.
Filtrage sans tat de trafic de donnes sur des interfaces
Firewall (filtrage tat) sur des interfaces : ACL Bloquant
Filtrage de trafic de gestion (sur une ligne VTY)
Trafic source dans une rgle NAT (inside source list) dsign de nombreuse
adresses IP prives traduire.
Transfert de port.
Dbogage pour filtrer les sorties.
et bien dautres en ingnierie du trafic (VPN, QoS, filtrage du routage, routage la
demande,
).
Mise en oeuvre
Refuser laccs du DMZ au rseau LAN
Refuser une plage contigu dadresses IP
Autoriser laccs dun hte une interface
Autoriser du trafic TCP 80
Pare-feu simple CBAC
Autoriser des Ping (ICMP)
Autoriser le Web, le mail, FTP et SSH
Autoriser le trafic DNS
Autoriser le trafic de routage
Dbogage du trafic
Filtrage VTY
Client-ID/
Lease expiration
Type
Hardware address/
User name
192.168.120.100
0800.2790.cf87
Mar 02
2002 12:00 AM
Automatic
192.168.115.10
0800.2742.56ff
Mar 02
2002 12:00 AM
Automatic
192.168.115.20
0800.27bf.000a
Mar 02
2002 12:00 AM
Automatic
#conf t
(config)#exit
(config)#int f2/0
(config-if)#ip access-group CBAC in
#show access-list CBAC
Extended IP access list CBAC
permit ip any any (39 match(es))
(config)#ip inspect name FW udp
(config)#ip inspect name FW tcp
(config)#int f0/0
(config-subif)#ip inspect FW in
Dbogage du traffic
Vers le serveur en DMZ 192.168.120.100 venant de toutes les autres zones :
Par exemple :
Filtrage VTY
(config)#ip access-list extended VTY
(config-ext-nacl)#permit ip host 172.16.0.1 any
(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any
(config-ext-nacl)#exit
(config)#line vty 0 4
(config-line)#ip access-class VTY in
http://www.cisco.com/c/en/us/support/docs
/ip/access lists/26448-ACLsamples.html
http://www.cisco.com/c/en/us/td/docs/iosxml/ios/ipv6/configuration/15- 2s/ipv6-15-2s-book sec-trfltrfw.html#GUID-F9C70A05-6CC1-48F8-8DCA-A40291E343ED
http://www.bortzmeyer.org/ipv6-securite.html
http://www.cisco.
com/en/US/prod/collateral/iosswrel/ps6537/ps6553
e_paper_c11-678658.html
RFC 6092 et RFC 6204 : recommandations de filtrage sur les CPE enduser.