Académique Documents
Professionnel Documents
Culture Documents
Contrôle d’accès
d accès
Filtrage et ACL
1
Filtrage de paquets: principe
Trafic entrant
Réseau
Réseau
interne
externe
LAN Trafic sortant Internet
Firewall
Fi ll
matériel ou logiciel 2
Filtrage de paquets: principe
Internet 192.168.22.35
Web/80
Routeur
TCP
externe
Réseau Périphérique
Routeur
interne
Réseau Privé
4
Types de filtrage
5
Types de filtrage
Î L’application
L’ li ti des
d règles
è l estt possible
ibl sans lire
li les
l ACL à
chaque fois (les paquets d’une connexion actives seront
acceptés)
6
Types de filtrage
Limites
Problèmes de performance pour les réseaux à grand
trafic
7
P
Processus d
de développement
dé l t de
d
filtres
8
Processus de développement de filtres
9
Processus de développement de filtres
Exemple:
Soit
la politique:
Accepter HTTP en entrée et en sortie et rien d’autre.
Réseau Privé
10
Processus de développement de filtres
Exemple de règles
Règle Direction @ source @ Dest. Protocole Port dest. Action
A Entrant Externe 192.168.22.35 TCP 80 Autoriser
B Sortant 192.168.22.35 Externe TCP >1023 Autoriser
C Sortant Interne Externe TCP 80 Autoriser
D Entrant Externe Interne TCP >1023 Autoriser
E Toutes Toutes Toutes Tous Tous Refuser
Web/80
TCP Internet
192.168.22.35
A Web/80
Client
TCP
externe B
Réseau
D
Périphérique
Client C
interne
Réseau Privé
11
Processus de développement de filtres
Question
ª Ces règles autorisent-elles les connexions dont les ports source et
destination sont supérieurs à 1023? (ce qui n
n’était
était pas prévu)
Règle Direction @ source @ Dest. Protocole Port dest. Action
A Entrant Externe 192.168.22.35 TCP 80 Autoriser
B Sortant 192.168.22.35 Externe TCP >1023 Autoriser
C Sortant Interne Externe TCP 80 Autoriser
D Entrant Externe Interne TCP >1023 Autoriser
E Toutes Toutes Toutes Tous Tous Refuser
Web/80
TCP
Internet
192.168.22.35 192.168.22.36
Web/80 Serveur X11
attaquant
q TCP TCP/6000
TCP/1503
Réseau
Périphérique
Réseau Privé
12
Processus de développement de filtres
Une solution
Examiner aussi le p
port source
Règle Direction @ source @ Dest. Protocole Port src. Port dest. Action
A Entrant Externe 192 168 22 35
192.168.22.35 TCP >1023 80 Autoriser
B Sortant 192.168.22.35 Externe TCP 80 >1023 Autoriser
C Sortant Interne Externe TCP >1023 80 Autoriser
D Entrant Externe Interne TCP 80 >1023 Autoriser
E Toutes Toutes Toutes Tous Tous Tous Refuser
Mais
Un attaquant peut utiliser le port 80 comme port source client puis se
connecte au serveur X11/ port 6000
Î Il réussira (règle D et C)
13
Processus de développement de filtres
Raffinement de la solution
Examiner aussi le flag
g ACK ((ACK=0 seulement dans le p
premier
paquet envoyé du client (port>1023) vers le serveur)
Règle Direction @ source @ Dest. Protocole Port Port ACK=1 Action
src. d
dest.
A Entrant Externe 192.168.22.35 TCP >1023 80 --- Autoriser
B Sortant
So ta t 192.168.22.35
92. 68.22.35 Externe
Exte e TCP
C 80 >1023
023 oui Autoriser
uto se
C Sortant Interne Externe TCP >1023 80 --- Autoriser
D Entrant Externe Interne TCP 80 >1023 oui Autoriser
E Toutes Toutes Toutes Tous Tous Tous --- Refuser
M i
Mais
Un attaquant peut utiliser le port 80 comme port source client puis se
connecte au serveur X11/ / port
p 6000 en fixant ACK à 1
Î Réussira t-il à se connecter au serveur (considérer les règles D et C)
14
Processus de développement de filtres
Réponse:
Le paquet passera au travers les filtres,
filtres
Mais,
Mais
15
Processus de développement de filtres
Conclusion:
Il faut considérer les règles de filtrage comme un seul
bloc
16
Détection et corrections des anomalies dans les
règles
è l d de filtrage
fil
Anomalie redondance
Anomalie Masquage
Anomalie Généralisation
Anomalie Corrélation
17
Anomalie redondance
Règle Entête Action
exemple
R Accepter
i Dom(H (n)) Action*
i
R
j Dom(H (n)) Action*
Action Accepter
j
18
Anomalie masquage
R Action* Rejeter
j
Dom(Hj(n)) -Dom(Hi(n))
R Rejeter
j Dom(H (m)) Dom(H (n)) Action*
j j
21
Anomalie corrélation
Cas 1 : création d’une nouvelle règles R et modification de la règle R
k j
exemple
R Accepter
k Dom(H (m)) Dom(H (n)) Action**
i j
R Accepter
i Dom(H (m)) Dom(H (n)) Action**
Action
i i
R
j Dom(H (n)) Action* Rejeter
j
Dom(Hj(m)) -Dom(Hi(m))
R Accepter
k Dom(H (m)) Dom(H (n)) Action**
i j
R Accepter
i Dom(H (m)) Dom(H (n)) Action**
i i
R
j Dom(H (n)) Action* R j t
Rejeter
j
Dom(Hj(m)) -Dom(Hi(m))
22
Anomalie corrélation
Cas 2 : création d’une nouvelle règles R et modification de la règle R
k i
exemple
R Rejeter
j
k Dom(H (m)) Dom(H (n)) Action**
Action
i j
R Accepter
i Dom(H (m)) Action
i
Dom(H (n)) -Dom(H (n))
i j
R
j Dom(H (m)) Dom(H (n)) Action** Rejeter
j j
exemple
R Rejeter
k Dom(H (m)) Dom(H (n)) Action**
i j
R Accepter
i Dom(H (m)) Action
i Dom(H (n)) -Dom(H (n))
i j
R
j Dom(H (m)) Dom(H (n)) Action**
j j Rejeter
23
Fi
Firewalls
ll matériels
té i l / logiciels
l i i l
24
Firewall matériel / logiciels
Firewalls matériels
Routeurs filtrants
Firewalls sous forme de boîtiers
Firewall logiciels
Firewall
F ll professionnels
f l
Firewall libre : Netfilter / iptables
Firewall commercial : CheckPoint Firewall-1,
Firewall 1 ASA,
ASA PIX
Firewall personnels
Kerio Zone Alarm…
Kerio, Alarm
25
Firewall matériel: Routeurs filtrants
Réseau Réseau
interne externe
( LAN ) (Internet)
Un routeur filtrant
Examine chaque paquet afin de déterminer s'il doit
l'acheminer ou l'abandonner
Bien adapté aux PME
Pas de fichiers logs et pas de statistiques
La fonction
f de
d filtrage
fl est implémentée
l dans
d la
l
plupart des routeurs du marché
Sous forme de listes d’accès ACL
En utilisant une syntaxe spécifique par routeur 26
Firewall matériel: Routeurs filtrants
Inconvénients
« IP-Spoofing
IP Spoofing Ready »: pas d’authentification
d authentification de l’origine
l origine
du paquet: ne sait pas si l ’auteur du paquet est bien celui
qui l’émet
q
27
Firewall matériel: Firewall sous forme boîtiers
Rapidité de traitement
Exemple
E l :
Cisco ASA (Adaptive Security Appliance)
28
Access Control Lists
(ACL)
29
ACL dans les routeurs
Permet d’implémenter des règles de filtrage dans
les routeurs Æ Contrôler l’accès entre différents
réseaux
Une ACL créée doit être associée à une interface du
routeur où le filtrage sera exécuté.
Interface in (incoming: paquets entrant dans le routeur)
Interface out (outcoming: paquets sortant du routeur)
inbound outbound
« In » access list « out » access list
L’action (p
(permit/deny)
/ y) de la
règle trouvée est appliquée au
paquet
Router(config)#access-list ?
<1-99>
<1 99> IP standard access list
<100-199> IP extended access list
<200-299> Protocol type-code
yp access list
<300-399> DECnet access list
<400-499> XNS standard access list
<500-599>
500 599 XNS extended
t d d access lilistt
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299>
1200 1299 IPX summary address
dd access list
li t
32
Standard IP access lists (1-99)
Syntaxe
Router(config)# access-list
access list numéro-liste-d
numéro liste d’accès
accès {deny|permit} source
[wildcard mask] [log]
Source:
Hostname or A.B.C.D; any (n’importe quel hôte), host (hôte particulier)
wildcard mask (32 bits)
Les bits ‘0’ signifient que les mêmes positions de bits doivent être
vérifiées (match)
Les bits ‘1’ signifient que les bits de mêmes positions sont ignorés
Exemples
Router(config)# access-list 14 deny 192.168.16.0 0.0.0.255 (tous les hôtes)
Router(config)# access-list 14 deny 192.168.16.0 0.0.0.127 (1ère moitié)
Router(config)# access-list 14 deny 192.168.16.128 0.0.0.127 (2ème moitié)
34
Standard IP access lists (1-99)
Exemple:
Permettre ll’acheminement
acheminement du trafic du réseau 192 192.168.1.0
168 1 0
(vers Internet et vers 172.16.0.0)
Router(config)# access-list 11 permit 192.168.1.0
192 168 1 0 00.0.0.255
0 0 255
Router(config)# int S0
Router(config-if)# ip access-group
access group 11 out
Router(config)# int E1
Router(config if)# ip access-group
Router(config-if)# access group 11 out
172.16.0.0
E1
Internet 192 168 1 0
192.168.1.0
S0 E0 35
Extended IP access lists
Router(config)#access-list
( g) 112 deny y tcp
p?
A.B.C.D Source address
any Any source host
host A single source host
38
Extended IP access lists (syntaxe)
41
Nommage des ACL
Exemple
access-list
Router(config)#ip access list standard nom_liste
nom liste
Router(config-std-nacl)# deny host 172.16.2.3
Æ Les paramètres access-list et access-list-number sont implicites
Router(config)# int E0
Router(config-if)# ip access-group nom_liste out
42
Vérification des ACLs
La commande Show:
show access lists
access-lists
Montre toutes les ACLs configuré dans le routeur
show ip interface
Montre l’ACL appliqué à l’interface (inbound et outbound).
show
h running-config
i fi
Montre toutes les ACLs et les interfaces où elle sont appliquées
43
A retenir
44