firewall
DESS Réseaux, année 2000-2001 Biblio – Premier Trimestre Christophe LEITIENNE Laurent THEVENARD Mathieu TROCHET Les Firewall Sommaire STYLEREF 3 STYLEREF 9 17 STYLEREF 27 STYLEREF 33 STYLEREF 38 43 STYLEREF 45 Chapitre 1 orq2 Sni* to View Problématique, enjeux Dans un soucis de contrôle et de sécurité sur un réseau relié ? Internet, le firewall paraît indispensable, bien que n’étant pas le seul point de sécurité dont doit disposer l’entreprise. Introduction un firewall Internet est un système ou un groupe de systèmes qui impose une politique de sécurité entre le réseau d’une organisation et Internet.
Le firewall détermine quels services internes d’un réseau peuvent être accessibles de l’extérieur, quels étrangers ont accès aux services internes autorisés, et quels sont les services extérieurs accessibles aux utilisateurs internes. Pour qu’un firewall soit utile, tout le trafic en provenance de, et vers Internet doit transiter par celui-ci, où il peut alors être examiné. informatiques de l’organisation. Les utilisateurs doivent aussi connaitre leurs responsabilités. Tous les points potentiels d’attaque de réseau doivent être protégés avec le même niveau de sécurité.
L’installation d’un firewall Internet sans polltique lobale de sécurité est inutile. Pourquoi a-t-on besoin d’un Firewall ? Pour contrôler le trafic sortant d’un réseau, et notamment éviter que les utilisateurs accèdent à certains nœuds du réseau. Pour sécuriser le trafic entrant d’un réseau, et empêcher certains nœuds extérieurs de se connecter un réseau local. Enfin, pour une question de vigilance, et éviter que certaines machines mal configurées du réseau local n’envoient des données vers rextérieur.
Avantages apportés par le Firewall Contrôle d’accès Un firewall Internet contrôle l’accès entre le réseau privé d’une organisation et Internet. Sans firewall, chaque système hôte sur le réseau privé est exposé aux attaques à partir d’autres centres serveurs sur Internet. Ceci signifie que la sécurité du réseau privé dépendrait de la « qualité » de ces dispositifs, donc du degré de sécurité de chaque centre serveur et serait autant sécurisé que le plus faible de ces systèmes.
Translations d’adresses Il y a quelques années Internet a subi une crise d’adressage des machines du réseau ce qui a fait à des adresses IP enregistrées une ressource moins abondante. Ceci signifie que les organismes voulant se relier à Internet peuvent ne pas obtenir assez ‘adresses IP pour satisfaire les demandes de leurs utilisateurs. Un firewall Internet est un endroit logique pour déployer un traducteu 9 demandes de leurs utilisateurs.
Un firewall Internet est un endroit logique pour déployer un traducteur d’adresses de réseau (Network Address Translator) qui peut aider à alléger le manque d’espace adresse et éllminer le besoin de renumérotation quand une organisation change de provider Internet (Internet Service Provider). Ce que ne peut pas faire un Firewall Les firewall Internet ne peuvent pas protéger contre les types de menaces constituées par des traitres ou des utilisateurs nconscients. Les firewall n’interdisent pas au personnel de l’entreprise de copier des données sensibles sur disquettes ou autres supports, et de les retirer d’un bâtiment.
Les firewall ne protègent pas contre des attaques où un intrus, se faisant passer pour un superviseur ou un nouvel employé, persuade un utilisateur s’y connaissant moins de lui donner son mat de passe ou lui accorder un accès au réseau « provisoire » (on appelle cela le social engineering). Les employés doivent être instruits au sujet des divers types d’attaques et au sujet de la nécessité de changer périodiquement leurs mots de passe. Les firewall Internet ne peuvent pas se protéger contre le transfert de logiciels infectés par un virus. uisqu’il y a tant de différents virus, de systèmes d’exploitation, et de voies d’encoder et de comprimer les fichiers binaires, un firewall Internet ne peut pas être prévu pour balayer exactement chaque fichier pour en détecter les virus potentiels. Les organismes intéressés devraient déployer un antivirus à chaque ordinateur pour s’en protéger. Chapitre 2 Rappels techniques L’objectif d antivirus à chaque ordinateur pour s’en protéger. L’objectif de ce chapitre est de présenter les différentes onctionnalités du protocole TCP/IP, qui pourront devenir des sources de failles dans la sécurité.
Couches de protocoles Rappelons tout d’abord l’empilement des protocoles qui nous intéressent, autrement dit IP (et ICMP), puis TCP et les protocoles applicatifs standards tels que FTP ou HTTP: Figure 2 – Couches des protocoles Internet, IP, TCP et applicatifs IP Pour bien comprendre le principe de fonctionnement d’un Firewall, il est très important de bien situer chacun des protocoles dans les couches et d’être familiarisé avec la structure d’une trame IP Figure 3 En-tête de paquet IP ICMP
ICMP est un protocole que l’on associe généralement à IP, bien qu’il soit en fait encapsulé dans IP. ICMP est utilisé pour des questions de routage, notamment pour savoir si une machine est accessible ou si des paquets ont été détruits. En particulier, le message « Ping », et sa réponse « Echo » permettent à une machine d’en interroger une autre pour savoir si elle est accessible. TCP TCP est un protocole « connecté », qui ajoute la notion de port (local et distant).
C’est souvent le moment de l’établissement de la connexion TCP qui est utilisé pour les attaques, c’est pourquoi ous en rappelons les étapes : Figure 4 – Phase d’établissement d’une connexion TCP (3 way handshake) 9 d’attaques sont relativement connus, car ils ont fait l’objet de nombreux faits divers sur le réseau Internet, tels que le « Denial Of Service Mais ce n’est pas le seul, les attaques possibles envers les serveurs TCP/IP sur Internet sont nombreuses. Déni de service (Denial Of Service) Cette technique (attaque de type syn_flooder) est une procédure distante qui provoque la paralysie d’un système.
La méthode employée est très simple et repose sur le mécanisme d’établissement de connexion TCP : a machine A souhaitant communiquer avec la machine B, lui envoie une demande de connexion (paquet SYN). La machine B peut accepter et dans ce cas elle renvoie un accusé de réception positif. A doit alors également envoyer un accusé de réception à B pour établir la connexion, mais ne le fait pas. La connexion est dite « semi-ouverte Y, utilisant les ressources de la machine 3.
La machine A peut émettre une grande quantité de demandes de connexions de la sorte, sans jamais valider la connexion (notamment si les paquets SYN de demande de connexion sont émis avec une adresse source inconnue). De cette manière, les orts de la machine distante sont inaccessibles car ils attendent les réponses de A. Tout le problème pour le hacker est de dissimuler son identité. Spoofing IP Figure 5 Spoofing IP, usurpation d’adresse IP Ce type d’attaque implique l’usurpation d’une adresse source, la machine du hacker se faisant passer pour une autre.
Sur un réseau, la machine Ba une relation d’approbation de A (B peut exécuter des commandes à distance pour l’autre sans qu’aucune authentificati PAGF s 9 d’approbation de A (B peut exécuter des commandes à distance pour l’autre sans qu’aucune authentification autre que l’adresse ource ne soit requise). Ce type de relation est nécessaire pour que le Spoofing IP puisse marcher. Le hacker utilise la machine H et souhaite accéder à A. Pour cela, il exploite la relation d’approbation de B.
Dans un premier temps, il lui faudra paralyser la machine B par une technique quelconque (syn_flooding par exemple). Ainsi, quand A enverra des requêtes à B celle-ci ne pourra pas lui répondre, mais la machine H répondra à la place. Si ces manœuvres ont réussi, le hacker pourrait par exemple ouvrir une session sur A sans mot de passe. Scanner Un scanner est un outil qui détecte automatiquement les aiblesses de sécurité d’un hôte distant ou local. Ils peuvent notamment analyser les ports TCP/IP de la cible (Telnet, FTP, HTTP… . Cela leur permettra par exemple de savoir si la cible autorise une connexion anonyme. Mais le scanner ne renvoie pas des donnees aisement compréhensibles : l’utilisateur doit savoir les interpréter pour détecter d’éventuelles failles. Les scanners sont des outils légaux, puisqu’ils sont nécessaires aux administrateurs pour analyser et vérifier leur système. Toutefois, leur utilisation par toute personne sur un hôte dont elle n’est pas administratrice sera perçue comme illégale. Un scanner a 3 fonctionnalités principales .
Etre capable de localiser une machine ou un réseau : si le hacker ne connait pas Vadresse IP de l’hôte qu’il souhaite attaquer, ou s’il souhaite attaquer seulement un certain type de mach 6 9 souhaite attaquer, ou s’il souhaite attaquer seulement un certain type de machine (selon l’OS par exemple), il doit pouvoir utiliser le scanner sur un certain intervalle d’adresses IP pour tester automatlquement une sesslon Telnet dessus, et donc voir si la machine répond et possède le bon système d’exploitation. Pouvoir détecter les services exécutés sur un hôte. ??tre en mesure de tester ces mesures pour détecter une éventuelle faille. Ping Il peut être utilisé pour localiser une machine particulière et pour déterminer son accessibilité. Cet outil simple peut être utilisé dans un programme qui recherche chaque adresse possible sur un réseau pour construire une liste de serveurs résidants sur le réseau. Protocole SNMP Il peut être employé pour tenter d’examiner la table de routage d’un routeur pour connaître la topologie du réseau de l’organisation cible.
Protocole WHOIS C’est est un service d’information qui peut fournir des données u sujet des DNS (Domain Name Server) et des administrateurs responsables de chaque domalne. Serveurs DNS Ils permettent d’accéder à une liste d’adresses IP de machines avec leurs noms d’hôte correspondants. Le protocole ANGER Il peut donner des informations détaillées sur les utilisateurs (nom de login, numéro de téléphone, heure de derniere connexion… ). Utilitaire Host Cette commande permet d’obtenir des informations sur les machines liées à un serveur de domaine NIS.
Utilitaire Traceroute Cette commande permet, comme son nom l’indique, de visualiser le chemin reliant deux machines. Elle utilise le champ TTC d PAGF 7 9 visualiser le chemin reliant deux machines. Elle utilise le champ TTC de Yen-tête du paquet IP pour obtenir une réponse ICMP du type TIME_EXCEEDED, donc que le paquet à été détruit lors de son acheminement. Cette erreur ICMP, recherchée avec des paquets successifs dont le TTC est à chaque fois incrementé, permet de connaître le cheminement des paquets pour joindre le destinataire terminal.
Sniffers Un sniffer est un dispositif logiciel ou matériel de lecture des informations qui transitent sur un réseau (de nombreux protocoles sont supportés). Le sniffer place tout d’abord la carte réseau dans le mode ? promscuous » : la station écoute tout ce qui transite sur le réseau, que les messages lui soient adressés ou non. Pour un hacker, il sera alors très important de placer le sniffer à un emplacement stratégique (par exemple près d’une machine recevant de nombreux mots de passe et identifiants).
Un sniffer captant tous les paquets transmis sur un réseau, il serait impensable de récupérer la totalité de chaque paquet. Il est ainsi possible de paramétrer le sniffer pour qu’il ne récupère que des données utiles par exemple les 200 premiers octets de chaque paquet (qui ontiennent bien souvent les mots de passe et identifiants), ou même qu’il ne récupère que les paquets qui contiennent une ou plusieurs chaînes de caractères données (ex: root, passwd… ). Le principal problème pour les administrateurs est que le sniffer est un application passive qui ne laisse donc aucune trace sur le réseau.
Les principales ressources à utiliser devront donc l’être pour la prévention plutôt qu pour la prévention plutôt que pour la détection : isoler les machines sensibles sur des réseaux distincts (ex: passerelles bien placées… ), peu de liens d’approbation entre les réseaux (sauf orsque cela est vraiment nécessaire), cryptage des paquets afin que même captés ils ne délivrent aucune information… Attaques possibles après l’intrusion Le hacker peut essayer de détruire les traces de son attaque et ouvrir de nouvelles failles dans la sécurité afin d’avoir un accès continu même si l’attaque initiale est découverte.
Il peut installer des modules de packet sniffing et des chevaux de Troie qui cachent l’activité de sniffing sur les systèmes installés. Le snifflng permettra par exemple de rassembler des noms et des mots de passe d’utilisateurs utilisables avec les services TELNET et FTP. Il peut trouver d’autres hôtes qui font confiance au système compromis. Ceci permet à l’intrus d’exploiter les vulnérabilités d’un centre serveur simple et d’écarter l’attaque à travers le réseau de l’organisation entière.
Si l’intrus peut obtenir l’accès privilégié sur un système compromis, il peut lire le courrier, rechercher les fichiers personnels, les voler, détruire ou altérer des données importantes… La position de l’administrateur système En concevant un firewall Internet, il y a un certain nombre de décisions qui doivent être prises par l’administrateur réseau : ’emplacement du firewall, la politique globale de sécurité de l’organisation, le coût financier du firewall et les composants du firewall.
Position du sy PAGF 9 de l’organisation, le coût financier du firewall et les composants du firewall. Position du système de firewall La position d’un système de firewall décrit la philosophie fondamentale de sécurité de l’organisation. Un firewall Internet peut prendre deux positions diamétralement opposées • Tout ce qui n’est pas spécifiquement autorisé est refusé. Cette position suppose qu’un firewall devrait bloquer tout le trafic, t que chaque service ou application devrait être implémenté au cas par cas.
Cette approche est recommandée car elle crée un environnement très strict, puisque seulement des services soigneusement choisis sont autorisés. L’inconvénient est qu’il place la sécurlté avant la facilité d’utilisation, limitant le nombre d’options disponibles aux utilisateurs. Tout ce qui n’est pas spécifiquement refusé est autorisé. Cette position suppose qu’un firewall laisse passer tout le trafic, et que chaque service potentiellement nocif est refusé. Cette approche crée un environnement plus flexible, avec plus de services isponibles à la communauté d’utilisateurs.
L’inconvénient est qu’il place la facilité d’utilisation avant la sécurité, donc il faut un administrateur réseau réactif, et la difficulté d’administration d’un tel réseau s’accroit avec la taille du réseau. Politique de sécurité La politique de sécurité de l’organisation est très utile étant donné qu’un firewall Internet seul ne sert à rien, il faut donc mettre en place une politique globale de la sécurité, qui définit tous les aspects de sa défense. Pour cela, les organismes doivent savoir ce qu’ils protègent. La polit