You are on page 1of 67

Éléments d'infrastructure réseaux

ELEMENTS D'INFRASTRUCTURES RESEAUX


Nicolas Prunier

slides originaux de Cédric Foll & Paul Tavernier


Plan

Les VLAN

Les Firewalls

Les IDS
− HIDS
− NIDS
− IPS

Les proxys

Les reverse proxys

Réflexions autour d'architectures de sécurité
INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 2
Les VLAN

Rappel sur les switchs
− Équipement de niveau 2.
− Il «connaît» pour chacun de ses ports, la liste des
équipements reliés en niveau 2, c'est à dire les adresses
MAC
− La connaissance de la liste de ces adresses MAC se fait par
apprentissage au fur et à mesure des trames
− Quand il reçoit un paquet, il regarde l'adresse de niveau 2
de destination (i.e. adresse MAC) et transmet le paquet
sur le port où se trouve la machine avec cette adresse
MAC
− Il n'a (théoriquement) aucune connaissance des adresses
IP

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 3


Rappel sur les routeurs


Un routeur permet de relier (au moins) deux
(sous-)réseaux différents. C'est à dire deux classes
d'adresses différentes

Il reçoit un paquet sur une interface et en consultant sa
table de routage le transmet sur une autre

On dit qu'un routeur «adosse» des domaines de
broadcast

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 4


Exemple de commande sur un routeur cisco

rrgi1#show arp

Protocol  Address          Age (min)  Hardware Addr   Type   
Interface

Internet  172.30.205.125        230   000b.5fe7.8180  ARPA   
Vlan99

Internet  172.30.205.124          ­   000b.5fe7.8a80  ARPA   
Vlan99

Internet  172.30.195.116          9   0030.0589.f54c  ARPA   Vlan5

Internet  172.30.195.100          1   0006.5b26.16e0  ARPA   Vlan5

Internet  172.30.192.103          ­   0800.46db.f2d3  ARPA

Internet  172.30.192.100          ­   0800.46dc.7d36  ARPA

Internet  172.30.192.101          ­   0800.46da.c7de  ARPA

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 5


Un réseau hier

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 6


Problèmes


Je veux placer dans la salle machine/baie du réseau
192.168.2.0/24 un serveur du réseau 192.168.1.0/24.
− Il faut tirer un câble jusqu'au réseau 192.168.2.0/24.
− Ou déplacer physiquement le serveur

Si l'on désire subnetter un réseau, il faut acheter un
nouveau routeur s'il n'y a plus de port libre sur celui
existant

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 7


Les VLAN


Concept
− Les VLAN permettent de faire coexister de manière
étanche plusieurs domaines de broadcast sur un même
switch.

Buts:
− Simplifier le brassage. «Comment changer un poste de
réseau sans avoir à déplacer le poste» ?
− Ne pas multiplier le nombre de routeurs.
− Ne pas multiplier le nombre de ports sur les routeurs et
firewalls.
− Subnetter facilement.
− Rentabiliser l'investissement des switches
INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 8
VLAN sur un switch


Les ports 1 et 2 sont
configurés en VLAN1.

Le port 3 est configuré en
VLAN2.

10.0.0.1 et 10.0.0.2 peuvent
communiquer (ils
appartiennent au même
VLAN).

Les postes sur le VLAN 1
(bleu) ne peuvent joindre
ceux du VLAN 2 (rouge).

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 9


Le réseau d'hier....aujourd'hui!

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 10


Notion de lien 802.1Q (ou «port tagging»)


Un lien 802.1q ou TRUNK (terminologie cisco) ou
« Tagged Link » permet de faire transiter
plusieurs VLAN sur un lien physique.

Afin de savoir à quel VLAN appartient une trame
d'un lien 802.1q, un «tag» est ajouté sur la
couche 2.

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 11


Comparaison trame Ethernet & Trame taggée


Ethernet


Ethernet 802.1Q

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 12


Le même réseau avec un trunk


Pour simplifier, un seul switch
est représenté, mais des liens
802.1q peuvent se propager de
switch en switch

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 13


Les switchs de niveau 3


Ils permettent de faire du routage Inter-VLAN

Ils ont des adresses IP comme des routeurs (1 par VLAN)

La différence entre routeur et switch niveau 3 est
faible.
− Ils sont mono-protocole (Ethernet!)
− Ils sont plus “performants” que les routeurs (CEF chez
Cisco). Le premier paquet remonte par le moteur de
routage, les suivants sont commutés au niveau2.
− Les possibilités de routage sont plus “limitées”.

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 14


Comment-on les configure ?


Les switchs L2
− A configurer sur chaque port:

A quel VLAN appartient-il ?

Si c'est un TRUNK, quels sont les VLANS propagés?

Quel est mon VLAN natif (trames Ethernet non taggées)

Les switchs L3
− Pareil & ajouter une IP par VLAN (comme sur un routeur,
on ajoute une IP par interface logique)

Il est possible d'automatiser la propagation des VLAN
vers les switchs d'extrémité
− GVRP
− VTP (propriétaire CISCO)
INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 15
Comment-on les configure?


Native VLAN X
− Sur un lien «tagged», il spécifie que les trames non
taggées appartiennent au VLAN X. En général c'est le
VLAN 1 si rien n'est déclaré.

L'utilisation de ce VLAN est à éviter pour isoler les ports non
configurés.

Private/Isolated VLAN
− Mécanismes permettant à deux ports d'un VLAN de ne pas
pouvoir communiquer

Typiquement empêche les machines d'un même LAN de se
voir. Les oblige à passer par leur gateway

Peut-être réalisé aussi par des ACL spécifiques (VLAN MAPS
chez Cisco)

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 16


Exemple de conf sur switch cisco


Sur ce port arrivent des trames non taggées membre du
VLAN 600
interface GigabitEthernet0/1

switchport access vlan 600


switchport mode access

Sur ce port les trames sont taggées et les VLANS 600 à
610 peuvent transiter
interface GigabitEthernet0/2

switchport trunk encapsulation dot1q


switchport trunk allowed vlan 600-610
switchport mode trunk

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 17


Un réseau typique


Les switchs d'extrémité possèdent un port de cascade en
mode «tagged» et tous les autres sont configurés avec un
VLAN donné (sur lesquels sont branchés les serveurs, PC)

Ils sont reliés directement (ou en cascade) aux switchs de
niveau 3 « de coeur » effectuant SEUL le routage inter-VLAN.

La redondance est assurée en doublant les liens et en créant
des boucles entre les switchs
− Le Spanning Tree Protocol (STP) est chargé d'empêcher les
boucles en désactivant certains chemins.
− STP est un peu un équivalent du routage dynamique pour
le niveau 2.
− Des technologies propriétaires (plus performantes) sont
déployées dans les switches modernes (Flexlink chez
Cisco)
INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 18
Routage inter-VLAN


Aujourd'hui un routeur/Firewall n'a plus besoin que
d'une interface physique s'il supporte les liens « 802.1q »
− La trame entre avec un tag indiquant qu'elle appartient
au VLAN X et ressort en indiquant qu'elle appartient au
VLAN Y.

Windows et Linux supportent le routage inter-VLAN de
même que la plupart des routeurs et firewalls
propriétaires.

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 19


Routage inter-VLAN sous Linux


Activer le coeur de routage:
# echo 1 > /proc/sys/net/ipv4/ip_forward

Chargement du module noyau de VLAN:
# modprobe 8021q

Création des VLAN 100 et VLAN 200
# vconfig add eth0 100
# vconfig add eth0 200

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 20


Routage inter-VLAN sous Linux


Attribution d'adresses IP:
− # ifconfig eth0.100 192.168.1.1
− # ifconfig eth0.200 192.168.2.1

Au final:
− Sur eth0 la machine est capable de recevoir un trunk
contenant les VLAN 100 et 200
− Elle est capable de router 192.168.1.0/24 et
192.168.2.0/24, les paquets rentrent et sortent sur la
même interface mais avec un tag 802.1q différent.
− Les paquets non taggés arrivent sur eth0, on lui attribue
en général une adresse IP dédiée au management.

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 21


Routage inter-VLAN

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 22


Infrastructure de sécurité


« If you think technology can solve your
security problems, then you don't
understand the problems and you don't
understand the technology....»


Bruce Schneier

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 23


Les Firewalls


A quoi ça sert ?
− Élément permettant de trier parmi les flux réseaux, en
bloquant certains, en autorisant d'autres

2 grandes familles de firewalls
− Firewall personnel

Protège la machine sur laquelle il est installé.

Traite les applications locales et leurs demandes d'accès au
réseau
− Firewall réseau

Effectue le routage inter-zones tout en appliquant des
règles de filtrage.

En général, il se place en coupure entre les zones de niveau
de sécurité diffèrents (LAN / Datacenter / DMZ / Internet).
INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 24
Qu'est ce que filtre un firewall ?


Un firewall est un équipement de couche 4
(historiquement)
− Il laisse passer ce qui est explicitement autorisé, se
basant sur:

Les informations de couche 3
− IP source et IP destination, protocole de couche 4 (ie icmp,
udp, tcp, ...)

Les informations de couche 4
− port source, port destination, message icmp, ...
− Il filtre le reste!
− La grande règle à observer:

« On INTERDIT TOUT sauf... »

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 25


Exemple de règle


Considérons un site web d'adresse 10.0.0.1 auquel nous
voulons autoriser l'accès
− « autoriser le trafic venant de n'importe où vers 10.0.0.1
en TCP sur le port 80 »
− « rejeter tout le reste! »

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 26


Notions de stateful/stateless


Un firewall stateless ne sait pas si un paquet appartient
à une connexion déjà établie.

Pour un flux TCP, la «solution» consiste à analyser les
drapeaux TCP SYN, SYN-ACK et ACK

Pour chaque flux autorisé, il faut explicitement autoriser
les paquets entrant ET sortant

Incomplet en terme de sécurité, en particulier ne sait pas
gérer les flux UDP, ICMP

complexe à maintenir

Un firewall stateful connaît l'état de chaque connexion

Qui a initié la connexion

Plus sécurisé et plus simple à gérer

Mais demande plus de ressource CPU et de mémoire

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 27


2 grandes familles de firewalls


Firewall stateless
− les routeurs d'entrée de gamme voire certains firewalls
«tout-en-un» destinés aux particuliers
− Ex: ipchains (firewall des linux 2.2.X)

Firewall stateful:
− netfilter (firewall des noyaux linux 2.4 et suivant)
− tous les firewalls modernes

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 28


FireWall: IPChains (Linux 2.2)


On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en 80 TCP

ipchains -A forward -p TCP


-s 192.168.1.0/24 1024: -d 192.168.2.0/24 80 -j ACCEPT

On autorise tous les flux de 192.168.2.0/24 vers 192.168.1.0/24 sauf les SYN
d'initialisation de connexion (-y)

ipchains -A forward -p TCP


-s 192.168.2.0/24 80 -d 192.168.1.0/24 :1024 -j !-y ACCEPT

Tous les paquets venant de 192.168.2.0 avec comme port source 80 et sans SYN sont
autorisés

Pour chaque règle autorisant un flux il faut écrire une règle autorisant la réponse
INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 29
Firewall: NetFilter (Linux 2.4, 2.6)


On autorise tous les paquets appartenant à une connexion déjà établie
− iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en 80/tcp
− iptables -A FORWARD -p tcp -m tcp -m state --state NEW
-s 192.168.1.0/24 -d 192.168.2.0/24 --dport 80 -j ACCEPT

Seuls les paquets appartenant à une connexion établie à l'initiative d'une machine du
réseau 192.168.1.0/24 (et vers le réseau 192.168.2.0/24) sont autorisés

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 30


Network address translation


Problèmes
− Il n'y a plus assez d'adresses IPv4 disponibles pour le
nombre de machines reliées à internet sur la planète
− Les adresses IP coûtent cher

Solution: le N.A.T.
− Le réseau interne est en adressage privé (RFC1918), un
routeur/firewall translate les adresses des connexions
sortantes

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 31


NAT

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 32


NAT


Inconvénients
− Certains protocoles fonctionnent pas ou mal avec les
mécanismes de translation d'adresse (H323, SIP, ...)

Avantages
− On économise nombre d'adresses IP publiques

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 33


Netfilter


Apparu dans le noyau 2.4
− Firewall stateful
− Fonctions de translation d'adresses très évoluées
− Très répandu et concurrence sans problème des firewalls
commerciaux

PIX/ASA de CISCO

Firewall1 de CheckPoint

ARKOON/NetASQ

NetSCREEN de Juniper
− Il existe d'excellentes GUI aujourd'hui, fwbuilder,
shorewall, etc.

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 34


Netfilter en pratique


iptables: commande permettant d'interagir avec
netfilter
− iptable-save: affiche la configuration du firewall
− iptables ajoute/modifie/supprime des règles netfilter
(noyau)
− Dans la pratique on utilise souvent une GUI pour gérer la
configuration des règles

fwbuilder: http://www.fwbuilder.org/

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 35


Netfilter: interface iptables

− iptables -t TABLES -A CHAINE REGLES -j ACTIONS


− TABLES

filter (defaut, table de filtrage)

nat (translation d'adresse)

mangle (tracking avancé, alteration avancé des paquets)

raw (peu utilisé, exception avant les autres tables)
− CHAINES

INPUT (trafic à destination du fw)

OUTPUT (trafic émis par le firewall)

FORWARD (trafic routé)
− REGLES

Comment est caractérisé le paquet (ip src/dst, port
src/dst, proto, interface in/out) ? Appartient-il à la
connexion initialisée ou pas ?
− ACTIONS

ACCEPT|DROP|REJECT

Manipulation de paquet (pour le nat): SNAT, DNAT, ...
INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 36
Netfilter: interface iptables

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 37


Netfilter: interface iptables


Police par défaut, option -P
− iptables -P FORWARD -j DROP

Effacer toutes les règles d'une chaîne, option -F
− iptables -F FORWARD

Effacer une règle donnée -D
− iptables -D num règle
− iptables -D toute la règle

Lister les règles
− iptables-save

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 38


netfilter: cookbook


Police par défaut sur le forward DROP
− iptables -P FORWARD DROP

Accepter toutes les connexions actives
− iptables -A FORWARD -m state –state
ESTABLISHED,RELATED -j ACCEPT

Accepter les ssh de pc1 vers pc2
− iptables -A FORWARD -m state –state NEW -s
pc1 -d pc2 -p tcp –dport 22 -j ACCEPT

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 39


netfilter: cookbook


Masquerading (pour partager une IP publique sur eth0,
eventuellement récupérée via dhcp)
− iptables -t nat -A POSTROUTING -o eth0 -j
MASQUERADE

SNAT (comme le précédent mais avec une autre IP):
− Altérer l'ip source du trafic routé (et/ou sortant)

Penser au routage de l'IP si besoin
− iptables -t nat -A POSTROUTING -o eth0 -j
SNAT --to-source 192.168.0.1

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 40


netfilter: cookbook


REDIRECT (redirige un flux en local), utile pour faire du
proxy transparent ou des attaques man in the middle.
− iptables -t nat -A PREROUTING -p tcp
--dport 80 -j REDIRECT --to-ports 8080

DNAT (transformation de l'IP destination), utile pour Man
In The Middle ou pour l'accès publique à un serveur en
adressage privé (port forwarding):
− iptables -t nat -A PREROUTING -p tcp -d
www.google.com --dport 80 -j DNAT --to-
destination www.faux-google.com

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 41


Les IDS


Types d'IDS
− Les NIDS
− Les HIDS

Analyse de logs

Empreinte

Ce qu'ils détectent et ce qu'ils ne détectent pas

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 42


Les NIDS


Les NIDS (Network Intrusion Detection System)
− Analyse les flux réseau et recherche des signatures
d'attaques

Ex: /etc/passwd dans une urls, User-Agent: nikto,...

La plupart des NIDS fonctionnent ainsi, dont snort
− Vérification du respect de la conformité des protocoles
aux RFC

Ex: le paramètre de GET dans une requête HTTP possède
moins de 1024 bytes

Ne nombreux IDS fonctionnent ainsi
− Analyse statistique (ou analyse comportementale)

Mesure de la déviation entre le trafic réseau habituel et le
trafic à un instant T
INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 43
Les NIDS


Qu'est ce qu'ils vont détecter ?
− Toutes les attaques venant des outils de tests
automatiques

Nessus, nikto, whisker, nmap, ...
− Certaines attaques visibles

En particulier certaines failles webs génériques
− XSS

L'exploitation de failles sur des applis web connues (phpbb,
webcalendar, phpnuke, ...)

L'exploitation de faille touchant un logiciel connu (apache,
IIS, CS-IOS, ...)

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 44


Les NIDS


Qu'est ce qu'ils ne vont pas détecter ?
− Les attaques webs faites à la main.

Les injections SQL, Remote include PHP

Les forces brutes sur des applis webs (sauf celles réalisant
une analyse statistique)
− La plupart des forces brutes (POP3, FTP, telnet, ...)
− Les flux chiffrés

HTTPS

SSH

IPSec

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 45


Les NIDS


Dans le monde libre
− Snort, très actif et efficace. Fonctionne par signature
d'attaque
− BRO, vérification de conformité protocolaire

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 46


Les NIDS: Pourquoi cet insuccès ?

− Les réseaux deviennent trop gros



«Impossible» d'analyser des liens GE, 10GE...
− Les attaques sont trop fréquentes

On ne va pas réagir à chaque attaque

Seules les attaques les plus visibles donnent lieu à un
signalement (en gros, l'utilisation de logiciels d'écoute
active (scan))
− Les flux chiffrés (tels que HTTPS) ne peuvent être
analysés
− L'exploitation demande des personnes qualifiées (et c'est
un travail ingrat!)
− Grosse mobilisation de ressources techniques évoluées
(donc chère)

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 47


Les HIDS


Deux grandes familles
− Logiciels fonctionnant par scellement de fichiers (ex:
tripwire, samhain)
− Logiciels analysant les journaux

Détecte les forces brutes et les crash/redémarrage de
processus

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 48


Les IPS


Intrusion Prevention System
− Grand succès marketing

Tous les firewalls propriétaires sont aujourd'hui des IPS
− En fait un firewall qui réalise de l'analyse de couche 7
(comme un IDS) et qui bloque sur la base de signatures
d'attaques ou de conformité protocolaire
− Utilisation avec parcimonie, les faux-positifs sont
inadmissibles

Solution libre: snort-inline
− Une version de snort compilée pour intéragir avec netfilter

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 49


Les Proxys

− Pour sortir sur internet, le client passe par un serveur


mandataire
− Avantages:

Possibilité d'analyser plus finement le trafic.

Des journaux de connexions.

Sur les flux HTTP, possibilité de filtrer certains sites, de
faire du contrôle anti-virus.

Confinement avec coupure
− contrairement à des mécanismes de NAT
− Le proxy maintient 2 connexions TCP ouvertes
− Inconvénients:

Moins performant en terme de débit.

Ne fonctionne que pour quelques protocoles.

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 50


Les Proxys

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 51


Les Proxys


Solutions libres
− Squid, très largement utilisé
− Pour le filtrage

Dansguardian
− Filtrage par listes noires
− Filtres de contenu (par mots clefs)
− Filtrage anti-virus (par ClamAV ou anti-virus propriétaire)

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 52


Les Reverses Proxys


Permettre à des machines en adressage privé d'être
accessibles de l'extérieur

Faire de la répartition de charge entre plusieurs
serveurs webs.

Filtrer les attaques.

Réaliser de l'accélération HTTP
− Pré-loading
− Mise en cache des pages dynamiques
− ...

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 53


Les Reverses Proxys

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 54


Les Proxys


Solutions libres
− Squid
− Apache

mod_proxy

mod_security
− Varnish

Le plus abouti, orienté accélération

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 55


Architectures


Comment concevoir son réseau en termes de sécurité ?
− Compartimentation/Confinement
− Répartition des équipements de sécurité(1)

Buts
− Maximiser l’impact des protections
− Minimiser l’effet d’escalade en cas d’intrusion

(1)Illustrations extraites de ”Building Internet Firewalls”, éditions


O’Reilly

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 56


Filtre Simple

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 57


Filtre simple


Seul le trafic sortant est autorisé, système de la diode
− Avantage

Simple

On ne risque pas d'attaques externes
− Limitations

Pas de possibilité d'offrir l'accès à des services depuis
l'extérieur

Pas de traçabilité sur ce que font les utilisateurs en interne
(sites visités, ...)

Pas de protection contre la récupération de code hostile
(web, pop3, ...)

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 58


Bastion filtrant (fw+proxy)

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 59


Bastion filtrant (fw+proxy)


Avantages
− Un seul équipement
− Filtrage applicatif possible (proxy web, pop3, ...)

Inconvénients
− Ne fonctionne qu'avec les flux «proxyfiables»
− Un serveur avec beaucoup de services (les différents
proxy) très exposé (branché en direct sur internet sans
firewall).
− L'hébergement est possible mais risqué (pas de protection
par un firewall).

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 60


Filtre & Bastion

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 61


Filtre & bastion


Avantages
− Le bastion est mieux protégé

Inconvénients
− Pas d'hébergement possible (ou alors via une redirection
de port qui rend extrêmement vulnérable le réseau
interne).
− Les postes de travail peuvent contourner la politique de
filtrage/log du bastion via des attaques de couche 2 (arp
cache poisoning et NAT pour se faire passer pour le
bastion).

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 62


Bastion en sandwich

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 63


Bastion en sandwich

− Avantages

Le bastion est protégé à la fois des utilisateurs internes et
de l'exterieur.

On peut commencer à envisager un hébergement de
services
− Inconvénients

Deux firewalls...

Besoins d'une table de routage avec deux passerelles sur le
bastion (trop compliqué pour un admin système ;-)).

En cas de compromission du serveur d'hébergement, le
pirate a accès à la zone par laquelle transite tous les flux
entre l'extérieur et l'intérieur (très grave!)

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 64


Le bastion en DMZ

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 65


Le bastion en DMZ


Avantages
− Comme précédent en plus simple

Inconvénients
− Les mêmes que dans le précédent si ce n'est que la
compromission est un peu moins grave car elle ne permet
l'écoute et l'altération «que» des flux proxysés.

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 66


Pistes vers de meilleures solutions?


Un firewall avec deux DMZ
− Une DMZ pour le(s) serveur(s) hébergeant des services

Impact d'une compromission faible, pas d'accès aux postes
internes ou aux flux sortant des postes.
− Une DMZ pour le(s) proxy(s)

Protection contre les compromissions éventuelles des
serveurs d'hébergement.

Pas de risque d'attaque de couche 2 des postes de travail
pour contourner la protection.

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 67