FIREWALL

Exposé NT Réseaux

Jérôme CHEYNET
Miguel DA SILVA
Nicolas SEBBAN
Plan
 Présentation Générale
 Architectures
 Firewalls matériels
 Firewalls logiciels professionnels
 Firewalls personnels
 Démonstration

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 2

N. SEBBAN
 Présentation générale

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 3

N. SEBBAN
Présentation - Plan

 Qu’est-ce qu’un Firewall ?

 Pourquoi utiliser un Firewall ?

 Principales fonctionnalités

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 4

N. SEBBAN
Qu’est-ce qu’un Firewall ?
 Un firewall est plus un concept qu’un
matériel ou un logiciel
 Filtre le trafic entre réseaux à différents
niveaux de confiance
 Met en oeuvre une partie de la politique de
sécurité

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 5

N. SEBBAN
Qu’est-ce qu’un Firewall ?
 Système physique ou logique servant
d’interface entre un ou plusieurs réseaux

 Analyse les
informations des
couches 3, 4 et 7

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 6

N. SEBBAN
Pourquoi utiliser un Firewall ?
Les pare-feux sont utilisés principalement
dans 4 buts :
 Se protéger des malveillances "externes"
 Éviter la fuite d’information non contrôlée vers
l’extérieur
 Surveiller les flux internes/externes
 Faciliter l’administration du réseau

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 7

N. SEBBAN
Principales fonctionnalités

 Filtrage
 Authentification/Gestion des droits
 NAT
 Proxy

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 8

N. SEBBAN
 Architectures

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 9

N. SEBBAN
Architectures - Plan
 DMZ
 Routeur filtrant
 Firewall Stateful
 Proxy
 NAT

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 10

N. SEBBAN
DMZ DeMilitarized Zone

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 11

N. SEBBAN
Routeur filtrant

 Premier élément de sécurité

 « IP-Spoofing Ready »
 Évite l’utilisation inutile de bande passante
mais ne protège pas des hackers

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 12

N. SEBBAN
Stateful Inspection

 2 principes fondamentaux :
 Analyse complète du paquet au niveau de la
couche réseau
 Définition et maintien des tables des
connexions autorisés (états)

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 13

N. SEBBAN
Proxy (1/2)
 Firewall Proxy dispose d’agents spécifiques
à chaque protocole applicatif (FTP, HTTP..)
 Filtrage très précis
 Comprend les spécificités de chaque
protocole
 Le réassemblage des paquets élimine les
attaques par fragmentation

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 14

N. SEBBAN
Proxy (2/2)

 Firewall Proxy présente 2 inconvénients :

 Performances : le filtrage d’un paquet
nécessite sa remonté jusqu’à la couche
application
 Disponibilités des agents (protocoles
propriétaires ou exotique)

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 15

N. SEBBAN
NAT
(Network Address Translation)

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 16

N. SEBBAN
 Firewalls matériels

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 17

N. SEBBAN
Firewalls matériels - Plan
 Définition
 Différences firewall logiciel/matériel
 Catégories de firewalls matériels
 Routeurs
 Firewallsspécialisés
 Modules firewall pour commutateurs

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 18

N. SEBBAN
Définition
 Système d’exploitation et matériel conçus
par le constructeur et spécifiquement
pour du filtrage
 Simple PC, matériel dédié, circuit intégré
spécialisé (ASIC)
 Ex de firewall non matériel

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 19

N. SEBBAN
Différences firewall logiciel/matériel
 Peuvent offrir fonctions et services identiques

 Différences:
 SAV: 1 seul constructeur fournit la solution complète
 Résistance: conçu pour être un produit de sécurité
 Distribution de la fonction firewall dans les points
stratégiques du réseau

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 20

N. SEBBAN
Catégories de firewalls matériels
 Routeurs:
 filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags
TCP
 Stateless ou Stateful
 Moins d’applications complexes/multimédia supportées que firewall
spécialisés (NAT)
 Routeurs conçus initialement pour commuter paquets -> attention
 Filtres des tables de routage
 Performances:
 de qques kb/s -> plusieurs Mb/s
 Perte de performances de 15 à 20% en Stateful
 Performances dépendent du nombre de fonctions utilisées (IPSec, détection
d’intrusion, codecs pour voix sur IP, QOS)
 Routeur stateful idéaux pour relier bureaux via internet: site a protéger
rarement important

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 21

N. SEBBAN
Catégories de firewalls matériels
 Firewalls spécialisés
 Conçus uniquement pour faire du filtrage
 Très performant:
 > 1Gbit/s
 500 000 connexions
 Plusieurs dizaines de milliers de nouvelles connexions par seconde
 Supportent rarement les interfaces WAN  nécessité d’être associés à des
routeurs pour la connectivité

 Disponibles également pour le grand public

 Pour accès toujours connectés (DSL, câble)
 Ouverts en sortie
 Certains permettent le filtrage dans les deux sens  adaptés à l’hébergement de
services
 Performances:
 1à 2 Mb/s (vitesse d’accès)
 Limitations au niveau du nombre de sessions supportées et nombre de nouvelles
connexions par seconde.
 Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 22

N. SEBBAN
Catégories de firewalls matériels
 Modules firewall pour commutateurs
 Sous forme de carte
 Firewall stateful
 Intégrés aux commutateurs pour fournir protection entre différents VLAN
 Support de contextes virtuels  services de filtrages a des réseaux
distincts
 Performances:
 jusqu’à 5 Gb/s
 1 000 000 de connexions
 100 000 nouvelles connexions par seconde
 Jusqu’à 100 interfaces virtuelles
 Possibilité d’utiliser plusieurs cartes  débit de 30 Gb/s
 Utilisés pour cloisonner le réseau interne

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 23

N. SEBBAN
 Firewalls logiciels professionnels

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 24

N. SEBBAN
Firewalls logiciels professionnels
Plan
 Deux firewalls stateful :
 Firewall libre : Netfilter / iptables
 Firewall commercial : CheckPoint Firewall-1
 Ce que les firewalls laissent passer

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 25

N. SEBBAN
Firewalls logiciels en passerelle
libre : Netfilter
 Intégré au noyau 2.4 de linux
 Interface utilisateur séparée : iptables
 Stateless :
 iptables -A INPUT -s 200.200.200.1 -p tcp --
destination-port telnet -j DROP
 Stateful :
 iptables -A INPUT -p tcp -m state --state ESTABLISHED -
j ACCEPT

 INVALID / ESTABLISHED / NEW / RELATED

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 26

N. SEBBAN
Firewall logiciels en passerelle
libre : Netfilter
 Spécificités
 Ajout de plugins au système de suivi de connections
FTP / H323 / IRC / …

 Plugins divers : modification du comportement de la pile IP

 Front ends de configuration graphiques

 Avantage décisif sur les autres firewalls libres

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 27

N. SEBBAN
Firewall logiciels en passerelle
commercial : CP Firewall-1
 Disponible sur plusieurs plateformes
Windows Server – Linux Red Hat – HP-UX
- Solaris
 Prix
 39€ HT par utilisateur (100 machines)
 Au nombre de plugins fournis
 + Formations

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 28

N. SEBBAN
Firewall logiciels en passerelle
commercial : CP Firewall-1
 Spécificités
 Décomposable en plusieurs modules – serveurs
 antivirus, serveur d’authentification, reporting
 Authentification des utilisateurs
 Avec LDAP, RADIUS, TACACS
 Pour filtrer les URL,

 Pour la limitation du temps,

 Permissions au niveau de l’utilisateur plutôt qu’au

niveau d’un adresse IP

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 29

N. SEBBAN
Firewall logiciels en passerelle
ce qu’ils laissent passer
 Les attaques d’application web
 Vulnérables si elles ne filtrent pas assez les
données entrées par l’utilisateur.
 Insertion de code sur les Forums
 Insertion de requêtes SQL dans un champ de
formulaire

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 30

N. SEBBAN
Firewall logiciels en passerelle
ce qu’ils laissent passer
 Injection de requête SQL :
SELECT * FROM table_Clients WHERE
champ_Nom=Name
l'utilisateur entre son nom :
toto ; INSERT INTO table_Users
VALUES('Mon_login', 'Mon_password')
La requête finale est :
SELECT * FROM table_Clients WHERE
champ_Nom=toto ; INSERT INTO table_Users
VALUES('Mon_login', 'Mon_password')

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 31

N. SEBBAN
Firewall logiciels en passerelle
ce qu’ils laissent passer
 Solution : « Reverse Proxy »

 Rôle de l’administrateur réseau ?

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 32

N. SEBBAN
 Firewalls personnels

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 33

N. SEBBAN
Firewalls personnels - Plan
 Cible et besoins
 Principe
 Limites
 Firewalls personnels sous Windows et
Linux

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 34

N. SEBBAN
Cible et besoins
 Logiciel de sécurité réseau simple et efficace
pour connexions Internet personnelles: poste
directement relié à Internet
 Postes principalement « client »  principale
menace: réception de chevaux de Troie 
logiciels espions / backdoors
  empêcher connexion de programmes non
autorisés

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 35

N. SEBBAN
Cible et besoins
 Filtrage simple de paquets: la plage de
ports 1024-65535 doit être autorisée pour
que les applis puissent fonctionner dans
les deux sens
  filtrage de paquets problématique

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 36

N. SEBBAN
Principe
 Contrôle des applications pour accéder ou non au
réseau
  liste applications autorisées à initier flux réseau
ou a écouter
 Pour chaque appli:
 Localisationde l’exécutable
 Protocole de niveau 4 utilisé (TCP, UDP, ICMP)
 Jeux de ports utilisés
 Sens de flux associé

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 37

N. SEBBAN
Principe
 La configuration doit être aisée pour correspondre à
la cible de marché configuration par apprentissage
 Permet également de faire de la remontée d’alertes
 Dans le modèle OSI:
 Entre couches IP et liaison: règles indépendantes d’une
application / flux déjà autorisés
 Entre couches réseau et applicative: intercepter les
demandes d’ouverture de socket

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 38

N. SEBBAN
Limites
 Certaines prises de décision nécessitent
connaissances
 Certains produits ne gèrent que TCP, UDP
et ICMP, décision silencieuse
 Beaucoup d’appli accèdent au réseau par
différents protocoles  nombre d’entrées
important, difficile à maintenir

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 39

N. SEBBAN
Limites
 Lacunes courantes:
 Impossibilité de spécifier des règles
indépendamment d’une appli
 Impossibilité de restreindre les jeux de ports
utilisable par une appli autorisée
 Impossibilité de spécifier des règles pour autres
protocoles que TCP, UDP ou ICMP
 Absence de filtrage à état ou absence des modules
de prise en charges de protocoles applicatifs
complexes (limite au niveau 4)

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 40

N. SEBBAN
Limites
 Absence de sécurité de certains OS: pas de contrôle
d’accès ou comptes utilisateurs non utilisés
 Application pouvant se lancer en super-utilisateur -->
écraser exécutables concernés par configuration du
firewall, tuer d’autres applis (anti-virus, firewall),
annuler les protections
 Possibilité de profiter de failles de sécurité dans
autres applications autorisées (navigateur)
 Ne travaille qu’à partir du niveau IP, tout ce qui se
trouve en dessous (Ethernet) n’est pas vu du firewall

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 41

N. SEBBAN
Firewalls personnels sous Windows
et Linux
 Windows: Kerio, Zone Alarm, …
 Linux: module « owner » de Netfilter + patch «
owner-cmd »
 Critères de filtrages relatifs aux processus:
 UID , GID propriétaire
 PID/SID du process
 Nom du process
iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT

 Attention, ne vérifie pas la localisation de

l’exécutable, limiter les packets
iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 42

N. SEBBAN
 Démonstration

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 43

N. SEBBAN
Démonstration 1/3
 1er outil, Webmin + Turtle Firewall

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 44

N. SEBBAN
Démonstration 2/3
 2ème outil, Nessius

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 45

N. SEBBAN
Démonstration 3/3
 3ème outil, Ettercap

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 46

N. SEBBAN
Références
 LINUX Magazine – « le firewall votre meilleur
ennemi » (janvier/fevrier 2003)
 « Sécurité internet » - B.Dunsmore, J.Brown,
M.Cross, S.Cunningham

 Sites:
 www.netfilter.org
 www.webmin.com
 www.nessus.com
 ettercap.sourceforge.net

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 47

N. SEBBAN
 Questions

06/04/23 Firewall - J. CHEYNET, M. DA SILVA et 48

N. SEBBAN