Firewall

(Pare-feu, Garde-barrière)

1
Khaled SAMMOUD
 Plan

• Introduction
• Qu’est ce qu’un FW
• Interfaces d’un FW
• DMZ : Zone démilitarizée
• Fonctionnement d’un FW :
– filtrage des paquets, des services, des applications
– Filtrage dynamique
• Limites d’un FW
• Solutions d’intégration de FW dans un réseau
• Les Pix de Cisco
• Solutions d’équilibrage de charge
• Solutions Radware de load balancing entre FW et de
multihoming
2
 Introduction
• Chaque ordinateur connecté à Internet (ou à un réseau) est
susceptible d'être victime d'une intrusion (risque : altérer l’intégrité du
système et des données.
• Les pirates ayant l'intention de s'introduire dans les systèmes
recherchent dans un premier temps des failles (vulnérabilité) dans les
protocoles, les systèmes d'exploitations et les applications. Ils scrutent
donc le réseau (en envoyant des paquets de manière aléatoire) à la
recherche d'une machine connectée, puis cherchent une faille de
sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.

• Cette menace est d'autant plus grande que la machine cible est :
– connectée en permanence à Internet avec une connexion à haut
débit,
– connectée sans pour autant être surveillée,
– ne change pas (ou peu) d'adresse IP.
=> Ainsi, il est nécessaire, notamment pour les entreprises connectées à
internet et les internautes ayant une connexion de type câble ou ADSL,
de se protéger des intrusions en installant un système pare-feu.
3
 Rappel : Protocole TCP

protocole Applicatif
Application Application
protocole TCP, UDP
Transport Transport

protocole IP protocole IP
Réseau IP Réseau

Liaison de Network Liaison de

Liaison Access
Liaison
données données

La couche Transport fournit des ports : canaux logiques identifiés

par un nombre
Ex: http sur port 80, Telnet sur port 21, etc.
 Format de données

Entête TCP
message – données d’application
Application message

Transport (TCP, UDP) segment TCP données TCP données TCP données

Réseau (IP) paquet IP TCP données

Liaison Trame ETH IP TCP données ETF

Entête IP Queue Liaison

Entête Liaison (Ethernet)
(Ethernet)
 Notions de base:
Mécanisme d’établissement de connexion
Mécanisme d’établissement de connexion
(TCP three-way handshake connection establishment )

Les états du clients Les états du serveur

Client Serveur
 Qu’est ce qu’un Firewall ?

• Un firewall (pare-feu en français), est un système physique

(matériel) ou logique (logiciel) servant d'interface entre un ou
plusieurs réseaux afin de contrôler et éventuellement bloquer la
circulation des paquets de données, en analysant les informations
contenues dans les couches 3, 4 et 7 du modèle OSI.

• Il s'agit donc d'une machine (boitier spécifique de firewall

matériel ou d'un ordinateur sécurisé hébergeant une application
particulière de pare-feu) comportant au minimum deux interfaces
réseau :

– une interface pour le réseau à protéger (réseau interne)

– une interface pour le réseau externe

7
Interfaces d’un Firewall

8
Position d’un Fw dans un réseau

9
Khaled Sammoud
 Zone démilitarisée

• Lorsque certaines machines du réseau interne ont

besoin d'être accessible de l'extérieur (comme c'est
le cas par exemple pour un serveur web, un serveur
de messagerie, un serveur FTP public, ...) il est
souvent nécessaire de créer une nouvelle interface
vers un réseau à part, accessible aussi bien du
réseau interne que de l'extérieur, sans pour autant
risquer de compromettre la sécurité de l'entreprise.

• On parle ainsi de zone démilitarisée (souvent

notée DMZ pour DeMilitarized Zone) pour désigner
cette zone isolée hébergeant des applications mises
à disposition du public.
10
Firewall : zone démilitarisée

11
 Firewall : zone démilitarisée
Réseau non digne
de confiance
Réseau avec niveau
de confiance X
T!!
LER ALERT!!
A
Firewall
ALERT!!

Réseau local Internet

Routeur

DMZ

Serveurs accessibles
depuis le réseau Internet

Réseau avec Niveau de confiance Y

 Fonctionnement d'un Firewall

• Un FW contient un ensemble de règles prédéfinies permettant :

– Soit d'autoriser uniquement les communications ayant été

explicitement autorisées : "Tout ce qui n'est pas
explicitement autorisé est interdit".
– Soit d'empêcher les échanges qui ont été explicitement
interdits

• Le choix de l'une ou l'autre de ces méthodes dépend de la

politique de sécurité adoptée par l'entité désirant mettre en
oeuvre un filtrage des communications. La première méthode
est sans nul doute la plus sûre, mais elle impose toutefois une
définition précise et contraignante des besoins en terme de
communication.

13
 Politique de sécurité par défaut

• Ce qui n’est pas explicitement permis est interdit. (default =

Deny)
– La plus prudente.
– Initialement tous les services sont bloqués, puis ils sont
ajoutés un par un selon les besoins.

• Ce qui n’est pas explicitement interdit est permis. (default =

Forward)
– Introduit une commodité dans l’utilisation des services
réseaux par les utilisateurs.
– Fournit un niveau de sécurité réduit.
– Un administrateur doit réagir pour chaque nouvelle menace
de sécurité identifiée (un nouveau service devient
vulnérable).
 Type de Firewalls
• Trois types de Firewalls sont étudiés dans ce
cours:
– Firewalls à Filtrage de paquets (Packet-Filtering)
• Stateless
• Stateful
– Passerelle niveau circuit (Circuit-Level Gateway)
– Passerelle niveau application (Application-Level
Gateway)
 Fonctionnement d'un Firewall

Le filtrage des paquets :

• Basé sur le principe du filtrage de paquets IP, c'est-

à-dire sur l'analyse des en-têtes des paquets IP
échangés entre deux machines.

• Les paquets de données contiennent les en-têtes

suivants, qui sont analysés par le firewall:
– L'adresse IP de la machine émettrice
– L'adresse IP de la machine réceptrice
– Le type de paquet (TCP, UDP, ...)
– Le numéro de port (rappel: un port est un numéro
associé à un service ou une application réseau)
16
 Fonctionnement d'un Firewall
Filtrage des paquets :

• Le type de paquet et le numéro de port donnent une indication sur le type

de service utilisé.

• filtrage par adresse (adress filtering) : filtrage basé sur les @ IP

• filtrage par protocole (protocol filtering) : utilisé lorsque le type de

paquets et le port sont analysés.

• Certains ports sont associés à des service courants et ne sont

généralement pas bloqués. :
– les ports 25 et 110 sont généralement associés au email,
– le port 80 au Web
• Il est recommandé de bloquer tous les ports qui ne sont pas
indispensables (selon la politique de sécurité retenue).

• Le port 23 est critique (correspond au service Telnet). Il permet d'émuler

un accès par terminal à une machine du réseau de manière à pouvoir
17
exécuter des commandes saisies au clavier à distance...
 Fonctionnement d'un Firewall

Filtrage :

• Par numéro IP source

• Par numéro IP destination
• Par protocole (TCP, UDP, ICMP, IGMP, ARP,...)
• Par port ( service) TCP ou UDP source
• Par port ( service) TCP ou UDP destination
• Par type de message ICMP (echo_request, echo_reply, …)
• Par interface (interne, externe,...) en entrée ou en sortie

18
 Fonctionnement d'un Firewall
Filtrage des services : Les principaux services à protéger :

 le courrier électronique (SMTP tcp/25, POP3 tcp,udp/110),

 le transfert de fichiers (FTP tcp/21, TFTP udp/69, SFTP tcp/115),
 l’accès par terminal (Telnet tcp/23) et l’exécution de commandes à
distance,
 les News Usenet (NNTP tcp/119),
 le World Wide Web (HTTP tcp,udp/80),
 les autres services d’informations (gopher tcp,udp/70),
 les informations sur les personnes (finger tcp/79),
 les services de conférence en temps réel,
 le service de nom (DNS, tcp,udp/53),
 les services d’administration réseau (SNMP udp/161,162),
 les services temporels (NTP tcp,udp/123),
 les systèmes de fichiers réseau (NFS sur RPC tcp/udp/111),
 les services d’impression (printer tcp/515)
19
 Exemples de règles de filtrage
(cas de stateless Packet Filtering Firewalls)
Packet-filtering Firewall

Internet
193.1.1.0/24
entrant
sortant
Action Prot Sens source Port src destination Port dst flag
Deny IP Sortant 193.1.1.0/24 * 10.1.1.1/32 *
Allow TCP Sortant 193.1.1.0/24 * * 80
Allow TCP Entant * 80 193.1.1.0/24 * ACK
Deny IP * * * * *
• Règle1: Toute connexion depuis le réseau interne (193.1.1.0) vers la machine suspecte
10.1.1.1 est bloquée.
• Règle2: Seulement les connexions HTTP (TCP, port 80) depuis le réseau interne (193.1.1.0)
sont permises.
• Règle3: Seulement la trafic web en réponse à une connexion déjà initiée du réseau interne
sera accepté de l’extérieur.
• Règle4: La politique de sécurité par défaut.
Exemple 2 : règles de filtrage

21
 Limitation des Firewalls à filtrage de paquets
(type stateless)
• Connexion TCP.
– Port serveur inférieur à 1024.
– Port client compris entre 1024 et 16383.
• Les Ports <1024 sont affectés de façons permanente.
• FTP: 20,21 – Telnet: 23 – SMTP: 25 – HTTP: 80
• Tous les Ports >1024 doivent être disponibles aux clients
pour faire leurs connexions.
– Ceci créé une vulnérabilité qui peut être exploitée par les
intrus.
Fonctionnement d’un Firewall

23
 Stateless Packet-Filtering Firewall Serveur Telnet
Client Telnet

193.1.1.1 10.1.2.3
TCP
AdrS: 193.95.1.1
PrtS: 4321
AdrD: 10.1.2.3
PrtD: 23

TCP
Cohérent avec le paquet précédent .2.3
AdrS: 10.1
PrtS: 23
.95.1.1
AdrD: 193
PrtD: 4321
Pas de cohérence avec la connexion en cours
TCP
.2.3
AdrS: 10.1
PrtS: 23
.95.1.1
AdrD: 193
PrtD: 3333

Ceci présente une limitation pour les Firewalls de type stateless packet filtering
 Solution: utilisation de Firewalls de type stateful packet filtering
 Firewalls à filtrage de paquets: avantages et
inconvénients
• Avantages
– Simplicité du fonctionnement.
– Rapidité dans le traitement.
– Transparence aux utilisateurs.
• Inconvénients
– Ne protège pas contre les attaques qui exploitent des
vulnérabilités sur les applications (ne bloque pas certaines
commandes).
– Les fichiers logs générés ne contiennent pas d’informations
assez pertinentes (seulement: @IP, ports).
– Ne supporte pas des mécanismes avancés d’authentification des
utilisateurs.
– Une simple erreur dans la configuration des règles peut casser
toute la sécurité.
 Attaques sur les Firewalls à filtrage de paquets
• Usurpation d’adresse IP (IP address spoofing)
– L’intrus envoi un paquet de l’externe avec une fausse @IP
(généralement égale à une @IP d’une machine interne), afin de réussir
à passer le mécanisme de filtrage.
– Solution: bloquer tout paquet entrant (venant de l’interface externe)
ayant une @IP source interne.

• Fragmentation de paquets (Tiny fragment attacks)

– Un paquet IP est divisé en plusieurs fragments, où seul le premier
fragment contient le numéro de port.
 Insuffisance d’informations pour filtrer ces paquets.
– Solution: rejeter les paquets fragmentés ou les rassembler avant
vérification.
 Fonctionnement d'un Firewall
Le filtrage dynamique :

• Le filtrage statique ne s'attache qu'à examiner les paquets IP

(niveau 3 du modèle OSI). Or, de nombreux services (le FTP par
exemple) initient une connexion sur un port statique, mais
ouvrent dynamiquement (de manière aléatoire) un port afin
d'établir une session entre la machine faisant office de serveur
et la machine cliente. Ainsi, il est impossible de prévoir les ports
à laisser passer ou à interdire.
• Pour y remédier, l'entreprise Check point a breveté un système
de filtrage dynamique de paquets (stateful inspection) basé
sur l'inspection des couches 3 et 4 du modèle OSI, permettant
d'effectuer un suivi des transactions entre le client et le serveur
et d'assurer la bonne circulation des données de la session en
cours.
• Si le filtrage dynamique est plus performant que le filtrage de
paquets basique, il ne protège pas pour autant de failles
applicatives, c'est-à-dire les failles liées aux logiciels,
représentant la part la plus importante des risques en terme de
27
sécurité.
 Fonctionnement d'un Firewall

Le filtrage applicatif :

• Le filtrage applicatif permet de filtrer les communications

application par application, ce qui signifie qu'il travaille au
niveau de la couche 7 du modèle OSI.
• Le filtrage applicatif suppose donc une connaissance de
l'application, et notamment de la manière de laquelle elle
structure les données échangées.
• Un firewall effectuant un filtrage applicatif est appelé passerelle
applicative car il permet de relayer des informations entre deux
réseaux en effectuant un filtrage fin au niveau du contenu des
paquets échangés.

=> En contrepartie, une analyse fine des données applicatives

requiert une grande puissance de calcul et se traduit donc
souvent par un ralentissement des communications.
28
 Stateful Packet filtering
Firewalls
• Renforce lesPort
règles de filtrage en suivant l’état des connexions: Etat de la
@IP Src @IP Dst Port dst
Src connexion
223.43.21.231 1990 193.2.1.3 80 Etablie
223.42.21.230 1234 193.5.6.1 23 Etablie
223.42.21.222 2562 193.4.2.1 80 Etablie
… … … … …

• Si un paquet représente une nouvelle connexion, alors vérification des règles de

configuration
• Si un paquet fait partie d’une connexion existante (ex: TCP flag ACK activé),
alors vérification dans la table d’état des connexions, puis mise à jour de la table.
• Le trafic entrant vers un port « x » supérieur à 1024, est autorisé seulement s’il est
en direction d’une machine qui a déjà établie une connexion avec un port source
inférieur à 1024 et un port destination égal à « x ».
 Exemples de règles de filtrage
(cas de stateful Packet Filtering Firewalls)
Packet-filtering Firewall

Internet
193.1.1.0/24
entrant
sortant
Action Prot Sens source Port src destination Port dst flag
Deny IP Sortant 193.1.1.0/24 * 10.1.1.1/32 *
Allow TCP Sortant 193.1.1.0/24 * * 80
Allow TCP Entant * 80 193.1.1.0/24 * ACK
Deny IP * * * * *
• Règle1: Toute connexion depuis le réseau interne (193.1.1.0) vers la machine suspecte
10.1.1.1 est bloquée.
• Règle2: Seulement les connexions HTTP (TCP, port 80) depuis le réseaux interne
(193.1.1.0) sont permises.
• Règle3: Seulement la trafic web en réponse à une connexion déjà initiée du réseau interne
sera accepté de l’extérieur.
• Règle4: La politique de sécurité par défaut.
 Stateful Packet-Filtering Firewall Serveur Telnet
Client Telnet

193.1.1.1 10.1.2.3
TCP
AdrS: 193.95.1.1
PrtS: 4321
AdrD: 10.1.2.3
PrtD: 23 Le Firewall se souviendra
De cette information

Cohérent avec le
paquet précédent TCP
.2.3
AdrS: 10.1
PrtS: 23
.95.1.1
AdrD: 193
Pas de cohérence PrtD: 4321
avec la connexion en TCP
cours .2.3
AdrS: 10.1
PrtS: 23
.95.1.1
AdrD: 193
PrtD: 3333
 La translation d’adresses
• Localisation du translateur
– Sur Firewall
– Sur le routeur
• Types de translation
– N @ privées vers 1 @ publique
– N @ privées vers M @ publiques
– 1 @ privée vers 1 @ publique

32
La notion de Virtual Private Network

33
Les ports et protocoles à bloquer

34
 Les limites des firewalls

• Le fait d'installer un firewall n'est bien évidemment pas signe

de sécurité absolue.
• Les firewalls ne protègent que des communications passant à
travers eux. Ainsi, les accès au réseau extérieur non réalisés au
travers du firewall sont autant de failles de sécurité.
– C'est par exemple le cas des connexions effectuées à l'aide d'un
modem.
– D'autre part, le fait d'introduire des supports de stockage
provenant de l'extérieur sur des machines internes au réseau peut
être fort préjudiciable pour la sécurité de ce dernier.

• La mise en place d'un firewall doit donc se faire en accord avec

une véritable politique de sécurité.
• D'autre part la mise en place d'un système pare-feu n'exempt
pas de se tenir au courant des failles de sécurité et d'essayer
de les minimiser...
35
 Les firewalls : la solution à tout ?

• Un firewall ne peut pas protéger contre le trafic qui ne passe pas par lui.
• Pas de protection contre les menaces internes :
– Rarement déployé et configuré entre les réseaux internes
• Pas de confidentialité des informations :
– Option Virtual Private Network (entre deux firewalls) possible
– Option cryptage entre un poste isolé et le Firewall
• Pas d’authentification à l’origine des informations :
– Impossible de savoir si l ’auteur du paquet est bien celui qui émet le paquet.

36
Le firewall n’est qu’un acteur d’une politique de sécurité ; il ne peut à lui seul
résoudre tous les problèmes de sécurité.

L’utilisation d’antivirus, la sensibilisation du personnel, la protection physique

des machines sont autant de problèmes qu’un firewall ne peut pas résoudre.

37
Quelques solutions d’intégration de Fw

au sein d’une architecture réseau

38
39
 La solution Firewall

• Accès sécurisé et transparent aux serveurs de l ’Internet

• Filtrage sur protocoles de communication
• Filtrage sur les applications
• Filtrage sur les utilisateurs
• Fichiers logs et statistiques d’utilisation
• Gestion possible de réseaux complexe (VPN, DMZ, NAT)

40
Une solution Firewall Intranet

41
 Firewall à routeur écran

Architecture la moins chère qui permet de faire un filtrage simple mais efficace.
Possibilités d’enregistrement de l’activité (log) généralement limitées.
42
 La solution routeur filtrant

• Filtrage efficace sur les champs des protocoles de communication (adresse IP,…)
• Intégré à la plupart des routeurs du marché
• Bien adapté au réseau de type PME
– Nécessite une bonne connaissance technique des protocoles
– Spécifique par routeur avec une syntaxe de bas niveau
– Généralement pas de fichiers logs et de statistiques exploitables

43
 Inconvénients des routeurs filtrants

• Les routeurs accèdent seulement à des parties limitées des entêtes des paquets.

• Les routeurs n’ont aucune notion de l’état d’une communication de bout en bout.

• Les routeurs ont un nombre très limité de possibilités de traitement des

informations qu’ils routent.

• L’implémentation de solutions de sécurité sur les routeurs réduisent leur

performances.

44
 Fw à Proxy

•Permet d’avoir un très bon contrôle sur les services relayés.

•Idéal pour faire de la translation d’adresse et masquer ses adresses IP
internes à l’extérieur.
•Il existe de nombreux proxies avec des fonctions plus ou moins évoluées.
45
Cela peut aller du simple proxy ftp au proxy cache web comme Squid.
 Fw avec Bastion

• Toutes les connexions en provenance de l’Internet passent forcément par le

bastion qui se trouve sur le réseau interne.
• Les clients du réseau interne peuvent accéder directement à l’Internet pour les
services non mandatés par le bastion, sinon il passe obligatoirement par les
proxies du bastion. 46
 Firewall à zone démilitarisée

Utilisation d’un sous-réseau à part pour isoler les bastions : c’est la zone
démilitarisée (DMZ). Possibilité de fusionner routeur interne et externe.
Même si le bastion est percé, le pirate est isolé dans la DMZ et ne peut pas
accéder au réseau interne facilement (il n’est pas possible d’us urper une
machine du réseau interne par exemple). 47
 Firewalls hiérarchiques

Souvent utilisé pour isoler un réseau de test interne à une entreprise.

Les adresses IP privées sont définies dans la RFC 1918 :
- classe A : 10.0.0.0 à 10.255.255.255
- classe B : 172.16.0.0 à 172.31.255.255
- classe C : 192.168.0.0 à 192.168.255.255 48
Environnement d’un FW

49
Khaled Sammoud
 Les produits Firewall

• Les produits significatifs dans le monde /France:

– Checkpoint software (Firewall1)

– Netscreen (NS-5, NS-25, …)
– Cisco (PIX, Centri Firewall)
– Raptor systems (Eagle)
– Bull / Evidian (NetWall)

50
Les firewalls : quelles implémentations? (1/2)

• Sur châssis propriétaire

– Avantages: robustesse
– Inconvénients: évolutivité limitée
• Sur OS Sécurisé
– Exemple: Unix BSD
– Avantages: Implémentation sur architecture de type PC
– Inconvénients: Interaction étroite entre Firewall et OS: Problème
de mise à jour

51
Les firewalls: quelles implémentations? (2/2)

• Sur OS standard du marché

– Exemple: Unix Solaris/ Windows NT server: Firewall-1
– Inconvénients: sensible aux attaques sur l’OS.
– Pas d’idéal

• Critères de choix:
– Analyse de l’existant / Evolutivité de la solution
– Culture système de l’entreprise
– Coûts

52
Propriétés du Firewall-1 de checkpoint ?

• Existant sur plusieurs plate-formes (PC,

stations, switchs)
• +40% du marché mondial des Firewalls
• Composants de sécurité du Firewall-1:
– Module Firewall (Contrôle des paquets, translation d ’adresses…)
– Module d ’encryption (Utilisation possible de VPN sécurisés)
– Module de management (Interface graphique + fonctionnalités de
management de la base de données)
– Possibilité d’appliquer la même politique de sécurité pour
plusieurs Firewalls à partir d ’une même station de management.

53
Solutions Cisco : Les PIX

54
 Principales caractéristiques des PIX de Cisco

  PIX 506 PIX 515 PIX 525 PIX 535

Processeur 200 MHz 200 MHz 350 MHz 1.0 GHz

RAM  32 MB 32 ou 64 MB   128 ou 256 MB 512 MB ou 1 GB 
Mémoire Flash 8 MB 16 MB 16 MB 16 MB
Slots PCI aucun 2 3 9
2 x 10/100 Fast 2 x 10/100 Fast
Interfaces fixes 2 x 10BaseT Ethernet aucune
Ethernet Ethernet
Support carte VPN
non oui oui oui
Accelerator

55
Khaled Sammoud
Solutions CISCO pour les entreprises

56
 Conclusion

• Les firewalls solutions matures et bien éprouvés

• PIX et CheckPoint se partagent le marché

• IPchains ou Netfilter sur Linux grignote de plus en plus des parts

• Les proxy solutions nécessaires pour l’optimisation et le filtrage applicatif

• Les switch de type alteon, ou Cisco Redirect traffic et d’autres produits tels que
les solutions de Radware sont nécessaires pour augmenter les performances.

57
Khaled Sammoud