Techniques de protection dans les

réseaux
CHAPITRE I:

Licence Appliquée en STIC

L2 - Option Sécurité des Réseaux

Iset’Com 2024-2025

Problématique Problématique
La plupart des protocoles réseaux ont une conception simple Faiblesses de configuration des équipements réseaux
légère et non sécurisée Exemple: Pare-feu mal configuré laissant passer un trafic non
autorisé
Pas de couche de sécurité dans le protocole IP
Diverses attaques sur la plupart des protocoles
Pas de véritables mécanismes d’authentification dans les
protocoles réseaux couramment utilisés
Exemples d’attaques: Spoofing, man-in-the-middle …
Faiblesses d’implémentation ou bogues des programmes
(systèmes d’exploitation, applications, piles réseaux)
Développement rapide de logiciels sans règles strictes.
Exemple d’attaques: ping of death, SYN flooding…
 Problématique Approche commune des attaques
En s’appuyant sur ces faiblesses, plusieurs attaques peuvent être Étape 1 : Reconnaissance
lancées permettant de : • Objectif : Collecter des informations sur le système cible.
Influencer le comportement réseau: déni de service, saturation • Outils : Google Dorks, WHOIS, réseaux sociaux.
de la bande passante ..
Étape 2 : Balayage (Scan)
Collecter des informations confidentielles.
• Objectif : Identifier les ports ouverts, les services actifs et les vulnérabilités
Les composantes vulnérables d’un système, souvent exploitées Actions : Balayage de ports + balayage de vulnérabilités +.cartographie du
comme vecteurs d’attaque, sont : réseau
La couche réseau, en charge de connecter le système au • Outils : Nmap (scan de ports), Nessus, OpenVAS (scan de vulnérabilités).
réseau
Étape 3 : Exploitation
Le système d’exploitation, en charge d’offrir un noyau de
• Objectif : Exploiter les vulnérabilités
fonctions au système
• Actions : Exploitation failles réseaux, applicatives
La couche application, en charge d’offrir des services
spécifiques. • Outils : Metasploit, exploit kits.

Approche commune des attaques Attaques directes/indirectes

Attaques directes:
Étape 4 : Maintien de l’accès Description: L’attaquant attaque sa victime et expose son identité.
• Actions : Installation de portes dérobées (backdoors), création de Caractéristiques :L'attaquant est identifiable.
comptes utilisateurs non autorisés, installation de logiciels Exemples: Attaques par déni de service (DoS) direct., exploitation
malveillants (ex : chevaux de Troie, rootkits). directe d'une vulnérabilité sur un serveur.

• Outils : Netcat, outils de création de backdoors.

Attaque directe
Étape 5 : Effacement des traces
• Objectif : Masquer les preuves de l’intrusion pour éviter la détection. Attaques indirectes par rebond:
• Actions :Suppression ou modification des logs (journaux d’activité) Exploite un système intermédiaire, qui a pu être compromis
, utilisation de techniques pour brouiller les pistes (ex : attaques par précédemment. Celui-ci envoie l’attaque vers le système cible.
rebond, utilisation de proxys). L’identité de l’attaquant est masquée, et les ressources du système
intermédiaire sont utilisées.
• Outils : Scripts de nettoyage, outils de manipulation des logs.
Exemple: Utilisation de machines zombies dans un botnet pour lancer
une attaque DDoS.
 Attaques directes/indirectes Les attaques réseaux
Attaques indirectes par réponse: Attaques permettant de dévoiler le réseau :
L’attaquant envoie une requête au système intermédiaire, et c’est la Attaques pour cartographier le réseau
réponse à cette requête qui est envoyée au système cible. Attaques par identification des systèmes réseaux
Offre à l’attaquant les mêmes avantages que l’attaque précédente. Attaques par balayage ICMP, Attaques par balayage TCP,
Possibilité de l’utilisation d’une usurpation d’adresse IP source Empreinte du réseau d’un système d’exploitation
Attaques par traversée des équipements filtrants
Attaques par fragmentation des paquets IP
Attaque indirecte
par rebond Attaques permettant d’écouter le trafic réseau: sniffing
Attaques permettant d’utiliser des accès distants WiFi de façon non
autorisée (absence de mécanismes d’authentification).
Attaques permettant d’interférer avec une session réseau:
Man in the middle, DNS ID spoofing …
Attaque indirecte
par réponse Attaques permettant de mettre le réseau en déni de service:
Ping Of Death, TCP SYN flooding …

Attaques pour cartographier le réseau Attaques pour cartographier le réseau

Objectif: Connaitre des informations sur les chemins vers d’autres réseaux: Principe de fonctionnement de traceroute:
points d’interconnexion …
Utilisation d’outils tels que Traceroute (ou tracert) pour visualiser le
chemin suivi par un paquet d’un hôte à un autre
Principe de fonctionnement de traceroute:
Traceroute (envoi des paquets à un port UDP non utilisé (port 33434 par
défaut)avec un TTL (Time To Live) valant 1.
TTL: un champ de durée décrémenté à chaque passage d’un routeur.
Si TTL=0, le routeur considère que le paquet tourne en boucle, détruit ce paquet
et envoie une notification ICMP à l’expéditeur
Le premier routeur rencontré va supprimer le paquet et renvoyer un paquet
ICMP donnant l’adresse IP du routeur et le temps de propagation en boucle.
Traceroute incrémente séquentiellement la valeur du champ TTL, de manière
à obtenir une réponse de chacun des routeurs sur le chemin.
Fin de traitement: obtenir une réponse « ICMP port unreachable» de la part
de la machine cible
 Attaques par identification des systèmes réseaux Attaques par identification des systèmes réseaux

Objectif: identifier tous les systèmes présents (ainsi que leurs Attaque par balayage ICMP (ICMP scan):
services et les systèmes d’exploitation employés) dans le but de Objectif: dresser une liste des systèmes actifs sur un sous-réseau
dresser les futurs moyens de pénétration du réseau ou des
Principe
systèmes qui le composent.
L'attaquant envoie un paquet ICMP Echo-Request (ping) à une ou
Plusieurs attaques possibles: plusieurs adresses IP.
Attaques par balayage ICMP (ICMP scan) Le serveur répond par un paquet ICMP Echo-Reply.
Attaques de découverte de services L’attaquant identifie ainsi les systèmes actifs sur le réseau.
Exemple: Attaques par balayage TCP
Empreinte du réseau d’un système d’exploitation

Attaques de découverte de services

Attaques par identification des systèmes réseaux

Attaque par balayage ICMP (ICMP scan):

Rappel:
Chaque service offert par un serveur se met en écoute sur un
Deux types de balayage ICMP
port particulier.
1. Balayage séquentiel (Scan individuel) :
Les numéros de ports sont attribués suivant le document
L’attaquant interroge chaque adresse IP possible dans le sous-réseau. standard RFC1010.
0 16 31
Avantage: Précision (détection de chaque machine individuellement). Port source Port destination
Inconvénient : Lent et bruyant (génère beaucoup de trafic). Numéro de séquence
Numéro d'accusé de réception
2. Balayage par diffusion (Broadcast Scan) : Long 6 bits UAP R S F
en-tête réservé R C S S Y I Taille de fenêtre
L’attaquant envoie un seul paquet ICMP Echo-Request à l’adresse de TCP GKHT NN
diffusion (broadcast) du réseau. Total de contrôle d'en-tête Pointeur d'urgence
Options (0, 1 ou plusieurs mots de 32 bits)
Toutes les machines actives répondent simultanément.
Avantage : Rapide et discret (moins de trafic). Données (optionnelles)

Inconvénient : Moins fiable (certains systèmes ignorent les requêtes

broadcast pour des raisons de sécurité). Entête TCP
 Attaques de découverte de services Attaques de découverte de services

Objectif des attaques: trouver, dans un délai très court, tous les Connect Scan
ports ouverts sur une machine distante
Principe: Attaquant cible

Pour connaître les ports ouverts sur une machine, l’attaque se base
sur la spécificité du protocole TCP.
L’attaquant envoie des demandes au client, et exploite la réponse
Attaquant cible
pour déterminer l’état du port (ouvert, fermé, filtré).
Plusieurs techniques de scan de ports TCP: Connect Scan, Connect
SYN-Scan, Null-Scan, XMAS-Scan …

Attaquant cible

Commande nmap utilisée:

Attaques de découverte de services Attaques de découverte de services

Connect SYN-Scan Null-Scan: envoyer un paquet TCP scan avec tous les flags à 0
Attaquant cible
Attaquant cible

Attaquant cible

Attaquant cible

Attaquant cible

Le scan par défaut de nmap, appelé « Half Open scan » Attaquant cible

Commandes dans nmap:

Commande nmap utilisée:
 Attaques de découverte de services Attaque de prise d’empreinte d’une pile réseau

XMAS-Scan: envoyer un paquet TCP scan avec tous les flags

URG, PUSH et FIN à 1 Objectif: identifier le système exploitation de la cible en analysant
les spécificités de sa pile TCP/IP.
Attaquant cible
Principe:
L’implémentation de la pile TCP/IP est différente d’un système
d’exploitation à un autre.
Attaquant cible En recherchant ces différences, il est possible de reconnaître les
différents systèmes d’exploitation.

Attaquant cible

Commande nmap utilisée:

Attaque de prise d’empreinte d’une pile réseau Ecoute de trafic réseau ( )

Exemples de techniques de prise d’empreinte: Objectif: Intercepter et analyser les données transitant sur un
Surveillance du bit DF (Don’t Fragment) réseau en mode broadcast.
Certains systèmes d’exploitation définissent ce bit afin d’augmenter Principe :
les performances.
Dans un réseau Ethernet, toutes les machines reçoivent les trames
Surveillance de la taille initiale de la fenêtre TCP: la taille de la envoyées en broadcast.
fenêtre TCP varie selon l’OS.
En mode normal, une carte réseau ignore les trames qui ne lui sont
Analyse des numéros d’acquittement des segments TCP pas destinées.
Certaines piles utilisent des numéros de séquences spécifiques. En mode promiscuité, la carte réseau capture toutes les trames,
Analyse du comportement face aux messages ICMP même celles qui ne lui sont pas adressées.
es systèmes d’exploitation implémentent des comportements et des Domaine de collision :
réponses parfois différents face à des messages ICMP non conformes L’attaquant ne peut capturer que le trafic dans le même domaine de
Remarque : La détection d’OS peut être imprécise, car collision (segment réseau partagé).
certaines piles TCP/IP ont des différences minimes ou des
comportements similaires, rendant l’identification moins fiable.
 Attaque par fragmentation des paquets IP Tiny Fragmentation
Rappel: Principe
TCP encapsulé dans IP L'attaquant divise un paquet IP en petits fragments pour forcer la
Les premières générations des filtres appliquent la même règle de division de l’en-tête TCP sur deux fragments :
filtrage à tous les fragments d’un paquet. Fragment 1 : Contient les 8 premiers octets de l’en-tête TCP (ports
Objectif de l’Attaque: source et destination, numéro de séquence).
Contourner un firewall en exploitant la manière dont les paquets IP Fragment 2 : Contient la demande de connexion TCP effective
fragmentés sont traités. (flags).
L'attaquant utilise des fragments IP pour masquer des informations Pourquoi ça marche ?
malveillantes (comme une demande de connexion TCP) et les faire Le Fragment 1 ne contient aucune demande de connexion explicite
accepter par le firewall. (pas de flag SYN), donc le firewall le laisse passer.
Exemples d’attaque: Tiny Fragmentation, Fragments overlapping Le Fragment 2 est associé au Fragment 1 et est également laissé
passer.
Lors de la défragmentation dans la machine cible, le paquet de
demande de connexion est reconstitué et passé à la couche TCP.

Tiny Fragmentation Fragments overlapping

Rappel: Fragment Offset (FO)
Indique la position des données d'un fragment par rapport au début du
paquet original.
Exprimé en unités de 8 octets. Par exemple, un FO de 1 signifie que
les données commencent à l'octet 64 du paquet original.
Si deux fragments se superposent, le 2ème écrase le 1er (RFC 791).
Objectif de l’attaque: passer à travers un firewall
Description:
Le 1er fragment contient des informations TCP acceptées par le
firewall,
Le 2ème réécrit une partie de l’entête TCP placée dans le premier
fragment en plaçant des informations malveillantes
 Introduction

Un réseau local:
 Une zone privée mais avec une nécessite de se

connecter à Internet
 Le trafic échangé:
CHAPITRE II:  Intérieur  Intérieur

Les pare-feux (Firewalls)  Intérieur  Extérieur

Une interaction externe avec les ressources du réseau
 Le trafic externe: n’est pas de confiance, source de
plusieurs attaques sur le LAN
 Besoin de sécurité:
Utilisation des pare-feux (Firewalls)
2

Qu’est ce qu’un Firewall ? Qu’est ce qu’un Firewall ?

Un système pare-feu (firewall): Un système pare-feu (firewall):
 Un élément (logiciel ou matériel) du réseau informatique contrôlant les  Un élément (logiciel ou matériel) du réseau informatique contrôlant les
communications qui le traversent communications qui le traversent
 Il a pour fonction de faire respecter la politique de sécurité du réseau, celle-  Il a pour fonction de faire respecter la politique de sécurité du réseau, celle-
ci définissant quelles sont les communications autorisées ou interdites ci définissant quelles sont les communications autorisées ou interdites
 Fournit un périmètre de sécurité  Fournit un périmètre de sécurité
 Fonctions de base:  Fonctions de base:
 Réaliser une inspection sur le trafic transitant  Réaliser une inspection sur le trafic transitant
 Vérifier qu’il est conforme aux règles  Vérifier qu’il est conforme aux règles
 Laisser passer le « bon » trafic  Laisser passer le « bon » trafic
 Bloquer, signaler, jeter le « mauvais » trafic  Bloquer, signaler, jeter le « mauvais » trafic
 Il s’agit de la fonction de filtrage de trafic réseau  Il s’agit de la fonction de filtrage de trafic réseau
3 4
 Qu’est ce qu’un Firewall ? La DMZ

 Dans la majorité des Firewalls, une séparation en plusieurs zones de différents niveaux de confiance:
 Le LAN (Local Area Network) : Le réseau interne, considéré comme sûr et protégé.  La DMZ :
 Le WAN (Wide Area Network) : Le réseau externe (comme Internet), considéré comme peu fiable et  Zone spéciale autorisant un accès public de l’extérieur
potentiellement dangereux.
 Permettant l’acheminement du trafic Internet du ou vers le réseau, tout en assurant la sécurité de
 La zone démilitarisée DMZ (Demilitarized Zone) : Une zone intermédiaire qui permet un accès limité et ce dernier.
contrôlé depuis l'extérieur, tout en protégeant le réseau interne.
Réseau non digne de confiance  Amélioration du niveau de sécurité en empêchant l’exposition du réseau protégé
Réseau avec niveau de confiance X  Les serveurs connectés au DMZ peuvent se composer de
Firewall
 Serveurs proxy (accès web aux utilisateurs du réseau protégé)
Réseau local Internet
 Serveurs VPN (Virtual Private Network) (des connexions sécurisées pour l’accès distant)
Routeur
 Serveurs applicatifs (mail, DNS, etc.) qui nécessitent l’accès au réseau externe.

Réseau avec Niveau de confiance Y

DMZ

Serveurs accessibles depuis

Internet
5 6

Limitations d’un Firewall Politique de sécurité par défaut

 Ne protège pas contre les attaques qui ne le traversent pas
1. Politique permissive (open config)
 Ne protège pas contre les menaces internes
 Exemple: un employé malveillant attaque une machine interne
 Principe: Ce qui n’est pas explicitement interdit est permis (default= Forward)
 Laisser tout passer, restreindre ensuite pas à pas les accès et les services
 N'empêche pas l’utilisation d’une connexion autorisée pour attaquer le
système.  Une commodité dans l’utilisation des services réseau par les utilisateurs mais un
niveau de sécurité réduit
 Ne protège pas contre le transfert de programmes et de fichiers malveillants
 Un administrateur doit réagir pour chaque nouvelle menace de sécurité identifiée (un
(virus, backdoor, etc.).
nouveau service devient vulnérable).
 Les systèmes et les applications supportés dans un périmètre de sécurité, sont
2. Politique stricte (close config).
nombreux et différents.
 Principe: Ce qui n’est pas explicitement permis est interdit (default = Deny)
 Difficulté de scanner tous les messages en direction de ces systèmes et
applications.  Commencer par tout interdire, puis décider de laisser seulement passer les services
ou adresses désirés ou indispensables.
 Peut être mal configuré
 Meilleure sécurité (plus prudente) mais travail plus difficile
7 8
 Types de de pare-feu Filtrage simple des paquets: stateless
 Le plus simple des Firewalls (stateless packet filtering )
 Pare-feu de filtrage de paquets sans état (Stateless Packet Filtering)  Implémenté généralement dans les routeurs
 Exemple: Pare-feu basé sur les ACL (Access Control Lists)  Filtrage des paquets (entrant et sortant) indépendamment les uns des autres,
 Pare-feu dynamique (Stateful Packet Filtering) : selon une politique de sécurité
 Exemple : netfilter/ iptables (Linux)  Possède une interface externe (exposée à l’Internet), un ensemble de règles et
 Pare-feu passerelle applicative (Application-Level Gateway) : une interface interne.
 Exemples :Serveurs proxy HTTP, FTP, SMTP.  A chaque règle de filtrage est associée une action: laisser passer le paquet ou
 Pare-feu de niveau circuit (Circuit-Level Gateway) : l’éliminer en fonction des informations des couches 3 et 4
 Exemple: Serveurs SOCKS.  Les règles de filtrage comportent : Trafic
Réseau entrant Réseau
 Pare-feu de nouvelle génération (Next-Generation Firewall - NGFW) :  Adresses IP source et destination., interne externe

LAN
 Exemple : Fortinet FortiGate.  Type du protocole (TCP, UDP, ICMP, etc), Internet
Trafic
 Ports (TCP ou UDP) source et destination … sortant

9  L’action qui doit être menée par le firewall si le paquet correspond à la règle. 10

Filtrage simple des paquets: trafic HTTP Filtrage simple des paquets: trafic HTTP

 Exemple :Soit la politique suivante: accepter le trafic HTTP en entrée et en  Exemple de règles
sortie et rien d’autre. Règle Direction @ source @ Dest. Protocole Port dest. Action

 Autoriser les utilisateurs internes à accéder aux serveurs web externes A Entrant Externe 192.168.22.35 TCP 80 Autoriser
 Autoriser les utilisateurs externes à accéder au serveur web interne B Sortant 192.168.22.35 Externe TCP >1023 Autoriser
C Sortant Interne Externe TCP 80 Autoriser
D Entrant Externe Interne TCP >1023 Autoriser

Web/80 Internet 192.168.22.35 E Toutes Toutes Toutes Tous Tous Refuser

TCP
Web/80 Web/80
TCP TCP Internet
Réseau Périphérique 192.168.22.35
A Web/80
Client
TCP
externe B
Réseau
Réseau Privé
D
Périphérique
Client C
interne
11 Réseau Privé 12
 Filtrage simple des paquets: trafic HTTP Filtrage simple des paquets: trafic HTTP
 Question: Ces règles autorisent-elles les connexions dont les ports source et destination sont supérieurs à
1023? (ce qui n’était pas prévu)  Une solution: examiner aussi le port source
Règle Direction @ source @ Dest. Protocole Port dest. Action
A Entrant Externe 192.168.22.35 TCP 80 Autoriser Règle Direction @ source @ Dest. Protocole Port src. Port dest. Action
B Sortant 192.168.22.35 Externe TCP >1023 Autoriser
A Entrant Externe 192.168.22.35 TCP >1023 80 Autoriser
C Sortant Interne Externe TCP 80 Autoriser
D Entrant Externe Interne TCP >1023 Autoriser
B Sortant 192.168.22.35 Externe TCP 80 >1023 Autoriser

E Toutes Toutes Toutes Tous Tous Refuser C Sortant Interne Externe TCP >1023 80 Autoriser

Web/80 D Entrant Externe Interne TCP 80 >1023 Autoriser

TCP
Internet
192.168.22.35 E Toutes Toutes Toutes Tous Tous Tous Refuser
Web/80 Serveur X11
attaquant TCP TCP/6000
TCP/1503
Réseau  Mais un attaquant peut utiliser le port 80 comme port source client puis se
Périphérique
connecte au serveur X11/ port 6000 Il réussira (règle D et C)
Réseau Privé
 Remarque: Le port 6000 est couramment utilisé pour X11, qui est un protocole utilisé pour les interfaces
utilisateur graphiques (GUI: Graphical User Interfaces) dans les systèmes Unix. Il permet à un utilisateur
13 14
d'exécuter des applications GUI sur un serveur distant et de les afficher sur sa machine locale. 13

Filtrage simple des paquets: trafic HTTP Filtrage simple des paquets: trafic FTP
 Raffinement de la solution: examiner aussi le flag ACK (ACK=0 seulement dans le premier
paquet envoyé du client (port>1023) vers le serveur) Rappel: Dans le protocole FTP (File Transfer Serveur FTP Client FTP
Protocol)
Règle Direction @ source @ Dest. Protocole Port Port ACK=1 Action
src. dest.  Le client ouvre un canal de commande et 20 21
A Entrant Externe 192.168.22.35 TCP >1023 80 --- Autoriser donne le port associé aux données. Data Command 5150 5151

B Sortant 192.168.22.35 Externe TCP 80 >1023 oui Autoriser  Le serveur accuse.

C Sortant Interne Externe TCP >1023 80 --- Autoriser  Le serveur ouvre le canal d’échange de
D Entrant Externe Interne TCP 80 >1023 oui Autoriser données.
E Toutes Toutes Toutes Tous Tous Tous --- Refuser  Remarque: Le port «données» est négocié dans
 Mais un attaquant peut utiliser le port 80 comme port source client puis se connecte au serveur la session, on peut juste le supposer> 1023
X11/ port 6000 en fixant ACK à 1  le paquet passera au travers les filtres  Quelles règles de filtrage choisir ?
 La destination essayera de faire correspondre le paquet avec une connexion existante, elle échouera et
le paquet sera ignoré
Le client accuse.
 Cependant une inondation possible avec de tels paquets TCP malveillants.
Filtrage compliqué et imparfait pour permettre les
 Nécessité d'un mécanisme permettent de décider si un paquet TCP donné appartient ou non à une
connexions FTP
session déjà établie 15
16

.
 Filtrage simple des paquets: avantages et limites Attaques sur le filtrage simple des paquets

Avantages:
 Usurpation d’adresse IP (IP address spoofing)
 Simplicité du fonctionnement
 L’intrus envoie un paquet de l’externe avec une fausse @IP (généralement égale à une @IP d’une
 Rapidité dans le traitement: l’impact sur la performance est faible machine interne), et ceci afin de réussir à passer le mécanisme de filtrage
Limites  Solution: bloquer tout paquet venant de l’interface externe ayant une @IP source interne
 Nécessité d’un trop grand nombre de règles pour que le Firewall offre une réelle protection  Fragmentation de paquets (Tiny fragment attacks)
 Une simple erreur dans la configuration des règles peut casser toute la sécurité  Un paquet IP est divisé en plusieurs fragments, où seul le premier fragment contient le numéro de port.
 Pas assez d’informations pertinentes dans les fichiers logs générés (seulement: @IP, ports) Insuffisance d’informations pour filtrer ces paquets
 Ne supporte pas des mécanismes avancés d’authentification des utilisateurs.  Solution: rejeter les paquets fragmentés ou les rassembler avant vérification

 Sensible aux attaques telles que : Fragmentation de paquets, IP spoofing …

 Pas de protection contre les attaques qui exploitent des vulnérabilités sur les applications (ne
bloque pas certaines commandes)
 Problèmes avec les protocoles fonctionnant de manière similaire au FTP

17 18

Filtrage dynamique des paquets: stateful Filtrage dynamique des paquets: stateful

 Connexion TCP  Le filtrage stateful (ou dynamique):

 Port assigné au service inférieur à 1024.  Suit l'état des connexions réseau.
 Port client compris entre 1024 et 65535.  Maintient une table d'état (State table) pour chaque connexion établie.
 Les ports <1023 sont affectés de façon permanente.  L’amélioration principale par rapport au filtrage simple (Stateless)
 FTP: 20, 21; Telnet: 23; HTTP: 80  Blocage ou autorisation des paquets en fonction de leur contenu actuel et celui des paquets
précédents
 Tous les ports >1023 doivent être disponibles aux clients pour faire leurs connexions.
 Enregistrement de l'état de chaque connexion (nouvelle, établie, liée, invalide) dans la tale d’état
 Créé une vulnérabilité qui peut être exploitée par les intrus.
 Son principe de base :
 Présente une limitation pour les Firewalls de type stateless packet filtering
 Si une requête sortante est autorisée, la réponse correspondante est automatiquement
 Solution: Utilisation du filtrage dynamique: Firewalls de type Stateful Inspection acceptée.
 Principe: Si les requêtes sortantes sont autorisées, les réponses correspondantes doivent  Cela réduit le besoin d'ouvrir manuellement des ports pour les réponses.
être acceptées
 Exemples: Cisco PIX , iptables netfilter et Nftables (inclus dans toutes les distributions
Linux modernes)
19 20
 Filtrage dynamique des paquets: stateful Filtrage dynamique: trafic FTP

 Exemple : Une connexion TCP passe par les

états suivants :
 New: La connexion est nouvelle (premier
paquet SYN). Elle ne correspond à aucune Client Serveur FTP
entrée de la table des états. Création d'une Le firewall reconnaît le port utilisé pour l’envoi des commandes et
nouvelle entrée enregistre le port qui sera utilisé pour l’échange des données.
 Established: le paquet fait partie d'une
connexion existante (paquets ACK). Entrée
existante dans la table des états)
 Related: le paquet fait partie d'une nouvelle
connexion faisant partie d'une session Client Serveur FTP
Lorsque la connexion FTP d’envoi des données est initiée par le serveur, le
existante (ex : FTP data)..
firewall reconnaît l’@IP et la combinaison des ports et autorise la connexion.
 Invalid: paquet dont l'état n'a pu être
déterminé
22
21

Filtrage dynamique: avantages et limites Firewall Gateways

 Avantages  Firewall exécutant un ensemble de programmes proxy

 Protection contre certaines attaques DoS  Proxy : serveur mandataire:
 Acceptation d'établissement de connexions à la demande: il n'est plus nécessaire d'ouvrir  Introduit un élément intermédiaire obligatoire entre le client et le serveur
l'ensemble des ports supérieurs à 1024.
 Filtrage du trafic entrant et sortant
 Limites
 Tout le trafic entrant dirigé vers le pare-feu
 Un coût supplémentaire lors de la modification des règles du firewall: nécessité de la
réinitialisation de la table d’état.  Tout le trafic sortant semble provenir du pare-feu
 Pas de protection contre l'exploitation des failles applicatives  Politique intégrée dans les programmes proxy
 Deux types:
 Application-level gateway/proxy: passerelle applicative
 Opère au niveau 7 (couche application) du modèle OSI,
 Circuit-level gateway/proxy: passerelle niveau circuit

23 24
 Passerelle applicative Passerelle applicative
 Le firewall vérifie si les données applicatives sont dans un format acceptable.
 filtre les informations au niveau des couches 3, 4, 5 et 7 du modèle de référence OSI  Ce qui est connu (pour la source) : la session entre la source et la passerelle applicative.
Telnet FTP HTTP
 Besoin d’un proxy séparé pour chaque service  La passerelle applicative stocke des informations sur la connexion (origine, destination, durée,
 Exemples: Telnet, FTP, HTTP, DNS … temps) et gère le trafic entre la source et la destination.
Application Application Application
Client telnet Serveur telnet
 Possibilité d’assurer des traitements Presentation Presentation Presentation 1. Telnet sur le port 23 6. Nouvelle connexion TCP
supplémentaires comme l’authentification Session Session Session
Transport Transport Transport

Network Network Network Passerelle applicative

192.168.12.12 10.1.2.3
DataLink
Physical
DataLink
Physical
DataLink
Physical
2. Vérification de l’@IP source. Si permis,
3., sinon la demande est rejetée.

 Possibilité de configurer la passerelle pour empêcher certaines fonctionnalités d’une application 3. Authentification du client.

 Exemples: 4. Si authentifié, un prompt ou un menu

 FTP en download seulement. affichant la liste des serveurs autorisés.
 Dans HTTP: GET et PUT permettent respectivement d'accéder en lecture et en écriture sur un serveur. Une
passerelle applicative peut analyser une connexion HTTP et autoriser les commandes PUT pour un nombre 5. Sélection du serveur distant et possibilité de
restreint de machines 25
demande d’autres paramètres d’authentification
26

Passerelle applicative: avantages et limites Passerelle niveau circuit

 Opère selon un mécanisme semblable aux passerelles applicatives: création de deux connexions:
Avantages:
 Une entre la passerelle et l’utilisateur interne, une autre entre la passerelle et l’utilisateur externe
 Compréhension totale du protocole filtrage extrêmement fin
 Suite à l’étape d’authentification, la passerelle fonctionne comme relais de la connexion vers la
 Journalisation complète destination finale: l’@IP source au niveau du paquet est transformée (@IP de la passerelle)
 Protection plus efficace  Contrairement à une passerelle applicative, une passerelle niveau du circuit n'examine pas les
 Authentification facilement intégrable paquets individuels
Limites:  Elle surveille les sessions TCP ou UDP.
 Elle valide la session avant d’ouvrir une connexion:
 Besoin intensif de ressources
 Vérifications: adresses/ports source et destination, identifiant utilisateur, éventuelle requête…
 Un processus par connexion.
 Une fois les deux connexions établies, elle transmet les segments d’une connexion à une autre sans
 Gestion des connexions dans les deux bouts.
examiner leurs contenus
 Peu de Proxys disponibles
+ Plus simple à mettre en œuvre: plus besoin d'un proxy séparé pour chaque application

- Pas de vérification des données transmises --> vulnérabilité à plusieurs attaques

 Exemple: un paquet appartenant à une session légitime mais contenant un logiciel malveillant peut
27 passer à travers la passerelle niveau circuit 28
 Passerelle niveau circuit Pare-feu de nouvelle génération : NGFW

 Généralement utilisée pour relayer des connexions du réseau source de confiance vers un réseau  NGFW: Next-Generation Firewall
non digne de confiance  Un système de sécurité réseau capable de détecter et de bloquer les attaques sophistiquées
 Exemple typique: les serveurs SOCKS ( définis dans le RFC1928) en appliquant des règles de sécurité au niveau applicatif, ainsi qu’à celui du port ou de
protocole de communication.
 Principe de fonctionnement:
 Caractérisé principalement par:
 Des capacités de pare-feu traditionnel de paquets: Filtrage simple et dynamique des paquets
 Un système de prévention d’intrusion IPS (Intrusion Prevention System)
 Un contrôle applicatif
 Plusieurs fonctionnalités supplémentaires:
 Une authentification des utilisateurs
 Une journalisation détaillée
 Une protection contre les logiciels malveillants …
 Exemple de NGFW: Fortigate de fortinet

29 30

Bastion Host Choix et configuration des firewalls

 Plus le nombre est faible, plus le niveau de sécurité et la performance sont meilleures
Un élément du réseau informatique
Sécurité performance
 Hautement sécurisé Filtrage simple des paquets (Stateless packet Filtering)
3 1
 Désactivation de tous les services non nécessaires  rester simple
Filtrage dynamique(Stateful Packet Filtering) 2 2
 Potentiellement exposé à des intrusions
 Offrant une plateforme pour les passerelles applicatives ou niveau circuit Passerelle niveau circuit (Circuit-Level GW) 2 3

 Pouvant être utilisé pour fournir des services accessibles de l’extérieur Passerelle applicative (Application-level GW) 1 4

 Points à considérer lors de la configuration d’un firewall

 Performance : équilibre (délicat) entre le niveau de sécurité à assurer (suffisant) et l’accès aux données.
 Plus la liste des règles de filtrage est importante, plus la durée d’examen d’un paquet est importante.
(baisse de performance).
 L’ordre des règles de filtrage est important
 Le chiffrement/déchiffrement peut introduire un délai

31 32
 ACL de Cisco : Un Exemple de Filtrage Stateless
28 ACL de Cisco : Un Exemple de Filtrage Stateless

 Les listes de contrôle d’accès: ACL Processus de contrôle des paquets dans les
 Technique de filtrage largement utilisée dans les réseaux d’entreprise ACL
 Correspond à une liste de règles permettant de filtrer le trafic (accepté ou refusé):  Un paquet est comparé aux règles de l’ACL d’une
 Identifiée par un numéro ou un nom manière séquentielle Top-Down
 Généralement implémentées au niveau des routeurs
 Associée à une interface du routeur où le filtrage sera exécuté.  La comparaison s’arrête dès qu’un paquet vérifie
 Interface in (incoming: paquets entrant dans le routeur) in out l’une des règles de l‘ACL
 Interface out (outcoming: paquets sortant du routeur)
 Deux catégories d’ACL:  L’action (permit/deny) de la règle trouvée est
 Standards: numéro 199 et 1300 1999 appliquée au paquet
 Etendues: Numéro 100199 et 20002699
 Les ACL se terminent par une règle « deny all »
implicite pour rejeter les paquets qui ne vérifient
aucune règle
33 34

ACL de Cisco : Un Exemple de Filtrage Stateless ACL de Cisco : Un Exemple de Filtrage Stateless
ACL standard:
 Filtrage basé sur l’adresse IP source uniquement, placée près de la destination  Un masque générique est un masque de 32 bits divisés en quatre octets
 Syntaxe:  Signification
 Création de l’ACL  "0" binaire = vérifiez la correspondance (doit correspondre)

Router(config)# access-list numéro-liste-d’accès {deny|permit} source [wildcard mask]  "1" binaire = Ignorez la correspondance (peut varier)

 Associer la liste d’accès à une interface du routeur:  any remplace 255.255.255.255 dans le masque générique (et 0.0.0.0 dans l’adresse IP).
Router(config)# interface [port du routeur]  host : remplace 0.0.0.0 dans le masque générique.
Router(config-if)# ip access-group numéro-liste-d’accès {in/out}
 Exemple: Permettre l’acheminement du trafic du réseau 192.168.1.0 vers Internet et vers 172.16.0.0
Router(config)# access-list 11 permit 192.168.1.0 0.0.0.255 172.16.0.0
Router(config)# int S0
Router(config-if)# ip access-group 11 out E1
Router(config)# int E1 Internet 192.168.1.0
S0 E0
Router(config-if)# ip access-group 11 out 35 36
 ACL de Cisco : Un Exemple de Filtrage Stateless ACL de Cisco : Un Exemple de Filtrage Stateless
 Exemple: refuser l’accès du réseau 221.23.123.0 au serveur HTTP 198.150.13.34
ACL étendue:
 Extended ACL Placer la règle près de la source
 Filtrage basé sur @IP source et @IP destination , ports source et destination , type de protocole
 Ecrire l’ACL dans le routeur C et l’appliquer à l’interface E0
 Placée près de la source
Router(config)#access-list 113 deny tcp 221. 23.123.0 0.0.0.255 host 198.150.13.34 eq 80
 Syntaxe
Router(config)#access-list 113 permit ip 221. 23.123.0 0.0.0.255 0.0.0.0 255.255.255.255
 Créer la liste d’accès
Router(config)# int E0
Router(config)#access-list numéro-liste-accès {deny|permit} protocole adresse-source masque-source [opérateur
port] adresse-destination masque-destination [opérateur [port]] [established] Router(config-if)# ip access-group 113 in
 Associer la liste d’accès à une interface du routeur:
Router(config)# interface [port du routeur]
Router(config-if)# ip access-group numéro-liste-d’accès {in/out}
 Quelques opérateurs: eq : égal, neq : différent, gt : plus grand que, lt : moins grand que
 established : autorise le trafic TCP si les paquets utilisent une connexion établie.
 Vérifie l’état du flag (ACK/RESET): Si ACK n’est pas activé trafic refusé
37 38

Netfilter et iptables: un exemple de Firewall Stateful sous Linux Netfilter/Iptables : Un Exemple de Firewall Stateful sous Linux

 Netfilter: Iptables utilise des tables (tables) et des chaînes (chains) pour organiser les règles.
 Partie du noyau Linux gérant le filtrage des paquets, la NAT (Network Address Translation) et 1. Tables : Ce sont des ensembles de règles regroupées par fonction.
le routage.
 Permet de suivre l'état des connexions pour un filtrage stateful.
 La table la plus courante est la table filter, qui gère le filtrage du trafic.
 Ne se configure pas directement : il faut utiliser un outil pour définir les règles.  D'autres tables existent, comme nat (pour la traduction d'adresses) ou
 Iptables : mangle (pour modifier les paquets).
 Outil utilisé pour créer des règles de filtrage, de NAT et de routage avec Netfilter. 2. Chaînes : points d'entrée ou de sortie pour le trafic.
 Fonctionne en mode stateful grâce à la gestion des états de connexion.  Principales chaînes sont : INPUT : (trafic entrant), OUTPUT : (Trafic sortant) ,
 Nftables : FORWARD (trafic transitant pour le routage)
 Successeur moderne d'iptables, unifié et performant, conçu pour simplifier la gestion des 3. Règles : Les instructions définissant ce qu'il faut faire avec un paquet (accepter,
règles de filtrage, NAT et routage. rejeter, bloquer, etc.).

39 40
 Netfilter/Iptables : Un Exemple de Firewall Stateful sous Linux Netfilter/Iptables : Un Exemple de Firewall Stateful sous Linux
Structure de base d'une commande iptables
Exemples de règles stateful:
iptables [option] [chaîne] [critères] [action] 1. Autoriser les connexions établies et liées:

Options courantes Critères courants Actions courantes iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 Explication : Autorise tout le trafic qui fait partie d'une connexion déjà établie ou liée à une
 -A : Ajouter une règle à la fin d'une chaîne.  -s : Adresse IP source.  -j ACCEPT : Autoriser le connexion existante.
 -I : Insérer une règle au début d'une chaîne.  -d : Adresse IP de destination. paquet.
 Utilité : Permet de répondre aux paquets légitimes sans ouvrir de nouveaux ports.
 -D : Supprimer une règle.  -p : Protocole (tcp, udp, icmp…)  -j DROP : Bloquer le
paquet sans réponse. 2. Autoriser les nouvelles connexions SSH
 -L : Lister les règles.  --sport : Port source.
 -j REJECT : Bloquer le iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
 -F : Vider (supprimer) toutes les règles  --dport : Port de destination. paquet avec une réponse
d'une chaîne.  -m state : Utiliser le module (par exemple, un message  Explication : Autorise uniquement les nouvelles connexions SSH (port 22).
 -P : Définir la politique par défaut d'une stateful pour filtrer par état de "port unreachable").  Utilité : Protège le service SSH tout en permettant aux utilisateurs de se connecter.
chaîne (ACCEPT, DROP). connexion. -j LOG : Journaliser le
 3. Bloquer tout le trafic entrant par défaut: iptables -P INPUT DROP
 -m state --state [état] : Filtrer les paquet (pour le débogage).
 Explication : Définit la politique par défaut de la chaîne INPUT à DROP (refuser).
paquets en fonction de leur état de
connexion.
41
 Utilité : Assure que tout le trafic non explicitement autorisé est bloqué. 42

Netfilter/Iptables : Un Exemple de Firewall Stateful sous Linux

Exemples de règles stateful:.

4. Autoriser le trafic HTTP/HTTPS sortant
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

 Explication : Autorise les connexions HTTP (port 80) et HTTPS (port 443) sortantes.
 Utilité : Permet aux utilisateurs d'accéder à Internet tout en gardant le contrôle.
 Remarque: on peut résumer les deux lignes en utilisant -m multiport comme suit:
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m state --state
NEW,ESTABLISHED -j ACCEPT
5. Bloquer tout le trafic ICMP entrant:
iptables -A INPUT -p icmp -m state --state NEW -j DROP
 Explication : Cette règle bloque les nouvelles connexions ICMP entrantes (ex. requêtes ping).
43
 Utilité : Empêche la découverte du système via des scans ICMP