Master 1 Réseaux et systèmes distribués 2023-2024 Pare-feux (‘firewalls’): Architecture de base Pare-feux (‘firewalls’): Définitions de base Firewall: en anglais un mur qui empêche la propagation d’un incendie dans un bâtiment => français Parefeu
Parefeu: est un système permettant de filtrer les
paquets de données échangés avec le réseau, il s’agit ainsi d’une passerelle filtrante comportant au minimum les interfaces réseau suivante : une interface pour le réseau à protéger (réseau interne) une interface pour le réseau externe. Firewall logiciel / Firewall matériel Firewall et couche OSI Ce que peut (ou ne peut) faire Définir un politique de sécurité 1) Interdire tout par défaut Politiques de sécurité : 2) Autoriser tout par défaut Outils dans les pare-feux : Les outils dans les pare-feux: 1. Filtres de paquets et de segments 2. Filtre applicatifs (proxy) 3. Hôte à double réseau 4. Bastions 5. Zone démilitarisée (DMZ) Outils de pare-feux: filtrage de paquets et de segment Architecture de pare-feu avec routeur filtrant (‘screening router’) Outils dans les pare-feux : 2) Filtre applicatif (‘proxy’) (serveur mandataire) Permet de rajouter des filtres sur les données propres aux applications Par exemple : Nom d’utilisateur, adresse web .... On parle aussi de proxy applicatifs : Un proxy par application à filtrer Outils dans les pare-feux : 2) Filtre applicatif (‘proxy’) (serveur mandataire) Les proxys s’exécutent sur une machine dédiée située en générale dans une zone particulière à l’entrée de l’Internet appelée zone démilitarisée (DMZ)
Règles de filtrage plus simple:
Sur Routeur R1: filtre autorisation seulement Intranet <-> Passerelle Sur Routeur R2: filtre autorisation seulement Passerelle <-> Internet La machine sur laquelle tourne la passerelle peut héberger aussi des serveurs accessibles de l’extérieur Exemple de Proxys Squid (open source) : web Privoxy : suppression des publicités, filtrage suivant le contenu des pages ... (en plus de Squid) SSH Proxy (open source): dédié exclusivement à ssh – Il existe des proxys publiques Proxy.free.fr (client du réseau Free) JanusVM: navigation anonyme et sécurisé JAP (Java Anon Proxy) (Open source)
Intérêt: anonymat de la connexion, chiffrement, cache
... Outils dans les pare-feux : 3) Hôte à double réseau Architecture:hôte à double réseau Outils dans les pare-feux : 4) Bastion Architecture de pare-feu avec routeur filtrant et bastion Outils dans les pare-feux :Zone Démilitarisée (DMZ): Réseau exposé Lorsque certaines machines du réseau interne ont besoin d'être accessible de l'extérieur (comme c'est le cas par exemple pour un serveur web, un serveur de messagerie, un serveur FTP public, ...) il est souvent nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise. On parle ainsi de zone démilitarisé (zone tampon) DMZ: DeMilitarized Zone, pour désigner cette zone isolée hébergeant des applications mises à disposition du public. Zone Démilitarisée (DMZ) Architecture DMZ (1) Architecture DMZ (2) Architecture de pare-feu avec routeurs, bastions et DMZ En association avec le pare-feu :6) Traducteur d’adresses NAT Pare-feux Filtrage des paquets et des segments datagramme IP avec un segment TCP Rappel sur TCP Seul le 1er paquet d’ouverture de connexion TCP comporte le flag ACK à zéro
On ne laisse passer de l’extérieur vers l’Intranet que les
paquets avec ACK=1 Zones importantes pour les pare-feux (1) Zones importantes pour les pare-feux (2) Filtrage sur ouverture de connexion TCP Filtre sur la valeur du flag ACK
Seuls les paquets portant le flag ACK à 1 peuvent rentrer
dans l’Intranet, donc les demandes de connexions TCP ne peuvent pas rentrer Filtrage impossible pour UDP et d’autres protocoles On peut préciser le protocole dans la règle de filtrage Filtrage multiple Autoriser l’accès depuis l’extérieur sur serveur WEB de l’Intranet (sur 192.0.0.1) Autoriser toute sortie vers un serveur web à l’extérieur Sémantique du filtrage des paquets : Trois notions de direction (1) Sémantique du filtrage des paquets : Trois notions de direction (2) Les trois étapes du filtrage : Etape 1 : Spécification abstraite Les trois étapes du filtrage : Etape 2: Etablir des règles précises Les trois étapes du filtrage : Etape 3 : Configurer un outil précis Exemple : iptable et filtrage Exemple iptable et filtrage Iptables et suivi des connexions Iptables et suivi des connexions Outils de diagnostic Avantages des filtres de paquets Inconvénients des filtres de paquets