Vous êtes sur la page 1sur 30

DESS Rseaux 2000/2001

Christophe LEITIENNE Mathieu TRUCHET Laurent THEVENARD

Les Firewall

Rle du firewall
Attaques et outils associs Technologie : les diffrents types de firewall Architecture dun rseau avec firewall Produits professionnels Exemples

Problmatique, Enjeux
Problmatique Attaques et Outils associs

Technologie
Architectures Outils, Cots Exemples Avenir
Communications autorises Communications refuses Internet

Rseau local

Pourquoi un Firewall
Problmatique Attaques et Outils associs

Technologie
Architectures Outils, Cots Exemples Avenir
Controler le trafic sortant Vigilance Internet Scuriser le trafic entrant

Rseau local

Couches de protocoles
Problmatique Attaques et Outils associs

Technologie
Architectures Outils, Cots Exemples Avenir

Telnet

FTP TCP

HTTP UDP

Internet Protocol (IP) / ICMP Couches basses

Dni de service
Problmatique Attaques et Outils associs

Dni de service
Spoofing IP Scanners Autres Technologie Architectures Outils, Cots Exemples Avenir
ACK SYN, ACK machine A (client) SYN machine B (serveur)

Spoofing IP
Problmatique Attaques et Outils associs

Dni de service
Spoofing IP Scanners Autres Technologie Architectures Outils, Cots Exemples Avenir
Machine B Machine dattaque (H)

Machine attaque (A)

Les Scanners
Problmatique Attaques et Outils associs

Dni de service
Spoofing IP Scanners Autres Technologie Architectures Outils, Cots Exemples Avenir

Fonctionnement des scanners 1. 2. 3. Localiser une machine sur un rseau Dtecter les services excuts sur la machine Dtecter dventuelles failles

Autres outils
Problmatique Attaques et Outils associs

Dni de service
Spoofing IP Scanners Autres Technologie Architectures Outils, Cots Exemples Avenir

1. 2. 3. 4. 5. 6. 7.

Ping SNMP WhoIs DNS Finger Host TraceRoute

Firewall filtrage de Paquets


Problmatique Attaques et Outils associs

Technologie
Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

Fonctionnement du filtrage de paquets


Problmatique Attaques et Outils associs

Fonctionnement
Fait souvent partie dun routeur Chaque paquet est compar un certain nombre de rgle (filtres), puis est transmis ou rejet

Technologie
Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

Avantages

Cest un firewall transparent


Apporte un premier degr de protection sil est utilis avec dautres firewall

Inconvnients
Dfinir des filtres de paquets est une tche complexe Le dbit diminue lorsque le nombre de filtres augmente

Rgles de filtrage
Problmatique Attaques et Outils associs

Filtrage selon :

Technologie
Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

l'adresse IP de la source et de la destination,


le protocole, le port source et destination pour les protocoles TCP et UDP, le type de message pour le protocole ICMP, et linterface physique dentre du paquet

Circuit Level Gateways


Problmatique Attaques et Outils associs

Technologie
Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

Fonctionnement du Circuit Level Gateway


Problmatique Attaques et Outils associs

Fonctionnement

Technologie
Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

Capte et teste la validit des handshake TCP pour savoir si une session peut tre ouverte
Cest un firewall transparent Il cache les machines du rseau priv

Avantages

Proxy
Problmatique Attaques et Outils associs

Technologie
Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

Fonctionnement du Proxy
Problmatique Attaques et Outils associs

Fonctionnement
Similaire au Circuit Level Gateway Spcifique une application

Technologie
Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

Avantages
Les paquets entrants et sortants ne peuvent accder aux services pour lesquels il ny a pas de proxy Permet de filtrer des commandes spcifiques (ex: GET ou POST pour HTTP) Le plus haut degr de scurit

Inconvnients
Les performances les plus faibles Nest pas transparent pour les utilisateurs

Firewall Multi-couches
Problmatique Attaques et Outils associs

Technologie
Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

Routeur filtrage de paquets


Problmatique Attaques et Outils associs

Technologie
Architectures Routeur filtrage de paquets Dual Homed Gateway
mail, dns, etc. Internet

Screened Host Firewall


Screened Subnet Firewall Outils, Cots Exemples Avenir
Rseau local avec serveurs

Dual Homed Gateway


Problmatique Attaques et Outils associs

Technologie
Architectures Routeur filtrage de paquets Dual Homed Gateway
Routeur Internet

Screened Host Firewall


Screened Subnet Firewall Outils, Cots Exemples Avenir
Rseau local avec serveurs IP forwarding dsactiv

Screened Host Firewall


Problmatique Attaques et Outils associs

Technologie
Architectures Routeur filtrage de paquets Dual Homed Gateway
Internet

Screened Host Firewall


Screened Subnet Firewall Outils, Cots Exemples Avenir
Bastion host Rseau local avec serveurs

Screened Subnet Firewall


Problmatique Attaques et Outils associs

Technologie
Architectures Routeur filtrage de paquets Dual Homed Gateway
Internet

Screened Host Firewall


Screened Subnet Firewall Outils, Cots Exemples Avenir
Rseau local avec serveurs Bastion host Zone dmilitarise

Outils, Cots
Problmatique Attaques et Outils associs

Technologie
Architectures Outils, Cots Exemples Avenir

Noyau Linux

GNU

Gratuit

Firewall a filtrage de paquets Proxy FTP/HTTP

Proxy Squid

GNU

Gratuit

Check Check Point Software Point Technologies Firewall 1 www.checkpoint.com Eagle Family Raptor Systems www.axent.com

56000F Leader (100 Contrle utilisateurs) Temporel 45000F (100 utilisateurs)

Exemple Firewall et Pont


Problmatique Attaques et Outils associs

Technologie
Architectures Outils, Cots Exemples Firewall+Pont HOWTO Bat710 Avenir
Fournisseur daccs/ Internet

Rseau local

Firewall/Proxy

Pont

Exemple Firewall-HOWTO
Problmatique Attaques et Outils associs

Technologie
Architectures Outils, Cots Exemples Firewall+Pont HOWTO Bat710 Avenir

Internet (MAUVAIS)

ppp0 : 192.84.219.1

eth0 : 192.84.219.250 eth1 : 192.168.1.250

SMTP

DNS Rseau de serveurs (Zone Dmilitarise - ZDM)

Proxy HTTP, FTP

Rseau local (BON)

Exemple Bat710
Problmatique Attaques et Outils associs
NT Workstation Linux

Technologie
Architectures Outils, Cots Exemples Firewall+Pont HOWTO Bat710 Avenir
Miage Samba, Proxy HTTP, FTP, News, HTTPS Internet bat710 SMTP, POP3 Rseau du batiment 710 NFS

Conclusion
Problmatique Attaques et Outils associs

Technologie
Architectures Outils, Cots Exemples Avenir

Autres lments de protection


VPN IPSec NAT (Network Address Translation) Anti-virus

Bibliographie
Problmatique Attaques et Outils associs

Technologie
Architectures Outils, Cots Exemples Avenir

Regroupements dinformation sur les firewall en anglais www.firewall.com Documents sur les firewall en franais www.chez.com/firewalls xtream.online.fr/project/securite.html

FAQ sur les firewall www.vicomsoft.com/knowledge/reference/firewalls 1.html

HOWTO IPCHAINS Bridge+Firewall

Paquet IP
Problmatique Rappels techniques

Couches
IP ICMP TCP Attaques et Outils associs Technologie Architectures Outils, Cots Exemples Avenir
options TTL Protocole @ source @ destination Checksum Version IHL TOS Flags Version Offset

Identification

Paquet ICMP
Problmatique Rappels techniques

Couches
IP ICMP TCP Attaques et Outils associs Technologie Architectures Outils, Cots Exemples Avenir
Type Code CheckSum

Type: 8: Echo 0: Rponse Echo

Paquet TCP
Problmatique Rappels techniques

Couches
IP ICMP TCP Attaques et Outils associs Technologie Architectures Outils, Cots Exemples Avenir
options Data Offset Reserv CheckSum Ack Number Flags Window Urgent Pointer Port Source Sequence Number Port Destination

Connexion TCP
Problmatique Rappels techniques

Couches
IP ICMP TCP Attaques et Outils associs Technologie Architectures Outils, Cots Exemples Avenir
ACK SYN, ACK machine A (client) SYN machine B (serveur)