Filtrage IP

Nicolas Ollinger, Universit dOrlans

M2 SIR Scurit des rseaux S4 2014/2015

Contrler les frontires

Un routeur assure linterconnexion de diffrents LAN au

niveau IP (couche 3).

Un pare-feu (firewall) est charg de mettre en uvre une

politique de contrle la frontire :
- faire suivre ou effacer les paquets, les tracer ;
- selon les enttes de couche 2, 3 ou 4 ;
- selon la direction de traverse.

Mise en uvre dune politique de scurit rseau, en

sappuyant sur le dcoupage en sous-rseaux : DMZ, etc

Pourquoi filtrer ?

Restreindre laccs certains services/machines ;

Empcher laccs des services critiques depuis

lextrieur/certains sous-rseaux ;

Sinscrit dans une politique de scurit bien dfinie

qui identifie :
- les ressources critiques protger ;
- les sources possibles dattaques ;
- le niveau de scurit souhait.

Filtrage et encapsulation

Ethernet

IP

TCP

HTTP

change HTTP
segment TCP
paquet IP

Typologie pare-feux

Filtrage stateless
effectu au niveau switch/routeur sur lentte IP

Pare-feu stateful
prend en compte la couche transport et toute la
dure de vie dun change (connexion TCP par
exemple), son sens (client ou serveur ?)

Pare-feu applicatif
inspecte en profondeur jusqu la couche application
(HTTP, FTP, DNS, LDAP, etc) le trafic non chiffr.

March des pare-feux

Check Point (VPN-1, FW-1, et successeurs) ;

Cisco (PIX, ASA) ;

Juniper (NetScreen) ;

SonicWALL

Open Source :
iptables sous Linux, packet filter sous OpenBSD

Contraintes en production

Performances suffisantes :

bande passante (> dbit du LAN) ;

paquets traits par seconde ;

nombre de sessions TCP (stateful).

Sret de fonctionnement : bascule transparente

sur un quipement de secours sans perte dtat.

(1) sous Debian GNU/

Linux avec iptables

Netfilter
[Link]

Un systme de filtrage rseau au niveau du noyau

Linux : permet de mettre en uvre pare-feux, NAT
et toute sorte de modification des paquets.

Un utilitaire iptables en espace utilisateur pour

configurer le filtrage.

paquet iptables

commandes iptables-save, iptables-restore

Concepts

Table (table) : contexte de filtrage (pare-feu, nat, )

Chane (chain) : chaque table est une collection de

chanes prdfinies + de chanes dfinies par
lutilisateur.

Rgle (rule) : une chane est une liste (ordonne) de

rgles de filtrage avec conditions et cible.

Cible (target) : action entreprendre si la rgle

sapplique, peut-tre le nom dune chane ou une action
spciale ACCEPT, REJECT, DROP, QUEUE, RETURN,

Debug
La cible LOG permet dcrire un rsum du paquet
dans le journal systme (dmesg).
iptables -t nat -I PREROUTING -j LOG \
--log-prefix "BLOP: "

iptables [-t filter]

sockets

INPUT

Routage

OUTPUT

FORWARD

paquets circulant sur les interfaces rseau

iptables
iptables -N machaine : crer une chane
iptables -X machaine : effacer une chane
iptables -P machaine cible : cible par dfaut
iptables -L : lister les rgles
iptables -A : ajouter une rgle
iptables -I : insrer une rgle
iptables -D : supprimer une rgle

Cibles
-j ACCEPT : fin de traitement, le paquet est accept.
-j REJECT : fin de traitement, le paquet est refus avec un
envoi dun message derreur ICMP.
-j DROP : fin de traitement, le paquet est refus.
-j RETURN : termine le parcours de la chane courante.
-j machane : parcourt machane (jump).
-g machane : continue le traitement dans machane (goto).

Conditions simples
-p [!] {icmp,udp,tcp,all} : teste le protocole
-s [!] address[/mask] : teste ladresse source
-d [!] address[/mask] : teste ladresse destination
-i [!] interface : teste linterface dentre
-o [!] interface : teste linterface de sortie

-p icmp

[!] --icmp-type typename : teste le type de

message ICMP (echo-request, destinationunreachable, )

-p udp
[!] --sport port : teste le port UDP source
[!] --dport port : teste le port UDP destination

-p tcp
[!] --sport port : teste le port TCP source
[!] --dport port : teste le port TCP destination
[!] --tcp-flags mask comp : teste les drapeaux
parmi SYN ACK FIN RST URG PSH ALL NONE.
[!] --syn : quivalent
--tcp-flags SYN,ACK,FIN,RST SYN.

-m state
[!] --state tat : teste ltat dun change (TCP,
ICMP, UDP) parmi
- INVALID : oups !
- ESTABLISHED : connexion en cours ;
- NEW : dbut de connexion ;
- RELATED : associ une connexion existante.
Ex: iptables -A INPUT -m state \
--state ESTABLISHED,RELATED -j ACCEPT

-m recent
Maintenir des listes dadresses IP (par dfaut ladresse source).
--name maliste : liste concerne
[!] --set : ajoute ladresse la liste
[!] --rcheck : teste si ladresse est dans la liste
[!] --update : teste la prsence + ajoute un hit
[!] --remove : supprime de la liste
[!] seconds ticks : limite la rechercher dans le temps
[!] hitcount hits : compte le nombre doccurrences

(2) sous Cisco/IOS

avec les ACLs

Access Control Lists

Une liste de contrle daccs (ACL) est un objet

nomm dfinissable sous IOS qui dcrit des rgles
simples de filtrage.

standard ACL : couche rseau uniquement et ne

vrifie quune seule adresse IP ;

extended ACL : filtrage selon adresses IP source

et destination mais aussi ports UDP/TCP.

5$"*(%%#%&'(&,$-+,(2(3,&'&;#3(&<!>

6$$,CD'4'>#-'
<.9#&+'S'E,F+$&$

O.+%?'
PQ3

/-C",'4#'
<.9#&+'S'
F'>,-+&$E.%&'
4&'
4&*+,-.+,"-

O.+%?'
PR3

1/PO:5

M
T

1.9#&+'
$&U&+D

O.+%?'
8.*+'P3

M :2<F,%,+')&-=
)/MT

Application des ACLs

Une ACL est associe une interface par un accessgroup qui spcifie un sens (in/out) dapplication.

interface Ethernet0/1
ip address [Link] [Link]
ip access-group 101 in
access-list 101 deny icmp any [Link] [Link] echo
access-list 101 permit ip any [Link] [Link]

Chaque interface ne dispose que dun access-group

entrant et dun access-group sortant.

T.(2E0(%&%+2E0(%&'(&')8+3+,+"3%&'&;<!>%&
%#$&$"#,($%&!4A!O&?U@
6 J$"#"+(%)#&),-..&0*()!"#$%%&''()!'*#&+*&,-&-)>-/%),%?(%)/0()FGE)
?$(0*/(C
!"#$%!&'(()"*+($
,*$%!()"*+-.#!/$-"*()"00/*123("*%(4%!(5-*%6((,*1(7-$8(9:;<=>6
!"#$%!&?)"*+-.@'-4(/))%22A5-2$(%B$%*1%1(C9<D,$8%!*%$ED-*
$"#,($U?*"38+1=(.,=3-*0@V(4%!0-$(-4(/*F(/*F(5".
6 F>>#"=/(%)#8FGE)(0)(0$%?()Q)"0D-/0*)R)+/%)#)8"0$(%B&,()U$5(%0($^
!"#$%!&'(()"*+($
,*$%!()"*+-.#!/$-"*()"00/*123("*%(4%!(5-*%6((,*1(7-$8(9:;<=>6
!"#$%!&?)"*+-.@'-*$(%E
!"#$%!&?)"*+-.A-+@'-4(/))%22A.!"#4(C9<D,$8%!*%$ED-*(-*

T.(2E0(%&%+2E0(%&'(&')8+3+,+"3%&'&;<!>%&%#$&
$"#,($%&!4A!O&?W@
6 J0()FGE)/0)>(/)>#/+)/$"#(&
!"#$%!&?)"*+-.@'-4(/))%22(5-2$(C9<D,$8%!*%$&D-*
!"#$%!&?)"*+-.(A%B$A*/)5@'4%!0-$($)4(/*F(8"2$(&EG6H6IE6H(%J(777
!"#$%!&?)"*+-.(A%B$A*/)5@'4%!0-$($)4(/*F(8"2$(&EG6H6IE6H(%J(20$4
!"#$%!&?)"*+-.(A%B$A*/)5@'1%*F(-4(/*F(/*F(5".
!"#$%!&?)"*+-.(A%B$A*/)5@'%B-$
!"#$%!&?)"*+-.@'%B-$
!"#$%!&'28(/))%22(5-2$(C9<D,$8%!*%$&D-*
!"#$%!&'28(/))%22A5-2$(C9<D,$8%!*%$&D-*
,B$%*1%1(KL(/))%22(5-2$(C9<D,$8%!*%$&D-*
((((4%!0-$($)4(/*F(8"2$(&EG6H6IE6H(%J(777
((((4%!0-$($)4(&E6H6&6E(E6E6E6IMM(8"2$(&EG6H6IE6H(%J(20$4
((((1%*F(-4(/*F(/*F(5".

T.(2E0(%&%+2E0(%&'(&')8+3+,+"3%&'&;<!>%&%#$&
E)$+EC)$+7#(%&!4A!O&?X@&F&#3(&<!>&E0#%&
*"2E0L,(
E($2+,&+E&UWYJUUJUJZ&ZJZJZJW[[&UZJUJYJZ&ZJZJZJW[[&?XWZ\W\&2-,*C(%@
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJYXJUZ&(7&,(03(,
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJY]JU^&(7&[YXU&?YY_[_&2-,*C(%@
E($2+,&+E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJUJ^&?]][X&2-,*C(%@
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJYXJU&(7&,(03(,&?W\\&2-,*C(%@
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJYXJUZ&$-31(&U^ZZ&U^\\
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJYXJWZ&(7&W[Z[&?Y^[_&2-,*C(%@
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJYXJU\&(7&[YXU
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJYXJWZ&(7&W[Z_&?U]U]X&2-,*C(%@
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJYXJU&(7&X]\&?]^W&2-,*C(%@
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJYXJX&(7&X]\
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJYXJWZ&(7&W[ZX&?[__&2-,*C(%@
E($2+,&,*E&UWYJUUJUJZ&ZJZJZJW[[&C"%,&UZJUJYXJUZ&(7&U[ZZ
'(3`&+E&-3`&-3`&0"1&?_Z&2-,*C(%@

ACLs 101

Il y a une rgle deny explicite la fin ;

Le parcours sarrte ds quune rgle sapplique ;

Toujours crire les rgles les plus restrictives en tte de liste ;

Loption log permet de journaliser les paquets ;

Les ports se contrlent avec eq et une plage de ports sindique

avec range ;

Le mask permet de spcifier des plages dIP ;

Les ACLs sont stateless.

Cisco PIX/ASA

Appliance de type pare-feu (+ NAT, VPN, etc)

Filtrage stateful TCP/UDP/ICMP

Principe simple : un security-level par interface

Par dfaut (sauf ACL contraire) le trafic ne peut

qualler vers des interfaces de niveau de scurit
infrieure.

Sret de fonctionnement (failover)

!--- Configure the inside interface.

!
interface Ethernet3
nameif inside
security-level 100
ip address [Link] [Link]
!
!--- Configure the outside interface.
!
interface Ethernet4
nameif outside
security-level 0
ip address [Link] [Link]
!
!--- Configure dmz interface.
!
interface Ethernet5
nameif dmz
security-level 10
ip address [Link] [Link]
!
!--- Allow outgoing SMTP connections
access-list dmz_int extended permit tcp host
[Link] eq smtp any

(3) sous OpenBSD

avec pf

OpenBSD pf

Une alternative Open Source performante

Mcanisme de rplication (CARP) sans perte dtat

(pfsync)

Pare-feu stateful sans inspection applicative

Configuration dans /etc/[Link]

Activation des modifications avec pfctl

Debug avec pftop

Principe

Liste de rgles avec action et conditions

Pour chaque paquet on parcourt toutes les rgles

La dernire dont on vrifie les critres est

applique sauf si le mot-cl quick apparat.

Exemple
# rgle par dfaut
block log all
# autorise tout trafic sortant
pass out quick all keep state
# autorise ICMP entrant
pass in quick proto icmp
# autorise HTTP entrant
pass in quick on en0 proto tcp to [Link] port http

(4) Conclusion

Pare-feux en entreprise

Un outil essentiel pour segmenter un rseau IP

Filtrer le trafic provenant de rseaux peu srs :

internet, intersite, interconnexions.

Isoler des ressources ddies une application

ou un client.

Filtrage IP

sur les switches : filtrage stateless, trs basique ;

sur les routeurs : filtrage state{less/ful} simple ;

sur les pare-feux : filtrage stateful et applicatif.

Remarque La frontire entre switch de niveau 3,

routeur et pare-feu a tendance samincir quand on
fait du routage statique.