CHAPITRE 7 : Pare-feux et IDS

7.1 Les Firewall (pare-feux ou coupe feux) :

Ce sont des dispositifs (physiques ou logiciels) utilisés pour protéger un réseau local ou même un
poste de travail des attaques réseaux.
Le firewall va servir de poste frontière entre un ou plusieurs réseaux afin de contrôler, et
éventuellement bloquer, selon certaines règles bien définies, la circulation des flux de données.
Le firewall va donc comporter, en général, deux interfaces réseaux :
 Une interface du côté réseau à protéger (réseau interne)
 Une interface du côté externe (souvent le réseau internet)

Figure 7.1 firewall

Quand il est impératif que certaines machines du réseau de l’entreprise restent accessibles de
l’extérieur (serveur web, serveur FTP, serveur de messagerie), il est alors généralement nécessaire de
créer une nouvelle interface, vers un réseau « à part » accessible aussi bien à partir des postes réseau
interne que les postes réseau situés à l’extérieur sans pour autant compromettre la sécurité de
l’entreprise. On parle alors de zone démilitarisée ou DMZ (DeMilitaryzed Zone) pour désigner cette
zone isolée qui héberge des applications mises à disposition du public.

Figure 7.2 firewall avec une zone DMZ

7.2 Caractéristiques des Firewall :
La définition d’un firewall dépend de son utilisation. En général, le firewall vise ce qui suit :
 Tout trafic entrant ou sortant doit transiter par le firewall.
 Seul le trafic autorisé, défini par la politique de sécurité local, peut transiter par le firewall.
 Le firewall est immunisé contre la pénétration, ce qui signifie l’utilisation d’un système
d’exploitation sécurisé.
Les techniques utilisées par le firewall sont :
 Contrôle de service : détermine les types de services internet qui sont accessibles. Le firewall
va filtrer le trafic basé sur les entêtes IP et les ports TCP
 Contrôle dirigé : détermine l’orientation de certains services qui peuvent être initiés et
autorisés à passer à travers le firewall.
 Contrôle utilisateur : contrôle l’accès aux services selon les autorisations accordées aux
utilisateurs pour l’accès aux services.

7.3 Les types de Firewall :

Le fonctionnement du firewall repose essentiellement sur l’analyse des entêtes de paquets TCP
(UDP) et les entêtes de datagrammes IP.
A partir des règles qui lui ont été fournies, le firewall peut alors décider du sort du flux de données,
en laissant passer (accept), en le supprimant (deny) ou encore en le supprimant et en avertissant
l’émetteur que le paquet a été rejeté (reject).
Il existe trois classes de firewall selon le mode de filtrage employé :
a. Le filtrage statique
b. Le filtrage dynamique (filtrage de paquet avec état)
c. Le filtrage applicatif

7.3.1 Le filtrage statique :

Le filtrage statique (simple ou sans état) repose sur l’analyse des informations contenues au niveau de
la couche réseau (adresse IP), la couche transport (port et/ou protocole) et la couche application
(application, protocole applicatif).
Les flux qui circulent sur les réseaux et l’internet en général sont en effet caractérisés par divers
éléments dont notamment : l’adresse IP de l’émetteur et celle du destinataire du flux, un port source
et un port destination, un protocole de transport et un protocole applicatif.
Exemple :
Lors d’un accès à un serveur web, un paquet est émis par un poste d’adresse IP [Link] à
destination d’un serveur web dont l’adresse IP est [Link]. Le port source est 35241 tandis que
le port destination est le port 80. Le protocole de transport est TCP et le protocole applicatif est http.

Quand le filtrage est essentiellement basé sur les adresses IP et/ou des ports bien définis (et non
variables), on parle de filtrage statique par adresse et filtrage par protocole (static adress filtring,
static protocol filtring) lorsque c’est le type de paquet et le port qui sont analysés. Bien entendu les
deux techniques peuvent être combinées.
Les adresses IP contenues dans les paquets permettent d’identifier une machine émettrice et une
machine destinataire. Tandis que le type de paquet et le numéro de port donnent une indication sur le
type de service ou l’application utilisée.
La configuration d’un filtrage statique nécessite de configurer le firewall au moyen de règles de
filtrage, généralement appelées liste de contrôle d’accès (ACL : Access Control List). Chaque ACL
est constituée d’une suite ordonnée de différentes règles de filtrage à respecter.
Les règles de filtrage des ACL évaluent les paquets en ordre séquentiel et logique :
 Si un entête de paquet correspond à une règle de filtrage, les règles suivantes sont ignorées et
le paquet est accepté ou refusé selon ce que signifie la règle.
  Si l’entête ne correspond pas à une règle, il est traité par la règle suivante dans la liste. Ce
processus de comparaison se poursuit jusqu’à la fin de la liste soit atteinte, le paquet est alors
en principe implicitement refusé.
 L’ordre des instructions de toute liste d’accès est donc fortement significatif.

Figure 7.3 filtrage

Remarque :
La dernière règle implicite de la liste ACL concerne tous les paquets qui ne passent pas les tests
précédents. Elle définit normalement une condition de refus qui provoque le rejet de tous les paquets
qui arrivent jusque là. On appelle souvent cette règle finale de refus global implicite (implicit deny
any).
Une liste de contrôle d’accès doit toujours contenir au moins une règle permit sous peine de bloquer
tout le trafic.
Le traitement de la liste d’accès étant séquentiel, il faut en conséquence :
 Organiser les listes d’accès pour que les références les plus spécifiques dans un réseau ou sous
réseau apparaissent avant les plus générales.
 Placer les conditions qui se présentent le plus fréquemment avant les autres.
 Ajouter les conditions supplémentaires en fin de liste avant le refus implicite.
n° Adresse Port Adresse Port Protocole action
règle Source Source destination destination transport
1 toutes tous [Link]/32 25 TCP accepter
2 toutes tous [Link]/32 110 tous accepter
3 toutes tous [Link]/32 80 TCP accepter
4 195.115.900/26 tous toutes tous tous accepter
5 toutes tous toutes tous tous refuser

Les listes de contrôle d’accès peuvent être en principe être appliquées de deux façons :
 ACL en entrée : les paquets en entrée de l’interface sont traités avant d’être routés vers une
interface de sortie
 ACL en sortie : les paquets en sortie de l’interface sont routés vers l’interface sortante, puis
traités par la liste de contrôle d’accès avant d’être transmis.
Exemple (environnement CISCO) :
Les ACL utilisées sur les routeurs CISCO sont définies par un numéro (ou un nom) et peuvent être de
plusieurs types.
On peut connaître cas valeurs avec la commande :
Routeur(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<200-299> protocol type code access list
<1100-1199> extended 48 bit MAC Adress access list

ACL standard (1 à 99):

Elle vérifie uniquement l’adresse source du paquet testé. Le résultat permet d’accepter ou de refuser
le paquet en fonction de l’adresse IP source de l’hôte, du sous réseau ou du réseau.
Lorsqu’un paquet est rejeté, le protocole ICMP (Internet Control Management Protocol) retourne un
paquet spécial pour informer l’utilisateur que la destination est inaccessible.

ACL étendu(100 à 199):

Elle permet de vérifier aussi bien l’adresse source que l’adresse destination du paquet. Elle permet de
vérifier si le paquet véhicule tel ou tel protocole spécifique, des numéros de port et d’autres
paramètres. Elle permet de contrôler et de filtrer plus précisément le trafic.
Standard Etendu
Filtre uniquement sur la base de Filtre sur la base des adresses
l’adresse source sources et destination et des
numéros de port source et
destination
Acceptent ou refuse sans Peut spécifier certains protocoles et
distinction toute la suite de numéros de ports
protocoles [Link]

[Link] Filtrage statique par iptables:

Netfilter correspond au module intégré au noyau linux tandis que Iptables représente l’outil de
configuration de Netfilter.
La syntaxe d’une règle est comme suite :
iptables option chaine –i interface –s source –d destination –p protocole –dport numéro_de_port –j
action
où option :
-A : ajouter une règle à la liste
-P : sert à redéfinir la règle
-F : pour supprimer les règles d’une liste
-L : pour lister les règles
Et chaine :
INPUT
OUTPUT
FORWARD
-s source : adresse source d’où proviennent les paquets
-d destination : adresse IP de destination vers laquelle vont les paquets.
-p protocole : indique le protocole utilisé dans le paquet
--dport port : indique le port de destination du paquet
-j action : indique comment traiter le paquet
Lorsqu’on met en œuvre un firewall, la solution la plus sécuritaire, consiste à tout interdire par
défaut, puis à n’autoriser en suite explicitement que les seules flux (ports et protocoles) qui sont
vraiment nécessaires au bon fonctionnement du système. Voici les commandes iptables qui assurent
ce filtrage restrictif de départ :
 iptables –P INPUT DROP
 iptables –P OUTPUT DROP
 iptables –P FORWARD DROP
Le paramètre DROP permet d’ignorer le paquet, alors que reject signale à la machine qui a émis
le paquet que la communication est impossible. Avec DROP, on se fait discret.

Avec Netfilter Iptables, on peut ouvrir ou fermer tel ou tel port précis ou bien telle ou telle plage de
ports.
 Ouverture d’un port précis
iptables –A INPUT –p tcp -–dport numéro_de_port –j ACCEPT
 Ouverture d’une plage de ports
iptables –A INPUT –p tcp -–dport numéro_de_port_debut : numéro_de_port_fin –j ACCEPT
 Blocage du trafic ICMP
iptables –A INPUT –i eth0 –s [Link] –d [Link] –p icmp –j DROP
 Pour interdire des pings vers l’extérieur
Iptables –A OUTPUT –i eth0 –s [Link] –d [Link] –p icmp –j DROP
 Autoriser les connexions TCP entrants sur les ports 20 et 21 (serveur FTP)
iptables –A INPUT –p tcp –-dport 20 –j ACCEPT
iptables –A INPUT –p tcp –-dport 21 –j ACCEPT
 Autoriser les le trafic http traversant en provenance d’un réseau
iptables –A FORWARD –s [Link]/24–p tcp –-dport 80 –j ACCEPT

Pour fermer un port particulier ou une plage de ports, il suffit de remplacer ACCEPT par
REJECT, DENY ou DROP

[Link] Gestion des règles par iptables:

Les règles sont appliquées dans leur ordre de création et le système les affecte automatiquement un
numéro d’ordre.
a. Affichage des numéros de règles
iptables –L chaine—linenumber
b. Suppression d’une règle
iptables –D chaine numéro
c. Insertion d’une règle
iptables –I chaine numéro condition –j action où condition représente les critères de sélection
du paquet soumis à la règle(adresse IP, port et protocole)

Exemple :
$iptables –L FORWARD —linenumber
Chaine FORWARD
num target prot opt source destination
1 ACCEPT tcp -- [Link]/24 [Link] tcp dport 23
2 ACCEPT udp -- [Link]/24 [Link] tcp dport 53
$ iptables –D FORWARD 1
$iptables –L FORWARD –linenumber
Chaine FORWARD
num target prot opt source destination
1 ACCEPT udp -- [Link]/24 [Link] tcp dport 53

7.3.2 Filtrage dynamique :

Le filtrage statique des paquets examine les entêtes IP, TCP, et au mieux les ports et protocoles qui
transitent dans les paquets. Or de nombreux services, comme FTP par exemple, démarrent leur
connexion sur un port statique bien défini. Mais utilisent également un autre port défini de manière
aléatoire afin d’établir une session de retour entre la machine faisant office de serveur FTP et la
machine cliente FTP. Dans de telles conditions, il est impossible de prévoir quels sont les ports à
autoriser ou à interdire.
Pour gérer cette affectation dynamique de ports, on utilise le filtrage dynamique.
Le filtrage dynamique à état (statefull Packet inspection : SPI) consiste à interprété les particularités
liées à l’application, et à créer dynamiquement les règles à implémenter pour la durée de la session.
Chaque paquet passe d’abord par un filtrage classique qui permet de vérifier s’il est conforme et
répond aux règles de filtrage de base. Le service SPI surveille toutes les ouvertures et les fermetures
des sessions en cours (TCP ou UDP).
Ainsi pour TCP, quand un paquet arrive (ou est émis) :
a. On ne conserve que les paquets avec le seul flag SYN présent et on va les confronter aux
règles précédemment établies.
b. S’il s’agit d’une ouverture ou de fermeture de connexion, la table d’état est mise à jour (ajout
ou suppression d’une entrée).
c. S’il s’agit d’un autre type de paquet, le SPI vérifie qu’il existe bien une session en cours
correspondant à ce paquet. Si le paquet appartient à une session valide (adresse IP, port,
numéro de séquence, ...) il est accepté sinon le paquet est refusé.
Une fois la connexion autorisée par une règle, le firewall enregistre le tuple (ip-source, ip-destination,
port source, port destination, numéro de séquence).

7.3.3 Filtrage applicatif (proxy) :

Un firewall applicatif permet de filtrer les flux de données en fonction de l’application
concernée, ce qui signifie qu’il travaille au niveau des couches supérieurs. le filtrage applicatif
suppose donc une connaissance de l’application et la manière dont elle structure les données
échangées.
Le firewall proxy joue un rôle de relais applicatif, il établit en lieu et pace de l’utilisateur le service
invoqué par celui-ci.
L’objectif d’un systeme qualifié de proxy et de réaliser un masquage d’adresses par relais applicatif,
et de rendre transparent l’environnement interne.
[Link] Serveur proxy :
Les serveurs proxy étant les seuls à aller sur internet (en principe tout client doit passer par le
proxy pour obtenir un contenu provenant d’internet).
Les serveurs proxy ont la possibilité de refuser tout ou partie de leurs requêtes à certains clients. On
peut alors refuser en bloc toute navigation, ou filtrer certaines url pour empêcher la navigation sur les
sites non professionnels.
Le serveur proxy est supérieur au pare-feu (trafic).
a- Gestion des accès clients :
La première étape est de définir les hôtes ou ensemble d’hôtes auxquels on applique une autorisation.
Ces groupes sont créés sous le nom d’ACL.

b- le serveur proxy squid :

Squid est composé d’un service dont le script de lancement normalisé trouve sa configuration dans le
fichier unique [Link] situé dans /etc/squid
Sa configuration se trouve dans le fichier [Link] qui contient :
  Numéro de port : le port sur lequel le serveurs écoute et qui doit être configuré sur les
navigateurs (valeur par défaut 3128, 8080 valeur historique).
 Répertoire : le répertoire dans lequel les données mises en cache sont stockées.
 Taille : taille en MO maximum pour les données mises en cache, valeur par défaut 100 MO .
 Rep-niv1 : nombre de sous-répertoires du 1er premier niveau, valeur par défaut 16 .
 Rep-niv2 : nombre de sous-répertoires de 2eme niveau, valeur par défaut 256.
 Nom-serveur : nom d’hôte du serveur proxy ce nom apparait notamment dans les journaux
d’activites.

c- Droits d’accès clients :

Il s’agit ensuite de préciser qui peut ou ne peut pas accéder a internet par l’intermédiaire du
serveur proxy : définition de listes de contrôle d’accès dans le fichier [Link]

ACL Nom-liste Types-ACL A.B.C.D/M

 Nom-liste : le numéro de la liste crée, valeur alphanumérique quelconque.

 Type-ACL : Src définition des adresses d’expéditeurs.

Dst définition des adresses de destinataires.

 A.B.C.D/M : Adresses réseaux et maque de sous réseaux

Adresses d’hôtes et masque de sous réseaux
Intervalle d’adresses A.B.C.D -E.F.G.H/M

Exemple :
ACL ALL SRC ALL
ACL réseau-local SRC [Link]/24
ACL serveurs-interdits DST [Link] - [Link]/24
Il n’y a plus qu’à faire savoir à squid quoi faire avec ces acl.

Autorisation des acl dans le fichier [Link]

-Access Autorisation Nom-ACL

 Autorisation : autorisation ou refus de l’ACL , les deux valeur possible sont allow et
deny
 Nom-ACL : le numéro de la liste à autorisé ou refuser.

Exemple :
Chaque ACL est traitée selon un contrôle d’accès allow ou deny

ACL ALL SRC ALL

ACL réseau-local SRC [Link]/24
ACL serveurs-interdits DST [Link] – [Link]/24
http-access deny serveur-interdits
http-access allow reseau-local
http-access deny all

Remarque : il est possible de définir des ACl dans un fichier extérieur au fichier de configuration
principale .
ACL nom-ACL « fichier-ACL »

7.4 Les limites d’un firewall :

d. Le firewall ne peut pas protéger les réseaux des attaques qui ne passe pas par le firewall (ex :
connexion par téléphone, carte réseau sans fil).
e. Le firewall ne protège pas contre les attaques internes.
f. Le firewall ne protège pas contre le transfert de virus.

7.5 Système de détection d’intrusions (IDS) :

Définitions :
Une intrusion est caractéristique d’une attaque : accès illégal des ressources d’un système, abus des
privilèges d’un utilisateur.

La détection d’intrusions :
L’ensemble des mécanismes qui permettent de détecter les anomalies pouvant conduire à des
violations de la politique de sécurité.

7.5.1 Fonctions et mode opératoire :

Un système de détection d’intrusion se compose de trois blocs fonctionnels essentiels :
a. La collecte d’informations.
b. L’analyse des informations récupérées.
c. La détection des intrusions et les réponses à donner a la suite d’une intrusion ou détectée.

a. Collecte d’informations :
La collecte des informations et des évènements sur un système d’informations à une date précise
est la fonction principale d’un système de détection d’intrusion. Cette collecte est réalisée à deux
niveaux :
 Au niveau de la machine et / ou
 Au niveau du réseau
Les informations obtenues au niveau de la machine hôte le sont généralement par le biais de
son système d’exploitation. La plupart des SE réalisent des fonctions d’audit des évènements
et les enregistrent.
L’audit au niveau de la machine hôte permet d’observer directement le comportement d’in
système et les événements qui surviennent. La majorité des systèmes de détection d’intrusions
réalise la collecte des informations au niveau du réseau. Le système de détection d’intrusion
est un point de contrôle obligé par lequel transitent toutes les données puis sont alors
enregistrées dans le système.

b. Méthodes d’analyse :
La phase d’analyse de données et des évènements fait suite à celle de leurs collectes.
Deux catégories de méthode d’analyse sont distinguées :
 Basées sur les signatures.
 Basées sur les profils.

Méthodes basées sur les signatures :

Les méthodes d’analyses des évènements collectés basées sur les signatures d’intrusions
consistent à les comparer a des scénarios d’attaques déjà connus. L’analyseur parcourt les
données et les transforme en une suite d’actions selon un modèle particulier. Une fois la
transformation accomplie, une étape de comparaison est alors effectuée pour identifier les
évènements connus par l’analyseur.
 Remarque : Son défaut majeur réside dans la nécessité de mettre à jour la base de signatures
régulièrement afin de faire face aux éventuelles attaques.

Méthodes basées sur les profils :

Elles sont basées sur la comparaison des évènements collectés par rapport à des profils de
comportement normaux associés à des utilisateurs ou à des applications.

Remarque :
Aucune connaissance antérieure des attaques n’est requise.

c. Réponses aux intrusions détectées :

Les réponses d’un IDS peuvent être classées selon deux types non exclusifs de réponses :
- Les réponses actives
- Les réponses passives
Les réponses actives : impliquent une action à entreprendre par le système suite à une détection
d’intrusion. Ces actions se regroupent en trois catégories :
- Entreprendre une action agressive contre l’intrus : ceci vise à le traquer, à contre-
attaquer en localisant et en endommageant son environnement informatique afin
de faire cesser l’attaque.
- Restructurer l’architecture du réseau : isoler le système attaqué, modifier les
paramètres d’environnement qui ont permis à l’intrusion d’avoir lieu.
- Surveiller le système attaqué : collecter des informations additionnelles pour tenter
de comprendre l’origine, la finalité de l’intrusion, identifier l’auteur de la
malveillance, la démarche utilisée et les failles de menaces de sécurité.
Les réponses passives : consistent à présenter les informations récoltées et qui ont conduit à la
détection de l’intrusion a l’administrateur : envoi d’un SMS à l’administrateur

7.4.2 Classification des IDS :

Approche comportementale
Méthode de détection Approche par scenario

Passi
Comportement après f
détection Actif

IDS
Audit system
Source de données Audit
applicatif
Paquets
réseaux
Surveillance
Fréquence d’utilisation unitaire
Surveillance
périodique
Exemple d’IDS :
Contrôle d’intégrité :

Le filtrage :
Le module d’accès aux fichiers: