INSIA SRT 3

FIREWALLS

Firewall

Un dispositif logiciel ou matriel qui filtre le flux de donnes sur un rseau

Je choisis les flux qui peuvent entrer et sortir Au thatre, un mcanisme qui empche un feu ventuel de se propager de la salle vers la scne. Il dfinit une politique d'accs aux ressources sur le rseau

Pare-feu en franais

C'est la pierre angulaire de la scurit sur un rseau

Fonctionnement gnral

On peut filtrer les flux selon plusieurs critres comme :

l'origine ou la destination des paquets

adresse IP source / dest., port source / dest., interface flags, TTL, etc. On interdit l'accs certains site webs par ex.

options des paquets

les donnes des couches hautes

en fonction des utilisateurs

Routeur Pare-feu

Un pare-feu peut diviser un rseau en plusieurs sous-rseaux et appliquer des politiques de scurits diffrentes chacun

Il connecte donc plusieurs rseaux entre eux et relaie les paquets Il fait donc office de routeur. Zones prives Protection moindre Zones dmilitarises (DMZ)

Zones scurises compltement protges

Zones hbergeant des serveurs accessibles depuis Internet

Catgories de pare-feu

Evolutions avec le temps On intgre des nouvelles technologies

Stateless Firewall : ne tient pas compte des tats de connexions Statefull Firewall : tient compte des tats de connexions et laisse passer en fonction Pare-feu Applicatif : filtre au niveau 5-7 Pare-feu identifiant (Accounting) : filtre en fonction de l'utilisateur Pare-feu personnel : ne protge pas le rseau, mais la station

Stateless Firewall

Dispositif le plus ancien Chaque paquet est examin indpendamment

et compar aux rgles

On comprend mieux l'inconvnient des firewalls stateless en comparant avec les firewalls statefull

Les stateless n'existent quasiment plus, car trop contraignants et pas adapts aux risques actuels Sa conception l'oblige laisser passer certains paquets illgitimes

Par exemple, si un firewall veut empcher les connexions de l'extrieur, il va filtrer les paquets Mais doit laisser passer les paquets SYN/ACK retour des connexions sortantes

Des paquets SYN/ACK spoofs peuvent alors rentrer cf. Attaque Kevin Mitnick

Statefull Firewall

Les firewalls statefull tiennent compte des connexions Alors qu'en stateless, chaque paquet tait trait de manire indpendante,

en statefull, on considre le paquet par rapport aux autres :

Le paquet fait-il partie d'une connexion existente ? Est-il un fragment d'un autre paquet ? Est-il une rponse un autre paquet ?

Exemple pour les fragments :

En stateless, on doit laisser passer tous les fragments En statefull, seuls les fragments qui font partie d'un paquet lgitime sont autoriss

Les autres sont jets ; par exemple des fragments gnrs par un pirate.

Statefull Firewall (suite)

On a donc un meilleur contrle des flux En plus de reprer les sessions courantes, les firewalls statefulls identifient galement les sessions en relation

Par exemple, une session TCP de service (port 21) est autorise par le firewall Un tunnel de transfert de donnes va tre ouvert entre le client et le serveur : des ports dynamiques sont ngocis dans le protocole FTP Le firewall doit donc savoir lire le protocole FTP pour autoriser ce tunnel parallle : on tend dj vers du firewall applicatif, mme si la finalit concerne le niveau 4 (contrairement au filtre applicatif) De plus, la plupart des routeurs implmentent ce type de filtrage

On se demande alors l'intrt d'un Firewall ddi

Pare-feu applicatif

Le plus rcent. Rpond un besoin nouveau, valeur ajoute par rapport un simple routeur : Pour contourner le filtrage des ports par les firewalls, certains protocoles crent un tunnel TCP sur les ports autoriss :

le firewall ne m'autorise pas faire sortir du Emule sur le port standard

Alors j'utilise le port 80 autoris en sortie

Il est donc ncessaire d'examiner le contenu des paquets passant sur le port autoriss

Le contenu est-il lgitime ? C'est l'objectif du filtre applicatif. Ncessit d'ouvrir la donne dans les paquets

Trs gourmand en processeur Firewall doivent tre plus puissants

Pare-feu identifiant

Les connexions filtres par le firewall sont authentifies par l'utilisateur

On laisse passer en fonction de l'utilisateur qui se connecte

et non plus en fonction de l'adresse IP Voir mme avec un contrleur de domaine Microsoft Des solutions existent pour BSD (authpf) et Linux (NuFW)

Collaboration entre le Firewall et les stations

Pare-feu personnel

L'augmentation de la scurit a amen les pirates a envisager d'autres solutions Il est devenu difficile d'attaquer de l'extrieur

On va donc attaquer de l'intrieur ! En abusant l'utilisateur, il est possible d'installer de trojans sur les machines utilisateurs

Ces trojans excutent des ordres qu'ils vont chercher sur Internet

Puisqu'ils sont autoriss sortir

L'objectif du firewall personnel sur la station, est d'empcher les trojans d'agir

En plus d'offrir la machine une seconde protection contre l'extrieur

Implmentations connues

Versions libres

Netfilter/Iptables, pare-feu libre des noyaux Linux 2.4 et 2.6. Packet Filter ou PF, pare-feu libre de OpenBSD. IPFilter ou IPF, pare-feu libre de BSD et Solaris 10. Ces FW sont trs performants Checkpoint Firewall1 Cisco Pix Juniper Screen OS

Versions propritaires les plus connues