CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE
Transcript of CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE
CONCEPTS FIREWALL ET
SÉCURITÉ ASSOCIÉE Pôle SECU DSI – 17/09/2018
Firewall / Gatekeeper / Pare-feu / Garde Barrière
• Pourquoi sécuriser son réseau ?
• Politiques de sécurité
• Rappel TCP/IP
• Définition d’un firewall
• Sécurité associée au firewall
• Différentes architectures « firewall »
• Qu’est-ce qu’un bon firewall ?
Pourquoi sécuriser son réseau ? / 1
• Protéger le réseau interne de l’extérieur Piratage / Espionnage
Uniquement serveurs publics visibles de l’internet
• Passage obligé pour atteindre le réseau interne Simplification de la sécurité
Restreindre nombre de machins à surveiller
Audit du trafic entre réseau interne et externe (type de trafic /
consommation)
Mise en œuvre d’outils spécifiques (authentification)
• Economie sur le plan d’adressage IP RFC 1918 / NAT
Pourquoi sécuriser son réseau ? / 2
• Passage obligé = réseau interne protégé ? Attaques interne
Connexions pirates sur réseau interne (WiFi, 3G, ….)
Virus
• Passage obligé = plus de gestion de la sécurité
du réseau interne ? Administration des serveurs interne (arrêter services inutiles /
sécuriser les applications)
Surveillance quotidienne
Eduquer les utilisateurs / faire signer les chartes
Pourquoi sécuriser son réseau ? / 3
Sécurisation système ?
Quelques protocoles : TCP = 22/SSH (secure shell)
TCP = 23/Telnet
TCP = 25/SMTP
TCP = 80/HTTP – TCP = 443/HTTPS
TCP = 445/Microsoft-DS – TCP = 137-139/Netbios
Pourquoi sécuriser son réseau ? / 4
Sécurisation réseau
SNORT = IDS (Intrusion Detection System)
Protocoles les plus scannés TCP = 21/FTP
TCP = 22/SSH
TCP = 80/HTTP – HTTP = 443/HTTPs
TCP = 137-139/445 Netbios
TCP = 1433/ms-sql
TCP = 8080/proxy-cache
Politiques de sécurité / 1
• Définir une politique de sécurité Objectifs à atteindre
Utilisation du réseau à respecter
Moyens à mettre en œuvre (organisation / ressources
humaines)
• Structurer le réseau Séparer les communautés
(administration/enseignement/recherche)
Sécuriser dans les 2 sens (externe interne)
Pas d’informations sensibles en clair sur le réseau (chiffrement)
Switcher le réseau
Politiques de sécurité / 2
• 2 politiques de sécurité Tout ce qui n’est pas explicitement interdit est autorisé
Tout ce qui n’est pas explicitement autorisé est interdit
Politique à appliquer : autorisation explicite
• Firewall Un concept, un environnement
Un ensemble d’outils (matériels, logiciels)
Rappel TCP/IP / 1
• Modèle OSI
• Packet Ethernet – TCP/IP
Rappel TCP/IP / 2
Etablissement d’une connexion TCP/IP (Three-way handshake)
(Rst: reset de la connexion sans paquet Ack)
Définition d’un firewall / 1
Firewall = terme très générique
• Périphérique qui assure l’interconnexion
de plusieurs réseaux
• Permet de mettre en œuvre la politique de
sécurité de l’établissement
Définition d’un firewall / 2
Bref historique
• Filtrage de paquets Apparu sur les routeurs
Fonctionne au niveau connexion TCP/IP (adresse IP +
couche transport)
Pas de prise en compte l’historique des connexions
• Serveur proxy Agit au niveaux des applications et des services
Fouille les paquets (recherche d’applets, masquage des
adresses IP des clients)
Ralentit le trafic
Nécessite un proxy par type d’application
Définition d’un firewall / 3
Evolution des firewalls
• Filtrage adaptatif (stateful inspection) Base de données de paquets TCP/IP qui ne
présente pas de risque
Historique d’une connexion autorisée
Compare les paquets reçus à ceux qu’il est censé
recevoir
Définition d’un firewall / 4
Système qui route de façon sélective les paquets entre des hôtes
internet et externe en fonction des règles de filtrage spécifiées
Fonctionne au niveau 3/4 du modèle OSI Filtrage sur l’entête IP
Filtrage sur l’entête TCP
Filtrage sur l’entête UDP
Définition d’un firewall / 5
• Filtrage sur l’en-tête IP Adresse source ( ! l’adresse source falsifiable)
Adresse destination
Type de protocole (TCP,UDP,ICMP,….)
• Filtrage sur l’en-tête TCP Port TCP source
Port TCP destination
Flag TCP (bit ACK)
Notion de session TCP identifiant tous les flux d’une connexion
• Filtrage sur l’en-tête UDP Port UDP source
Port UDP destination
Pas de notion de session / pas de bit ACK
Définition d’un firewall / 6
• Routeur Cisco (filtres gérés par ACL)
• Serveur dédié sous Linux (filtres gérés par kernel Linux)
Définition d’un firewall / 7
Inconvénients des firewalls « stateless » Règles de filtrage ordonnées séquentiellement
Pas de prise en compte de l’état de la connexion (initiée /
établie / finie)
firewall « stateful inspection »
(filtrage dynamique de paquets)
Système de filtrage qui mémorise les paquets reçus et adapte les
règles de filtrage en conséquence
Notion de session (TCP) ou pseudo-session (UDP)
Règles créées limitées dans le temps où à la session
Définition d’un firewall / 8
Mode « established » Test sur l’octet « flag » de l’entête TCP/IP
On peut donc faire l’hypothèse que tout paquet TCP/IP avec le flag
« Ack » positionné appartient à une connexion « established », et donc
déjà autorisée par les filtres
Définition d’un firewall / 9
• Routeur Cisco (filtres gérés par ACL)
• Serveur dédié sous Linux (filtres gérés par kernel Linux)
Définition d’un firewall /10
Problème established sur certains protocoles (FTP)
Connexion de C en FTP sur S en mode actif
Pour fonctionner en mode « established », 2 possibilités
permit tcp any eq 20 any gt 1023
utiliser fonctionnalités évoluées des firewalls (cbac sur Cisco, RELATED
iptables). Connexions stockées en mémoire = Stateful Inspection
Définition d’un firewall / 11
• Routeur CISCO (non cbac – filtres gérés par ACL)
Problème de sécurité. Connexion Syn sur des applications avec des ports de
connexion TCP > 1023
• Serveur dédié sous Linux (Stateful inspection / RELATED)
Définition d’un firewall / 12
A surveiller sur les firewalls
• DOS (Denial of Service)
Attaques de type SYN en mode cbac/related (saturation
mémoire)
• « established » sur Cisco
Established = Ack ou Rst
Tout paquet avec Flag = Ack ou Rst est autorisé à traverser les
filtres. Un paquet avec Syn,Rst positionné traversera les filtres !!!!
Problème sur certaines piles protocolaires IP qui acceptent ce type
de paquets (Linux 2.4)
=> Mise en place de filtres supplémentaires pour interdire les
paquets non conforme à la RFC (sur Cisco, filtres en CPU et non
plus en Asic)
Définition d’un firewall / 13
Avantages du filtrage de paquets
• Protection centralisée pour un réseau entier
• Pas de compétence, collaboration des utilisateurs
• Disponible sur de nombreux matériels
• Intégration dans des ASICs permet un traitement
rapide
• Pas un coût prohibitif pour petite entité (PC *NIX)
Définition d’un firewall / 14
Inconvénients du filtrage de paquets
• Règles de filtrage difficiles à configurer
• Certains protocoles compliqués à filtrer (h323,
visio)
• Règles de filtrage impossible à mettre en œuvre Filtrage basé sur la notion d’utilisateur
Filtrage basé sur les applications
• Inefficace face à du « tunneling »
Sécurité associée au firewall / 1
Serveur « proxy » (relais applicatif)
• Application sur le firewall ou serveur distinct
• Redirection des requêtes des utilisateurs vers les
services demandés en accord avec la politique de
sécurité Etablissement des connexions vers les services demandés à
la place des clients des utilisateurs
+ ou – transparent pour les utilisateurs
• Efficace qu’associé à un mécanisme d’interdiction
de connexion directe vers les services demandés
Sécurité associée au firewall / 2
Serveur « proxy » (relais applicatif)
Niveau 7 du modèle OSI
Pas de connexion directe à Internet pour le client
Proxy http/ftp : squid
Sécurité associée au firewall / 3
Proxy = filtrage couche application • Filtrage d’informations à l’intérieur d’une session
(contrôle des commandes GET/PUT dans FTP)
• Journalisation des commandes utilisateurs
• Masquage de l’adresse IP des clients
• Modification des informations relatives aux clients dans
les en-têtes (http, smtp, …)
• Inhiber les scripts ActivX, javascript, applets java,…dans
les flux HTTP
• Contrôle anti-virus
Sécurité associée au firewall / 4
Avantages serveur proxy
• Pas de connexion TCP/IP entre client et l’Internet
• Masquage des adresses IP interne
• Logs de connexions des utilisateurs
• Phase d’authentification possible
• Fonctionnement + ou – transparent pour l’utilisateur
Sécurité associée au firewall / 5
Inconvénients serveur proxy
• Nécessite serveur proxy pour chaque service
• Plus lent qu’un simple routeur filtrant (traitement effectué
dans l’espace « user »
• Ne protège pas de toutes les faiblesses des protocoles
(suppose que l’on sait déterminer quelles opérations
sont sûres)
• Inefficace face au « tunneling »
Sécurité associée au firewall / 6
NAT (Network Address Translation)
• Masquage du plan d’adressage interne
• Utilisation plan d’adressage interne non routé sur Internet
(utilisable universellement - RFC 1918) Classe A (1 réseau de 16 millions d’hôtes) 10.0.0.0/8
Classe B (16 réseaux de 65536 hôtes) 172.16.0.0/16 172.16.31.0/16
Classe C (256 réseaux de 256 hôtes) 192.168.0.0/24 192.168.255.0/24
• Permet aux hôtes du réseau interne de se connecter à
l’Internet sans nécessiter autant d’adresses IP que de
machines
Sécurité associée au firewall / 7
NAT : Traduction statique d’adresse
• A une adresse IP externe, on fait correspondre une
adresse IP interne (si possible RFC 1918)
• Utilisation
Serveur devant être accessible depuis l’Internet
Peu de machines sur le réseau
Sécurité associée au firewall / 8
NAT : Traduction dynamique d’adresse A une adresse IP interne se connectant à l’Internet, on fait
correspondre une adresse IP officielle (firewall) et la correspondance
est effectuée en enregistrant le port source de la communication initiée
par le firewall
Sécurité associée au firewall / 9
NAT : Traduction dynamique d’adresses
• Utilisation Postes clients accédant à l’internet
• Avantages Economie sur le plan d’adressage
Impossibilité d’initier une connexion vers une machine
translatée depuis l’Internet si plan d’adressage RFC 1918
• Inconvénients protocoles véhiculant dans les données TCP l’adresse IP du
client (négociation des tunnels VPN
Difficultés avec les protocoles à négociation de ports (VPN,
H323)
Sécurité associée au firewall / 10
VPN - Virtual Private Network
• Définition RPV : Réseau Privé Virtuel
Créer lien sécurisé sur infrastructure IP existante
Connexion sécurisée des utilisateurs nomades
Connexion sécurisée des sites distants
Privé : données transitant par ce réseau sont confidentielles pour
les autres utilisateurs du réseau
Virtuel : réseau privé ainsi créé n’est pas matérialisé par des liens
physiques
• Diverses technologies réseau Tunneling, routage, filtrage
Authentification (serveur, utilisateur)
Confidentialité (chiffrement)
Sécurité associée au firewall / 11
3 configurations de base pour solution VPN
Solutions VPN : PPTP, L2TP, GRE, IPSEC, VPN-SSL
Sécurité associée au firewall / 12
Différentes architectures « firewall » / 1
Firewall
Firewall + logs
Différentes architectures « firewall » / 2
Firewall + Proxy
Différentes architectures « firewall » / 3
DMZ (Zone démilitarisée)
Qu’est-ce un bon firewall ? / 1
• Packet filter
• Stateful inspection
• Proxy sur les applications (web, ftp, ssh, …)
• Logs du traffic
• Authentification sécurisée, voir forte des utilisateurs
• Mise en place DMZ + routeur « boundary »
• Solution de VPN pour utilisateurs nomades
• Mise en place de sondes IPS (Intrusion Protection System)
Qu’est-ce un bon firewall ? / 2
• Sécurisation du firewall (physique/logiciel)
• Administration du firewall (traitement des logs)
• Métrologie (analyse du trafic)
• Tester politiques de sécurité (nmap, nessus, …)
• Suivre avis de sécurité (appliquer les patches)
• Politique de reprise sur crash (backup)
• Que faire en cas d’incident sécurité
• Configuration NTP (ntp.u-psud.fr)
• Ne pas négliger l’administration des postes clients
Qu’est-ce un bon firewall ? / 3
• Recommandation pour les polices de sécurité Créer une matrice des flux de trafic
Politique par défaut = DENY
Filtrer également trafic sortant
Ne pas renvoyer d’ICMP en cas de deny
Proxy avec possibilité de bloquer virus, javascript, ActiveX
• Quelques filtres nécessaires • IP Spoofing
• Adresses internes (RFC 1918)
• Certains applicatifs (snmp, tftp, netbios, lpr, …)
• SMTP uniquement vers relais de mail