Vous êtes sur la page 1sur 10

Plan

 Introduction
 Notions de base relatives au réseau
Chapitre II  Définition d’un pare-feu (firewall)
 Emplacement d’un firewall
Les pare-feux (Firewalls)
 Types de filtrage
Yacine DJEMAIEL
ISET’Com  Les interfaces d’un firewall
Licence Appliquée en STIC
L2 - option Sécurité des Réseaux  Quelques produits firewalls
Semestre II, 2020/21, ISET’Com
Techniques de protection dans les réseaux Yacine Djemaiel 2

Introduction Utilité du firewall


 Evolution des systèmes d’information
 Des réseaux d’entreprise assez larges, connectant des réseaux locaux
(distribués dans des zones géographiques différentes) à travers des
réseaux étendus.
 Nécessité de connecter certains de ces réseaux à Internet.
 La connectivité d’un réseau local à Internet, permet au monde
externe d’atteindre et d’interagir avec les ressources de ce
réseau.
 Difficulté de sécuriser chaque ressource à part:
 Nombre important de machines.
 Différents types d’applications, services, systèmes d’exploitation, et
protocoles utilisés, tous contenant des bugs.
Besoin de minimiser les risques.
 Utilisation des pare-feux (Firewalls)
Techniques de protection dans les réseaux Yacine Djemaiel 3 Techniques de protection dans les réseaux Yacine Djemaiel 4

1
Notions de base - Modèle de référence OSI : 7
couches Notions de base - Format des données

Application
Protocole Applicatif Application
Présentation Présentation
Entête TCP
Session Session
Protocole TCP, UDP message – données d’application
Transport Transport Application Message
Protocole IP Protocole IP Réseau
Réseau Réseau
Liaison de données Liaison de données Transport (TCP, UDP) Segment TCP données TCP données TCP données
Liaison de données
Physique Physique Physique
Réseau (IP) Paquet IP TCP données
Machine A Routeur Machine B
Liaison de données Trame ETH IP TCP données ETF
La couche Transport fournit des ports: canaux logiques identifiés
par un nombre Entête IP Queue Liaison
Ex: http sur port 80, Telnet sur port 23, etc. (Ethernet)
Entête Liaison
(Ethernet)
Techniques de protection dans les réseaux Yacine Djemaiel 5 Techniques de protection dans les réseaux Yacine Djemaiel 6

Notions de base – Mécanisme d’établissement de


connexion Notions de base - Connexion TCP : Telnet

Mécanisme d’établissement de connexion Serveur Telnet Client Telnet


(TCP three-way handshake connection establishment )
 Le client demande
Les états du client Les états du serveur l’établissement de
connexion au serveur 23 1234
Telnet (indication sur le
port applicatif utilisé). 
Le bit ACK n’est pas mis
à 1 pour le premier
paquet. 

 Le serveur envoi un
Client Serveur accusé (acceptation ou refus
de la connexion)

Techniques de protection dans les réseaux Yacine Djemaiel 7 Techniques de protection dans les réseaux Yacine Djemaiel 8

2
Notions de base – Cas particulier : FTP Qu’est ce qu’un Firewall
Serveur FTP Client FTP
 Définit un point de passage obligé pour le contrôle et le suivi du
trafic.
 Le client 20 21  Restreindre l’accès aux ressources (information ou services) selon une
ouvre un canal Data Command 5150 5151 politique de sécurité.
de commande et
donne le port  Impose des restrictions sur le trafic entrant et sortant (ex: seul le trafic http
 est autorisé, seule l’adresse IP 10.1.3.4 est autorisée).
associé aux
données.  Permet d’auditer et de contrôler l’accès.
 Le serveur
  Génération d’alertes pour les utilisations malveillantes.

accuse.  Immune contre la pénétration.
 Le serveur  Fournit un périmètre de sécurité.
ouvre le canal  Représente un endroit commode pour l’implémentation des
d’échange de  fonctionnalités réseau (ex: translation d’adresse)
données.
 Fournit une protection contre les attaques (ex: IP spoofing).
 Le client accuse.
 Point en commun : Filtrage des paquets
Techniques de protection dans les réseaux Yacine Djemaiel 9 Techniques de protection dans les réseaux Yacine Djemaiel 10

Qu’est ce qu’un Firewall (1) Emplacement d’un Firewall


Réseau non digne de
confiance Internet
Réseau avec niveau de
confiance X
ALERT!!
Firewall
Firewall
Réseau local Internet

Routeur

DMZ

Serveurs accessibles depuis


Réseau protégé
le réseau Internet

Réseau avec Niveau de confiance Y


Techniques de protection dans les réseaux Yacine Djemaiel 11 Techniques de protection dans les réseaux Yacine Djemaiel 12

3
La zone démilitarisée (DMZ) Politique de sécurité par défaut
 Demilitarized zone (DMZ)  Ce qui n’est pas explicitement permis est interdit. (default
 Un réseau permettant l’acheminement du trafic Internet du ou vers le = Deny)
réseau protégé (intranet par exemple), tout en assurant la sécurité de  La plus prudente.
ce dernier.
 Autoriser uniquement les communications ayant été
 Cette zone peut contenir des serveurs et des équipements de niveau
3. explicitement autorisées
 Permet d’améliorer le niveau de sécurité en empêchant l’exposition  Ce qui n’est pas explicitement interdit est permis. (default
du réseau protégé ou l’intranet à l’Internet. = Forward)
 Les serveurs connectés au DMZ peuvent se composer de  Introduit une commodité dans l’utilisation des services réseau par
 Serveurs proxy (accès web aux utilisateurs du réseau protégé) les utilisateurs.
 Serveurs VPN (Virtual Private Network) (des connexions sécurisées pour
l’accès distant)  Fournit un niveau de sécurité réduit.
 Serveurs applicatifs (mail, DNS, etc.) qui nécessitent l’accès au réseau externe.  Un administrateur doit réagir pour chaque nouvelle menace de
sécurité identifiée (un nouveau service devient vulnérable).
Techniques de protection dans les réseaux Yacine Djemaiel 13 Techniques de protection dans les réseaux Yacine Djemaiel 14

Limitations d’un Firewall Activité


 Ne protège pas contre les attaques qui ne le traversent pas:
 Ex: un utilisateur interne utilise un modem pour se connecter à
Internet.
 Ne protège pas contre les menaces internes.
 Ex: un employé malhonnête attaque une machine interne.
 Ne protège pas contre le transfert de programmes et de
fichiers malveillants (virus, backdoor, etc.).
 Les systèmes et les applications supportés dans un périmètre de
sécurité, sont nombreux et différents.
 Difficulté de scanner tous les messages en direction de ces
systèmes et applications.
 Mauvaise configuration
Techniques de protection dans les réseaux Yacine Djemaiel 15 Techniques de protection dans les réseaux Yacine Djemaiel 16

4
Activité Activité

Techniques de protection dans les réseaux Yacine Djemaiel 17 Techniques de protection dans les réseaux Yacine Djemaiel 18

Types de filtrage Filtrage simple de paquets


 Le plus simple des Firewalls (stateless packet filtering).
Pour chaque paquet IP rencontré, il décide de le faire passer (forward) ou
 Types de filtrage: 
de l’éliminer (deny), selon les règles de filtrage appliquées.
 Filtrage simple de paquets  Une interface externe (exposée à l’Internet), un ensemble de règles et une
interface interne.
 Filtrage dynamique  Les règles de filtrage comportent :
 Filtrage applicatif  Adresse IP source et destination.
 Type de protocole (TCP, UDP, ICMP, etc).
 Passerelle applicative
 Port (TCP ou UDP) source et destination.
 Passerelle niveau circuit  L’action qui doit être menée par le firewall si le paquet correspond à la règle.
 Le trafic au niveau de l’interface externe est traité par rapport aux règles
de filtrage définies.
 Décision : Le paquet passe à travers l’interface interne au réseau protégé ou il sera
rejeté.
Techniques de protection dans les réseaux Yacine Djemaiel 19 Techniques de protection dans les réseaux Yacine Djemaiel 20

5
Exemple de règles (Stateless packet filtering) Discussion: Filtrage simple de paquets
Filtrage simple de paquets
 Avantages
Internet  Simplicité de fonctionnement.
 Rapidité dans le traitement.
192.168.12.0
 L’impact sur la performance est faible.
Action Protocole Source Port Destination Port  Inconvénients
Allow TCP * * 192.168.12.5 80  Ne protège pas contre les attaques qui exploitent des vulnérabilités sur
Allow TCP 192.168.12.0 * * 80 les applications (ne bloque pas certaines commandes).
Deny IP * * * *  Les fichiers logs générés ne contiennent pas d’informations assez
pertinentes (seulement: @IP, ports).
 Règle 1: Toute connexion HTTP depuis le réseau externe vers le
serveur 192.168.12.5 est autorisée (à éviter !).  Ne supporte pas des mécanismes avancés d’authentification des
utilisateurs.
 Règle 2: Seulement les connexions HTTP (TCP, port 80) depuis le
réseaux interne (192.168.12.0), sont permises.  Une simple erreur dans la configuration des règles peut casser toute la
sécurité (ordre, cohérence, etc.).
 Règle 3: La politique de sécurité par défaut.
Techniques de protection dans les réseaux Yacine Djemaiel 21 Techniques de protection dans les réseaux Yacine Djemaiel 22

Attaques sur le filtrage simple des paquets Filtrage dynamique


 Connexion TCP.
 Usurpation d’adresse IP (IP address spoofing)
 Port assigné au service inférieur à 1024.
 L’intrus envoi un paquet de l’externe avec une fausse @IP
 Port client compris entre 1024 et 65535.
(généralement égale à une @IP d’une machine interne), et ceci afin de
réussir à passer le mécanisme de filtrage.  Les Ports <1024 sont affectés de façon permanente.
FTP: 20, 21 – Telnet: 23 – SMTP: 25 – HTTP: 80
 Solution: bloquer tout paquet venant de l’interface externe ayant une 

@IP source interne.  Tous les Ports >1024 doivent être disponibles aux clients pour faire
leurs connexions.
 Fragmentation de paquets (Tiny fragment attacks)
 Créé une vulnérabilité qui peut être exploitée par les intrus.
 Un paquet IP est divisé en plusieurs fragments, où seul le premier  Présente une limitation pour les Firewalls de type stateless packet filtering
fragment contient le numéro de port.
 Solution: Utilisation du filtrage dynamique : Firewalls de type
 Insuffisance d’informations pour filtrer ces paquets. Stateful Inspection:
 Solution: rejeter les paquets fragmentés ou les rassembler avant Principe: Si les requêtes sortantes sont autorisées, les réponses
vérification. correspondantes doivent être acceptées
Techniques de protection dans les réseaux Yacine Djemaiel 23 Techniques de protection dans les réseaux Yacine Djemaiel 24

6
Stateful Packet-Filtering Firewall Serveur telnet
Filtrage dynamique (1) Client Telnet

 Renforce les règles de filtrage en suivant l’état des connexions: 10.1.2.3


192.168.12.12

Port Etat de la
@IP Src @IP Dst Port dst
Src connexion
192.168.1.2 1990 10.1.1.5 80 Etablie
Le Firewall se souviendra
192.168.1.3 1234 10.1.1.7 23 Etablie de cette information
192.168.1.4 2562 10.1.1.10 80 Etablie
… … … … … Cohérent avec le
paquet précédent
 Si un paquet représente une nouvelle connexion, alors vérification des règles de
configuration.
 Si un paquet fait partie d’une connexion existante (ex: TCP flag=ACK), alors Pas de cohérence
vérification dans la table d’état des connexions, puis mise à jour de la table. avec la connexion en
 Le trafic entrant vers un port « x » supérieur à 1024, est autorisé seulement s’il est cours
en direction d’une machine qui a déjà établie une connexion avec un port source
inférieur à 1024 et un port destination égal à « x ».

Techniques de protection dans les réseaux Yacine Djemaiel 25 Techniques de protection dans les réseaux Yacine Djemaiel

Filtrage dynamique - Traitement du trafic


FTP Le filtrage applicatif
 Assure un niveau de sécurité élevé.
 Permet de filtrer les communications application par application.
 Opère au niveau 7 (couche application) du modèle OSI,
Client Serveur FTP
contrairement au filtrage de paquets simple.
Le firewall reconnaît le port utilisé pour l’envoi des commandes et
 Suppose donc une connaissance des protocoles utilisés par chaque
enregistre le port qui sera utilisé pour l’échange des données. application.
 Un firewall effectuant un filtrage applicatif est appelé généralement «
passerelle applicative »
 Il sert de relais entre deux réseaux en s'interposant et en effectuant
Client Serveur FTP une validation fine du contenu des paquets échangés.
Lorsque la connexion FTP d’envoi des données est initiée par  Un intermédiaire pour les applications (messagerie électronique, FTP,
le serveur, le firewall reconnaît l’@IP et la combinaison des ports et Telnet, www, etc.)
autorise la connexion.
Techniques de protection dans les réseaux Yacine Djemaiel 27 Techniques de protection dans les réseaux Yacine Djemaiel 28

7
Passerelle applicative Passerelle applicative – Principe de
(Application-Level Gateway) fonctionnement
Telnet FTP HTTP
 Ce qui est connu (pour la source) : la session entre la source et la passerelle
applicative.
Application Application Application  La passerelle applicative stocke des informations sur la connexion (origine,
Presentation Presentation Presentation destination, durée, temps) et gère le trafic entre la source et la destination.
Session Session Session
Serveur telnet
Transport Transport Transport Client telnet 1. Telnet sur le port 23 6. Nouvelle connexion TCP
Network Network Network
DataLink DataLink DataLink

Physical Physical Physical


192.168.12.12 Passerelle applicative 10.1.2.3
2. Vérification de l’@IP source. Si
Passerelle applicative
permis, 3., sinon la demande est rejetée.
 Le firewall vérifie si les données applicatives sont dans un format acceptable. 3. Authentification du client.
 Possibilité d’assurer des traitements supplémentaires (authentification, 4. Si authentifié, un prompt ou un menu
enregistrement des données sur le trafic en question.) affichant la liste des serveurs autorisés.
5. Sélection du serveur distant et possibilité de
 Exemple : filtrage de la commande FTP put (serveur ftp anonyme). demande d’autres paramètres d’authentification
Techniques de protection dans les réseaux Yacine Djemaiel 29 Techniques de protection dans les réseaux Yacine Djemaiel 30

Passerelle transparente (Transparent Bridging) Passerelle applicative : Inconvénients


 Un firewall peut être configuré en tant que
passerelle.  Besoin intensif de ressources
 Possibilité de placer un firewall entre deux équipements réseaux,  Un processus par connexion.
de façon transparente.  Gestion des connexions dans les deux bouts.
 Le trafic est filtré et acheminé d’un équipement à un autre.
 Pas de transparence pour l’utilisateur.
 Avantages
 Peu de Proxies sont disponibles
 Pas de modification de l’architecture du réseau.
 Les services propres ne sont pas généralement supportés.
 Invisible aux équipements connectés au réseau.
 Pas de moyen pour attaquer le firewall directement (pas d’@IP).  Plus approprié à TCP
 Inconvénient  Difficulté avec ICMP (non stateful, sans connexion comme UDP ).
 Difficile de l’administrer à distance.
Techniques de protection dans les réseaux Yacine Djemaiel 31 Techniques de protection dans les réseaux Yacine Djemaiel 32

8
Passerelle niveau circuit (Circuit Level Passerelle niveau circuit – Principe de
Gateway) fonctionnement
 Opère selon un mécanisme semblable aux passerelles 1. Demande de connexion à une URL de destination.
applicatives, sauf qu’elle est orientée plus pour les 2. A la place de l’envoi de la requête de résolution de l’URL au serveur
applicatifs non interactifs. DNS, l’application du client envoi la requête à l’interface interne du
serveur proxy.
 Relais des connexions TCP du réseau source de confiance
vers un réseau non digne de confiance. 3. Si l’authentification est requise, l’utilisateur est demandé à entrer ces
paramètres d’authentification.
 L’@IP source au niveau du paquet est transformée (@IP de 4. Si l’utilisateur est authentifié, le serveur proxy réalise qcq tâches
la passerelle). supplémentaires (ex. comparaison de l’URL à une liste des URLs
 Suite à l’étape d’authentification, la passerelle fonctionne permises ou interdites)
comme relais de la connexion vers la destination finale.  Envoi une requête DNS pour l’URL en question
 Etablissement de connexion à l’@IP de destination où l’@IP source est relative
 Exemples typiques: Les serveurs proxy et les serveurs au serveur proxy.
SOCKS. 5. Le serveur proxy achemine les réponses du serveur web au client.
Techniques de protection dans les réseaux Yacine Djemaiel 33 Techniques de protection dans les réseaux Yacine Djemaiel 34

Bastion Host Comparaison des firewalls

Performance
 Sert comme plateforme pour les passerelles niveau

Sécurité
applicatives ou niveau circuit.
 Peut être utilisée pour fournir des services accessibles de l’externe.
 Potentiellement exposée à des intrusions. Filtrage simple des paquets (Stateless packet
3 1
Filtering)
 Doit être hautement sécurisée.
Filtrage dynamique(Stateful Packet Filtering) 2 2
 Seulement les services nécessaires sont installés (typiquement des
Proxies). Passerelle niveau circuit (Circuit-Level GW) 2 3

Passerelle applicative (Application-level GW) 1 4


 Supporte deux ou plusieurs connexions réseau
 Réalise une séparation sécurisée entre les connexions réseaux. Plus le nombre est faible, plus le niveau de sécurité et la
performance sont meilleures.
Techniques de protection dans les réseaux Yacine Djemaiel 35 Techniques de protection dans les réseaux Yacine Djemaiel 36

9
Points à considérer lors de la configuration
d’un firewall Interfaces d’un Firewall
 Actuellement, la majorité des Firewalls intègrent cette
 Performance : équilibre (délicat) entre le niveau de séparation (sous réseau protégé).
sécurité à assurer (suffisant) et l’accès aux données.
 Interface DMZ (Demilitarized Zone) pour le sous réseau protégé
 Plus la liste des règles de filtrage est importante, plus  Zone moins sécurisée du réseau.
la durée d’examen d’un paquet est importante  Isolation de la zone DMZ du reste du réseau.
(performance ).
 L’ordre des règles de filtrage est important !
 Selon la nature du trafic.
 Le chiffrement/déchiffrement peut introduire un
délai.
Techniques de protection dans les réseaux Yacine Djemaiel 37 Techniques de protection dans les réseaux Yacine Djemaiel 38

Quelques produits Firewalls


 Check Point Firewall-1
 Stateful Packet Filter
 Support de quelques fonctionnalités d’un Proxy.
 Authentification.
 Cisco PIX
 Stateful Packet Filter
 Interface utilisateur non pratique.
 Firewall sous linux
 Stateful Packet Filter
 iptables (versions anciennes, ipchains, stateless)
 Versions commerciales avec une interface graphique.
 Pas d’authentification
 Pas de load-balancing / Haute disponibilité

Techniques de protection dans les réseaux Yacine Djemaiel 39

10

Vous aimerez peut-être aussi