concepts firewall et sÉcuritÉ associÉe
TRANSCRIPT
![Page 1: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/1.jpg)
CONCEPTS FIREWALL ET
SÉCURITÉ ASSOCIÉE Pôle SECU DSI – 17/09/2018
![Page 2: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/2.jpg)
Firewall / Gatekeeper / Pare-feu / Garde Barrière
• Pourquoi sécuriser son réseau ?
• Politiques de sécurité
• Rappel TCP/IP
• Définition d’un firewall
• Sécurité associée au firewall
• Différentes architectures « firewall »
• Qu’est-ce qu’un bon firewall ?
![Page 3: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/3.jpg)
Pourquoi sécuriser son réseau ? / 1
• Protéger le réseau interne de l’extérieur Piratage / Espionnage
Uniquement serveurs publics visibles de l’internet
• Passage obligé pour atteindre le réseau interne Simplification de la sécurité
Restreindre nombre de machins à surveiller
Audit du trafic entre réseau interne et externe (type de trafic /
consommation)
Mise en œuvre d’outils spécifiques (authentification)
• Economie sur le plan d’adressage IP RFC 1918 / NAT
![Page 4: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/4.jpg)
Pourquoi sécuriser son réseau ? / 2
• Passage obligé = réseau interne protégé ? Attaques interne
Connexions pirates sur réseau interne (WiFi, 3G, ….)
Virus
• Passage obligé = plus de gestion de la sécurité
du réseau interne ? Administration des serveurs interne (arrêter services inutiles /
sécuriser les applications)
Surveillance quotidienne
Eduquer les utilisateurs / faire signer les chartes
![Page 5: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/5.jpg)
Pourquoi sécuriser son réseau ? / 3
Sécurisation système ?
Quelques protocoles : TCP = 22/SSH (secure shell)
TCP = 23/Telnet
TCP = 25/SMTP
TCP = 80/HTTP – TCP = 443/HTTPS
TCP = 445/Microsoft-DS – TCP = 137-139/Netbios
![Page 6: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/6.jpg)
Pourquoi sécuriser son réseau ? / 4
Sécurisation réseau
SNORT = IDS (Intrusion Detection System)
Protocoles les plus scannés TCP = 21/FTP
TCP = 22/SSH
TCP = 80/HTTP – HTTP = 443/HTTPs
TCP = 137-139/445 Netbios
TCP = 1433/ms-sql
TCP = 8080/proxy-cache
![Page 7: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/7.jpg)
Politiques de sécurité / 1
• Définir une politique de sécurité Objectifs à atteindre
Utilisation du réseau à respecter
Moyens à mettre en œuvre (organisation / ressources
humaines)
• Structurer le réseau Séparer les communautés
(administration/enseignement/recherche)
Sécuriser dans les 2 sens (externe interne)
Pas d’informations sensibles en clair sur le réseau (chiffrement)
Switcher le réseau
![Page 8: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/8.jpg)
Politiques de sécurité / 2
• 2 politiques de sécurité Tout ce qui n’est pas explicitement interdit est autorisé
Tout ce qui n’est pas explicitement autorisé est interdit
Politique à appliquer : autorisation explicite
• Firewall Un concept, un environnement
Un ensemble d’outils (matériels, logiciels)
![Page 9: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/9.jpg)
Rappel TCP/IP / 1
• Modèle OSI
• Packet Ethernet – TCP/IP
![Page 10: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/10.jpg)
Rappel TCP/IP / 2
Etablissement d’une connexion TCP/IP (Three-way handshake)
(Rst: reset de la connexion sans paquet Ack)
![Page 11: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/11.jpg)
Définition d’un firewall / 1
Firewall = terme très générique
• Périphérique qui assure l’interconnexion
de plusieurs réseaux
• Permet de mettre en œuvre la politique de
sécurité de l’établissement
![Page 12: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/12.jpg)
Définition d’un firewall / 2
Bref historique
• Filtrage de paquets Apparu sur les routeurs
Fonctionne au niveau connexion TCP/IP (adresse IP +
couche transport)
Pas de prise en compte l’historique des connexions
• Serveur proxy Agit au niveaux des applications et des services
Fouille les paquets (recherche d’applets, masquage des
adresses IP des clients)
Ralentit le trafic
Nécessite un proxy par type d’application
![Page 13: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/13.jpg)
Définition d’un firewall / 3
Evolution des firewalls
• Filtrage adaptatif (stateful inspection) Base de données de paquets TCP/IP qui ne
présente pas de risque
Historique d’une connexion autorisée
Compare les paquets reçus à ceux qu’il est censé
recevoir
![Page 14: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/14.jpg)
Définition d’un firewall / 4
Système qui route de façon sélective les paquets entre des hôtes
internet et externe en fonction des règles de filtrage spécifiées
Fonctionne au niveau 3/4 du modèle OSI Filtrage sur l’entête IP
Filtrage sur l’entête TCP
Filtrage sur l’entête UDP
![Page 15: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/15.jpg)
Définition d’un firewall / 5
• Filtrage sur l’en-tête IP Adresse source ( ! l’adresse source falsifiable)
Adresse destination
Type de protocole (TCP,UDP,ICMP,….)
• Filtrage sur l’en-tête TCP Port TCP source
Port TCP destination
Flag TCP (bit ACK)
Notion de session TCP identifiant tous les flux d’une connexion
• Filtrage sur l’en-tête UDP Port UDP source
Port UDP destination
Pas de notion de session / pas de bit ACK
![Page 16: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/16.jpg)
Définition d’un firewall / 6
• Routeur Cisco (filtres gérés par ACL)
• Serveur dédié sous Linux (filtres gérés par kernel Linux)
![Page 17: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/17.jpg)
Définition d’un firewall / 7
Inconvénients des firewalls « stateless » Règles de filtrage ordonnées séquentiellement
Pas de prise en compte de l’état de la connexion (initiée /
établie / finie)
firewall « stateful inspection »
(filtrage dynamique de paquets)
Système de filtrage qui mémorise les paquets reçus et adapte les
règles de filtrage en conséquence
Notion de session (TCP) ou pseudo-session (UDP)
Règles créées limitées dans le temps où à la session
![Page 18: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/18.jpg)
Définition d’un firewall / 8
Mode « established » Test sur l’octet « flag » de l’entête TCP/IP
On peut donc faire l’hypothèse que tout paquet TCP/IP avec le flag
« Ack » positionné appartient à une connexion « established », et donc
déjà autorisée par les filtres
![Page 19: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/19.jpg)
Définition d’un firewall / 9
• Routeur Cisco (filtres gérés par ACL)
• Serveur dédié sous Linux (filtres gérés par kernel Linux)
![Page 20: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/20.jpg)
Définition d’un firewall /10
Problème established sur certains protocoles (FTP)
Connexion de C en FTP sur S en mode actif
Pour fonctionner en mode « established », 2 possibilités
permit tcp any eq 20 any gt 1023
utiliser fonctionnalités évoluées des firewalls (cbac sur Cisco, RELATED
iptables). Connexions stockées en mémoire = Stateful Inspection
![Page 21: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/21.jpg)
Définition d’un firewall / 11
• Routeur CISCO (non cbac – filtres gérés par ACL)
Problème de sécurité. Connexion Syn sur des applications avec des ports de
connexion TCP > 1023
• Serveur dédié sous Linux (Stateful inspection / RELATED)
![Page 22: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/22.jpg)
Définition d’un firewall / 12
A surveiller sur les firewalls
• DOS (Denial of Service)
Attaques de type SYN en mode cbac/related (saturation
mémoire)
• « established » sur Cisco
Established = Ack ou Rst
Tout paquet avec Flag = Ack ou Rst est autorisé à traverser les
filtres. Un paquet avec Syn,Rst positionné traversera les filtres !!!!
Problème sur certaines piles protocolaires IP qui acceptent ce type
de paquets (Linux 2.4)
=> Mise en place de filtres supplémentaires pour interdire les
paquets non conforme à la RFC (sur Cisco, filtres en CPU et non
plus en Asic)
![Page 23: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/23.jpg)
Définition d’un firewall / 13
Avantages du filtrage de paquets
• Protection centralisée pour un réseau entier
• Pas de compétence, collaboration des utilisateurs
• Disponible sur de nombreux matériels
• Intégration dans des ASICs permet un traitement
rapide
• Pas un coût prohibitif pour petite entité (PC *NIX)
![Page 24: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/24.jpg)
Définition d’un firewall / 14
Inconvénients du filtrage de paquets
• Règles de filtrage difficiles à configurer
• Certains protocoles compliqués à filtrer (h323,
visio)
• Règles de filtrage impossible à mettre en œuvre Filtrage basé sur la notion d’utilisateur
Filtrage basé sur les applications
• Inefficace face à du « tunneling »
![Page 25: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/25.jpg)
Sécurité associée au firewall / 1
Serveur « proxy » (relais applicatif)
• Application sur le firewall ou serveur distinct
• Redirection des requêtes des utilisateurs vers les
services demandés en accord avec la politique de
sécurité Etablissement des connexions vers les services demandés à
la place des clients des utilisateurs
+ ou – transparent pour les utilisateurs
• Efficace qu’associé à un mécanisme d’interdiction
de connexion directe vers les services demandés
![Page 26: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/26.jpg)
Sécurité associée au firewall / 2
Serveur « proxy » (relais applicatif)
Niveau 7 du modèle OSI
Pas de connexion directe à Internet pour le client
Proxy http/ftp : squid
![Page 27: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/27.jpg)
Sécurité associée au firewall / 3
Proxy = filtrage couche application • Filtrage d’informations à l’intérieur d’une session
(contrôle des commandes GET/PUT dans FTP)
• Journalisation des commandes utilisateurs
• Masquage de l’adresse IP des clients
• Modification des informations relatives aux clients dans
les en-têtes (http, smtp, …)
• Inhiber les scripts ActivX, javascript, applets java,…dans
les flux HTTP
• Contrôle anti-virus
![Page 28: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/28.jpg)
Sécurité associée au firewall / 4
Avantages serveur proxy
• Pas de connexion TCP/IP entre client et l’Internet
• Masquage des adresses IP interne
• Logs de connexions des utilisateurs
• Phase d’authentification possible
• Fonctionnement + ou – transparent pour l’utilisateur
![Page 29: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/29.jpg)
Sécurité associée au firewall / 5
Inconvénients serveur proxy
• Nécessite serveur proxy pour chaque service
• Plus lent qu’un simple routeur filtrant (traitement effectué
dans l’espace « user »
• Ne protège pas de toutes les faiblesses des protocoles
(suppose que l’on sait déterminer quelles opérations
sont sûres)
• Inefficace face au « tunneling »
![Page 30: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/30.jpg)
Sécurité associée au firewall / 6
NAT (Network Address Translation)
• Masquage du plan d’adressage interne
• Utilisation plan d’adressage interne non routé sur Internet
(utilisable universellement - RFC 1918) Classe A (1 réseau de 16 millions d’hôtes) 10.0.0.0/8
Classe B (16 réseaux de 65536 hôtes) 172.16.0.0/16 172.16.31.0/16
Classe C (256 réseaux de 256 hôtes) 192.168.0.0/24 192.168.255.0/24
• Permet aux hôtes du réseau interne de se connecter à
l’Internet sans nécessiter autant d’adresses IP que de
machines
![Page 31: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/31.jpg)
Sécurité associée au firewall / 7
NAT : Traduction statique d’adresse
• A une adresse IP externe, on fait correspondre une
adresse IP interne (si possible RFC 1918)
• Utilisation
Serveur devant être accessible depuis l’Internet
Peu de machines sur le réseau
![Page 32: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/32.jpg)
Sécurité associée au firewall / 8
NAT : Traduction dynamique d’adresse A une adresse IP interne se connectant à l’Internet, on fait
correspondre une adresse IP officielle (firewall) et la correspondance
est effectuée en enregistrant le port source de la communication initiée
par le firewall
![Page 33: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/33.jpg)
Sécurité associée au firewall / 9
NAT : Traduction dynamique d’adresses
• Utilisation Postes clients accédant à l’internet
• Avantages Economie sur le plan d’adressage
Impossibilité d’initier une connexion vers une machine
translatée depuis l’Internet si plan d’adressage RFC 1918
• Inconvénients protocoles véhiculant dans les données TCP l’adresse IP du
client (négociation des tunnels VPN
Difficultés avec les protocoles à négociation de ports (VPN,
H323)
![Page 34: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/34.jpg)
Sécurité associée au firewall / 10
VPN - Virtual Private Network
• Définition RPV : Réseau Privé Virtuel
Créer lien sécurisé sur infrastructure IP existante
Connexion sécurisée des utilisateurs nomades
Connexion sécurisée des sites distants
Privé : données transitant par ce réseau sont confidentielles pour
les autres utilisateurs du réseau
Virtuel : réseau privé ainsi créé n’est pas matérialisé par des liens
physiques
• Diverses technologies réseau Tunneling, routage, filtrage
Authentification (serveur, utilisateur)
Confidentialité (chiffrement)
![Page 35: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/35.jpg)
Sécurité associée au firewall / 11
3 configurations de base pour solution VPN
Solutions VPN : PPTP, L2TP, GRE, IPSEC, VPN-SSL
![Page 36: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/36.jpg)
Sécurité associée au firewall / 12
![Page 37: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/37.jpg)
Différentes architectures « firewall » / 1
Firewall
Firewall + logs
![Page 38: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/38.jpg)
Différentes architectures « firewall » / 2
Firewall + Proxy
![Page 39: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/39.jpg)
Différentes architectures « firewall » / 3
DMZ (Zone démilitarisée)
![Page 40: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/40.jpg)
Qu’est-ce un bon firewall ? / 1
• Packet filter
• Stateful inspection
• Proxy sur les applications (web, ftp, ssh, …)
• Logs du traffic
• Authentification sécurisée, voir forte des utilisateurs
• Mise en place DMZ + routeur « boundary »
• Solution de VPN pour utilisateurs nomades
• Mise en place de sondes IPS (Intrusion Protection System)
![Page 41: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/41.jpg)
Qu’est-ce un bon firewall ? / 2
• Sécurisation du firewall (physique/logiciel)
• Administration du firewall (traitement des logs)
• Métrologie (analyse du trafic)
• Tester politiques de sécurité (nmap, nessus, …)
• Suivre avis de sécurité (appliquer les patches)
• Politique de reprise sur crash (backup)
• Que faire en cas d’incident sécurité
• Configuration NTP (ntp.u-psud.fr)
• Ne pas négliger l’administration des postes clients
![Page 42: CONCEPTS FIREWALL ET SÉCURITÉ ASSOCIÉE](https://reader036.vdocuments.mx/reader036/viewer/2022062420/62ae48b3dc9a3672300141bf/html5/thumbnails/42.jpg)
Qu’est-ce un bon firewall ? / 3
• Recommandation pour les polices de sécurité Créer une matrice des flux de trafic
Politique par défaut = DENY
Filtrer également trafic sortant
Ne pas renvoyer d’ICMP en cas de deny
Proxy avec possibilité de bloquer virus, javascript, ActiveX
• Quelques filtres nécessaires • IP Spoofing
• Adresses internes (RFC 1918)
• Certains applicatifs (snmp, tftp, netbios, lpr, …)
• SMTP uniquement vers relais de mail