Firewall

nicodewaele@gmail.com http://nicodewaele.free.fr

Nicolas Dewaele

Firewall
I- Dfinition
Un firewall ou mur pare-feu est un quipement spcialis dans la scurit rseau. Il filtre les entres et sorties d'un nud rseau. Cet quipement travaille habituellement aux niveaux 3 et 4 du modle OSI. Il faut bien distinguer le firewall logiciel, utilis sur les ordinateurs personnels du firewall matriel install en entreprise et qui nous intresse pour ce cours.

Chez vous : Firewall logiciel

Pour protger un ordinateur personnel, il fortement conseill d'utiliser un logiciel pare-feu. systmes d'exploitations actuels en propose, exemple depuis Windows XP SP2, un pare feu directement inclus sur les Windows. Sur Ubuntu, le logiciel pare feu s'appelle ufw. Ces pare-feu logiciels ne sont pas comparables aux firewalls physiques car ils prviennent l'utilisateur quand un logiciel se connecte au rseau et demande l'utilisateur de choisir si il est d'accord pour que ce logiciel ait accs au rseau. est Les par est

En entreprise : Firewall physique

Dans un contexte d'entreprise, les objectifs sont diffrents : 1- On ne peut pas installer un firewall sur chaque ordinateur, il faut que la scurit soit centralise. 2- L'quipement tant central, il doit permettre des dbits trs importants pour que tous les utilisateurs le traversent. 3- La scurit ne se fait pas au niveau des logiciels mais au niveau des services rseaux. 4- L'utilisateur ne peut pas tre prvenu chaque fois qu'un nouveau service accde au rseau. En consquence, le firewall matriel est un boitier plac dans une salle de serveur. Ce firewall est configur une fois pour toutes par l'administrateur rseau. Si ce dernier oublie de renseigner une information, le firewall fonctionne mal ou de faon incomplte. Souvent les routeurs incluent une fonction firewall qui permet une premire scurit pour le rseau. Les grands constructeurs de Firewall sont Cisco, Netasq, Juniper, CheckPoint, ... Les serveurs spcialiss en filtrage sont ISA Server de Microsoft, IPCop et PFSense sous Linux, ...
Dernires modifications le 30/03/11 - Page 1 -

II- Fonctionnement de base du firewall :

Le principe de base du filtrage s'appuie sur l'analyse des premires couches du modle OSI : Couche 1 : L'interface d'entre et l'interface de sortie (Couche 2 : L'adresse MAC source et l'adresse MAC de destination.) Couche 3 : L'adresse IP source et l'adresse IP de destination. Couche 4 : Le port source et le port destination. L'administrateur crit des rgles dans le firewall. Le firewall fonctionne de la manire suivante : 1- Reoit un paquet sur l'une de ses interfaces. 2- Lit les rgles une par une dans l'ordre en vrifiant si le paquet reu est concern par la rgle. 3- Quand un paquet est concern par une rgle il applique la politique associe. 4- Quand un paquet n'est pas concern par une rgle, il la passe pour lire la suivante. 5- Si aucune rgle ne s'applique, il utilise la politique par dfaut. No Interface entre Interface sortie Adr MAC source Adr MAC destination Adr IP source Adr IP destination Protocole niveau 4 Port source Port destination Politique

Firewall

nicodewaele@gmail.com http://nicodewaele.free.fr

Nicolas Dewaele

D'aprs le schma et les besoins exprims ci-dessous, remplissez les rgles de filtrage du firewall page 2.

Tous les clients doivent pouvoir accder au serveur DNS de la DMZ. Toutes les machines d'Internet doivent accder au serveur Web de la DMZ. Tous les clients doivent accder Internet (HTTP, HTTPS). La politique par dfaut du firewall est le refus.

III- Firewall tat de connexion :

Les firewalls avancs vrifient galement l'tat de connexion : Le protocole TCP gre des tats de connexions (Synchronisation, acquittement, fin de connexion, ...). Les firewalls vrifient ces tats de connexions pour viter qu'un pirate puisse contourner la protection.

IV- Firewall applicatif :

Historiquement, le pare feu intervient aux niveaux 3 et 4 du modle OSI mais aujourd'hui, il peut galement vrifier les couches hautes (5 7). Le firewall peut par exemple vrifier que ce qui passe par le port 80 est bien du HTTP. Ce type de traitement est beaucoup plus lent que le traitement de base.

V- Firewall identifiant :
Les firewall identifiants utilisent un nom d'utilisateur pour faire le choix d'un accs rseau. Cela signifie que les accs pourront tre diffrents en fonction du profil de la personne qui s'est connecte au rseau. Les rgles de filtrage sont dfinies par utilisateurs et non plus par IP !

Dernires modifications le 30/03/11 - Page 3 -

Firewall

nicodewaele@gmail.com http://nicodewaele.free.fr

Nicolas Dewaele

VI- Port Knocking :

Le port knocking est une technique de filtrage destine avant tout protger les ports d'administration d'un serveur ou d'une machine rseau, par exemple le telnet, le SSH ou le HTTP. Le principe est le suivant : Par dfaut le firewall filtre le port voulu Le client doit envoyer un segment SYN sur un ensemble de ports dfinis (dans un l'ordre) Si le client a bien choisi la bonne combinaison de ports le firewall cre une rgle temporaire qui accepte le port voulu. Quand le client n'utilise plus le port de connexion, il fait un code (ensemble de ports dans un certain ordre) Si le code de fermeture est bon, le firewall supprime la rgle cre temporairement. Par exemple, je ne pourrais pas me connecter au port 22 de cette machine avant d'avoir frapp aux ports TCP 2000, TCP 4500, UDP 3000. Le port 22 sera activ jusqu' ce que je le ferme en faisant la bonne combinaison de ports.

VII- Vocabulaire :
Bastion :
Un bastion informatique dsigne une machine directement connecte Internet qui effectue le premier niveau de scurit avant les autres quipements internes :

Zone dmilitarise :
Une zone dmilitarise est une zone dans laquelle chaque paquet entrant ou sortant a t filtr par un quipement de scurit. Il s'agit en gnral d'y placer des serveurs qui servent la fois pour l'intrieur et pour l'extrieur du rseau.

Dernires modifications le 30/03/11 - Page 4 -

Exercices :
D'aprs les rgles de filtrage suivantes, dites quelle rgle vrifiera le paquet et si les paquets seront transmis ou supprims par le firewall :
12345IP sce IP sce IP sce IP sce IP sce : : : : : 172.16.0.30 140.8.19.47 172.16.0.1 17.14.3.3 172.17.0.1 IP IP IP IP IP Dest Dest Dest Dest Dest : : : : : 12.230.24.45 172.17.0.1 172.17.0.1 172.17.0.2 1.2.3.4 Prot Prot Prot Prot Prot : : : : : TCP Port sce :1045 UDP Port sce :6810 TCP Port sce :80 UDP Port sce :6000 TCP Port sce :80 Port Port Port Port Port dest dest dest dest dest : : : : : 443 53 80 53 10000

Un nouveau serveur proxy a t mis dans la DMZ. On veut forcer les clients passer par le proxy, quelles rgles doit-on ajouter et/ou supprimer dans le firewall dans ce cas ? No 1 2 3 4 5 6 7 8 Interface entre Eth0 Eth1 Eth0 Eth1 wan0 Eth1 Eth0 wan0 Interface sortie Eth1 Eth0 Eth1 Eth0 Eth1 wan0 wan0 Eth0 Adr MAC source * * * * * * * * Adr MAC destination * * * * * * * * Adr IP source 172.16.0.0 172.17.0.1 172.16.0.0 172.17.0.2 * 172.17.0.1 172.16.0.0 * Adr IP destination 172.17.0.1 172.16.0.0 172.17.0.2 172.16.0.0 172.17.0.1 * * 172.16.0.0 Protocole niveau 4 TCP TCP UDP UDP TCP TCP TCP TCP Port source > 1024 80 > 1024 53 > 1024 80 > 1024 80 Port destination 80 > 1024 53 > 1024 80 > 1024 80 > 1024 Politique Accepter Accepter Accepter Accepter Accepter Accepter Accepter Accepter

Refuser