Cergy
L'association Cergy Wireless
Navigation
Accueil
 Membres
 Forum
 Mailing Liste
Cadre Legal
Status
Bulletin d'adhésion
Projets

Reseaux

Securité
Les Firewalls
PKI
 SSL
Liens



     
Les Firewalls

1 - Principes

 Derrière le mot "garde barrière" / Pare-feu (dans la suite désigné par GB) se cache plutôt un concept qu'un matériel ou un logiciel.
Nous dirons qu'un GB peut être généralement constitué de plusieurs éléments parmi lesquels on distinguera :

    - un (des) routeur(s) assurant les fonctionnalités de filtrage,
    - une (des ?) machine(s) dite(s) "système bastion" (SB) qui entre autre assure(nt) les fonctions :

    • de passerelle applicative, (ou "proxy") pour les applications, les plus connus sont Telnet, Rlogin, Mail, Ftp, X11, Gopher, W3, etc,
    • d'authentification des appels entrants, avec éventuellement mise en oeuvre de systèmes comme S/KEY,
    • d'audit, log, trace des appels entrants ainsi que des sessions mail, W3, etc.

Le rôle d'un environnement GB est d'assurer un certain niveau de protection du réseau interne, tout en permettant de travailler sans trop de contraintes.

2 - Le pourquoi (les raisons) d'un garde barrière ?

Plusieurs raisons parmi lesquelles :

    - Se protéger de malveillances "externes" :

    • les curieux qui génèrent du trafic, qui font plus de peur que de mal, mais qui, quelques fois, finissent par coûter cher,
    • les vandales, ceux qui veulent embêter pour embêter, (saturation de liaisons, saturation de CPU, corruptions de données, mascarade d'identité, etc),
    • les "espionnages", (problèmes de confidentialité de l'information).

    - Restreindre le nombre de machines à surveiller et à administrer sur le bout des doigts, (ceci ne signifiant pas pour autant que les autres machines soient gérées par dessous la jambe!).

Par conséquent, l'investissement (minimum) dans une solution intelligente peut s'avérer rentable pour la suite.

    - Avoir un point de passage obligé permettant :
    • de bien vérifier si les règles de sécurité telles que spécifiées dans la politique sécurité d'établissement sont réellement celles qui sont appliquées,
    • de contrôler le trafic entre le réseau interne et externe,
    • d'auditer/tracer de façon "centrale" ce trafic, aider à prévoir les évolutions du réseau (statistiques possibles).
    • éventuellement d'avoir une vue de la consommation Internet des diférents utilisateurs/services.

    - Possibilité de mettre en oeuvre des outils spécifiques que l'on ne pourrait activer sur tous les systèmes (exemple : systèmes d'authentification à mots de passe uniques, statistiques/comptabilité, etc.).

    - Economiser les adresses IP ! En effet, dans certaines configurations, un réseau interne derrière un GB, peut utiliser des adresses IP du RFC 1918 lesquelles adresses ne sont pas ni connues, ni "routées" sur Internet.

3 - Les fonctionnalités d'un coupe-feu :

Les coupe feu ont su s'adapter aux besoins de sécurité liés au raccordement des réseaux d'entreprises à Internet. Outre le contrôle d'accès, les fonctions de confidentialité et d'intégrité des données sont désormais intégrées dans les solutions. En effet, de simple gestionnaires d'adresses autorisées, les coupe-feu on évolué vers :

    - le contrôle d'accès aux applications,
    - l'isolement du réseau extérieur et authentification des utilisateurs,
    - chiffrage des échanges.


3.1 - Contrôler les accès :

Le contrôle d'accès permet non seulement d'accepter ou de rejeter des demandes de connexions transitant par le coupe feu, mais aussi d'examiner la nature du trafic et de valider son contenu, grâce aux mécanismes de filtrages. On distingue deux types de filtrages : le filtrage statique et le filtrage dynamique.

Le filtrage statique (ou de paquets) est une des premières solutions coupe-feu mise en oeuvre sur Internet. Ce système inspecte les paquets IP (en-tête et données) de la couche réseau afin d'en extraire le quadruplet (adresse source, port source, adresse destination, port destination), qui identifie la session en cours. Cette solution permet de déterminer la nature du service demandé et de définir si le paquet IP doit être accepté ou rejeté. Le principal intérêt du filtrage statique réside dans sa transparence vis-à-vis des postes utilisateurs, ainsi que dans la vitesse des traitements.

La configuration d'un filtre s'effectue généralement au travers de liste de contrôle d'accès (Access Control List ou ACL), constitué par la mise bout à bout des différentes règles à suivre. Cette liste est lue séquentiellement jusqu'à la dernière règle applicable qui est retenue. Par exemple, une première règle indique que toutes les machines peuvent se connecter au serveur Web sur le port 80, et la suivante autorise le serveur Web à répondre à tous les clients du service (sur un port supérieur à 1024). Ces règles permettent à toutes les machines d'accéder au Web, sans pour autant bloquer les connexions ou autres applications. Il convient de rajouter en fin de liste une règle spécifiant que toute communication est interdite sur l'ensemble des services et des machines qu'elle soit en entrée ou en sortie du réseau protégé. Le principe consiste en fait à interdire tout ce qui n'est pas explicitement autorisé.

Cet exemple est celui d'un service reposant sur TCP, un protocole destiné à établir des circuits virtuel. La différenciation entre appel entrant et appel sortant repose sur une information de l'en-tête (le bit ACK) qui caractérise une connexion établie. Ce type de distinction n'existe pas pour le protocole de datagramme UDP ; différencier un paquet valide d'une tentative d'attaque sur le service s'avère donc irréalisable. Cette problématique se retrouve également avec certaines applications qui répondent aux requêtes des clients sur les ports alloués dynamiquement. C'est le cas, notamment, de FTP (un circuit pour les commandes et un pour les données) ou RPC (Remote Procedure Call) qui utilisent un service distinct pour répondre aux demandes de localisation.

Il est généralement impossible de gérer de façon satisfaisante ce type de protocole sans ouvrir l'accès à un plus grand nombre de ports, et donc de rendre le réseau plus vulnérable.

Le filtrage dynamique reprend le principe de travail du filtrage statique au niveau de la couche réseau, ainsi que la transparence de sa mise en place. En revanche, son efficacité s'étend à la quasi totalité des protocoles couramment utilisés (TCP, UDP, RPC), grâce à l'implémentation de tables d'état pour chaque connexion établie. Les performances de traitement des paquets s'améliorent en raison d'une identification rapide des paquets correspondants à une session déjà autorisée. Pour gérer l'absence de circuit UDP et l'allocation dynamique de port implantés par service, le filtrage dynamique examine en détail les informations jusqu'à la couche applicative. Il interprète ainsi les particularités liées à l'application, et crée dynamiquement les règles pour la durée de la session, facilitant le passage du paquet IP entre les deux machines autorisées. Il est également possible de contrôler le sens des transferts pour FTP (put ou get), ainsi que le mode de connexion HTTP (post ou get).


3.2 - Isoler le réseau et authentifier les utilisateurs :

Les besoins de contrôle portent de plus en plus sur la nature même des données échangées. Les relais applicatifs s'interposent entre les clients et les applications pour une surveillance spécifique.

Le principe des relais applicatifs consiste à ce que le relais apparaisse pour le client comme le serveur légitime ; il contrôle et relaie alors toutes les requêtes vers le serveur demandé, puis transmet les réponses au client initial. Ce mécanisme agit donc à la fois comme client et comme serveur. Cela implique qu'un relais ait été développé pour chaque application (messagerie, serveur web, téléchargement etc.).

Les relais applicatifs permettent d'isoler le réseau de l'extérieur, avec les serveurs applicatifs aucun flux d'information ne circule en direct entre le réseau protégé et les autres réseaux. Toutes les données sont obligatoirement acheminées vers le relais, qui décide quelle action mener.

Les relais applicatifs permettent de vérifier l'intégrité des données et authentifier les échanges. Les possibilités offertes par ce mécanisme vont bien au-delà du contrôle d'accès de la base. En effet, le positionnement au niveau applicatif autorise le relais à vérifier l'intégrité des données et à examiner les particularités de l'application. En outre, sa proximité avec l'interface utilisateur facilite la mise en oeuvre d'authentification.

Une autre fonctionnalité des coupe feu réside dans l'authentification des utilisateurs. L'authentification demeure indispensable pour effectuer un contrôle d'accès fiable portant sur l'identité des usagers des services. Le mécanisme le plus couramment employé consiste à associer un mot de passe à l'identifiant d'une personne. Toutefois, dans les communications réseaux, ce mot de passe est souvent envoyé en clair. Sur un réseau public comme Internet cette situation n'est pas acceptable. Pour y remédier, les coupe-feu proposent des solutions basées sur le chiffrement. Les techniques de chiffrement seront développées dans le paragraphe ci-dessous.


3.3 - Chiffrer les données pour relier les réseaux via Internet :

Les réseaux privés virtuels utilisent Internet pour interconnecter de façon sûre les différents réseaux des filiales et partenaires d'une entreprise. Les moyens de chiffrement sont la base des mécanismes mis en oeuvre par les coupe-feu (Firewall).

Pour pallier le manque de confidentialité sur Internet et sécuriser les échanges, des solutions poste à poste telles que le protocole SSL (couche transport) ou les GPSS-API (couche application) oint été développées. Basées sur des principes de chiffrement, elles assurent la confidentialité et l'intégrité des échanges client-serveur. Grâce à Internet, les sociétés peuvent interconnecter leurs différents sites, et fournir à leurs employés en déplacement un accès contrôlé à moindre coût. C'est pourquoi les coupe-feu (tunnel chiffrant établie entre les deux sites d'une société), ou entre client et coupe-feu.

Diverses solutions de chiffrement émergent, mais qui ne sont pas inter-opérables entre eux. Le groupe IPSEC (IP-SECURE), mis en place par l'IETF (Internet Engineering Task Force), travaille donc à une standardisation de ses mécanismes. Chargé de soumettre des solutions de sécurité pour le protocole IP, IPSEC a développé la norme ESP (Encapulsating Security Payload) qui propose deux alternatives offrant confidentialité et intégrité des données.

La première chiffre le datagramme IP dans son intégralité. Cette technique, qui intervient au niveau des passerelles d'interconnexion, permet alors de masquer les adresses IP, et la nature des flux entre des machines communiquant à travers le tunnel ainsi crée.

La seconde alternative, destinée à préserver les performances de routage, ne chiffre que les en-tête de la couche transport (TCP/UDP), préservant ainsi les en-tête IP.

Ces technologies reposent sur des méthodes de chiffrement, les quelles nécessitent algorithmes employés, ainsi que la négociation de clés de session entre les deux parties communicantes.


Quelques exemples de firewalls

Firewall-1 de CheckPoint
Mwall de Matranet
Pix de Cisco
Netwall d'Evidian

Les brèves

Hot spots Wi-Fi: une interopérabilité à deux vitesses

L'Ile-de-France subventionnera 350 hot spots Wi-Fi en 2005

L'association accepte tous dons concernant de vieux ordinateurs afin de déployer des Hot-Spots publics
Partenaires



Communautés News




Contacts

Informations
Contact
Webmaster
Webmaster

© Copyright Cergy Wireless 2004