Sécurité informatique

CHAPITRE 5: INTRODUCTION À LA

SÉCURITÉ DES RÉSEAUX

Filtrage

Dr-Ing. Rihab BOUSSADA

rihab.boussada@ensi-uma.tn 1 2

Introduction
Objectifs du chapitre
Réseau Local Zone privée Trafic échangé:

Intérieur Intérieur
- Comprendre la notion de filtrage de paquets dans le réseau.
Intérieur Extérieur
- Maîtriser les règles de filtrage
LAN:

bordure:

Portière du trafic externe Trafic confiance Source

de plusieurs attaques sur le LAN

Firewall
3 4
 Firewall Filtrage de paquets: principe
Filtrage du trafic entrant et du trafic sortant
Firewall = Pare-feu = Coupe-feu Firewall Laisser passer certains paquets + rejetter paquets
selon sa politique de sécurité.
Réellement Il prévient la propagation d'un incendie.
Dans un réseau il prévient la propagation d'une attaque et
Réseau
autorise la circulation du trafic légitime. Réseau
Trafic entrant
externe
interne Internet
LAN
Trafic sortant
Inefficace contre les attaques local Pas de protection
contre les attaques qui ne le traverse pas
Firewall
matériel ou logiciel
5 6

Filtrage de paquets: Niveau de filtrage

Firewall: Fonctionnalités
Le firewall peut fonctionner sur différents niveaux du modèle OSI:
Fonction principale: Niveau 3 du modèle OSI Filtrage au niveau paquet
Filtrage du trafic réseau= Inspection du trafic qui circule Filtrage par : IP source ou destination
Autorise le trafic légitime
Bloquer, signaler, supprimer le trafic non légitime Filtrage par : Protocoles (TCP, UDP, etc)

Autres fonctionnalités: Niveau 4 du modèle OSI Filtrage par état de connexion

Filtrage par : Flags et options (ACK, etc)
Filtrage applicatif
HTTP (restriction des URL accessibles), Filtrage Applicatif

Anti-Spam proxy HTTP, FTP, etc)

Antivirus, Anti-Logiciel malveillant Translation

Translation d'adresses (NAT), Réalise du NAT

LAN
7 8
 Filtrage de paquets: Principe Filtrage de paquets: Principe
Le filtrage se fait en analysant les en-têtes des protocoles en se basant Construction des règles : Deux écoles
sur des règles.
Tout ce qui pas explicitement autorisé est interdit
Une règle de filtrage peut inclure les champs suivants:
1. Adresse IP source ACL = Liste blanche
2. Adresse IP destination
3. Port source (default permit).
4. Port destination Plus flexible au changements
5. Protocole encapsulé (ICMP, UDP, Moins sûre
6. Flag ACK (de TCP)
7. Type du message ICMP Tout ce qui pas explicitement interdit est autorisé
ACL = Liste noire
Chaque règle de filtrage à une action:
Laisser passer le paquet Plus sûre
Détruire/Rejeter le paquet Moins flexible au changements
9 10

Filtrage de paquets: Règles de filtrage Firewall: Positionnement

Politique: réseau périphérique

Internet 192.168.22.35

Routeur
Web/80
Séparation entre les trois zones LAN Routeur Firewall Internet
TCP
externe
Réseau Périphérique Le LAN
Routeur Le WAN
interne
Réseau Privé
La DMZ (Zone démilitarisée)

Zone spéciale autorisant un accès publique

Règle Direction IP Source IP Dest Protocole Port Port ACK=1 Action
paquet Source Dest de
DMZ
A Sortant 192.168.22.35 Toutes TCP 80 > 1023 Oui Autoriser

B Entrant Toutes 192.168.22.35 TCP > 1023 80 --- Autoriser

C Toutes Toutes Toutes Tous Tous Tous --- Refuser

11 12
 Firewall matériel: Routeurs filtrants
Types de firewall: matériel / logiciels
Firewalls matériels Réseau
interne
Réseau
externe
Routeurs filtrants LAN
Internet
Firewalls sous forme de boîtiers
Un routeur filtrant
Examine chaque paquet déterminer s'il doit l'acheminer ou le supprimer
Firewall logiciels Bien adapté aux PME
Firewall professionnels Pas de fichiers logs et pas de statistiques
Firewall libre : Netfilter / iptables
Firewall commercial : CheckPoint Firewall-1, ASA, PIX La fonction de filtrage existe dans la plupart des routeurs du marché
Firewall personnels ACL
Kerio, Zone En utilisant une syntaxe spécifique par routeur
13 14

Firewall matériel: Routeurs filtrants Firewall matériel: Firewall sous forme boîtiers

Conçus uniquement pour faire du filtrage

Inconvénients
OS spécifique, associé au boîtier

Inspecter des parties limitées des entêtes des paquets. Rapidité de traitement
Supportent rarement les interfaces WAN Nécessité
Aucune information sur l d communication de bout en bout. routeurs pour la connectivité

Exemple :
Sensible aux attaques par fragmentation
Cisco ASA (Adaptive Security Appliance)
Cisco PIX (Private Internet eXchange)
15 16
 Filtrage de paquets: Types de filtrage Filtrage de paquets: Types de filtrage
Filtrage à état: Statefull
Filtrage sans état (Stateless): Tracer les sessions et les connexions dans des tables d'états internes au
Filtrage simple: Inspecter chaque paquet à part et le comparer à une liste de Firewall.
Décider en fonction des états de connexions
règles préconfigurées (ACL).
Implémenté sur les routeurs et les systèmes Exemple: que chaque paquet d'une connexion est bien la suite
du précédent paquet.
Limites:
Utiliser un trop grand nombre de règles afin offrir une réelle protection des règles est possible sans lire les ACL à chaque fois
Sensible aux attaques IP spoofing / IP flooding et attaques DoS Les paquets seront acceptés.

17 18

Filtrage de paquets: Types de filtrage Processus de développement des règles de filtrages

Définition des règles de filtrage
Filtrage applicatif (firewall de type proxy ) Utiliser le maximum de critères (@IP, port,
Réalisé au niveau de la couche Application Pour chaque service interne et externe, il faut:
Définir des règles pour autoriser les utilisateurs interne à accéder à des
Permet les données du protocole applicatif pour les inspecter
services externes
Chaque protocole est filtré par un processus spécifique. Définir des règles pour autoriser des utilisateurs externes à accéder à des
serveurs (services) sur le réseau interne
Limites
Pour un service à autoriser
Problèmes de performance pour les réseaux à grand trafic Accepter le flux dans les deux sens (client serveur et
serveur client)
Pour un service à bloquer
Bloquer le flux du client serveur
19 20
Processus de développement des règles de filtrages Processus de développement des règles de filtrages
Exemple de règles
Exemple:
Règle Direction @ source @ Dest. Protocole Port dest. Action
Politique à adopter: Accepter HTTP en entrée et en sortie et rien .
A Entrant Externe 192.168.22.35 TCP 80 Autoriser
Autoriser les utilisateurs internes à accéder aux serveurs web externes. B Sortant 192.168.22.35 Externe TCP >1023 Autoriser
C Sortant Interne Externe TCP 80 Autoriser
Autoriser les utilisateurs externes à accéder au serveur web interne.
D Entrant Externe Interne TCP >1023 Autoriser
Objectif : développer les règles correspondantes E Toutes Toutes Toutes Tous Tous Refuser

Web/80 Internet 192.168.22.35

Web/80
TCP
TCP Internet
Web/80 192.168.22.35
TCP A Web/80
Client
Réseau Périphérique externe B
TCP
Réseau
D
Périphérique
Client C
Réseau Privé interne
Réseau Privé
21 22

Processus de développement des règles de filtrages

Une solution
Examiner aussi le port source

Règle Direction @ source @ Dest. Protocole Port src. Port dest. Action

A Entrant Externe 192.168.22.35 TCP >1023 80 Autoriser

Intrusion Detection System

B Sortant 192.168.22.35 Externe TCP 80 >1023 Autoriser

C Sortant Interne Externe TCP >1023 80 Autoriser

D Entrant Externe Interne TCP 80 >1023 Autoriser

E Toutes Toutes Toutes Tous Tous Tous Refuser

23 24
 IDS : Intrusion Détection System
Signatures:
=équipement surveiller et de contrôler - Modèle recherché à l'intérieur d'un paquet de données.
- détecter une ou plusieurs types d'attaques.
détecter des activités anormales ou suspectes
- Ex.présence de " scripts/iisadmin " dans un paquet allant vers votre serveur web
peut indiquer une activité d'intrus.
réagir à ces tentatives.
Alertes:
= notifications pour l'utilisateur d'une activité d'intrus.
= sniffer +moteur qui analyse le trafic selon des
règles. IDS informer l'administrateur de ces alertes.
Couche Réseau (IP, ICMP)
Couche Transport (TCP, UDP) Faux positif
Couche Application (HTTP, Telnet)
Faux négatif = une
25 26

IPS : Intrusion Prévention System IDS et IPS: Avantages &inconvénients

Les avantages :
Un IPS est un IDS qui ajoute des fonctionnalités de -Détection en temps réel
blocage pour une anomalie trouvée. -Multisondes
IDS devient actif => IPS.
-
Les inconvénients:
Avantages - Certaines attaques sont indétectable
Inconvénients : beaucoup de faux positifs ce qui -Taux de perte de paquets non nul
peut paralyser le réseau -

27 28