|
|
Les Firewalls
|
1 - Principes
Derrière le mot "garde barrière" /
Pare-feu (dans la suite désigné par GB) se cache
plutôt un concept qu'un matériel ou un
logiciel. Nous dirons qu'un GB peut être
généralement constitué de plusieurs éléments parmi
lesquels on distinguera :
- un (des) routeur(s) assurant les
fonctionnalités de filtrage, - une (des ?)
machine(s) dite(s) "système bastion" (SB) qui
entre autre assure(nt) les fonctions :
- de passerelle applicative, (ou "proxy") pour
les applications, les plus connus sont Telnet,
Rlogin, Mail, Ftp, X11, Gopher, W3, etc,
- d'authentification des appels entrants, avec
éventuellement mise en oeuvre de systèmes comme
S/KEY,
- d'audit, log, trace des appels entrants
ainsi que des sessions mail, W3,
etc.
Le rôle d'un
environnement GB est d'assurer un certain niveau
de protection du réseau interne, tout en
permettant de travailler sans trop de contraintes.
2 - Le pourquoi
(les raisons) d'un garde barrière ?
Plusieurs raisons parmi lesquelles
:
- Se protéger de malveillances "externes" :
- les curieux qui génèrent du trafic, qui font
plus de peur que de mal, mais qui, quelques
fois, finissent par coûter cher,
- les vandales, ceux qui veulent embêter pour
embêter, (saturation de liaisons, saturation de
CPU, corruptions de données, mascarade
d'identité, etc),
- les "espionnages", (problèmes de
confidentialité de
l'information).
- Restreindre le nombre de machines à
surveiller et à administrer sur le bout des
doigts, (ceci ne signifiant pas pour autant que
les autres machines soient gérées par dessous la
jambe!).
Par conséquent,
l'investissement (minimum) dans une solution
intelligente peut s'avérer rentable pour la
suite.
- Avoir un point de passage obligé
permettant :
- de bien vérifier si les règles de sécurité
telles que spécifiées dans la politique sécurité
d'établissement sont réellement celles qui sont
appliquées,
- de contrôler le trafic entre le réseau
interne et externe,
- d'auditer/tracer de façon "centrale" ce
trafic, aider à prévoir les évolutions du réseau
(statistiques possibles).
- éventuellement d'avoir une vue de la
consommation Internet des diférents
utilisateurs/services.
- Possibilité de mettre en oeuvre des outils
spécifiques que l'on ne pourrait activer sur
tous les systèmes (exemple : systèmes
d'authentification à mots de passe uniques,
statistiques/comptabilité, etc.).
- Economiser les adresses IP ! En effet,
dans certaines configurations, un réseau interne
derrière un GB, peut utiliser des adresses IP du
RFC 1918 lesquelles adresses ne sont pas ni
connues, ni "routées" sur Internet.
3 - Les fonctionnalités d'un
coupe-feu : Les coupe
feu ont su s'adapter aux besoins de sécurité liés
au raccordement des réseaux d'entreprises à
Internet. Outre le contrôle d'accès, les fonctions
de confidentialité et d'intégrité des données sont
désormais intégrées dans les solutions. En effet,
de simple gestionnaires d'adresses autorisées, les
coupe-feu on évolué vers :
- le contrôle d'accès aux applications,
- l'isolement du réseau extérieur et
authentification des utilisateurs, -
chiffrage des échanges.
3.1 - Contrôler les accès :
Le contrôle d'accès
permet non seulement d'accepter ou de rejeter des
demandes de connexions transitant par le coupe
feu, mais aussi d'examiner la nature du trafic et
de valider son contenu, grâce aux mécanismes de
filtrages. On distingue deux types de filtrages :
le filtrage statique et le filtrage
dynamique. Le filtrage statique (ou de
paquets) est une des premières solutions coupe-feu
mise en oeuvre sur Internet. Ce système inspecte
les paquets IP (en-tête et données) de la couche
réseau afin d'en extraire le quadruplet (adresse
source, port source, adresse destination, port
destination), qui identifie la session en cours.
Cette solution permet de déterminer la nature du
service demandé et de définir si le paquet IP doit
être accepté ou rejeté. Le principal intérêt du
filtrage statique réside dans sa transparence
vis-à-vis des postes utilisateurs, ainsi que dans
la vitesse des traitements. La
configuration d'un filtre s'effectue généralement
au travers de liste de contrôle d'accès (Access
Control List ou ACL), constitué par la mise bout à
bout des différentes règles à suivre. Cette liste
est lue séquentiellement jusqu'à la dernière règle
applicable qui est retenue. Par exemple, une
première règle indique que toutes les machines
peuvent se connecter au serveur Web sur le port
80, et la suivante autorise le serveur Web à
répondre à tous les clients du service (sur un
port supérieur à 1024). Ces règles permettent à
toutes les machines d'accéder au Web, sans pour
autant bloquer les connexions ou autres
applications. Il convient de rajouter en fin de
liste une règle spécifiant que toute communication
est interdite sur l'ensemble des services et des
machines qu'elle soit en entrée ou en sortie du
réseau protégé. Le principe consiste en fait à
interdire tout ce qui n'est pas explicitement
autorisé. Cet exemple est celui d'un
service reposant sur TCP, un protocole destiné à
établir des circuits virtuel. La différenciation
entre appel entrant et appel sortant repose sur
une information de l'en-tête (le bit ACK) qui
caractérise une connexion établie. Ce type de
distinction n'existe pas pour le protocole de
datagramme UDP ; différencier un paquet valide
d'une tentative d'attaque sur le service s'avère
donc irréalisable. Cette problématique se retrouve
également avec certaines applications qui
répondent aux requêtes des clients sur les ports
alloués dynamiquement. C'est le cas, notamment, de
FTP (un circuit pour les commandes et un pour les
données) ou RPC (Remote Procedure Call) qui
utilisent un service distinct pour répondre aux
demandes de localisation. Il est
généralement impossible de gérer de façon
satisfaisante ce type de protocole sans ouvrir
l'accès à un plus grand nombre de ports, et donc
de rendre le réseau plus vulnérable. Le
filtrage dynamique reprend le principe de travail
du filtrage statique au niveau de la couche
réseau, ainsi que la transparence de sa mise en
place. En revanche, son efficacité s'étend à la
quasi totalité des protocoles couramment utilisés
(TCP, UDP, RPC), grâce à l'implémentation de
tables d'état pour chaque connexion établie. Les
performances de traitement des paquets
s'améliorent en raison d'une identification rapide
des paquets correspondants à une session déjà
autorisée. Pour gérer l'absence de circuit UDP et
l'allocation dynamique de port implantés par
service, le filtrage dynamique examine en détail
les informations jusqu'à la couche applicative. Il
interprète ainsi les particularités liées à
l'application, et crée dynamiquement les règles
pour la durée de la session, facilitant le passage
du paquet IP entre les deux machines autorisées.
Il est également possible de contrôler le sens des
transferts pour FTP (put ou get), ainsi que le
mode de connexion HTTP (post ou get).
3.2 - Isoler le réseau et
authentifier les utilisateurs : Les besoins de contrôle portent de
plus en plus sur la nature même des données
échangées. Les relais applicatifs s'interposent
entre les clients et les applications pour une
surveillance spécifique.
Le principe des
relais applicatifs consiste à ce que le relais
apparaisse pour le client comme le serveur
légitime ; il contrôle et relaie alors toutes les
requêtes vers le serveur demandé, puis transmet
les réponses au client initial. Ce mécanisme agit
donc à la fois comme client et comme serveur. Cela
implique qu'un relais ait été développé pour
chaque application (messagerie, serveur web,
téléchargement etc.).
Les relais
applicatifs permettent d'isoler le réseau de
l'extérieur, avec les serveurs applicatifs aucun
flux d'information ne circule en direct entre le
réseau protégé et les autres réseaux. Toutes les
données sont obligatoirement acheminées vers le
relais, qui décide quelle action mener.
Les relais applicatifs permettent de
vérifier l'intégrité des données et authentifier
les échanges. Les possibilités offertes par ce
mécanisme vont bien au-delà du contrôle d'accès de
la base. En effet, le positionnement au niveau
applicatif autorise le relais à vérifier
l'intégrité des données et à examiner les
particularités de l'application. En outre, sa
proximité avec l'interface utilisateur facilite la
mise en oeuvre d'authentification.
Une
autre fonctionnalité des coupe feu réside dans
l'authentification des utilisateurs.
L'authentification demeure indispensable pour
effectuer un contrôle d'accès fiable portant sur
l'identité des usagers des services. Le mécanisme
le plus couramment employé consiste à associer un
mot de passe à l'identifiant d'une personne.
Toutefois, dans les communications réseaux, ce mot
de passe est souvent envoyé en clair. Sur un
réseau public comme Internet cette situation n'est
pas acceptable. Pour y remédier, les coupe-feu
proposent des solutions basées sur le chiffrement.
Les techniques de chiffrement seront développées
dans le paragraphe ci-dessous.
3.3 - Chiffrer les données
pour relier les réseaux via Internet :
Les réseaux privés
virtuels utilisent Internet pour interconnecter de
façon sûre les différents réseaux des filiales et
partenaires d'une entreprise. Les moyens de
chiffrement sont la base des mécanismes mis en
oeuvre par les coupe-feu (Firewall).
Pour
pallier le manque de confidentialité sur Internet
et sécuriser les échanges, des solutions poste à
poste telles que le protocole SSL (couche
transport) ou les GPSS-API (couche application)
oint été développées. Basées sur des principes de
chiffrement, elles assurent la confidentialité et
l'intégrité des échanges client-serveur. Grâce à
Internet, les sociétés peuvent interconnecter
leurs différents sites, et fournir à leurs
employés en déplacement un accès contrôlé à
moindre coût. C'est pourquoi les coupe-feu (tunnel
chiffrant établie entre les deux sites d'une
société), ou entre client et
coupe-feu.
Diverses solutions de
chiffrement émergent, mais qui ne sont pas
inter-opérables entre eux. Le groupe IPSEC
(IP-SECURE), mis en place par l'IETF (Internet
Engineering Task Force), travaille donc à une
standardisation de ses mécanismes. Chargé de
soumettre des solutions de sécurité pour le
protocole IP, IPSEC a développé la norme ESP
(Encapulsating Security Payload) qui propose deux
alternatives offrant confidentialité et intégrité
des données.
La première chiffre le
datagramme IP dans son intégralité. Cette
technique, qui intervient au niveau des
passerelles d'interconnexion, permet alors de
masquer les adresses IP, et la nature des flux
entre des machines communiquant à travers le
tunnel ainsi crée.
La seconde alternative,
destinée à préserver les performances de routage,
ne chiffre que les en-tête de la couche transport
(TCP/UDP), préservant ainsi les en-tête
IP.
Ces technologies reposent sur des
méthodes de chiffrement, les quelles nécessitent
algorithmes employés, ainsi que la négociation de
clés de session entre les deux parties
communicantes.
Quelques exemples de
firewalls
Firewall-1
de CheckPoint Mwall
de Matranet Pix
de Cisco Netwall
d'Evidian
|
|
|
|
|
|
|
Les brèves |
|
|
Partenaires |
|
Communautés News |
|
|
|
|
|
|