Sécurité

Sécurisation par filtrage

Plan
Contexte
Définition
Politique par défaut
Type de filtrage :
Par paquet
Applicatifs
Limites

181 Sécurité Informatique 2021-2022

Contextes & motivations
Evolution des systèmes d’information
Des réseaux d’entreprise assez larges, connectant des réseaux locaux (distribués
dans des zones géographiques différentes) à travers des réseaux étendus.
Nécessité de connecter certains de ces réseaux à Internet.
La connectivité d’un réseau local à Internet, permet au monde
externe d’atteindre et d’interagir avec les ressources de ce réseau.
Difficulté de sécuriser chaque ressource à part:
Nombre important de machines.
Différents types d’applications, services, systèmes d’exploitation, et protocoles
utilisés, tous contenant des bugs.
Besoin de minimiser les risques.
 Utilisation des pare-feux (Firewalls)

182 Sécurité Informatique 2021-2022

Définition : qu'est ce qu'un firewall
Interconnecte des réseaux de différents niveaux de confiance.
Définit un point de passage obligé pour le contrôle et le suivi de trafic.
Restreindre l’accès aux ressources (information ou services) selon la politique
de sécurité.
Faire obéir le trafic entrant et sortant à un ensemble de règles de filtrage
Ex: seul le trafic http est autorisé, seule l’adresse IP 1.2.3.4 est autorisée.
Permet d’auditer et de contrôler l’accès.
Génération d’alertes pour les utilisations malveillantes.
Immune contre la pénétration.
Fournit un périmètre de sécurité.
Fournit une protection contre les attaques (ex: IP Spoofing).
Représente un endroit commode pour l’implémentation des fonctionnalités
réseaux (ex: translation d’adresses)

183 Sécurité Informatique 2021-2022

 Définition : emplacement

Réseau avec niveau de

confiance X
ALERT!!
Firewall

Réseau local Internet

Routeur

Réseau non digne de

DMZ confiance
Serveurs accessibles
depuis le réseau
Internet

184 Sécurité Informatique 2021-2022

Réseau avec Niveau de confiance Y
Politique de sécurité par défaut
Ce qui n’est pas explicitement permis est interdit.
(default = Deny)
La plus prudente.
Initialement tous les services sont bloqués, puis ils sont ajoutés
un par un selon les besoins.
Ce qui n’est pas explicitement interdit est permis.
(default = Forward)
Introduit une commodité dans l’utilisation des services réseaux
par les utilisateurs.
Fournit un niveau de sécurité réduit.
Un administrateur doit réagir pour chaque nouvelle menace de
sécurité identifiée (un nouveau service devient vulnérable).

185 Sécurité Informatique 2021-2022

186 Sécurité Informatique 2021-2022
Type de firewall
3 principaux types :
Firewalls à Filtrage de paquets (Packet-Filtering)
Stateless
Stateful
Passerelle niveau circuit (Circuit-Level Gateway)
Passerelle niveau application (Application-Level Gateway)

187 Sécurité Informatique 2021-2022

Firewalls à Filtrage de paquets
Le plus simple des Firewalls.
Pour chaque paquet IP rencontré, il décide de le faire passer (forward)
ou de l’éliminer (deny), selon des règles de filtrages.
Le filtrage se fait depuis et vers toutes les directions (ex: depuis et
vers Internet).
Règles de filtrage, basées sur l’analyse des champs dans l’entête IP et
TCP:
Adresse IP source et destination.
Protocole (TCP, UDP, ICMP, etc).
Port (TCP ou UDP) source et destination.
TCP Flags (SYN, ACK, FIN, RST, PSH, etc)
Type de Message ICMP.
…
Deux types de Firewalls à filtrage de paquets: Stateful et Stateless.

188 Sécurité Informatique 2021-2022

Exemples de règles de filtrage
(cas de stateless Packet Filtering Firewalls)
Packet-filtering Firewall

Internet

entrant 193.1.1.0/24
sortant
Action Prot Sens source Port src destination Port dst flag
Deny IP Sortant 193.1.1.1/24 * 10.1.1.1/32 *

Allow TCP Sortant 193.1.1.0/24 * * 80

Allow TCP Entant * 80 193.1.1.0/24 * ACK

Deny * * * * * *

Règle1: Toute connexion depuis la machine interne (193.1.1.1) vers la machine suspecte 10.1.1.1
est bloquée.
Règle2: Seulement les connexions HTTP (TCP, port 80) depuis le réseaux interne (193.1.1.0)
sont permises.
Règle3: Seulement la trafic web en réponse à une connexion déjà initiée du réseau interne sera
accepté de l’extérieur.
Règle4: La politique de sécurité par défaut.
189 Sécurité Informatique 2021-2022
Limitation des Firewalls à filtrage de paquets (type
stateless)
Connexion TCP.
Port serveur inférieur à 1024.
Port client compris entre 1024 et 16383.
Les Ports <1024 sont affectés de façons permanente.
FTP: 20,21 – Telnet: 23 – SMTP: 25 – HTTP: 80
Tous les Ports >1024 doivent être disponibles aux clients pour faire leurs
connexions.
Ceci créé une vulnérabilité qui peut être exploitée par les intrus.

190 Sécurité Informatique 2021-2022

 Stateless Packet-Filtering Firewall Serveur Telnet
Client Telnet

193.1.1.1 10.1.2.3

Cohérent avec le paquet précédent

Pas de cohérence avec la connexion en cours

Ceci présente une limitation pour les Firewalls de type stateless packet filtering
191 Sécurité Informatique
 Solution: utilisation de Firewalls de type stateful packet filtering2021-2022
Stateful Packet filtering Firewalls
Renforce les règles de filtrage en suivant l’état des connexions:

@IP Src Port Src @IP Dst Port dst Etat de la connexion

223.43.21.231 1990 193.2.1.3 80 Etablie

223.42.21.230 1234 193.5.6.1 23 Etablie
223.42.21.222 2562 193.4.2.1 80 Etablie
… … … … …

Si un paquet représente une nouvelle connexion, alors vérification des règles

de configuration
Si un paquet fait partie d’une connexion existante (ex: TCP flag ACK activé),
alors vérification dans la table d’état des connexions, puis mise à jour de la
table.
Le trafic entrant vers un port « x » supérieur à 1024, est autorisé seulement s’il
est en direction d’une machine qui a déjà établie une connexion avec un port
source inférieur à 1024 et un port destination égal à « x ».

192 Sécurité Informatique 2021-2022

 Stateful Packet-Filtering Firewall Serveur Telnet
Client Telnet

193.1.1.1 10.1.2.3

Le Firewall se souviendra
De cette information

Cohérent avec le
paquet précédent

Pas de cohérence
avec la connexion
en cours

193 Sécurité Informatique 2021-2022

Exemples de règles de filtrage
(cas de stateful Packet Filtering Firewalls)
Packet-filtering Firewall

Internet

Optionnels
193.1.1.0/24

Action Prot Sens source Port src destination Port dst flag
Deny IP Sortant 193.1.1.0/24 * 10.1.1.1/32 *

Allow TCP Sortant 193.1.1.0/24 * * 80

Allow TCP Entant * 80 193.1.1.0/24 * ACK

Deny IP * * * * *

Politique de contrôle d’accès

Toute connexion depuis le réseau interne (193.1.1.0) vers la machine suspecte
10.1.1.1 est bloquée.
Seulement les connexions HTTP (TCP, port 80) depuis le réseaux interne
(193.1.1.0) sont permises.
194 Sécurité Informatique 2021-2022
Firewalls à filtrage de paquets: avantages et
inconvénients
Avantages
Simplicité du fonctionnement.
Rapidité dans le traitement.
Transparence aux utilisateurs.
Inconvénients
Ne protège pas contre les attaques qui exploitent des vulnérabilités sur les
applications (ne bloque pas certaines commandes).
Les fichiers logs générés ne contiennent pas d’informations assez pertinentes
(seulement: @IP, ports).
Ne supporte pas des mécanismes avancés d’authentification des utilisateurs.
Une simple erreur dans la configuration des règles peut casser toute la
sécurité.

195 Sécurité Informatique 2021-2022

Attaques sur les Firewalls à filtrage de paquets
Usurpation d’adresse IP (IP address spoofing)
L’intrus envoi un paquet de l’externe avec une fausse @IP (généralement
égale à une @IP d’une machine interne), afin de réussir à passer le
mécanisme de filtrage.
Solution: bloquer tout paquet entrant (venant de l’interface externe) ayant
une @IP source interne.
Fragmentation de paquets (Tiny fragment attacks)
Un paquet IP est divisé en plusieurs fragments, où seul le premier fragment
contient le numéro de port.
 Insuffisance d’informations pour filtrer ces paquets.
Solution: rejeter les paquets fragmentés ou les rassembler avant vérification.

196 Sécurité Informatique 2021-2022

Les Firewalls Proxy
Deux types
Application-Level
Circuit-Level

197 Sécurité Informatique 2021-2022

Application-Level Gateway

Telnet FTP HTTP

Applications Applications Applications

Presentations Presentations Presentations

Sessions Sessions Sessions

Transport Transport Transport

Network Network Network

DataLink DataLink DataLink

Physical Physical Physical

Application Gateway

198 Sécurité Informatique 2021-2022

Application-Level Gateway
Agit comme un Relais applicatif.
Besoin de Proxy séparé pour chaque service (ex: SMTP, DNS).
Deux modes de fonctionnement:
Le client doit être configuré pour une communication avec Proxy.
Mode Proxy transparent.
A un accès complet au protocole
Un utilisateur demande un service (ex: Telnet, ftp) au Proxy.
Le Proxy valide la demande.
Le Proxy contacte l’application distante et transmet les segments TCP
contenant les données applicatives entre les deux entités.
La passerelle peut être configurée pour ne pas autoriser toutes les
fonctionnalités d’une application.
Possibilité d’auditer et de journaliser tout le trafic passant.

199 Sécurité Informatique 2021-2022

Application Level Gateway: Inconvénients
Besoin intensif de ressources
Un processus par connexion.
Gestion des connexions dans les deux bouts.
Peux de Proxies sont disponibles
les services propres ne sont pas généralement supportés.
Plus approprié à TCP
Difficulté avec ICMP.

200 Sécurité Informatique 2021-2022

Circuit Level Gateway
Crée deux connexions: une entre lui et l’utilisateur interne, une autre entre lui
et l’utilisateur externe.
Impose une sécurité en déterminant quel type de connexion est permis.
Une fois les deux connexions sont établies, il transmet les segments d’une
connexion à une autre sans examiner leurs contenu.
Supporte plus de services que l’Application-Level Gateway
Moins de contrôle sur les données.
Les clients doivent être au courant de l’utilisation d’un circuit-level proxy.
Le protocole SOCKS est généralement utilisé pour ça.
La version 5 supporte TCP et UDP.

201 Sécurité Informatique 2021-2022

Comparaison

Fragmentatio
Performance
Sécurité
Modification de
ICMP

n
l’application cliente

Stateles Packet
C A Non Oui Non
Filtering
Stateful Packet
B B Non Oui Non/Oui
Filtering
Implémentation de Oui avec
Circuit-Level GW B C Oui
SOCKS SOCKS v5
Nécessité de
Application-level configuration si le
A D Non Oui
GW mode transparent n’est
pas utilisé

La lettre “A” signifie une meilleure sécurité et performance

202 Sécurité Informatique 2021-2022

Bastion Host
Sert comme plateforme pour Application-Level Gateway et Circuit-Level Gateway.
Peut être utilisée pour fournir des services accessibles de l’externe.
Potentiellement exposée à des intrusions.
Doit être hautement sécurisée.
Seulement les services nécessaires sont installés (typiquement des Proxies).
Supporte deux ou plusieurs connexions réseau
Réalise une séparation sécurisée entre les connexions réseaux.

203 Sécurité Informatique 2021-2022

Limites du firewall : exemples
1. Fragmentation (exemple de l’attaque TearDrop)
2. Bugs
3. Protection périmétrique
4. Ne protège pas contre les attaques internes

204 Sécurité Informatique 2021-2022