Chapitre III

Les Pare-feux (Firewalls)

 La Solution Globale

Anti-Virus
Proxy

Applications

Firewall
Réseau
Transport
TCP-UDP
Routeur Réseau
filtrant logique
« Dédier pour mieux
IP-ICMP
résister » R Switch Réseau
filtrant physique

securité informatique
 Motivations

 Evolution des systèmes d’information

 La connectivité d’un réseau local à Internet, permet au monde externe
d’atteindre et d’interagir avec les ressources de ce réseau.
 Difficulté de sécuriser chaque ressource à part:
 Nombre important de machines.
 Différents types d’applications, services, systèmes d’exploitation, et protocoles utilisés,
tous contenant des bugs.

 Besoin de minimiser les risques.

 Utilisation des pare-feux (Firewalls)

securité informatique
 Protocole TCP

protocole Applicatif
Application Application
protocole TCP, UDP
Transport Transport

protocole IP protocole IP
Réseau IP Réseau

Liaison de Network Liaison de

Liaison Liaison
Access
données données
 Format de données

Entête TCP
message – données d’application
Application message

Transport (TCP, UDP) segment TCP données TCP données TCP données

Réseau (IP) paquet IP TCP données

Liaison Trame ETH IP TCP données ETF

Entête IP Queue Liaison

Entête Liaison (Ethernet)
(Ethernet)
Notions de base: Mécanisme d’établissement de
connexion

Mécanisme d’établissement de connexion

(TCP three-way handshake connection establishment )

Les états du clients Les états du serveur

Client Serveur
 Qu’est ce qu’un Firewall

 Interconnecte des réseaux de différents niveaux de confiance.

 Définit un point de passage obligé pour le contrôle et le suivi de trafic.
 Restreindre l’accès aux ressources (information ou services) selon la
politique de sécurité.
 Faire obéir le trafic entrant et sortant à une ensemble de règles de filtrage
 Ex: seul le trafic http est autorisé, seule l’adresse IP [Link] est autorisée.
 Permet d’auditer et de contrôler l’accès.
 Génération d’alertes pour les utilisations malveillantes.
 Fournit une protection contre les attaques (ex: IP Spoofing).
 Représente unendroit commode pour l’implémentation des
fonctionnalités réseaux (ex: translation d’adresses)
Emplacement d’un Firewall (1)
Internet

Firewall

Réseaux protégés
 Qu’est ce qu’un Firewall (2)
Réseau non digne
de confiance
Réseau avec niveau
de confiance X
ALERT!!
Firewall

Réseau local Internet

Routeur

DMZ

Serveurs accessibles
depuis le réseau Internet
securité informatique
Réseau avec Niveau de confiance Y
 Politique de sécurité par défaut

Un système pare-feu contient un ensemble de

règles prédéfinies permettant :
 D'autoriser la connexion (allow) ;
 De bloquer la connexion (deny) ;
 De rejeter la demande de connexion sans avertir
l'émetteur (drop).
 Ce qui n’est pas explicitement permis est interdit. (default
= Deny)
 Ce qui n’est pas explicitement interdit est permis. (default
= Forward)
 Type de Firewalls

 Trois types de Firewalls sont étudiés dans ce cours:

 Firewalls à Filtrage de paquets (Packet-Filtering)
 Stateless (filtrage réseau, introduit sur les routeurs)

 Stateful ( assure le suivi de l'état des connexions de réseau (tels

que les flux TCP ou UDP)
 Passerelle niveau circuit (Circuit-Level Gateway)
 Passerelle niveau application (Application-Level Gateway)
Passerelle niveau circuit
 Firewalls à Filtrage de paquets
 Le plus simple des Firewalls.
 Pour chaque paquet IP rencontré, il décide de le faire passer (forward) ou
de l’éliminer (deny), selon des règles de filtrages.
 Le filtrage se fait depuis et vers toutes les directions (ex: depuis et vers
Internet).
 Règles de filtrage, basées sur l’analyse des champs dans l’entête IP et
TCP:
 Adresse IP source et destination.
 Protocole (TCP, UDP, ICMP, etc).
 Port (TCP ou UDP) source et destination.
 TCP Flags (SYN, ACK, FIN, RST, PSH, etc)
 Type de Message ICMP.…
 Deux types de Firewalls à filtrage de paquets: Stateful, Stateless
 Exemples de règles de filtrage (cas de stateless Packet
Filtering Firewalls)
Packet-filtering Firewall

Internet
[Link]/24
entrant
sortant
Action Prot Sens source Port src destination Port dst flag
Deny IP Sortant [Link]/24 * [Link]/32 *
Allow TCP Sortant [Link]/24 * * 80
Allow TCP Entant * 80 [Link]/24 * ACK
Deny IP * * * * *
 Règle1: Toute connexion depuis le réseau interne ([Link]) vers la machine suspecte
[Link] est bloquée.
 Règle2: Seulement les connexions HTTP (TCP, port 80) depuis le réseaux interne ([Link])
sont permises.
 Règle3: Seulement la trafic web en réponse à une connexion déjà initiée du réseau interne
sera accepté de l’extérieur.
 Règle4: La politique de sécurité par défaut.
 Limitation des Firewalls à filtrage de paquets (type
stateless)

 Connexion TCP.
 Port serveur inférieur à 1024.
 Port client compris entre 1024 et 16383.
 Les Ports <1024 sont affectés de façons permanente.
 FTP: 20,21 – Telnet: 23 – SMTP: 25 – HTTP: 80

 Tousles Ports >1024 doivent être disponibles aux clients

pour faire leurs connexions.
 Ceci créé une vulnérabilité qui peut être exploitée par les
intrus.

securité informatique
 Stateless Packet-Filtering Firewall Serveur Telnet
Client Telnet

[Link] [Link]

Cohérent avec le paquet précédent

Pas de cohérence avec la connexion en cours

Ceci présente une limitation pour les Firewalls de type stateless packet filtering
 Solution: utilisation de Firewalls
de type stateful packet filtering
 Stateful Packet filtering Firewalls

 Renforce les règles de filtrage en suivant l’état des connexions:

Port Etat de la
@IP Src @IP Dst Port dst
Src connexion
[Link] 1990 [Link] 80 Etablie
[Link] 1234 [Link] 23 Etablie
[Link] 2562 [Link] 80 Etablie
… … … … …
 Si un paquet représente une nouvelle connexion, alors vérification des règles de
configuration
 Si un paquet fait partie d’une connexion existante (ex: TCP flag ACK activé),
alors vérification dans la table d’état des connexions, puis mise à jour de la table.
 Le trafic entrant vers un port « x » supérieur à 1024, est autorisé seulement s’il
est en direction d’une minfériNeiuzraràch1aa0b2a4niachine qui a déjà établie une
connexion avec un port source et un port desesctiunra itétiio
nfn
oré
mgaa
tiqluà
e « x ».
 Stateful Packet-Filtering Firewall Serveur Telnet
Client Telnet

[Link] [Link]

Le Firewall se souviendra
De cette information

Cohérent avec le
paquet précédent

Pas de cohérence
avec la connexion
en cours

139 securité informatique

 Firewalls à filtrage de paquets: avantages et
inconvénients

 Avantages
 Simplicité du fonctionnement.
 Rapidité dans le traitement.
 Transparence aux utilisateurs.
 Inconvénients
 Ne protège pas contre les attaques qui exploitent des vulnérabilités sur les
applications (ne bloque pas certaines commandes).
 Les fichiers logs générés ne contiennent pas d’informations assez pertinentes
(seulement: @IP, ports).
 Ne supporte pas des mécanismes avancés d’authentification des utilisateurs.
 Une simple erreur dans la configuration des règles peut casser toute la
sécurité.
 Attaques sur les Firewalls à filtrage de paquets

 Usurpation d’adresse IP (IP address spoofing)

 L’intrus envoi un paquet de l’externe avec une fausse @IP
(généralement égale à une @IP d’une machine interne), afin de
réussir à passer le mécanisme de filtrage.
 Solution: bloquer tout paquet entrant (venant de l’interface
externe) ayant une @IP source interne.
 Fragmentation de paquets (Tiny fragment attacks)
 Un paquet IP est divisé en plusieurs fragments, où seul le premier
fragment contient le numéro de port.
 Insuffisance d’informations pour filtrer ces paquets.
 Solution: rejeter les paquets fragmentés ou les rassembler avant
vérification.
146

Les Systèmes de Détection

d’Intrusions (IDS)
 Attaques et intrusions

147

> Attaque
 Recherche de failles dans le réseau et son exploitation
> Intrusion
 Prise de contrôle d’une machine
> Différents types d’attaques :
 Virus
 Spoofing (IP, ARP, DNS)
 DoS (Denial of Services)
 Bugs
 etc.
 Sécurité active et passive

148

> Sécurité active

Filtrer et bloquer des flux (IPS)

> Sécurité passive

Détection/Reconnaissance d’intrusions (IDS)
 systèmes de détection
149
d'intrusions IDS
On appelle IDS (Intrusion Detection System)
un mécanisme écoutant le trafic réseau de
manière furtive afin de repérer des
activités anormales ou suspectes et
permettant ainsi d'avoir une action de
prévention sur les risques d'intrusion
 Définitions
150

 Intrusion: Ensemble d’actions entraînant la compromission

de la sécurité (intégrité, confidentialité, disponibilité,
etc.) de l’information possédée par une organisation.
 Détection d’Intrusions: L’identification de
 Ceux qui utilisant le système sans autorisation (ex: intrus).
 Ceux qui ont un accès légitime au système mais sont en
train d’abuser de leurs privilèges.
 Les tentatives d’utilisation aux systèmes sans autorisation et
les tentatives d’abus de privilèges.
 Définitions
151
 Système de Détection d’Intrusions: un système
informatique permettant de
 Analyse en temps réel ou différé des évènements en
provenance des différents systèmes.
 Détection des signes de violation de la politique de
sécurité.
 Alerte en cas d’occurrence d’une attaque
 Collecte des traces d’intrusions pour servir comme preuve.
 Réaction aux attaques.
IDS : logiciel + matériel
152
IDS : logiciels
153
 IDS : actions
154

Un IDS peut avoir plusieurs actions :

 Générer des alarmes sans bloquer les paquets

 Mettre fin « poliment » aux sessions suspectes
 Bloquer les sessions suspectes

Des alarmes sont générées dans tous les cas !

Nizar chaabani securité informatique

 Les systèmes de détection et de prévention d’intrusions
Les différents types d’IDS/IPS

155

> N-IDS & H-IDS

 Détection d’intrusions sur le réseau/hôtes
 Sécurité passive

> N-IPS & H-IPS

 Prévention des intrusions sur le réseau/hôtes.
 Défense proactive
 Fonctionnalité intégrée aux firewalls
 Un IPS ne remplace pas un firewall

> IDS Hybrides

 Surveillance du réseau et de terminaux
 NIDS + HIDS
 Les systèmes de détection et de prévention d’intrusions
Faux positif et faux négatif

156

> Alertes formatées

 IDWG (IETF) – « Intrusion Detection Working Group »: standardisation
 Norme IDMEF – « Intrusion Detection Message Exchange Format » (RFC 4765)
 XML
 Protocole IDXP – « Intrusion Detection eXchange Protocol » (RFC 4767)
 Encore au statut expérimental

> Faux positif

 Détection erronée

> Faux négatif

 Non détection d’un paquet malicieux
 Les systèmes de détection et de prévention d’intrusions
Détection d’intrusions

157

Approche par scénarios et approche comportementale

Approche par scénarios
 Recherche de motifs (Pattern matching)
 Facilité de mise à jour.
 Limite : « 0 day » et modification des signatures
 Analyse de protocoles : protocoles et conformité
• Exemple : « Ping of death » et fragmentation
 Analyse heuristique
• Exemple : nombre de sessions dépassant un seuil défini
 Les systèmes de détection et de prévention d’intrusions
Détection d’intrusions

158

Approche comportementale
Détection en fonction du comportement passé de l’utilisateur
Exemple de métriques : charge CPU, volumes de données échangées, heures de
connexion, répartition statistiques des protocoles utilisés, etc.

 Approche probabiliste
 Représentation d’une utilisation courante d’une application ou d ’un
protocole.
 Approche statistique
 Quantification des paramètres liés à l’utilisateur
 Utilisation processeurs, mémoire, nombre de connexions sortantes par jour,
vitesse de frappe au clavier, sites les plus visités etc.
 Difficultés de mise en place
Contrôle d’intégrité
 IDS : placement
159

 L’IDS peut être exécuté par :

 Le firewall filtrant
Networ-
based  Un équipement spécialisé qui va alors agir sur les filtres
IDS du firewall. Cet équipement doit être placé en série ou en
(NIDS) sonde à l’entrée du réseau
 Cet équipement doit avoir de bonnes capacités de
traitement car il vérifie tous les flux !
Host-  Sur un serveur particulier pour protéger ce serveur
based  Peut aussi être compliqué quand il y a beaucoup de
IDS serveurs
(HIDS)
IDS : placement
160

L’IDSpeut être placé de deux manières :

 In-line : en série
🞑 Inspecte forcément tout le trafic
🞑 Peut directement agir sur le trafic par
IDS
filtrage

IDS

 Passive Monitoring : passif ou sonde

🞑 N’est pas obligé de tout inspecter
🞑 Fait agir le routeur ou la firewall HUB

(retard)
 IDS : placement
161
Routeur interne Firewall Routeur filtrant

DMZ
IDS IDS

• En tête de réseau, on compare ce que détecte l’IDS sur le lien

public, avec ce qu’il détecte après le premier filtrage
• Si il y a des VPNs sur le firewall, le premier IDS ne verra rien
dans les paquets cryptés
• Il faut donc en utiliser un autre avant le réseau interne
• Le coût peut être très élevé
Nizar chaabani securité informatique
 Console d’analyse ACID pour Snort
162
 Console d’analyse ACID pour Snort
163
 Où placer l’IDS
169

Sonde Sonde
Sonde

 Sonde sur le réseau externe:

 Visualise tout le trafic (y compris celui bloqué par le Firewall).
 Permet de donner une idée sur la nature des attaques et des intrus.
 Beaucoup de faux signaux (bruit).
 Sonde sur le réseau interne:
 Analyse le trafic ayant réussi à surpasser le Firewall.
 Analyse les attaques internes.
 Sonde sur la DMZ:
 Analyse lNesi zaartctahaqaubeasnaiyant réussi à asetceuirntidérni efolermsasetiqruveeurs publiques..
182

 Les systèmes de détection des intrusions (IDS)

analysent le trafic réseau pour détecter des signatures
correspondant à des cyberattaques connues. Les
systèmes de prévention des intrusions (IPS) analysent
également les paquets, mais ils peuvent aussi les
bloquer en fonction du type d’attaques qu’ils détectent,
ce qui contribue à stopper ces attaques.
182

Les IDS (Intrusion Detection Systems) : analysent et

surveillent le trafic réseau pour détecter des signes
indiquant que des hackers utilisent une cybermenace
connue afin de s’infiltrer dans votre réseau ou y voler des
données. Les systèmes d’IDS comparent l’activité réseau
en cours avec une base de données d’attaques connues
afin de détecter divers types de comportements tels que
les violations de la politique de sécurité, les malwares et
les scanners de port.
182

Les IPS (Intrusion Prevention Systems) : agissent dans la

même zone du réseau qu’un pare-feu, entre le monde
extérieur et le réseau interne. Les IPS rejettent de façon
proactive les paquets réseau en fonction d’un profil de
sécurité si ces paquets représentent une menace connue.
174

IP Security Protocol
 Problématique
175
 Le protocole IP fournit une interconnexion à travers des réseaux
différents.
 Implémentation dans les terminaux utilisateurs et dans les routeurs
intermédiaires.
 IP est un protocole peu fiable:
 Les datagrammes IP peuvent être perdus.
 Les paquets IP peuvent parvenir de façon désordonnées.
 TCP s’occupe de ce problème.
 Le contenu des paquets (Payload) n’est pas crypté.
 La confidentialité n’est pas fournie.
 Les sniffers IP sont largement disponibles sur le net.
 Les adresses IP peuvent êtres spoofées.
 L’authentification basée sur les adresses IP peut être cassée.
 IP n’est pasNizsaérccu
harais
bé
a n.i securité informatique
 IPSec
176

 Mécanisme de sécurité pour IP.

 Fournit une authentification et une confidentialité au niveau IP.
 Inclut aussi une fonctionnalité de gestion des clés.
 Applications
 VPNs (Virtual Private Networks).
 Interconnexion des LANs à travers le réseau Internet insécurisé.
 router-to-router.
 Accès sécurisé distant (ex: à un fournisseur d’accès).
 individual-to-router.
 Connectivité Extranet et Intranet.
 Amélioration davantage de la sécurité des applications.
 IPSec est mandataire pour IPv6, optionnel pour v4.
 Plusieurs fabricants supportent IPSec dans leurs produits IP v4.
 Scénario d’utilisation de IPSec
177
 Avantages de IPSec
178
 L’implémentation de IPSec sur les Firewalls/routeurs fournit une
sécurité appliquée à tout le trafic entrant et sortant.
 La surcharge de traitement n’affecte pas les ressources du réseau interne.
 Transparence aux utilisateurs: pas besoin d’instruire les utilisateurs, ni de
gérer des clés pour chacun d’entre eux.
 IPSec est implémenté au dessous de la couche transport.
 Transparence aux applications.
 Pas besoin de mettre à jour les applications, même lorsque IPSec est
implémenté au niveau machines utilisateurs.
 IPSec peut fournir la sécurité aux utilisateurs individuels.
 N’est pas d’usage courant.
 Utile au utilisateurs désirant se connecter au réseau en dehors de leurs
bureau.
 Les documents IPSec
179

 RFC2401: An overview of security architecture

 RFC 2402: Description of a packet authentication
extension to IPv4 and IPv6
 RFC2406: Description of a packet encryption extension
to IPv4 and IPv6
 RFC 2408: Specification of key management
capabilities.
 Protocoles IPSec
180
 Authentication Header (AH)
 Définit le protocole d’authentification.
 N’utilise pas de cryptage.
 Encapsulating Security Payload (ESP)
 Utilise le cryptage et optionnellement l’authentification.
 Algorithmes de cryptage qui supportent ces protocoles.
 Distribution et gestion des clés : IKE
 Services IPSec
181

ESP (cryptage ESP (cryptage +

AH
uniquement) authentification)
Contrôle d’accès 🗴 🗴 🗴
Intégrité 🗴 🗴
Authentification d’origine 🗴 🗴
Rejet des paquets rejoués 🗴 🗴 🗴

Confidentialité 🗴 🗴

Analyse de trafic limitée 🗴 🗴

 Le contrôle d’accès est fournit à la fois par AH et ESPgrâce à un

mécanisme de distribution des clés cryptographiques