VII- Firewalls

1. Définitions (1)

Un besoin de protéger les systèmes de l'entreprise et maintenant les appareils individuels,

en les protégeant des "mauvais utilisateurs" sur le "mauvais Internet".

Menaces sur deux fronts: Internet externe et les utilisateurs internes au sein du réseau de
l'entreprise. Les administrateurs de système réseau doivent donc être en mesure de trouver
des moyens de restreindre l'accès au réseau de l'entreprise ou à des sections du réseau à
partir du «mauvais Internet» situé à l'extérieur et de l'intérieur sans scrupules.
utilisateurs.

Un pare-feu est un matériel, un logiciel ou une combinaison des deux qui surveille et filtre
les paquets de trafic qui tentent d'entrer ou de sortir du réseau privé protégé.

C'est un outil qui sépare un réseau protégé ou une partie d'un réseau, et maintenant de plus
en plus un PC utilisateur, d'un réseau non protégé - le "mauvais réseau" comme Internet.
Dans de nombreux cas, le «mauvais réseau» peut même faire partie du réseau de
l'entreprise.

Un «pare-feu» est un outil fournissant un filtre des paquets entrants et sortants.

Deux fonctions de sécurité de base:
• Filtrage de paquets basé sur une politique d'acceptation ou de refus
• Les passerelles de proxy d’application fournissent des services aux utilisateurs internes
tout en protégeant chaque hôte contre les «mauvais» utilisateurs extérieurs.

Un pont Ethernet ou un modem qui se connecte au «mauvais réseau» peut être défini
comme pare-feu

La stratégie d'acceptation / refus utilisée dans les pare-feu est basée sur la stratégie de
sécurité d'une organisation. Les stratégies de sécurité les plus couramment utilisées par les
organisations vont de l'interdiction totale du trafic à l'autorisation de tout ou partie du
trafic.

2. Définitions (2)
Deux stratégies de sécurité de pare-feu couramment utilisées:
• Tout refuser-tout-non-spécifiquement-autorisé qui définit le pare-feu de manière à refuser
tout le trafic et tous les services, à l’exception de quelques-uns ajoutés à mesure que les
besoins de l’organisation se développent
• Tout autoriser - pas spécifiquement refusé - qui permet l’intégralité du trafic et des
services, sauf ceux du
Liste «interdite» qui est développée à mesure que les dégoûts de l’organisation se
développent

Tout le trafic entrant et sortant du réseau protégé doit passer par le pare-feu.
• Seul le trafic autorisé, tel que défini par la stratégie de sécurité de l'organisation, entrant
et sortant du réseau protégé, sera autorisé à passer.
• Le pare-feu doit être à l’abri de la pénétration en utilisant un système sécurisé doté d’un
système d’exploitation sécurisé.

Lorsque ces stratégies et objectifs sont implémentés dans un pare-feu, celui-ci est
censé:
• Empêcher les intrus d’entrer et d’interférer avec les opérations du réseau de
l’organisation. C'est fait
en limitant les paquets pouvant entrer sur le réseau en fonction des adresses IP ou des
numéros de port.
• Empêcher les intrus de supprimer ou de modifier des informations stockées ou en
mouvement dans le système
réseau.
• Empêcher les intrus d’acquérir des informations d’organisation exclusives.
• Empêchez les utilisateurs d’abuser des ressources de l’organisation en limitant les accès
non autorisés aux ressources du système.
• Fournissez une authentification, même si des précautions doivent être prises car des
services supplémentaires sur le pare-feu peuvent le rendre moins efficace.
• Fournissez des points de terminaison au VPN.

7. Types de pare-feu - Pare-feu à filtrage de paquets (1)

Les pare-feu de filtre de paquets sont des routeurs qui inspectent le contenu des adresses
source ou de destination et des ports des paquets TCP, UDP et ICMP entrants ou sortants
envoyés entre les réseaux et acceptent ou rejettent les paquets en fonction des stratégies de
paquets spécifiques définies dans la stratégie de sécurité de l'organisation.

Les règles de filtrage sont basées sur les informations contenues dans un paquet réseau:

Adresse IP source: adresse IP du système à l'origine du paquet IP (par exemple,

192.178.1.1).
Adresse IP de destination: adresse IP du système que le paquet IP tente d’atteindre (par
exemple, 192.168.1.2).
Adresse de niveau de transport source et de destination: numéro de port du niveau de
transport (par exemple, TCP ou UDP), qui définit
applications telles que le champ de protocole IP SNMP ou TELNET: définit le protocole de
transport
Interface: pour un pare-feu avec trois ports ou plus, quelle interface du pare-feu d'où
provient le paquet ou laquelle
interface du pare-feu le paquet est destiné à

Le filtre de paquets est généralement configuré comme une liste de règles basée sur des
correspondances avec des champs dans l'en-tête IP ou TCP. S'il existe une correspondance
avec l'une des règles, cette règle est invoquée pour déterminer s'il faut transférer ou rejeter
le paquet. S'il n'y a pas de correspondance avec une règle, une action par défaut est prise.

8. Types de pare-feu - Pare-feu à filtrage de paquets (2)

Deux stratégies par défaut sont possibles:
Défaut = rejet: Ce qui n'est pas expressément autorisé est interdit.
(REJET ou DROP)
Défaut = forward: Ce qui n'est pas expressément interdit est autorisé.
(ACCEPTEZ, ...)

La stratégie de suppression par défaut est plus conservatrice. Au départ, tout est bloqué et
les services doivent être ajoutés au cas par cas. Cette stratégie est plus visible pour les
utilisateurs, qui ont plus de chances de voir le pare-feu comme un obstacle.

6. Types de pare-feu - Pare-feu à filtrage de paquets (3)

Règles de filtrage de paquets Les règles sont appliquées de haut en bas.

Le "*" dans un champ est un caractère générique

désignateur qui correspond à tout.
Nous supposons que la stratégie par défaut = rejet est en vigueur.

Chaînes:
IN, OUT, FORWARD, PREROUTING, POSTROUTING

7. Types de pare-feu - Pare-feu à filtrage de paquets (4)

A. Le courrier entrant est autorisé (le port 25 est destiné au trafic entrant SMTP), mais
uniquement à un hôte passerelle. Cependant, les paquets provenant d'un hôte externe
particulier, SPIGOT, sont bloqués car cet hôte a un historique d'envoi de fichiers
volumineux dans les messages électroniques.
B. Ceci est une déclaration explicite de la politique par défaut. Tous les jeux de règles
incluent implicitement cette règle en tant que dernière règle.
C. Ce jeu de règles est destiné à spécifier que tout hôte interne peut envoyer un courrier
électronique à l’extérieur. Un paquet TCP avec un port de destination de 25 est routé vers le
serveur SMTP sur la machine de destination. Le problème avec cette règle est que
l'utilisation du port 25 pour la réception SMTP n'est qu'un paramètre par défaut; une
machine externe pourrait être configurée pour avoir une autre application liée au port
25.Cette règle étant écrite, un attaquant pourrait accéder aux machines internes en
envoyant des paquets avec un numéro de port source TCP de 25.
D. Cet ensemble de règles permet d'obtenir le résultat escompté, ce qui n'est pas le cas en C.
Les règles tirent parti d'une fonctionnalité de connexions TCP. Une fois la connexion
établie, l'indicateur ACK d'un segment TCP est configuré pour accuser réception des
segments envoyés de l'autre côté. Ainsi, cet ensemble de règles indique qu’il autorise les
paquets IP où l’adresse IP source est l’une des listes de
Les hôtes internes et le numéro de port TCP de destination sont 25. Il autorise également
les paquets entrants dont le numéro de port source est 25 et qui incluent l'indicateur ACK
dans le segment TCP. Notez que nous désignons explicitement les systèmes source et de
destination pour définir explicitement ces règles.
E. Ce jeu de règles est une approche de la gestion des connexions FTP. Avec FTP, deux
connexions TCP sont utilisées: une connexion de contrôle pour configurer le transfert de
fichier et une connexion de données pour le transfert de fichier réel. La connexion de
données utilise un numéro de port différent, attribué dynamiquement pour le transfert. La
plupart des serveurs, et donc la plupart des cibles d’attaque, utilisent une faible
ports numérotés; la plupart des appels sortants ont tendance à utiliser un port de numéro
supérieur, généralement supérieur à 1023.

8. Types de pare-feu - Pare-feu à filtrage de paquets (5)

Faiblesses des pare-feu à filtrage de paquets
• Ils ne peuvent pas empêcher les attaques utilisant des vulnérabilités ou des fonctions
spécifiques à une application en raison de l'absence de fonctionnalité de couche supérieure
par le pare-feu;
• En raison du nombre limité d'informations disponibles sur le pare-feu, la fonctionnalité de
journalisation présente dans les pare-feu à filtrage de paquets est limitée.
• La plupart des pare-feu à filtrage de paquets ne prennent pas en charge les schémas
d'authentification utilisateur avancée, en raison de l'absence de fonctionnalité de couche
supérieure par le pare-feu.
• De nombreux pare-feu à filtrage de paquets ne peuvent pas détecter un paquet réseau
dans lequel les informations d'adressage de couche 3 OSI ont été modifiées. Les attaques
par usurpation d'identité sont généralement utilisées par les intrus pour contourner les
contrôles de sécurité mis en œuvre dans une plate-forme de pare-feu.
• En d’autres termes, il est facile de configurer accidentellement un pare-feu à filtre de
paquets pour autoriser les types de trafic, les sources et les destinations à refuser en
fonction de la stratégie de sécurité des informations d’une organisation.

Avantages
• Le pare-feu de filtrage de paquets est sa simplicité.
• Les filtres de paquets sont généralement transparents pour les utilisateurs et très rapides.
iptables -I INPUT -p tcp -i eth0 --dport ssh –j ACCEPT
iptables -I INPUT -p tcp -i eth0 --sport ssh –j ACCEPTER
iptables –t nat –A POSTROUTING –o ppp0 –j MASQUERADE - vers les ports 1025-2600

9. Types de pare-feu - Pare-feu à filtrage de paquets (6)

• Usurpation d'adresse IP: l'intrus transmet des paquets de l'extérieur avec un champ
d'adresse IP source contenant un
adresse d'un hôte interne. L’attaquant espère que l’utilisation d’une adresse usurpée
permettra la pénétration de systèmes utilisant une sécurité d’adresse source simple, dans
laquelle les paquets provenant d’hôtes internes sécurisés spécifiques sont acceptés. La
contre-mesure consiste à rejeter les paquets avec une adresse source interne si le paquet
arrive sur une interface externe. En fait, cette contre-mesure est souvent mise en œuvre sur
le routeur externe au pare-feu.
• Attaques de routage source: la station source spécifie la route qu'un paquet doit
emprunter lorsqu'il traverse Internet, dans l'espoir qu'il contournera les mesures de sécurité
qui n'analysent pas les informations de routage source. le
La contre-mesure consiste à rejeter tous les paquets qui utilisent cette option.
• Attaques par fragments minuscules: l'intrus utilise l'option de fragmentation IP pour créer
des fragments extrêmement petits et forcer les informations d'en-tête TCP dans un fragment
de paquet séparé. Cette attaque est conçue pour contourner les règles de filtrage qui
dépendent des informations d'en-tête TCP. Typiquement, un filtre de paquets prendra une
décision de filtrage sur le premier fragment d'un paquet. Tous les fragments ultérieurs de ce
paquet sont filtrés uniquement sur la base qu'ils font partie du paquet dont le premier
fragment a été rejeté. L’attaquant espère que le pare-feu filtrant n’examine que le premier
fragment et que les fragments restants sont passés. Une attaque par fragment minuscule
peut être neutralisée en appliquant une règle selon laquelle le premier fragment d'un
paquet doit contenir une quantité prédéfinie de l'en-tête de transport. Si le premier
fragment est rejeté, le filtre peut mémoriser le paquet et rejeter tous les fragments suivants.
10. Le Firewall par filtrage simple de paquets (stateless) (1)
• C'est le plus trivial.
• Il vérifie si les « sockets » (adresse IP : port) source et destination sont
conformes ou non à des autorisations de passage.
• Exemple: Dans la pratique, si la machine cliente d'IP 217.146.35.25 doit
pouvoir accéder au serveur web 124.8.3.251 et, bien entendu, recevoir ses
réponses,
• Les paquets venant de 217.146.35.25 vers 124.8.3.251, port 80 passent.
• Les paquets venant de 124.8.3.251, port 80 vers 217.146.35.25, ports >=1024 passent.
• Limite: Si nous voulons que toute la zone privée puisse accéder à tous les
serveurs web du Net, alors, tout le réseau privé sera accessible sur les ports
au dessus de 1024. (puisqu’on a des @ publiques et pas de translation) ->
risques de sécurité maximum
• Pour cela il faudra suivre les connexions

11. Le pare-feu par filtrage simple de paquets (sans état) (2)

En général, quand une application qui utilise TCP crée une session avec un hôte distant,
elle crée un protocole TCP.
connexion dans laquelle le numéro de port TCP de l'application distante (serveur) est
inférieur à 1024
et le numéro de port TCP de l’application locale (client) est un nombre compris entre 1024
et 65535.Le
les numéros inférieurs à 1024 sont les numéros de port «connus» et sont attribués en
permanence à des
applications (par exemple, 25 pour le serveur SMTP). Les nombres entre 1024 et 65535
sont générés dynamiquement et ont une signification temporaire uniquement pour la durée
de vie d’une connexion TCP.

Un pare-feu de filtrage de paquets simple doit autoriser le trafic réseau entrant sur tous ces
ports à numéro élevé pour que le trafic basé sur TCP se produise. Cela crée une
vulnérabilité qui peut être
exploité par des utilisateurs non autorisés.

Consultation d'une page Web

• Si le client envoie bien la requête toujours sur le port 80 du serveur, il assiste en revanche
à la réponse sur le port qu'il va choisir aléatoirement, généralement au dessus de 1024.
Comme le port de réponse est aléatoire, ça va être difficile de laisser
passer les réponses sans ouvrir tous les ports au dessus de 1024
• Pour être efficace, il faut pouvoir assurer un suivi de la connexion, en
analysant la requête initiale pour découvrir le port sur lequel le client recevra la réponse et
agir dynamiquement en fonction

12. Types de pare-feu - Pare-feu à inspection d'état (1)

Le filtrage par suivi de connexion
• le pare-feu va savoir si une connexion est:
• NOUVEAU. C'est à dire qu'elle est créée. Par exemple, un client envoie sa
première requête vers un serveur web.
• ÉTABLI. Cette connexion a déjà été initiée. Elle suit dans les faits une
connexion NEW que l'on a déjà vu passer.
• EN RELATION. Ce peut être une nouvelle connexion, mais elle présente un
rapport direct avec une connexion déjà connue.
• INVALIDE. Un paquet qui a une tête en tête.
Un pare-feu d’inspection de paquets avec état vérifie les mêmes informations sur les
paquets qu’un pare-feu de filtrage de paquets, mais également
enregistre des informations sur les connexions TCP. Certains pare-feu avec état surveillent
également les numéros de séquence TCP pour empêcher les attaques qui dépendent du
numéro de séquence, telles que le détournement de session.

13. Types of Firewalls - Stateful Inspection Firewalls (2)

Connection TCP

• L'établissement d'une connexion TCP suit un protocole strict :

• Une requête de synchronisation [SYN] de la part de l'initiateur du dialogue (le client),
• Une réponse d'accusé réception de la synchronisation [SYN,ACK] de la part du
serveur,
• Un accusé réception du client [ACK]
• Lorsqu'un paquet TCP contient le flag SYN, c'est que c'est une nouvelle connexion
qui commence.(NEW)
• Lorsqu'un paquet TCP contient les flags SYN et ACK, c'est que la connexion est
acceptée, elle est donc établie, (ESTABLISHED)
• Lorsqu'un paquet ne contient que le flag ACK, c'est que la connexion se continue.
(RELATED)
• Lorsqu'un paquet contient le flag FIN, c'est que c'est la fin d'une connexion.
iptables –A FORWARD –i ppp0 –o eth0 –m state --state RELATED,ESTABLISHED –j ACCEPT
iptables –A FORWARD –i eth0 –o ppp0 –m state --state NEW,RELATED,ESTABLISHED –j
ACCEPT

15. Types de pare-feu - Pare-feu proxy d'application

Une passerelle au niveau de l’application, également appelée proxy d’application, sert de
relais du trafic au niveau de l’application.
L'utilisateur contacte la passerelle à l'aide d'une application TCP / IP, telle que Telnet ou
FTP, et la passerelle lui demande le nom de l'hôte distant auquel il doit accéder.

Lorsque l'utilisateur répond et fournit un ID utilisateur valide et des informations

d'authentification, la passerelle contacte l'application sur l'hôte distant et relaie les
segments TCP contenant les données de l'application entre les deux points d'extrémité. Si la
passerelle n'implémente pas le code proxy pour une application spécifique, le service n'est
pas pris en charge et ne peut pas être transféré à travers le pare-feu.

La passerelle au niveau de l'application n'a besoin que d'examiner quelques applications

autorisées. En outre, il est facile d’enregistrer et d’auditer tout le trafic entrant au niveau de
l’application.

Un inconvénient majeur de ce type de passerelle est le traitement supplémentaire

frais généraux sur chaque connexion

16. Types de pare-feu - Pare-feu VPN

Système cryptographique comprenant le protocole PPTP (Point-to-Point Tunneling
Protocol), le protocole L2TP (Layer 2 Tunneling Protocol) et IPSec qui acheminent des
trames PPP (Point-to-Point Protocol) sur une
Internet avec plusieurs liaisons de données avec une sécurité accrue.
• La technologie VPN chiffre ses connexions.
• Les connexions sont limitées aux ordinateurs dotés d'adresses IP spécifiées.

17. Types de pare-feu - Pare-feu SOHO (Small Office ou Home)

Pare-feu relativement petit qui connecte quelques ordinateurs personnels via un
concentrateur, un commutateur, un pont ou même un routeur
un côté et la connexion à un modem large bande tel que DSL ou
câble de l'autre

Un filtre NAT peut être utilisé. Il cache toutes les informations TCP / IP de l'hôte. Un pare-
feu NAT fonctionne réellement comme un proxy
serveur en masquant les identités de tous les hôtes internes et en faisant
demandes au nom de tous les hôtes internes du réseau. Cela signifie que pour un hôte
externe, tous les hôtes internes ont une adresse IP publique, celle du NAT.

Lorsque le NAT reçoit une demande d'un hôte interne, il remplace l'adresse IP de l'hôte par
sa propre adresse IP. Les paquets entrants ont tous l'adresse IP du NAT comme adresse de
destination.

18. Types de pare-feu - Baser le pare-feu

Il est courant de baser un pare-feu sur une machine autonome exécutant un système
d'exploitation commun, tel que UNIX ou Linux. La fonctionnalité de pare-feu peut
également être implémentée en tant que module logiciel dans un routeur ou un
commutateur LAN

Bastion Host
Un hôte bastion est un système identifié par l’administrateur du pare-feu comme un point
fort essentiel de la sécurité du réseau.

Firewalls basés sur l'hôte

Un pare-feu basé sur un hôte est un module logiciel utilisé pour sécuriser un hôte
individuel. De tels modules sont disponibles dans de nombreux systèmes d'exploitation ou
peuvent être fournis sous forme de progiciel complémentaire. Comme les pare-feu
autonomes conventionnels, les pare-feu résidant sur l'hôte filtrent et limitent le flux de
paquets. Un emplacement commun pour de tels pare-feu est un serveur.

Pare-feu personnel
Un pare-feu personnel contrôle le trafic entre un ordinateur personnel ou un poste de
travail d'un côté et Internet ou un réseau d'entreprise de l'autre côté. Il est utilisé à la
maison et sur les intranets d’entreprise. Le pare-feu personnel est un module logiciel sur
l'ordinateur personnel fourni par le système.

19. Emplacements - La zone démilitarisée (DMZ) (1)

• Segment d’un réseau ou d’un réseau entre le réseau protégé et le «mauvais réseau
externe».
• Il est également communément appelé réseau de service ou zone à risque.
• L’objet d’une zone démilitarisée sur un réseau d’organisation est de
une certaine isolation et une sécurité supplémentaire aux serveurs qui fournissent les
services d'organisation pour les protocoles tels que HTTP / SHTTP, FTP,
DNS et SMTP au grand public
• Toutes les machines de la zone DMZ sont très exposées aux utilisateurs internes et
externes. Par conséquent, ces machines ont le plus grand potentiel d'attaques. Cela
implique que ces machines doivent être protégées contre les utilisations abusives internes et
externes. Ils sont donc clôturés par des pare-feu positionnés sur chaque
côté de la zone démilitarisée.
• Une pratique courante consiste à placer la zone démilitarisée sur un réseau différent.
l'interface sur le pare-feu externe de celle utilisée pour accéder au
réseaux internes.
• Bloquer les requêtes de la DMZ vers la zone privée

20. Lieux - La zone démilitarisée (DMZ) (2)

Avantages de la DMZ
• Séparer les serveurs fortement publics du réseau protégé, limitant ainsi le potentiel de
intrus extérieurs dans le réseau
• Le principal avantage d’une zone démilitarisée est la création de trois couches de
protection qui séparent les zones protégées.
réseau. Ainsi, pour qu'un intrus puisse pénétrer dans le réseau protégé, il doit craquer trois
routeurs: le routeur de pare-feu extérieur, le pare-feu bastion et les périphériques de
routeur de pare-feu intérieur.
• Etant donné que le routeur externe n’annonce le réseau DMZ qu’Internet, les systèmes
Internet ne sont pas compatibles.
itinéraires vers le réseau privé protégé. Cela permet au gestionnaire de réseau de s’assurer
que le réseau privé
"invisible" et que seuls les systèmes sélectionnés de la zone démilitarisée sont connus
d'Internet via une table de routage et
Échanges d'informations DNS.
• Etant donné que le routeur interne annonce le réseau DMZ uniquement au réseau privé,
les systèmes du réseau privé n’ont pas d’acheminement direct vers Internet. Cela garantit
que les utilisateurs internes doivent accéder à Internet
via les services proxy résidant sur l'hôte bastion.
• Le réseau DMZ étant un réseau différent du réseau privé, un traducteur d’adresses réseau
(NAT)
peut être installé sur l’hôte bastion pour éliminer le besoin de renuméroter ou de resubnet
le réseau privé.
Inconvénients de la DMZ
• Selon le degré de séparation requis, la complexité de la DMZ peut augmenter.
• Le coût de maintenance d'une DMZ entièrement fonctionnelle peut également être élevé
en fonction du nombre de fonctionnalités et de services offerts dans la DMZ.