Firewall Infra

8/9/2019 Firewall Infra

1/53


2/53


3/53

P lan

Les firewalls Netfilter

Les IDS HIPS, NIDS, IPS

Les proxy

Les reverses proxy Architecture rseau


4/53

Les F i rewa l l s

A quoi a sert ? lment permettant de trier parmi les flux

rseaux en bloquant certains et autorisantd'autres.

Diffrents types de Firewalls: Firewalls personnels

Protge la machine sur laquelle il est install. Firewalls (tout court)

Effectue du routage inter-zones tout en appliquantdes rgles de filtrage.

En gnral se place en coupure entre le rseau del'entreprise et Internet.


5/53

Qu'es t ce que f i l t re un f i rewa l l ?

Un firewall est un quipement de couche4. Il laisse passer ce qui est explicitement

autoris, se basant sur: Les informations de couche 3

IP source et IP destination, protocole de couche 4 (ieicmp, udp, tcp, ...)

Les informations de couche 4 port source, port destination, message icmp, ... Il filtre tout le reste.


6/53

Exemple de rg le

Considrons un site web d'adresse10.0.0.1 auquel nous voulons autoriserl'accs:

autoriser le trafic venant de n'importe overs 10.0.0.1 en tcp sur le port 80

rejeter tout le reste


7/53

Not ions de s ta te fu l l / s ta te less

Un firewall stateless ne sait pas si unpaquet appartient une connexion djtablie.

Pour un flux TCP, la solution consiste analyser

les champs TCP SYN et ACK. Pour chaque flux autoris il faut explicitement

autoriser les paquets entrant et sortant. Incomplet en terme de scurit, en particulier ne sait

pas grer les flux UDP, ICMP et complexe

maintenir. Un firewall statefull connat l'tat de

chaque connexion. Plus scuris et plus simple grer. Mais demande plus de ressource CPU et de mmoire.


8/53

Exemples

Firewall stateless: les routeurs d'entre de gamme voire

certains firewalls tout en un destins

aux particuliers ipchains (firewall des linux 2.2.X).

Firewall statefull:

netfilter (firewall des linux 2.4 et suivant). tous les firewalls modernes.


9/53

F i reWal l : I PCha ins (L inux 2 .2 )

#On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en 80 TCP

ipchains -A forward -p TCP

-s 192.168.1.0/24 1024: -d 192.168.2.0/24 80 -j ACCEPT

#On autorise tous les flux de 192.168.2.0/24 vers 192.168.1.0/24 sauf les SYN (-y)

ipchains -A forward -p TCP-s 192.168.2.0/24 80 -d 192.168.1.0/24 :1024 -j !-y ACCEPT

Tous les paquets venant de 192.168.2.0 aveccomme port source 80 et sans SYN sont autoriss.

Pour chaque rgle autorisant un flux il faut crire

une rgle autorisant la rponse.


10/53

F i rewa l l : NetF i l te r ( L inux 2 .4 ,2 .6 )

#On autorise tous les paquets appartenant une connexion dj tablie:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -jACCEPT

#On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en 80

TCP

iptables -A FORWARD -p tcp -m tcp -m state --state NEW-s 192.168.1.0/24 -d 192.168.2.0/24 --dport 80 -j ACCEPT

Seuls les paquets appartenant une connexion

tablie sont autoriss.


11/53

Network address t rans la t ion

Problmes: Il n'y a plus assez d'adresses IP disponibles

pour le nombre de machines relies internet sur la plante.

Les adresses IP cotent cher. On ne voudrait pas que l'on puisse accder

tout le rseau interne depuis internet.

Solution, le NAT: Le rseau interne est en adressage priv

(RFC1918), un routeur/firewall translate lesadresses des connexions sortantes.


12/53

NAT


13/53

NAT

Inconvnients: Certains protocoles fonctionnent mal ou pas

avec de la translation d'adresse (H323,

SIP, ...) Il est impossible d'initier une connexion vers

une machine NATe depuis l'extrieur

Avantages: On conomise le nombre d'adresses IP

publiques. Il est impossible d'initier une connexion vers

une machine NATe depuis l'extrieur


14/53

Net f i l te r

Apparu dans le noyau 2.4 Firewall statefull. Fonctions de translation d'adresse trs

volues.Trs rpandu et concurrence sans problme

des firewalls commerciaux (PIX par exemplede cisco).

Il existe une excellente interface graphique,fwbuilder.


15/53

Net f i l te r en p ra t ique

iptables: commande permettantd'interagir avec netfilter. iptable-save: affiche la configuration du

firewall iptables ajoute/modifie/supprime des rgles

Dans la pratique on utilise souvent uneGUI pour grer la configuration desrgles: fwbuilder: http://www.fwbuilder.org/
http://www.fwbuilder.org/http://www.fwbuilder.org/


16/53

Net f i l te r : i n te r face ip tab les

iptables -A CHAINE REGLES -j ACTIONS CHAINES

INPUT (trafic destination du fw) OUTPUT (trafic mis par le firewall)

FORWARD (trafic rout) Pour les translations d'adresse: -t nat POSTROUTING|PREROUTING

REGLES Comment est caractris le paquet (ip src/dst, port

src/dst, proto, interface in/out) ? Appartient-il laconnexion intialise ou pas ?

ACTIONS ACCEPT|DROP Manipulation de paquet (pour le nat): SNAT, DNAT, ...


17/53

Net f i l te r : i n te r face ip tab les

Police par dfaut, option -P ex: iptables -P FORWARD DROP

Effacer toutes les rgles d'une chane, option

-F ex -F iptables -F FORWARD Effacer une rgle donne -D

iptables -D num rgle

iptables -D toute la rgle Lister les rgles

iptables-save


18/53

net f i l te r : cookbook

Police par dfaut sur le forward DROP iptables -P FORWARD DROP

Accepter toutes les connexions actives iptables -A FORWARD -m state state

ESTABLISHED,RELATED -j ACCEPT

Accepter les ssh de pc1 vers pc2

iptables -A FORWARD -m state state NEW -s pc1 -dpc2 -p tcp dport 22 -j ACCEPT


19/53


Masquerade (pour partager une IPpublique sur eth0)

iptables -t nat -A POSTROUTING -o eth0 -jMASQUERADE

SNAT (comme le prcdent mais avecune autre IP) Altrer l'ip source du trafic rout (et/ou

sortant) iptables -t nat -A POSTROUTING -o eth0 -j SNAT --

to-source 192.168.0.1


20/53


REDIRECT (redirige un flux en local), utilepour faire du proxy transparent ou desattaques man in the middle.

iptables -t nat -A PREROUTING -p tcp --dport 80 -jREDIRECT --to-ports 8080

DNAT (transformation de l'IP destination),utile pour Man In The Middle:

iptables -t nat -A PREROUTING -p tcp -dwww.google.com --dport 80 -j DNAT --to-destination www.faux-google.com


21/53

Les IDS

Types d'IDS Les NIDS Les HIDS

Analyse de logs Empreinte

Ce qu'ils dtectent et ce qu'ils ne

dtectent pas.


22/53

Les N IDS

Les NIDS (Network Intrusion Detection System). Analyse les flux rseau et recherche des signatures

d'attaques Ex: /etc/passwd dans une urls, User-Agent: nikto,... La plupart des NIDS fonctionnent ainsi, dont snort.

Vrification du respect de la conformit des protocolesaux RFC

Ex: paramtre de GET dans une requte HTTPpossde moins de 1024 bytes

Ne nombreux IDS fonctionnent ainsi.

Analyse statistique (ou analyse comportementale) Mesure de la dviation entre le trafic rseau habituel

et le trafic un instant T.


23/53

Les N IDS

Qu'est ce qu'ils vont dtecter ?Toutes les attaques venant des outils de tests

automatiques:

Nessus, nikto, whisker, nmap, ... Certaines attaques visibles

En particulier certaines failles webs gnriques XSS

L'exploitation de failles sur des applis webconnues (phpbb, webcalendar, phpnuke, ...)

L'exploitation de faille touchant un logiciel connu(apache, IIS, Cisco, ...)


24/53

Les N IDS

Qu'est ce qu'ils ne vont pas dtecter ? Les attaques webs faites la main.

Les SQL injections, Remote include PHP

Les forces brutes sur des applis webs (sauf cellesralisant une analyse statistique)

La plupart des forces brutes (POP3, FTP,telnet, ...).

Les flux chiffrs HTTPS SSH IPSec


25/53

Les N IDS

Chez les logiciels libres: Snort, trs actif et efficace. Fonctionne par

signature d'attaque.

BRO, vrification de conformit protocolaire

Les N IDS : Pourquo i un re la t i f


26/53

Les N IDS : Pourquo i un re la t i f i nsuccs ?

Les rseaux deviennent trop gros Impossible d'analyser un lien Giga.

Les attaques sont trop frquentes

On ne va pas ragir chaque attaque. Seules les attaques les plus visibles donnent lieu

un signalement (en gros l'utilisation de softs descan)

Les flux chiffrs (tels que HTTPS) ne peuventtre analyss.

L'exploitation demande des personnesqualifies (et c'est un travail ingrat).

L HIDS


27/53

Les H IDS

Deux grandes familles: Logiciels fonctionnant par scellement de

fichiers (ex: tripewire, samhain)

Logiciels analysant les logs et les remontant Dtecte les forces brutes et les

crash/redmarrage de processus.

L IPS


28/53

Les IPS

Intrusion Prevention System Grand succs marketing

Tous les firewalls propritaires sont aujourd'hui

des IPS En fait un firewall qui ralise de l'analyse de

couche 7 (comme un IDS) et qui bloque sur labase de signatures d'attaques ou de

conformit protocolaire Solution libre: snort-inline

Une version de snort compile pour intragir avecnetfilter

L P


29/53

Les P roxys

Pour sortir sur internet, le client passe par unserveur mandataire

Avantages: Possibilit d'analyser plus finement le trafic. Des journaux de connexions. Sur les flux HTTP, possibilit de filtrer certains

sites, de faire du contrle anti-virus.

Inconvnients: Moins performant en terme de dbit. Ne fonctionne que pour quelques protocoles.

Les Pro s


30/53

Les P roxys

Proxy


31/53

Proxy

Solutions libres Squid, trs largement utilis Pour le filtrage

Dansguardian Filtrage par listes noires Filtres de contenu (par mots clefs) Filtrage anti-virus (par ClamAV ou anti-virus propritaire)

Reverse proxy


32/53

Reverse p roxy

Permettre des machines en adressagepriv d'tre accessibles de l'extrieur

Faire de la rpartition de charge entre

plusieurs serveurs webs. Filtrer les attaques. Raliser de l'acclration HTTP

Pr-loading Mise en cache des pages dynamiques ...

Reverse Proxy


33/53

Reverse P roxy

Proxy


34/53

Proxy

Solutions libres Squid Apache

mod_proxy mod_security

Varnish Le plus abouti, orient acclration

Arch i tec tures


35/53

Arch i tec tures

Comment concevoir son rseau entermes de scurit ? Compartimentation

Rpartition des quipements de scurit(1) Buts

Maximiser limpact des protections

Minimiser leffet descalade en cas dintrusion

(1)Illustrations extraites de Building Internet Firewalls, ditionsOReilly

F i l t re S imp le


36/53

F i l t re S imp le

F i l t re s imp le


37/53

F i l t re s imp le

Seul le trafic sortant est autoris,systme de la diode Avantage

Simple On ne risque pas d'attaques externes

Limitations Pas de possibilit d'offrir l'accs des services

depuis l'extrieur Pas de traabilit sur ce que font les utilisateurs

en interne (sites visits, ...) Pas de protection contre la rcupration de code

hostile (web, pop3, ...)

Bast ion f i l t rant ( ie p roxy)


38/53

Bast ion f i l t rant ( i e p roxy)

Bast ion f i l t rant ( ie p roxy)


39/53

Bast ion f i l t rant ( i e p roxy)

Avantages Un seul quipement Filtrage applicatif possible (proxy web,

pop3, ...) Inconvnients

Ne fonctionne qu'avec les flux proxyfiables.

Un serveur avec beaucoup de services (lesdiffrents proxy) trs expos (branch endirect sur internet sans firewall).

L'hbergement est possible mais risqu (pas

de protection par un firewall).

F i l t re & Bast ion


40/53

F i l t re & Bast ion

F i l t re e t bast ion


41/53

F i l t re e t bas t ion

Avantages Le bastion est mieux protg

Inconvnients Pas d'hbergement possible (ou alors via une

redirection de port qui rend extrmementvulnrable le rseau interne).

Les postes de travail peuvent contourner lapolitique de filtrage/log du bastion via desattaques de couche 2 (arp cache poisoning etNAT pour se faire passer pour le bastion).

Bast ion en sandwich


42/53

Bast ion en sandwichfile:///dmz.png



43/53


Avantages Le bastion est protg la fois des utilisateurs

internes et de l'exterieur. On peut commencer envisager un hbergement

de services Inconvnients

Deux firewalls... Besoins d'une table de routage avec deux

passerelles sur le bastion (trop compliqu pour unadmin systme ;-)).

En cas de compromission du serveurd'hbergement, le pirate a accs la zone parlaquelle transite tous les flux entre l'extrieur etl'intrieur (trs rave!)

Le bas t ion en DMZ


44/53

Le bas t ion en DMZ


45/53

Avantages Comme prcdent en plus simple

Inconvnients Les mmes que dans le prcdent si ce n'est

que la compromission est un peu moinsgrave car elle ne permet l'coute etl'altration que des flux proxyss.

P is tes de me i l l eurs so lu t ionsso lu t ion ?


46/53

so lu t ion ?

Un firewall avec deux DMZ Une DMZ pour le(s) serveur(s) hbergeant

des services

Impact d'une compromission faible, pas d'accsaux postes internes ou aux flux sortant despostes.

Une DMZ pour le(s) proxy(s) Protection contre les compromissions ventuelles

des serveurs d'hbergement. Pas de risque d'attaque de couche 2 des postes

de travail pour contourner la protection.

Des exemples


47/53

p

Architecture des Rectorats de l'ducationnationale

Mod le B i -F i rewa l l s


48/53

Le bastion est dansla zone ressourcespartages .

Arch i tec ture b i -DMZ


49/53

Avantages On commence avoir une belle architectureTous les quipements sont redonds Deux niveaux de firewalls de deux constructeurs

diffrents Inconvnients

Manque de segmentation des DMZ Pas de filtrage entre les utilisateurs et le

datacenter (ie la zone ressources partages). Le proxy est dans le mme LAN que les

utilisateurs. Pas de prise en compte des connexions VPN, du

wifi

Exemples


50/53

Architecture cible des Rectorats del'ducation nationale

Arch i tec ture B I -DMZ resegmente


51/53

Arch i tec ture B I -DMZ resegmente


52/53

Avantages Comme prcdents Bien meilleure granularit dans la segmentation

(zones d'hbergements, zones d'utilisateurs,

proxy spars des users). Prise en compte du wifi et des terminaisons VPN

Inconvnients Ca commence tre compliqu (mais il faut bien

justifier nos revenus...) Avec autant de LAN, le cot s'en ressent (et

heureusement que l'on utilise des VLAN!)

Conc lus ion sur l ' a rch i tec ture


53/53

Trouver un compromis entre scurit(segmentation maximum), cot(minimiser le nombre d'quipements),disponibilit (doublement desquipements), performance, ...

On peut faire de trs belles architecturesde scurit avec les logiciels libres: Netfilter est un excellent firewall et offre tout

ce qu'offre un firewall graphique (sans la GUIde gestion des logs et l'analyse de couche 7).

Idem pour les proxy, reverse proxy, IDS, ...

Firewall Infra

Documents

Transcript of Firewall Infra