FIREWALL

Exposé NT Réseaux

Jérôme CHEYNET
Miguel DA SILVA
Nicolas SEBBAN
Plan
 Présentation Générale
 Architectures
 Firewalls matériels
 Firewalls logiciels professionnels
 Firewalls personnels
 Démonstration

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 2
 Présentation générale

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 3
Présentation - Plan

 Qu’est-ce qu’un Firewall ?

 Pourquoi utiliser un Firewall ?

 Principales fonctionnalités

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 4
Qu’est-ce qu’un Firewall ?
 Un firewall est plus un concept qu’un
matériel ou un logiciel
 Filtre le trafic entre réseaux à différents
niveaux de confiance
 Met en oeuvre une partie de la politique de
sécurité

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 5
Qu’est-ce qu’un Firewall ?
 Système physique ou logique servant
d’interface entre un ou plusieurs réseaux

 Analyse les
informations des
couches 3, 4 et 7

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 6
Pourquoi utiliser un Firewall ?
Les pare-feux sont utilisés principalement
dans 4 buts :
 Se protéger des malveillances "externes"
 Éviter la fuite d’information non contrôlée vers
l’extérieur
 Surveiller les flux internes/externes
 Faciliter l’administration du réseau

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 7
Principales fonctionnalités

 Filtrage
 Authentification/Gestion des droits
 NAT
 Proxy

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 8
 Architectures

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 9
Architectures - Plan
 DMZ
 Routeur filtrant
 Firewall Stateful
 Proxy
 NAT

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 10
DMZ DeMilitarized Zone

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 11
Routeur filtrant

 Premier élément de sécurité

 « IP-Spoofing Ready »
 Évite l’utilisation inutile de bande passante
mais ne protège pas des hackers

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 12
Stateful Inspection

 2 principes fondamentaux :
 Analyse complète du paquet au niveau de la
couche réseau
 Définition et maintien des tables des
connexions autorisés (états)

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 13
Proxy (1/2)
 Firewall Proxy dispose d’agents spécifiques
à chaque protocole applicatif (FTP, HTTP..)
 Filtrage très précis
 Comprend les spécificités de chaque
protocole
 Le réassemblage des paquets élimine les
attaques par fragmentation

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 14
Proxy (2/2)

 Firewall Proxy présente 2 inconvénients :

 Performances : le filtrage d’un paquet
nécessite sa remonté jusqu’à la couche
application
 Disponibilités des agents (protocoles
propriétaires ou exotique)

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 15
NAT
(Network Address Translation)

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 16
 Firewalls matériels

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 17
Firewalls matériels - Plan
 Définition
 Différences firewall logiciel/matériel
 Catégories de firewalls matériels
 Routeurs
 Firewallsspécialisés
 Modules firewall pour commutateurs

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 18
Définition
 Système d’exploitation et matériel conçus
par le constructeur et spécifiquement
pour du filtrage
 Simple PC, matériel dédié, circuit intégré
spécialisé (ASIC)
 Ex de firewall non matériel

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 19
Différences firewall logiciel/matériel
 Peuvent offrir fonctions et services identiques

 Différences:
 SAV: 1 seul constructeur fournit la solution complète
 Résistance: conçu pour être un produit de sécurité
 Distribution de la fonction firewall dans les points
stratégiques du réseau

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 20
Catégories de firewalls matériels
 Routeurs:
 filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags
TCP
 Stateless ou Stateful
 Moins d’applications complexes/multimédia supportées que firewall
spécialisés (NAT)
 Routeurs conçus initialement pour commuter paquets -> attention
 Filtres des tables de routage
 Performances:
 de qques kb/s -> plusieurs Mb/s
 Perte de performances de 15 à 20% en Stateful
 Performances dépendent du nombre de fonctions utilisées (IPSec, détection
d’intrusion, codecs pour voix sur IP, QOS)
 Routeur stateful idéaux pour relier bureaux via internet: site a protéger
rarement important

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 21
Catégories de firewalls matériels
 Firewalls spécialisés
 Conçus uniquement pour faire du filtrage
 Très performant:
 > 1Gbit/s
 500 000 connexions
 Plusieurs dizaines de milliers de nouvelles connexions par seconde
 Supportent rarement les interfaces WAN  nécessité d’être associés à des
routeurs pour la connectivité

 Disponibles également pour le grand public

 Pour accès toujours connectés (DSL, câble)
 Ouverts en sortie
 Certains permettent le filtrage dans les deux sens  adaptés à l’hébergement de
services
 Performances:
 1à 2 Mb/s (vitesse d’accès)
 Limitations au niveau du nombre de sessions supportées et nombre de nouvelles
connexions par seconde.
 Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 22
Catégories de firewalls matériels
 Modules firewall pour commutateurs
 Sous forme de carte
 Firewall stateful
 Intégrés aux commutateurs pour fournir protection entre différents VLAN
 Support de contextes virtuels  services de filtrages a des réseaux
distincts
 Performances:
 jusqu’à 5 Gb/s
 1 000 000 de connexions
 100 000 nouvelles connexions par seconde
 Jusqu’à 100 interfaces virtuelles
 Possibilité d’utiliser plusieurs cartes  débit de 30 Gb/s
 Utilisés pour cloisonner le réseau interne

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 23
 Firewalls logiciels professionnels

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 24
Firewalls logiciels professionnels
Plan
 Deux firewalls stateful :
 Firewall libre : Netfilter / iptables
 Firewall commercial : CheckPoint Firewall-1
 Ce que les firewalls laissent passer

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 25
Firewalls logiciels en passerelle
libre : Netfilter
 Intégré au noyau 2.4 de linux
 Interface utilisateur séparée : iptables
 Stateless :
 iptables -A INPUT -s 200.200.200.1 -p tcp
--destination-port telnet -j DROP
 Stateful :
 iptables -A INPUT -p tcp -m state --state ESTABLISHED
-j ACCEPT

 INVALID / ESTABLISHED / NEW / RELATED

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 26
Firewall logiciels en passerelle
libre : Netfilter
 Spécificités
 Ajout de plugins au système de suivi de connections
FTP / H323 / IRC / …

 Plugins divers : modification du comportement de la pile IP

 Front ends de configuration graphiques

 Avantage décisif sur les autres firewalls libres

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 27
Firewall logiciels en passerelle
commercial : CP Firewall-1
 Disponible sur plusieurs plateformes
Windows Server – Linux Red Hat – HP-UX
- Solaris
 Prix
 39€ HT par utilisateur (100 machines)
 Au nombre de plugins fournis
 + Formations

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 28
Firewall logiciels en passerelle
commercial : CP Firewall-1
 Spécificités
 Décomposable en plusieurs modules – serveurs
 antivirus, serveur d’authentification, reporting
 Authentification des utilisateurs
 Avec LDAP, RADIUS, TACACS
 Pour filtrer les URL,

 Pour la limitation du temps,

 Permissions au niveau de l’utilisateur plutôt qu’au

niveau d’un adresse IP

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 29
Firewall logiciels en passerelle
ce qu’ils laissent passer
 Les attaques d’application web
 Vulnérables si elles ne filtrent pas assez les
données entrées par l’utilisateur.
 Insertion de code sur les Forums
 Insertion de requêtes SQL dans un champ de
formulaire

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 30
Firewall logiciels en passerelle
ce qu’ils laissent passer
 Injection de requête SQL :
SELECT * FROM table_Clients WHERE
champ_Nom=Name
l'utilisateur entre son nom :
toto ; INSERT INTO table_Users
VALUES('Mon_login', 'Mon_password')
La requête finale est :
SELECT * FROM table_Clients WHERE
champ_Nom=toto ; INSERT INTO table_Users
VALUES('Mon_login', 'Mon_password')

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 31
Firewall logiciels en passerelle
ce qu’ils laissent passer
 Solution : « Reverse Proxy »

 Rôle de l’administrateur réseau ?

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 32
 Firewalls personnels

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 33
Firewalls personnels - Plan
 Cible et besoins
 Principe
 Limites
 Firewalls personnels sous Windows et
Linux

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 34
Cible et besoins
 Logiciel de sécurité réseau simple et efficace
pour connexions Internet personnelles: poste
directement relié à Internet
 Postes principalement « client »  principale
menace: réception de chevaux de Troie 
logiciels espions / backdoors
  empêcher connexion de programmes non
autorisés

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 35
Cible et besoins
 Filtrage simple de paquets: la plage de
ports 1024-65535 doit être autorisée pour
que les applis puissent fonctionner dans
les deux sens
  filtrage de paquets problématique

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 36
Principe
 Contrôle des applications pour accéder ou non au
réseau
  liste applications autorisées à initier flux réseau
ou a écouter
 Pour chaque appli:
 Localisationde l’exécutable
 Protocole de niveau 4 utilisé (TCP, UDP, ICMP)
 Jeux de ports utilisés
 Sens de flux associé

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 37
Principe
 La configuration doit être aisée pour correspondre à
la cible de marché configuration par apprentissage
 Permet également de faire de la remontée d’alertes
 Dans le modèle OSI:
 Entre couches IP et liaison: règles indépendantes d’une
application / flux déjà autorisés
 Entre couches réseau et applicative: intercepter les
demandes d’ouverture de socket

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 38
Limites
 Certaines prises de décision nécessitent
connaissances
 Certains produits ne gèrent que TCP, UDP
et ICMP, décision silencieuse
 Beaucoup d’appli accèdent au réseau par
différents protocoles  nombre d’entrées
important, difficile à maintenir

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 39
Limites
 Lacunes courantes:
 Impossibilité de spécifier des règles
indépendamment d’une appli
 Impossibilité de restreindre les jeux de ports
utilisable par une appli autorisée
 Impossibilité de spécifier des règles pour autres
protocoles que TCP, UDP ou ICMP
 Absence de filtrage à état ou absence des modules
de prise en charges de protocoles applicatifs
complexes (limite au niveau 4)

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 40
Limites
 Absence de sécurité de certains OS: pas de contrôle
d’accès ou comptes utilisateurs non utilisés
 Application pouvant se lancer en super-utilisateur -->
écraser exécutables concernés par configuration du
firewall, tuer d’autres applis (anti-virus, firewall),
annuler les protections
 Possibilité de profiter de failles de sécurité dans
autres applications autorisées (navigateur)
 Ne travaille qu’à partir du niveau IP, tout ce qui se
trouve en dessous (Ethernet) n’est pas vu du firewall

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 41
Firewalls personnels sous Windows
et Linux
 Windows: Kerio, Zone Alarm, …
 Linux: module « owner » de Netfilter + patch «
owner-cmd »
 Critères de filtrages relatifs aux processus:
 UID , GID propriétaire
 PID/SID du process
 Nom du process
iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT

 Attention, ne vérifie pas la localisation de

l’exécutable, limiter les packets
iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 42
 Démonstration

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 43
Démonstration 1/3
 1er outil, Webmin + Turtle Firewall

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 44
Démonstration 2/3
 2ème outil, Nessius

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 45
Démonstration 3/3
 3ème outil, Ettercap

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 46
Références
 LINUX Magazine – « le firewall votre meilleur
ennemi » (janvier/fevrier 2003)
 « Sécurité internet » - B.Dunsmore, J.Brown,
M.Cross, S.Cunningham

 Sites:
 www.netfilter.org
 www.webmin.com
 www.nessus.com
 ettercap.sourceforge.net

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 47
 Questions ?

Firewall - J. CHEYNET, M. DA SILVA et

15/11/21 N. SEBBAN 48