Академический Документы
Профессиональный Документы
Культура Документы
FIREWALLS
Firewall
Je choisis les flux qui peuvent entrer et sortir Au thatre, un mcanisme qui empche un feu ventuel de se propager de la salle vers la scne. Il dfinit une politique d'accs aux ressources sur le rseau
Pare-feu en franais
Fonctionnement gnral
adresse IP source / dest., port source / dest., interface flags, TTL, etc. On interdit l'accs certains site webs par ex.
Routeur Pare-feu
Un pare-feu peut diviser un rseau en plusieurs sous-rseaux et appliquer des politiques de scurits diffrentes chacun
Il connecte donc plusieurs rseaux entre eux et relaie les paquets Il fait donc office de routeur. Zones prives Protection moindre Zones dmilitarises (DMZ)
Catgories de pare-feu
Stateless Firewall : ne tient pas compte des tats de connexions Statefull Firewall : tient compte des tats de connexions et laisse passer en fonction Pare-feu Applicatif : filtre au niveau 5-7 Pare-feu identifiant (Accounting) : filtre en fonction de l'utilisateur Pare-feu personnel : ne protge pas le rseau, mais la station
Stateless Firewall
On comprend mieux l'inconvnient des firewalls stateless en comparant avec les firewalls statefull
Les stateless n'existent quasiment plus, car trop contraignants et pas adapts aux risques actuels Sa conception l'oblige laisser passer certains paquets illgitimes
Par exemple, si un firewall veut empcher les connexions de l'extrieur, il va filtrer les paquets Mais doit laisser passer les paquets SYN/ACK retour des connexions sortantes
Des paquets SYN/ACK spoofs peuvent alors rentrer cf. Attaque Kevin Mitnick
Statefull Firewall
Les firewalls statefull tiennent compte des connexions Alors qu'en stateless, chaque paquet tait trait de manire indpendante,
Le paquet fait-il partie d'une connexion existente ? Est-il un fragment d'un autre paquet ? Est-il une rponse un autre paquet ?
En stateless, on doit laisser passer tous les fragments En statefull, seuls les fragments qui font partie d'un paquet lgitime sont autoriss
Les autres sont jets ; par exemple des fragments gnrs par un pirate.
On a donc un meilleur contrle des flux En plus de reprer les sessions courantes, les firewalls statefulls identifient galement les sessions en relation
Par exemple, une session TCP de service (port 21) est autorise par le firewall Un tunnel de transfert de donnes va tre ouvert entre le client et le serveur : des ports dynamiques sont ngocis dans le protocole FTP Le firewall doit donc savoir lire le protocole FTP pour autoriser ce tunnel parallle : on tend dj vers du firewall applicatif, mme si la finalit concerne le niveau 4 (contrairement au filtre applicatif) De plus, la plupart des routeurs implmentent ce type de filtrage
Pare-feu applicatif
Le plus rcent. Rpond un besoin nouveau, valeur ajoute par rapport un simple routeur : Pour contourner le filtrage des ports par les firewalls, certains protocoles crent un tunnel TCP sur les ports autoriss :
Il est donc ncessaire d'examiner le contenu des paquets passant sur le port autoriss
Le contenu est-il lgitime ? C'est l'objectif du filtre applicatif. Ncessit d'ouvrir la donne dans les paquets
Pare-feu identifiant
et non plus en fonction de l'adresse IP Voir mme avec un contrleur de domaine Microsoft Des solutions existent pour BSD (authpf) et Linux (NuFW)
Pare-feu personnel
L'augmentation de la scurit a amen les pirates a envisager d'autres solutions Il est devenu difficile d'attaquer de l'extrieur
On va donc attaquer de l'intrieur ! En abusant l'utilisateur, il est possible d'installer de trojans sur les machines utilisateurs
Ces trojans excutent des ordres qu'ils vont chercher sur Internet
L'objectif du firewall personnel sur la station, est d'empcher les trojans d'agir
Implmentations connues
Versions libres
Netfilter/Iptables, pare-feu libre des noyaux Linux 2.4 et 2.6. Packet Filter ou PF, pare-feu libre de OpenBSD. IPFilter ou IPF, pare-feu libre de BSD et Solaris 10. Ces FW sont trs performants Checkpoint Firewall1 Cisco Pix Juniper Screen OS