Ingnieurs 2000

Informatique et Rseaux

3me anne

Les Firewalls

Masquelier Mottier Pronzato

1/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Table des matires

Pourquoi un firewall ?..........................................................................................................................3 Les diffrentes catgories de firewall...................................................................................................4 Firewall sans tats (stateless)...........................................................................................................4 Firewall tats (stateful)..................................................................................................................7 Firewall applicatif............................................................................................................................8 Firewall authentifiant.......................................................................................................................8 Firewall personnel............................................................................................................................9 Qualit de service...............................................................................................................................10 Classificateurs................................................................................................................................10 Gestionnaire de file dattente ( Queueing discipline )...............................................................11 pfifo_fast..............................................................................................................................11 tbf..........................................................................................................................................12 sfq.........................................................................................................................................12 prio........................................................................................................................................12 cbq........................................................................................................................................13 htb.........................................................................................................................................13 Installation sous Linux...................................................................................................................14 Exemple.........................................................................................................................................14 Fonctionnement du pare-feu sous Linux : NetFilter/Iptables.............................................................16 Fonctionnement.............................................................................................................................16 Les tables.......................................................................................................................................16 Les chanes.....................................................................................................................................17 Les cibles.......................................................................................................................................18 Exemple de script...........................................................................................................................19 Les diffrents types de firewalls.........................................................................................................20 Matriel..........................................................................................................................................20 Logiciels.........................................................................................................................................21 IPCop....................................................................................................................................21 Conclusion..........................................................................................................................................23 Sources...............................................................................................................................................24

Masquelier Mottier Pronzato

2/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Pourquoi un firewall ?
De nos jours, la plus part des entreprises possdent de nombreux postes informatiques qui sont en gnral relis entre eux par un rseau local. Ce rseau permet d'changer des donnes entre les divers collaborateurs internes l'entreprise et ainsi de travailler en quipe sur des projets communs. La possibilit de travail collaboratif apporte par un rseau local constitue un premier pas. L'tape suivante concerne le besoin d'ouverture du rseau local vers le monde extrieur, c'est dire internet. En effet, une entreprise n'est jamais compltement ferme sur elle mme. Il est par exemple ncessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extrieur signifie aussi laisser une porte ouverte a divers acteurs trangers. Cette porte peut tre utilise pour des actions qui, si elles ne sont pas contrles, peuvent nuire l'entreprise (piratage de donnes, destruction,...). Les mobiles pour effectuer de tel actions sont nombreux et varis : attaque visant le vol de donnes, passe-temps, ... Pour parer ces attaques, une architecture de rseau scurise est ncessaire. L'architecture devant tre mise en place doit comporter un composant essentiel qui est le firewall. Cette outil a pour but de scuriser au maximum le rseau local de l'entreprise, de dtecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le rseau ouvert sur Internet beaucoup plus sr. De plus, il peut galement permettre de restreindre l'accs interne vers l'extrieur. En effet, des employs peuvent s'adonner des activits que l'entreprise ne cautionne pas, comme par exemple le partage de fichiers. En plaant un firewall limitant ou interdisant l'accs ces services, l'entreprise peut donc avoir un contrle sur les activits se droulant dans son enceinte. Le firewall propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il permet d'analyser, de scuriser et de grer le trafic rseau, et ainsi d'utiliser le rseau de la faon pour laquelle il a t prvu. Tout ceci sans l'encombrer avec des activits inutiles, et d'empcher une personne sans autorisation d'accder ce rseau de donnes.

Masquelier Mottier Pronzato

3/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Les diffrentes catgories de firewall

Depuis leur cration, les firewalls ont grandement volu. Ils sont effectivement la premire solution technologique utilis pour la scurisation des rseaux. De ce fait, il existe maintenant diffrentes catgories de firewall. Chacune d'entre-elles disposent d'avantages et d'inconvnients qui lui sont propre. Le choix du type d'un type de firewall plutt qu'un autre dpendra de l'utilisation que l'on souhaite en faire, mais aussi des diffrentes contraintes imposes par le rseau devant tre protg.

Firewall sans tats (stateless)

Ce sont les firewall les plus anciens mais surtout les plus basiques qui existent. Ils font un contrle de chaque paquets indpendamment des autres en se basant sur les rgles prdfinies par l'administrateur (gnralement appeles ACL, Access Control Lists). Ces firewalls interviennent sur les couches rseau et transport. Les rgles de filtrages s'appliquent alors par rapport une d'adresses IP sources ou destination, mais aussi par rapport un port source ou destination. Les limites : Lors de la cration des rgles de filtrage, il est d'usage de commencer spcifier que le firewall ne doit laisser passer aucun paquets. Ensuite, il faut ajouter les rgles permettant de choisir les flux que nous souhaitons laisser passer. Il suffit alors d'autoriser l'ouverture des ports des serveurs devant tre accessible depuis l'extrieur. Mais les connexions des postes vers l'extrieur poseront problmes. Effectivement, il faudrait autoriser les ports utiliss par les postes clients lors des connexions vers les serveurs, ceci implique donc d'ouvrir tout les ports suprieurs 1024. Ceci pose donc un rel problme de scurit. Il n'est pas possible non plus de se prserver des attaques de type ip-spoofing (technique consistant se faire passer pour une machine de confiance) ou SYN Flood (surcharge de demande de connexion sans attente de la rponse). Les rgles de filtrage de ces firewalls sont bases que sur des adresses IP, il suffit donc au pirate de trouver les rgles de ce firewall pour pouvoir utiliser cette technique de piratage. Une solution pour se protger des attaques de type ip-spoofing est de mettre en place une rgle interdisant les paquets provenant du rseau extrieur dont l'adresse IP source correspond une adresse valide du rseau local. Exemple d'attaque pas ip-spoofing. Une connexion est tablie entre le client A et le serveur B. Un

Masquelier Mottier Pronzato

4/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

pirate C souhaite attaquer cette connexion.

Masquelier Mottier Pronzato

5/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Une autre limite de ce type de firewall se trouve au niveau des protocoles fonctionnant de manire similaire au FTP. Effectivement, certains protocoles ont besoin d'ouvrir un autre port que celui ddi . Ce port est choisi alatoirement avec une valeur suprieure 1024. Dans le cas du protocole FTP, l'utilisation de deux ports permet d'avoir un flux de contrle et un flux de donnes pour les connexions. Le problme pos viens du fait que ce port est choisi alatoirement, il n'est donc pas possible de crer des rgles pour permettre les connexions FTP avec les firewalls sans tats.

Firewall tats (stateful)

Les firewalls tats sont une volution des firewalls sans tats. La diffrence entre ces deux types de firewall rside dans la manire dont les paquets sont contrls. Les firewalls tats prennent en compte la validit des paquets qui transitent par rapport aux paquets prcdemment reus. Ils gardent alors en mmoire les diffrents attributs de chaque connexions, de leur commencement jusqu' leur fin, c'est le mcanisme de stateful inspection. De ce fait, ils seront capables de traiter les paquets non plus uniquement suivant les rgles dfinies par l'administrateur, mais galement par rapport l'tat de la session :

NEW : Un client envoie sa premire requte. ESTABLISHED : Connexion dj initie. Elle suit une connexion NEW. RELATED : Peut tre une nouvelle connexion, mais elle prsente un rapport direct avec une connexion dj connue.

INVALID : Correspond un paquet qui n'est pas valide.

Les attributs gards en mmoires sont les adresses IP, numros de port et numros de squence des paquets qui ont travers le firewall. Les firewalls tats sont alors capables de dceler une anomalie protocolaire de TCP. De plus, les connexions actives sont sauvegardes dans une table des tats de Masquelier Mottier Pronzato 6/23 Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

connexions. L'application des rgles est alors possible sans lire les ACL chaque fois, car l'ensemble des paquets appartenant une connexion active seront accepts. Un autre avantages de ce type de firewall, se trouve au niveau de la protection contre certaines attaques DoS comme par exemple le Syn Flood. Cette attaque trs courante consiste envoyer en masse des paquets de demande de connexion (SYN) sans en attendre la rponse (c'est ce que l'on appel flood). Ceci provoque la surcharge de la table des connexions des serveurs ce qui les rend incapable d'accepter de nouvelles connexions. Les firewalls stateful tant capables de vrifier l'tat des sessions, ils sont capables de dtecter les tentatives excessives de demande de connexion. Il est possible, en autre, ne pas accepter plus d'une demande de connexion par seconde pour un client donn. Un autre atout de ces firewalls est l'acceptation d'tablissement de connexions la demande. C'est dire qu'il n'est plus ncessaire d'ouvrir l'ensemble des ports suprieurs 1024. Pour cette fonctionnalit, il existe un comportement diffrent suivant si le protocole utilis est de type orient connexion ou non. Pour les protocoles sans connexion (comme par exemple UDP), les paquets de rponses lgitimes aux paquets envoys sont accepts pendant un temps donn. Par contre, pour les protocoles fonctionnant de manire similaire FTP, il faut grer l'tat de deux connexions (donne et contrle). Ceci implique donc que le firewall connaisse le fonctionnement du protocole FTP (et des protocoles analogues), afin qu'il laisse pass le flux de donnes tabli par le serveur. Les limites : La premire limite de ce type de firewall ce situe au niveau du contrle de la validit des protocoles. Effectivement, les protocoles maisons utilisant plusieurs flux de donnes ne passeront pas, puisque le systme de filtrage dynamique n'aura pas connaissance du fonctionnement de ces protocoles particuliers. Ensuite, il existe un cot supplmentaire lors de la modification des rgles du firewall. Il faut que les firewalls rinitialisent leurs tables tat. Pour finir, ce type de firewall ne protge pas contre l'exploitation des failles applicatives, qui reprsentent la part la plus importante des risques en terme de scurit.

Firewall applicatif
Les firewall applicatif (aussi nomm pare-feu de type proxy ou passerelle applicative) fonctionne sur la couche 7 du modle OSI. Cela suppose que le firewall connaisse l'ensemble des protocoles utiliss par chaque application. Chaque protocole dispose d'un module spcifique celui-ci. C'est Masquelier Mottier Pronzato 7/23 Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

dire que, par exemple, le protocole HTTP sera filtr par un processus proxy HTTP. Ce type de firewall permet alors d'effectuer une analyse beaucoup plus fine des informations qu'ils font transiter. Ils peuvent ainsi rejeter toutes les requtes non conformes aux spcifications du protocole. Ils sont alors capables de vrifier, par exemple, que seul le protocole HTTP transite travers le port 80. Il est galement possible d'interdire l'utilisation de tunnels TCP permettant de contourner le filtrage par ports. De ce fait, il est possible d'interdire, par exemple, aux utilisateurs d'utiliser certains services, mme s'ils changeant le numro de port d'utilisation du services (comme par exemple les protocoles de peer to peer). Les limites : La premire limitation de ces firewalls rside sur le fait qu'ils doivent imprativement connatre toutes les rgles des protocoles qu'ils doivent filtrer. Effectivement, il faut que le module permettant le filtrage de ces protocoles soit disponible. Ensuite, ce type de firewall est trs gourmand en ressource. Il faut donc s'assurer d'avoir une machine suffisamment puissante pour limiter les possibles ralentissements dans les changes.

Firewall authentifiant
Les firewall authentifiant permettent de mettre en place des rgles de filtrage suivant les utilisateurs et non plus uniquement suivant des machines travers le filtre IP. Il est alors possible de suivre l'activit rseau par utilisateur. Pour que le filtrage puisse tre possible, il y a une association entre l'utilisateur connect et l'adresse IP de la machine qu'il utilise. Il existe plusieurs mthode d'association. Par exemple authpf, qui utilise SSH, ou encore NuFW qui effectue l'authentification par connexion.

Firewall personnel
Les firewalls personnels sont installs directement sur les postes de travail. Leur principal but est de contrer les virus informatiques et logiciels espions (spyware). Leur principal atout est qu'ils permettent de contrler les accs aux rseaux des applications installs sur la machines. Ils sont capables en effet de reprer et d'empcher l'ouverture de ports par des applications non autorises utiliser le rseau.

Masquelier Mottier Pronzato

8/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Qualit de service
Les firewalls peuvent grer de la qualit de service pour palier aux limitations du protocole IP. En effet, celui-ci ne fait pas, ou trs peu, de diffrence entre les diffrents flux. Les donnes sont traites de manire quivalente, on utilise le terme best effort (effort maximum) pour caractriser IP. La qualit de service est un terme assez vague qui ne s'applique pas uniquement aux firewalls, et qui varie pour chaque personne et pour chaque usage. Dans le domaine des rseaux informatiques, la qualit de service est employe pour le contrle des rseaux en fonction de diffrents critres qui sont par exemple : la bande passante (dbit), les dlais (latence) et le taux derreurs (perte), On pourra donc offrir des qualits de service diffrentes en fonction de besoins propres chaque applications (multimdia, transfert de donnes, ) et en fonction des besoins exprim par lutilisateur. Il est donc possible de fournir une qualit de service beaucoup plus fine que la simple limitation matrielle lie au type de la connexion utilise. Le firewall pourra donc effectuer de la mise en forme de trafic ( shaping ) pour limiter lmission de paquets un dbit configur, rordonnancer ( scheduling ) les paquets afin de prioriser certain flux. Nous allons maintenant tudier comment configurer Linux cet effet : les deux principaux lments intervenant dans cette configuration sont les classificateurs et les files dattentes. On peut les configurer soit par lintermdiaire de loutil nomm tc (traffic control) soit par lintermdiaire du protocole netlink pour sinterfacer directement avec le noyau. Nous ne prsenterons ici que des exemples bass sur tc .

Classificateurs
Dans un gestionnaire de file dattente bas sur des classes, le classificateur dtermine, par lintermdiaire de filtres ( filter ), dans quelle file dattente un paquet sera plac. Les principaux filtres utiliss sont u32 et fw , le filtre route est moins utilis. Le filtre fw sappuie sur le marquage des paquets par le firewall. Le filtre u32 sappuie directement sur les donnes du paquet IP. Le filtre route sappuie sur la table de routage et permet de prioriser le flux destination de Masquelier Mottier Pronzato 9/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 certaines routes.

Informatique et Rseaux

3me anne

Gestionnaire de file dattente ( Queueing discipline )

Cest un algorithme qui gre la file dattente dun priphrique rseau. Chaque priphrique est compos dune file en mission ( egress ) et dune file en rception ( ingress ). Ils dcident parmi les donnes, celles quil faut envoyer, celles quil faut liminer et celles quil faut rordonnancer. La modification du gestionnaire associ une file dattente permet den modifier le comportement. Il existe deux types de gestionnaire de files dattente : les sans classes ( classless ) et avec classes ( classful ).

Classless
Ce type de gestionnaire est le plus simple, il est dit sans classe car il ne possde pas de subdivisions interne configurable ( class ). Il sera donc impossible de changer le gestionnaire de file d'attentre des subdivisions qui le composent. Ce type de gestionnaire est gnralement utilis en terminaison des gestionnaires classful . Voici la liste des gestionnaires classless existants sous linux :
pfifo_fast

Ce gestionnaire ( First In First Out ) est compos de trois bandes utilisant le champs TOS pour prioriser les paquets. Les paquets seront plac dans l'une des trois bandes en fonction de leur valeur du champ TOS. Les bandes, quand elles, seront vides dans l'odre : pour passer la bande suivante, la bande prcdente doit tre compltement vide. La cartographie associant une bande des valeurs du champs TOS est cependant configurable, voici la cartographie par dfaut :

Cartographie par dfaut

Masquelier Mottier Pronzato

10/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

L'illustration ci-dessus met en relation la valeur du champ TOS (colone 1) la bande associe (colone 5).
tbf

Ce gestionnaire ( Token Bucket Filter , filtre seau jetons), trs simple, permet de fixer des limites concernant la bande passante. Il permet par ailleurs de dfinir un dbit crte pour dpasser temporairement les limites prcdemment fixes. Il est gnralement utilis pour limiter le trafic sortant et il convient bien pour les bandes passantes importantes.
sfq

Ce gestionnaire ( Stochastic Fairness Queueing , file dattente stochastiquement quitable) est trs souvent utilis car il ncessite moins de calculs tout en tant presque parfaitement quitable. En effet, les diffrents flux de donnes (sessions TCP par exemple) on la mme probabilit denvoyer des donnes. Il est gnralement utilis lorsque le lien est satur et quon souhaite quaucune session naccapare toute la bande passante.

Classful
Ces gestionnaires sont beaucoup plus complexes configurer car ils font intervenir une notion de parent avec leurs classes filles qui peuvent leur tour contenir un gestionnaire de mise en file dattente. Le schma suivant reprsente un exemple de hirarchie :

Masquelier Mottier Pronzato

11/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Exemple de hirarchie classful

prio

Ce gestionnaire est lquivalent de pfifo_fast prcdemment tudi sauf quil nest plus compos de bandes non configurables, mais de classes configurables. Il est donc possible d'avoir plus de trois classes.
cbq

Ce gestionnaire ( Class Based Queueing ), trs complexe, peu prcis, permet de faire de la mise en forme. Son manque de prcision est d au fait quil dpends du taux doccupation du mdium et que le calcul de ce dernier savre complexe sur un ordinateur.
htb

Ce gestionnaire ( Hierarchigical Token Bucket , seau de jetons contrle hirarchique) est utilis pour les mmes raisons que cbq la diffrence prs quil ne procde pas au calcul du taux doccupation du mdium. Il sera donc le gestionnaire privilgier. De plus il est plus simple configurer que son homologue cbq.

Masquelier Mottier Pronzato

12/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Installation sous Linux

Il faut, dans un premier temps, ajouter des options dans le noyau dont le nombre dpend des fonctionnalits quon souhaite utiliser. Il faudra donc cocher les options choisies dans :
Networking options ---> QoS and/or fair queueing --->

Et dans :

Networking options ---> QoS and/or fair queueing ---> IP: NetFilter Configuration --->

Il faut galement installer le paquetage iproute2 pour avoir accs au logiciel tc .

Exemple
Comme nous l'avons indiquer dans la section classificateur prsent prcdemment, nous pouvons utiliser le firewall pour marquer les paquets et ainsi utiliser ce marquage pour utiliser diffrents gestionnaires de file d'attente. Nous souhaitons crer un cannal principal ( main link ) limit un dbit de 100kbps, y allouer l'hte A (192.168.0.1) une bande passante de 40kbps et y allouber l'hte B (192.168.0.2) une bande passante de 60kbps. L'hte A pourra utiliser son flux HTTP (www) un dbit de 30kbps et son flux mail (smtp) un dbit de 10kbps. Il en rsulte la reprsentation schmatique suivante :

Reprsentation schmatique

Masquelier Mottier Pronzato

13/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Passons maintenant la configuration de cet exemple sous linux grace aux outils tc et iptable :
# Cration # # Cration $>tc class # Cration $>tc class # Cration $>tc class # Cration $>tc class # Cration $>tc class des classes htb de la classe add dev eth0 de la classe add dev eth0 de la classe add dev eth0 de la classe add dev eth0 de la classe add dev eth0 associe au main link, identifie par '1:1' parent 1: classid 1:1 htb rate 100kbps ceil 100kbps associe l'hte A, identifie par '1:2' parent 1:1 classid 1:2 htb rate 40kbps ceil 100kbps associe au flux www de A, identifie par '1:10' parent 1:2 classid 1:10 htb rate 30kbps ceil 100kbps associe au flux smpt de A, identifie par '1:11' parent 1:2 classid 1:11 htb rate 10kbps ceil 100kbps associe l'hte B, identifie par '1:12' parent 1:1 classid 1:12 htb rate 60kbps ceil 100kbps

# Cration des filtres de type fw # # Cration du filtre utilisant le marquage '1' pour rediriger vers '1:1' $>tc filter add dev eth0 parent 1: protocol ip prio 1 handle 1 fw classid 1:1 # Cration du filtre utilisant le marquage '2' pour rediriger vers '1:2' $>tc filter add dev eth0 parent 1: protocol ip prio 1 handle 2 fw classid 1:2 # Cration du filtre utilisant le marquage '10' pour rediriger vers '1:10' $>tc filter add dev eth0 parent 1: protocol ip prio 1 handle 10 fw classid 1:10 # Cration du filtre utilisant le marquage '11' pour rediriger vers '1:11' $>tc filter add dev eth0 parent 1: protocol ip prio 2 handle 11 fw classid 1:11 # Positionnement des marquages avec iptable # # Positionnement du marquage '1' pour ce qui vient de A $>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.1 # Positionnement du marquage '11' pour le smtp de A $>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.1 MARK --set-mark 11 # Positionnement du marquage '10' pour le www de A $>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.1 MARK --set-mark 10 # Positionnement du marquage '2' pour ce qui vient de B $>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.2

-j MARK --set-mark 1 -p tcp --dport 25 -j -p tcp --dport 80 -j -j MARK ser-mark 2

Masquelier Mottier Pronzato

14/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Fonctionnement du pare-feu sous Linux : NetFilter/Iptables

NetFilter est actuellement le filtrage le plus utilis sous Linux. Il est disponible depuis la version 2.4 du noyau et remplace donc ipchains prsent dans la version 2.2. NetFilter est compos de 2 parties : d'une part, NetFilter proprement dit qui doit tre compil dans le noyau ( en dur ou sous forme de module), d'autre part la commande iptables.

Fonctionnement
Pour oprer le filtrage de paquets, NetFilter stocke un ensemble de rgles dfinies par l'utilisateur. Ces rgles sont enregistres dans des tables sous formes de chanes. Lorsque NetFilter doit traiter un paquet il applique l'ensemble des rgles d'une chane les une la suite des autres. Si le paquet correspond aux critres dfinis par la rgle alors l'action associ la rgle (cible) est effectue. Dans les paragraphes suivant les principaux types de tables, de chanes et cibles seront dtailles.

Les tables
Il existe par dfaut dans NetFilter une seule table, la table filter. Cette table permet de filtrer les paquets entrant, sortant et transitant avec respectivement les chanes INPUT, OUPUT et FORWARD. Ces trois chanes seront dtailles dans le chapitre suivant. Grce l'ajout du module iptable_nat, une nouvelle table est accessible, la table nat. Comme son nom l'indique, elle contient les chanes qui vont s'appliquer pour la translation d'adresses mais aussi de port. Les chanes disponible avec ce module sont : PREROUTING, POSTROUTING, OUTPUT. On dispose galement de nouvelles cibles notamment MASQUERADE, DNAT, SNAT. Ces deux dernires cible sont respectivement utilises pour modifier l'adresse destination et l'adresse source des paquets. Une troisime table disponible est la table MANGLE. Cette table est utilis notamment lors de la mise en place de la QoS pour marquer les paquets.

Masquelier Mottier Pronzato

15/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Les chanes

INPUT : Cette chane est utilise pour les paquets tant destination des applications du firewall. A ce stade, les paquets sont prt tre envoy aux applications.

OUTPUT : Cette chane est utilise pour les paquets sortant des applications du firewall. A ce stade, les paquets ont donc dj t traits, ou gnrs par les applications.

FORWARD : Cette chane filtre les paquets passant d'une interface une autre du firewall, c'est dire qu'ils ne sont pas destins une application prsente sur le firewall. Ces paquets ne passent pas par les chanes INPUT et OUTPUT et ne passent jamais par la couche applicative. Dans ce cas, le firewall se comportera comme une passerelle.

PREROUTING

Quand

les

paquets

arrivent au niveau du firewall, ils sont dans

Fonctionnement d'un firewall

un tat non modifi. C'est dire qu'il n'y a encore eu aucun traitement quel qu'il soit

sur celui-ci au niveau du firewall. Cette chane est utilise afin de faire des traitements particuliers sur les paquets en arriv avant d'effectuer leur filtrage proprement dit. Il est utilis, par exemple, dans les cas d'utilisation de destination NAT ou DNAT, qui correspond la modification de l'adresse IP destination.

POSTROUTING : Quand les paquets sont prts tre envoys sur l'interface rseau. Ils ont donc t traits par les applications, et router par le firewall. Tout les traitements sur ces paquets sont alors termins. Il est utilis, par exemple, dans le cas de source NAT ou SNAT, qui correspond la modification de l'adresse IP source (utile pour accder au rseau Internet avec une adresse IP priv).

Masquelier Mottier Pronzato

16/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Voici comment nous pouvons rsumer l'utilisation des chanes dans un firewall. Nous constatons bien que les chanes INPUT et OUTPUT sont destination ou dpart du noyau Linux du firewall. Cela valide le fait qu'elle ne sont utilises que pour les services que firewall lui-mme. Nous constatons de mme que la chane FORWARD ne passe jamais par le noyau du firewall, ces paquets ne sont donc pas traits par les processus externe au firewall.

Les cibles
Un firewall est donc une suite de rgles qui spcifient des critres. Si un paquet ne correspond pas une rgle c'est la prochaine rgle de la chane qui est utilise, si il correspond la rgle va sauter (jump) vers une autre rgle (target, cible). Cette cible peut tre une autre rgle dfinie par la personne en charge de la configuration du firewall, mais, le plus souvent, ce sont des cibles particulires, dfinies par Iptables qui sont utilise. Parmi les cibles dfinies par Iptables trois sont frquemment utilises : ACCEPT, DROP et REJECT. Ces rgles sont dites terminales car elles ne pourront pas tre utilises pour effectuer un saut vers une autre rgle.

ACCEPT signifie qu'on laisse passer le paquet travers le firewall. DROP signifie que le paquet est purement et simplement jet. L'hte source du paquet ne sera pas prvenu, le cas est identique la perte du paquet.

REJECT signifie que le paquet est rejet. A la diffrence de DROP, un paquet d'erreur est transmis l'metteur du paquet rejet. Ainsi celui-ci est prvenu que le paquet a t rejet et pour donc agir en consquence.

Masquelier Mottier Pronzato

17/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Exemple de script
Le script ci-dessous est un exemple de script permettant la configuration de NetFilter l'aide de la commande iptables. Ce type de strict doit tre plac l'emplacement adquat pour qu'il soit appel des que les interfaces rseaux sont actives. Par exemple sous Debian il doit se trouver dans le dossier /etc/network/if-pre-up./. L'exemple fournis ici peut tre appliqu une machine personnelle connect Internet via un modem de type PPPoE.
#!/bin/sh #ppp0: internet #Suppression des rgles prdfinies pour toutes les tables : iptables -F iptables -t nat -F iptables -t mangle -F #Suppression de toutes les rgles de l'utilisateur : iptables -X #Politique par dfaut (tout rejeter) : iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # l'interface loopback du firewall peut mettre dans tous les sens : iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # les connections invalides sont refuses : iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP # les connections tablies ou assimilables sont acceptes en entres : iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Le firewall peut mettre comme il veut sur ppp0 : iptables -A OUTPUT -o ppp0 -j ACCEPT

Masquelier Mottier Pronzato

18/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Les diffrents types de firewalls

Matriel
Cisco
La clbre socit Cisco, plus connu pour ses routeurs, propose galement des firewall matriels nomms PIX (Private Internet eXchange). Ces firewalls sont des plateformes compltes bases sur un noyau propritaire de Cisco. Ce sont des firewalls tat (stateful) utilisant l'algorithme de Cisco, l'ASA (Adaptive Security Algorithm). Ils disposent, entre autre, d'un client/serveur DHCP, d'une gestion du PAT (Translation d'Adresse par Port) et NAT (Translation d'Adresse IP), de la prise en compte des rseaux privs virtuel (VPN) avec la gestion d'IPSec. Plusieurs classes de PIX existe, du plus simple pour les petites entreprise, au plus volu pour les entreprises tel que les fournisseurs d'accs internet. De nous jours, ces firewalls tendent de plus en plus ressembler aux routeurs Cisco. Effectivement, les clients de la marque Cisco rclament frquemment la mise en place des systmes d'algorithmes de routage sur les PIX. Ce phnomne existe aussi dans l'autre sens, c'est dire qu'il existe sur les routeurs Cisco disposant de l'IOS 12 (Internetwork Operating System), le protocole FFS (Firewall Feature Set) de filtrage tat (Stateful).
Pix 501

Voici quelques informations sur le schma de protection bas sur l'algorithme de scurit adaptatif (ASA) :

Adresses IP source et destination Numros de ports source et destination Numros de squences TCP Flags TCP/IP Tout paquet sans connexion justifie est jet 19/23 Nouvelles Technologies Rseaux

Pix 515

Masquelier Mottier Pronzato

Ingnieurs 2000

Informatique et Rseaux

3me anne

Le trafic venant d'une interface de niveau de scurit haut (inside) vers une interface de niveau bas (outside) est permis, sauf si des access-list (ACL) limitent ce trafic

Le trafic entrant est interdit par dfaut Les flux ICMP sont interdits moins de les permettent spcifiquement.

Logiciels
IPCop

IPCop est un projet Open Source dont le but est dobtenir une distribution Linux compltement ddie la scurit et aux services essentiels d'un rseau. IPCop joue le rle dintermdiaire entre un rseau non sr (Internet) et un rseau quon souhaite scuriser (rseau local), tout en offrant des services ajouts. Les principaux services offerts de base sont les suivants : DHCP, NTP (serveur de temps), PROXY, SSH, IDS(dtection d'intrusions), FIREWALL incluant le SHAPING (mise en forme du trafic). Les services de bases concernant le firewall et le shaping sont assez sommaire et n'exploite pas l'intgralit des fonctionnalits offertes par NetFilter. IPCop permet l'ajout de fonctionnalits par lintermdiaire de plugins sans avoir redmarrer la machine. On peut par exemple citer les plugins suivants : filtrage de mail contre les virus et les spams, filtrage du protocole HTTP et FTP pour les virus, ... Linstallation est simple et rapide car tous les lments non ncessaires son objectif de distribution de scurit ont t omis. Le fait d'omettre un maximum d'lments est galement un gage de scurit car cela vite au firewall d'tre vulnrable aux attaques ciblant des logiciels priphriques (applications bureautique, ...) La configuration se rvle aussi trs simple car elle est effectue par l'intermdiaire d'une interface web pure. Pour simplifier la configuration, IPCop utilise les bonnes pratiques en terme d'architecture rseau en sparant les rseaux en diffrentes zones telles que :

la DMZ : rseau des machines publiant des services services sur Internet. Si une de ces machines est compromise, elle ne pourra pas accder directement aux machines du LAN.

le WIRELESS : rseau des machines sans fils, elles ne pourront pas communiquer directement avec les machines du LAN car les rseaux sans fils ne sont pas aussi scurises que des liaisons

Masquelier Mottier Pronzato

20/23

Nouvelles Technologies Rseaux

Ingnieurs 2000 filaires.

Informatique et Rseaux

3me anne

le LAN: rseau protger. L'INTERNET: rseau risque.

L'cran suivant prsente une partie de l'interface de configuration d'IPCop :

Ajout d'une nouvelle rgle avec IPCop

Masquelier Mottier Pronzato

21/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Conclusion
Comme on peux le constater, les firewalls possdent de multiple capacits qui peuvent diffrer en fonction de leurs types. Cette multitude de solutions impose donc une tude rigoureuse de la scurit devant tre mise en place. En effet, le systme informatique d'une centrale nuclaire n'aura pas les mmes besoin en terme de scurit qu'un particulier et aura donc par consquent des quipement diffrents. Il est galement ncessaire de prciser que le firewall est seulement un composant de scurit, il ne protgera donc pas lui seul un rseau. Il est ncessaire de l'inclure dans une dmarche qui prendra en compte d'autres paramtres tel que la mise jour des applications.

Masquelier Mottier Pronzato

22/23

Nouvelles Technologies Rseaux

Ingnieurs 2000

Informatique et Rseaux

3me anne

Sources
Adresse http://www.cisco.com http://www.orbytes.fr http://www.linux-france.org Description Site officiel du constructeur Cisco. Site gnraliste sur les rseaux. Site traitant du monde de Linux et du rseau

http://olivieraj.free.fr/fr/linux/information/firewall/ Firewall et scurit d'un rseau personnel sous Linux http://fr.wikipedia.org/wiki/Firewall http://www.frameip.com/firewall/ http://www.netfilter.org/ http://www.linux-france.org/prj/inetdoc/ http://luxik.cdi.cz/~devik/qos/htb/ man tc man iptables Firewall, Wikipedia Les Firewalls par Alban Jacquemin et Adrien Mercier NetFilter / Iptables Routage avanc et contrl de trafic avanc Gestionnaire HTB Page de manuel de la commande tc Page de manuel de la commande iptables

Masquelier Mottier Pronzato

23/23

Nouvelles Technologies Rseaux