Firewall Infra
-
Upload
zohraadrar -
Category
Documents
-
view
225 -
download
0
Transcript of Firewall Infra
-
8/9/2019 Firewall Infra
1/53
-
8/9/2019 Firewall Infra
2/53
-
8/9/2019 Firewall Infra
3/53
P lan
Les firewalls Netfilter
Les IDS HIPS, NIDS, IPS
Les proxy
Les reverses proxy Architecture rseau
-
8/9/2019 Firewall Infra
4/53
Les F i rewa l l s
A quoi a sert ? lment permettant de trier parmi les flux
rseaux en bloquant certains et autorisantd'autres.
Diffrents types de Firewalls: Firewalls personnels
Protge la machine sur laquelle il est install. Firewalls (tout court)
Effectue du routage inter-zones tout en appliquantdes rgles de filtrage.
En gnral se place en coupure entre le rseau del'entreprise et Internet.
-
8/9/2019 Firewall Infra
5/53
Qu'es t ce que f i l t re un f i rewa l l ?
Un firewall est un quipement de couche4. Il laisse passer ce qui est explicitement
autoris, se basant sur: Les informations de couche 3
IP source et IP destination, protocole de couche 4 (ieicmp, udp, tcp, ...)
Les informations de couche 4 port source, port destination, message icmp, ... Il filtre tout le reste.
-
8/9/2019 Firewall Infra
6/53
Exemple de rg le
Considrons un site web d'adresse10.0.0.1 auquel nous voulons autoriserl'accs:
autoriser le trafic venant de n'importe overs 10.0.0.1 en tcp sur le port 80
rejeter tout le reste
-
8/9/2019 Firewall Infra
7/53
Not ions de s ta te fu l l / s ta te less
Un firewall stateless ne sait pas si unpaquet appartient une connexion djtablie.
Pour un flux TCP, la solution consiste analyser
les champs TCP SYN et ACK. Pour chaque flux autoris il faut explicitement
autoriser les paquets entrant et sortant. Incomplet en terme de scurit, en particulier ne sait
pas grer les flux UDP, ICMP et complexe
maintenir. Un firewall statefull connat l'tat de
chaque connexion. Plus scuris et plus simple grer. Mais demande plus de ressource CPU et de mmoire.
-
8/9/2019 Firewall Infra
8/53
Exemples
Firewall stateless: les routeurs d'entre de gamme voire
certains firewalls tout en un destins
aux particuliers ipchains (firewall des linux 2.2.X).
Firewall statefull:
netfilter (firewall des linux 2.4 et suivant). tous les firewalls modernes.
-
8/9/2019 Firewall Infra
9/53
F i reWal l : I PCha ins (L inux 2 .2 )
#On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en 80 TCP
ipchains -A forward -p TCP
-s 192.168.1.0/24 1024: -d 192.168.2.0/24 80 -j ACCEPT
#On autorise tous les flux de 192.168.2.0/24 vers 192.168.1.0/24 sauf les SYN (-y)
ipchains -A forward -p TCP-s 192.168.2.0/24 80 -d 192.168.1.0/24 :1024 -j !-y ACCEPT
Tous les paquets venant de 192.168.2.0 aveccomme port source 80 et sans SYN sont autoriss.
Pour chaque rgle autorisant un flux il faut crire
une rgle autorisant la rponse.
-
8/9/2019 Firewall Infra
10/53
F i rewa l l : NetF i l te r ( L inux 2 .4 ,2 .6 )
#On autorise tous les paquets appartenant une connexion dj tablie:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -jACCEPT
#On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en 80
TCP
iptables -A FORWARD -p tcp -m tcp -m state --state NEW-s 192.168.1.0/24 -d 192.168.2.0/24 --dport 80 -j ACCEPT
Seuls les paquets appartenant une connexion
tablie sont autoriss.
-
8/9/2019 Firewall Infra
11/53
Network address t rans la t ion
Problmes: Il n'y a plus assez d'adresses IP disponibles
pour le nombre de machines relies internet sur la plante.
Les adresses IP cotent cher. On ne voudrait pas que l'on puisse accder
tout le rseau interne depuis internet.
Solution, le NAT: Le rseau interne est en adressage priv
(RFC1918), un routeur/firewall translate lesadresses des connexions sortantes.
-
8/9/2019 Firewall Infra
12/53
NAT
-
8/9/2019 Firewall Infra
13/53
NAT
Inconvnients: Certains protocoles fonctionnent mal ou pas
avec de la translation d'adresse (H323,
SIP, ...) Il est impossible d'initier une connexion vers
une machine NATe depuis l'extrieur
Avantages: On conomise le nombre d'adresses IP
publiques. Il est impossible d'initier une connexion vers
une machine NATe depuis l'extrieur
-
8/9/2019 Firewall Infra
14/53
Net f i l te r
Apparu dans le noyau 2.4 Firewall statefull. Fonctions de translation d'adresse trs
volues.Trs rpandu et concurrence sans problme
des firewalls commerciaux (PIX par exemplede cisco).
Il existe une excellente interface graphique,fwbuilder.
-
8/9/2019 Firewall Infra
15/53
Net f i l te r en p ra t ique
iptables: commande permettantd'interagir avec netfilter. iptable-save: affiche la configuration du
firewall iptables ajoute/modifie/supprime des rgles
Dans la pratique on utilise souvent uneGUI pour grer la configuration desrgles: fwbuilder: http://www.fwbuilder.org/
http://www.fwbuilder.org/http://www.fwbuilder.org/ -
8/9/2019 Firewall Infra
16/53
Net f i l te r : i n te r face ip tab les
iptables -A CHAINE REGLES -j ACTIONS CHAINES
INPUT (trafic destination du fw) OUTPUT (trafic mis par le firewall)
FORWARD (trafic rout) Pour les translations d'adresse: -t nat POSTROUTING|PREROUTING
REGLES Comment est caractris le paquet (ip src/dst, port
src/dst, proto, interface in/out) ? Appartient-il laconnexion intialise ou pas ?
ACTIONS ACCEPT|DROP Manipulation de paquet (pour le nat): SNAT, DNAT, ...
-
8/9/2019 Firewall Infra
17/53
Net f i l te r : i n te r face ip tab les
Police par dfaut, option -P ex: iptables -P FORWARD DROP
Effacer toutes les rgles d'une chane, option
-F ex -F iptables -F FORWARD Effacer une rgle donne -D
iptables -D num rgle
iptables -D toute la rgle Lister les rgles
iptables-save
-
8/9/2019 Firewall Infra
18/53
net f i l te r : cookbook
Police par dfaut sur le forward DROP iptables -P FORWARD DROP
Accepter toutes les connexions actives iptables -A FORWARD -m state state
ESTABLISHED,RELATED -j ACCEPT
Accepter les ssh de pc1 vers pc2
iptables -A FORWARD -m state state NEW -s pc1 -dpc2 -p tcp dport 22 -j ACCEPT
-
8/9/2019 Firewall Infra
19/53
net f i l te r : cookbook
Masquerade (pour partager une IPpublique sur eth0)
iptables -t nat -A POSTROUTING -o eth0 -jMASQUERADE
SNAT (comme le prcdent mais avecune autre IP) Altrer l'ip source du trafic rout (et/ou
sortant) iptables -t nat -A POSTROUTING -o eth0 -j SNAT --
to-source 192.168.0.1
-
8/9/2019 Firewall Infra
20/53
net f i l te r : cookbook
REDIRECT (redirige un flux en local), utilepour faire du proxy transparent ou desattaques man in the middle.
iptables -t nat -A PREROUTING -p tcp --dport 80 -jREDIRECT --to-ports 8080
DNAT (transformation de l'IP destination),utile pour Man In The Middle:
iptables -t nat -A PREROUTING -p tcp -dwww.google.com --dport 80 -j DNAT --to-destination www.faux-google.com
-
8/9/2019 Firewall Infra
21/53
Les IDS
Types d'IDS Les NIDS Les HIDS
Analyse de logs Empreinte
Ce qu'ils dtectent et ce qu'ils ne
dtectent pas.
-
8/9/2019 Firewall Infra
22/53
Les N IDS
Les NIDS (Network Intrusion Detection System). Analyse les flux rseau et recherche des signatures
d'attaques Ex: /etc/passwd dans une urls, User-Agent: nikto,... La plupart des NIDS fonctionnent ainsi, dont snort.
Vrification du respect de la conformit des protocolesaux RFC
Ex: paramtre de GET dans une requte HTTPpossde moins de 1024 bytes
Ne nombreux IDS fonctionnent ainsi.
Analyse statistique (ou analyse comportementale) Mesure de la dviation entre le trafic rseau habituel
et le trafic un instant T.
-
8/9/2019 Firewall Infra
23/53
Les N IDS
Qu'est ce qu'ils vont dtecter ?Toutes les attaques venant des outils de tests
automatiques:
Nessus, nikto, whisker, nmap, ... Certaines attaques visibles
En particulier certaines failles webs gnriques XSS
L'exploitation de failles sur des applis webconnues (phpbb, webcalendar, phpnuke, ...)
L'exploitation de faille touchant un logiciel connu(apache, IIS, Cisco, ...)
-
8/9/2019 Firewall Infra
24/53
Les N IDS
Qu'est ce qu'ils ne vont pas dtecter ? Les attaques webs faites la main.
Les SQL injections, Remote include PHP
Les forces brutes sur des applis webs (sauf cellesralisant une analyse statistique)
La plupart des forces brutes (POP3, FTP,telnet, ...).
Les flux chiffrs HTTPS SSH IPSec
-
8/9/2019 Firewall Infra
25/53
Les N IDS
Chez les logiciels libres: Snort, trs actif et efficace. Fonctionne par
signature d'attaque.
BRO, vrification de conformit protocolaire
Les N IDS : Pourquo i un re la t i f
-
8/9/2019 Firewall Infra
26/53
Les N IDS : Pourquo i un re la t i f i nsuccs ?
Les rseaux deviennent trop gros Impossible d'analyser un lien Giga.
Les attaques sont trop frquentes
On ne va pas ragir chaque attaque. Seules les attaques les plus visibles donnent lieu
un signalement (en gros l'utilisation de softs descan)
Les flux chiffrs (tels que HTTPS) ne peuventtre analyss.
L'exploitation demande des personnesqualifies (et c'est un travail ingrat).
L HIDS
-
8/9/2019 Firewall Infra
27/53
Les H IDS
Deux grandes familles: Logiciels fonctionnant par scellement de
fichiers (ex: tripewire, samhain)
Logiciels analysant les logs et les remontant Dtecte les forces brutes et les
crash/redmarrage de processus.
L IPS
-
8/9/2019 Firewall Infra
28/53
Les IPS
Intrusion Prevention System Grand succs marketing
Tous les firewalls propritaires sont aujourd'hui
des IPS En fait un firewall qui ralise de l'analyse de
couche 7 (comme un IDS) et qui bloque sur labase de signatures d'attaques ou de
conformit protocolaire Solution libre: snort-inline
Une version de snort compile pour intragir avecnetfilter
L P
-
8/9/2019 Firewall Infra
29/53
Les P roxys
Pour sortir sur internet, le client passe par unserveur mandataire
Avantages: Possibilit d'analyser plus finement le trafic. Des journaux de connexions. Sur les flux HTTP, possibilit de filtrer certains
sites, de faire du contrle anti-virus.
Inconvnients: Moins performant en terme de dbit. Ne fonctionne que pour quelques protocoles.
Les Pro s
-
8/9/2019 Firewall Infra
30/53
Les P roxys
Proxy
-
8/9/2019 Firewall Infra
31/53
Proxy
Solutions libres Squid, trs largement utilis Pour le filtrage
Dansguardian Filtrage par listes noires Filtres de contenu (par mots clefs) Filtrage anti-virus (par ClamAV ou anti-virus propritaire)
Reverse proxy
-
8/9/2019 Firewall Infra
32/53
Reverse p roxy
Permettre des machines en adressagepriv d'tre accessibles de l'extrieur
Faire de la rpartition de charge entre
plusieurs serveurs webs. Filtrer les attaques. Raliser de l'acclration HTTP
Pr-loading Mise en cache des pages dynamiques ...
Reverse Proxy
-
8/9/2019 Firewall Infra
33/53
Reverse P roxy
Proxy
-
8/9/2019 Firewall Infra
34/53
Proxy
Solutions libres Squid Apache
mod_proxy mod_security
Varnish Le plus abouti, orient acclration
Arch i tec tures
-
8/9/2019 Firewall Infra
35/53
Arch i tec tures
Comment concevoir son rseau entermes de scurit ? Compartimentation
Rpartition des quipements de scurit(1) Buts
Maximiser limpact des protections
Minimiser leffet descalade en cas dintrusion
(1)Illustrations extraites de Building Internet Firewalls, ditionsOReilly
F i l t re S imp le
-
8/9/2019 Firewall Infra
36/53
F i l t re S imp le
F i l t re s imp le
-
8/9/2019 Firewall Infra
37/53
F i l t re s imp le
Seul le trafic sortant est autoris,systme de la diode Avantage
Simple On ne risque pas d'attaques externes
Limitations Pas de possibilit d'offrir l'accs des services
depuis l'extrieur Pas de traabilit sur ce que font les utilisateurs
en interne (sites visits, ...) Pas de protection contre la rcupration de code
hostile (web, pop3, ...)
Bast ion f i l t rant ( ie p roxy)
-
8/9/2019 Firewall Infra
38/53
Bast ion f i l t rant ( i e p roxy)
Bast ion f i l t rant ( ie p roxy)
-
8/9/2019 Firewall Infra
39/53
Bast ion f i l t rant ( i e p roxy)
Avantages Un seul quipement Filtrage applicatif possible (proxy web,
pop3, ...) Inconvnients
Ne fonctionne qu'avec les flux proxyfiables.
Un serveur avec beaucoup de services (lesdiffrents proxy) trs expos (branch endirect sur internet sans firewall).
L'hbergement est possible mais risqu (pas
de protection par un firewall).
F i l t re & Bast ion
-
8/9/2019 Firewall Infra
40/53
F i l t re & Bast ion
F i l t re e t bast ion
-
8/9/2019 Firewall Infra
41/53
F i l t re e t bas t ion
Avantages Le bastion est mieux protg
Inconvnients Pas d'hbergement possible (ou alors via une
redirection de port qui rend extrmementvulnrable le rseau interne).
Les postes de travail peuvent contourner lapolitique de filtrage/log du bastion via desattaques de couche 2 (arp cache poisoning etNAT pour se faire passer pour le bastion).
Bast ion en sandwich
-
8/9/2019 Firewall Infra
42/53
Bast ion en sandwichfile:///dmz.png
Bast ion en sandwich
-
8/9/2019 Firewall Infra
43/53
Bast ion en sandwich
Avantages Le bastion est protg la fois des utilisateurs
internes et de l'exterieur. On peut commencer envisager un hbergement
de services Inconvnients
Deux firewalls... Besoins d'une table de routage avec deux
passerelles sur le bastion (trop compliqu pour unadmin systme ;-)).
En cas de compromission du serveurd'hbergement, le pirate a accs la zone parlaquelle transite tous les flux entre l'extrieur etl'intrieur (trs rave!)
Le bas t ion en DMZ
-
8/9/2019 Firewall Infra
44/53
Le bas t ion en DMZ
-
8/9/2019 Firewall Infra
45/53
Avantages Comme prcdent en plus simple
Inconvnients Les mmes que dans le prcdent si ce n'est
que la compromission est un peu moinsgrave car elle ne permet l'coute etl'altration que des flux proxyss.
P is tes de me i l l eurs so lu t ionsso lu t ion ?
-
8/9/2019 Firewall Infra
46/53
so lu t ion ?
Un firewall avec deux DMZ Une DMZ pour le(s) serveur(s) hbergeant
des services
Impact d'une compromission faible, pas d'accsaux postes internes ou aux flux sortant despostes.
Une DMZ pour le(s) proxy(s) Protection contre les compromissions ventuelles
des serveurs d'hbergement. Pas de risque d'attaque de couche 2 des postes
de travail pour contourner la protection.
Des exemples
-
8/9/2019 Firewall Infra
47/53
p
Architecture des Rectorats de l'ducationnationale
Mod le B i -F i rewa l l s
-
8/9/2019 Firewall Infra
48/53
Le bastion est dansla zone ressourcespartages .
Arch i tec ture b i -DMZ
-
8/9/2019 Firewall Infra
49/53
Avantages On commence avoir une belle architectureTous les quipements sont redonds Deux niveaux de firewalls de deux constructeurs
diffrents Inconvnients
Manque de segmentation des DMZ Pas de filtrage entre les utilisateurs et le
datacenter (ie la zone ressources partages). Le proxy est dans le mme LAN que les
utilisateurs. Pas de prise en compte des connexions VPN, du
wifi
Exemples
-
8/9/2019 Firewall Infra
50/53
Architecture cible des Rectorats del'ducation nationale
Arch i tec ture B I -DMZ resegmente
-
8/9/2019 Firewall Infra
51/53
Arch i tec ture B I -DMZ resegmente
-
8/9/2019 Firewall Infra
52/53
Avantages Comme prcdents Bien meilleure granularit dans la segmentation
(zones d'hbergements, zones d'utilisateurs,
proxy spars des users). Prise en compte du wifi et des terminaisons VPN
Inconvnients Ca commence tre compliqu (mais il faut bien
justifier nos revenus...) Avec autant de LAN, le cot s'en ressent (et
heureusement que l'on utilise des VLAN!)
Conc lus ion sur l ' a rch i tec ture
-
8/9/2019 Firewall Infra
53/53
Trouver un compromis entre scurit(segmentation maximum), cot(minimiser le nombre d'quipements),disponibilit (doublement desquipements), performance, ...
On peut faire de trs belles architecturesde scurit avec les logiciels libres: Netfilter est un excellent firewall et offre tout
ce qu'offre un firewall graphique (sans la GUIde gestion des logs et l'analyse de couche 7).
Idem pour les proxy, reverse proxy, IDS, ...