Sécurité des Réseaux et Internet 1

(SRI)

Firewalls

Dr. C. M. BENTAOUZA M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

chahinez.bentaouza@univ-mosta.dz

https://sites.google.com/site/coursbentaouza
 2

Rappel Méthodologie d’attaque

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA
 3

REMARQUE M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

• Attaque: tentative d’intrusion ou DOS

• Intrusion : contrôle partiel ou total d’un système
• DOS: rendre indisponible pendant une durée les services
ou ressources d'une organisation.
▫ attaque par réflexion ou smurf
▫ attaque du Ping de la mort ou Ping of death
▫ attaque SYN ou SYN Flooding
• Technique
o usurpation d'adresse IP ou spoofing
o vol de session TCP ou hijacking
o analyseur réseau ou sniffer
 4

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

 5

Pare feu ou Coupe feu ou Garde

barrière ou Firewall

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

 6

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Définition FW
• C’est un système permettant de protéger un
ordinateur ou un réseau d'ordinateurs des
intrusions.
• Le pare-feu est un système permettant de filtrer
les paquets de données pour le réseau interne et
externe.
 7

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Fonctionnement FW
• Les firewalls sont basés sur des règles statiques
afin de contrôler l’accès des flux:

• D'autoriser la connexion (allow) ;

• De bloquer la connexion (deny) ;
• De rejeter la demande de connexion sans avertir
l'émetteur (drop).
 8

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

 9

Filtrage simple de paquets ou stateless M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

• les paquets de données échangée entre une machine du

réseau extérieur et une machine du réseau interne transitent
par le pare-feu et possèdent les en-têtes suivants:
• adresse IP émetteur ;
• adresse IP récepteur ;
• type de paquet (TCP, UDP, etc.) ;
• numéro de port (un service ou une application).

Règle Action IP source IP dest Protocol Port source Port dest

1 Accept 192.168.10.20 194.154.192.3 tcp any 25

2 Accept any 192.168.10.3 tcp any 80

3 Accept 192.168.10.0/24 any tcp any 80

4 Deny any any any any any
 10

Filtrage dynamique ou stateful M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

• L'amélioration par rapport au filtrage simple, est

la conservation de la trace des sessions et des
connexions dans des tables d'états internes au
Firewall.
• TCP vérifient que chaque paquet d'une connexion
est bien la suite du précédent paquet et la réponse
à un paquet dans l'autre sens.
 11

Filtrage applicatif ou proxy M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

• Le filtrage applicatif est comme son nom l'indique

réalisé au niveau de la couche Application.
• masque à l'Internet toutes les adresses IP du
réseau interne.
• Un pirate mal intentionné, ne lit par conséquent
que l'adresse du Proxy.
• le proxy subis les attaques à place des machines
du réseau.
 12

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Limite des filtrages

• Stateless
▫ Manque de souplesse
▫ Difficulté pour gérer certains protocoles (TCP, FTP)
• Stateful
▫ Risque d’accès illimité
▫ Faille interne au firewall
 les parefeu Stateful sont considérés, par les administrateurs
réseau, comme une technologie minimum pour une sécurisation.
• Proxy
▫ Adapatabilité
▫ Difficulté
▫ Failles du proxy
▫ Performance
 13

Type de FW M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

• FW matériel: Il se trouve souvent sur des routeurs

achetés dans le commerce par de grands
constructeurs comme Cisco.

• Cisco
▫ La célèbre société Cisco, plus connu pour ses
routeurs, propose également des firewall matériels
nommés PIX (Private Internet eXchange).
▫ Ces firewalls sont des plateformes complètes basées
sur un noyau propriétaire de Cisco. Ce sont des
firewalls à état (stateful) utilisant l'algorithme de
Cisco, l'ASA (Adaptive Security Algorithm).
 14

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Informations sur le schéma de protection basé

sur l'algorithme de sécurité adaptatif (ASA)
• Adresses IP source et destination
• Numéros de ports source et destination
• Numéros de séquences TCP
• Flags TCP/IP
• Tout paquet sans connexion justifiée est jeté
• Le trafic venant d'une interface de niveau de sécurité
haut (inside) vers une interface de niveau bas
(outside) est permis, sauf si des access-list (ACL)
limitent ce trafic
• Le trafic entrant est interdit par défaut
• Les flux ICMP sont interdits à moins de les permettent
spécifiquement.
 15

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

• FW logiciel: il est présents dans les serveurs:

▫ Les firewalls personnels : Ils sont assez souvent
commerciaux et ont pour but de sécuriser un
ordinateur particulier, et non pas un groupe
d'ordinateurs.
▫ Les firewalls plus « sérieux » : ils tournent
généralement sous linux, car cet OS offre une
sécurité réseau plus élevée.
 16

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Logiciel de filtrage sous linux

• 3 types de firewall filtrants :

▫ Ipfwadm.
▫ Ipchains
▫ Iptables.
 17

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Ipfwadm

• Firewall permettant la gestion des paquets TCP,

UDP et ICMP.

• 3 types de règles :
▫ INPUT. sont appliquées lors de l’arrivée d’un paquet.
▫ FORWARD. sont appliquées lorsque la destination
du paquet n’est pas le routeur.
▫ OUTPUT. sont appliquées dès qu’un paquet doit
sortir du routeur.
 18

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Fonctionnement
 19

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Fonctionnement

1: lorsqu’un paquet entre, il traverse les règles de type

INPUT
2: Si il est accepté Alors
3: Si il est destiné à une autre machine Alors
4: il est routé vers les règles FORWARD
5: Sinon
6: il est rejeté
7: le paquet est finalement émis

NB:
▫ Dans tous les cas, le paquet traverse les règles OUTPUT
 20

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Ipchains

• Tout comme ipfwadm

• Fonctionnement
 21

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Iptables

• Améliorations en matière de filtrage et de

translation d’adresses par rapport à Ipchains.
 22

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Fonctionnement

• À l’arrivée d’un paquet (après décision de routage)

1: Si le paquet est destiné à l’hôte local Alors

2: il traverse la chaîne INPUT.
3: Si il n’est pas rejeté Alors
4: il est transmis au processus impliqué.
5: Sinon
6: Si le paquet est destiné à un hôte d’un autre
réseau Alors
7: il traverse la chaîne FORWARD
8: Si il n’est pas rejeté Alors
9: il poursuit alors sa route
 23

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

Exemple de Firewall Linux

• Routage (dynamique)
▫ GNU Zebra (http://www.zebra.org/).

• Routeur filtrant stateful

▫ Netfilter/iptables.

• Proxy
▫ Apache configuré en proxy ou le logiciel Squid, un
proxy avec cache.
 24

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

FW Windows

• Zone Alarm
▫ Freeware

• BitDefender Internet Security 2009

▫ Shareware
 25

Autres FW M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

• Les fabricants de parefeu ont tendance à intégrer un maximum de

fonctionnalités :

• filtrage de contenu (URL, spam mails, code ActiveX, applets Java, …)

• réseau virtuel privé (VPN) : les VPN permettent de canaliser un trafic
sécurisé d’un point à un autre sur des réseaux généralement hostile
(Internet par exemple). Checkpoint et Cisco intègrent des services VPN
à leur offres de parefeu.
• la traduction d’adresse réseau NAT (Network Address Translation)
: ce service permet de mettre en correspondance des adresses réservées
ou illégales avec des adresses valides. Les premiers dispositifs NAT qui
apparaissent en entreprise sont souvent des produits parefeu.
• l’équilibrage de charge : va permettre de segmenter un trafic de
façon répartie (orienter le trafic Web et FTP par exemple)
• la tolérance de pannes : certains parefeu, comme CISCO/PIX ou
Nokia/Checkpoint supportent ces fonctionnalités (généralement
exécution des parefeu par paire pour permettre un une disponibilité
élevée (HA HighAvailability)
• la détection des intrusions (IDS) : service nouveau et à la mode !
 26

M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA