Projet Securité-Pare Feu PFSENSE
Projet Securité-Pare Feu PFSENSE
Projet Securité-Pare Feu PFSENSE
PRÉSENTÉ PAR
Soumaila TOGOLA
Deha Zude SAYE
Demba SISSOKO
Alfousseiny KONE
Aboubacar KANTE
Moussa COULIBALY
Mory CISSE
SOMMAIRE
c’est quoi un pare feu ?
Pourquoi Utiliser un pare feu ?
Que fait un Firewall ?
De quoi un pare feu ne protège pas ?
Quels sont Les différents types de firewall ?
Comment fonctionne un Pare feu ?
Quelles sont les Fonctions Basiques d’un pare feu ?
Quelle stratégie ?
Les attaques classiques que peuvent subir les Firewalls ?
Quels sont les avantages et inconvénients ?
C’EST QUOI UN PARE FEU ?
Un pare-feu est une ressource logicielle ou matérielle qui filtre tout le trafic
(intérieur/extérieur) réseau entre votre ordinateur, réseau domestique, ou réseau
d'entreprise et l'internet selon une politique de sécurité.
Le mot pare feu trouve son origine dans la construction de bâtiment où il est utilisé
pour contenir un incendie afin d’éviter la propagation du feu.
Un pare-feu dans un réseau informatique joue un rôle très similaire à celle d'un pare-
feu dans un bâtiment. Tout comme un pare-feu faite de béton protège une partie d'un
bâtiment, un pare-feu dans un réseau informatique s’assure que si une attaque se
mène d’un côté (Internet), les ordinateurs de l'autre côté ne seront pas affectés.
Peu importe le domaine dans lequel on l’utilise le terme « Pare feu » ramène toujours
toujours a quelque chose de bloquant ou empêchant quelque chose de passer.
POURQUOI UTILISER UN PARE FEU ?
De nos jours, toutes les entreprises possédant un réseau local possèdent aussi un accès à Internet,
afin d'accéder à la manne d'information disponible sur le réseau des réseaux, et de pouvoir
communiquer avec l'extérieur. Cette ouverture vers l'extérieur est indispensable... et dangereuse
en même temps. Ouvrir l'entreprise vers le monde signifie aussi laisser place ouverte aux
étrangers pour essayer de pénétrer le réseau local de l'entreprise, et y accomplir des actions
douteuses, parfois gratuites, de destruction, vol d'informations confidentielles, ... Les mobiles
sont nombreux et dangereux.
Pour parer à ces attaques, une architecture sécurisée est nécessaire. Pour cela, le cœur d'une telle
architecture est basé sur un firewall. Cet outil a pour but de sécuriser au maximum le réseau local
de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela
représente une sécurité supplémentaire rendant le réseau ouvert sur Internet beaucoup plus sûr.
De plus, il peut permettre de restreindre l'accès interne vers l'extérieur. En effet, des employés
peuvent s'adonner à des activités que l'entreprise ne cautionne pas, le meilleur exemple étant le
jeu en ligne. En plaçant un firewall limitant ou interdisant l'accès à ces services, l'entreprise peut
donc avoir un contrôle sur les activités se déroulant dans son enceinte.
QUE FAIT UN FIREWALL ?
Attaques internes;
L'ingénierie sociale;
Les virus et les chevaux de Troie;
Protéger un réseau d’un trafic qui ne passe pas par le pare-feu;
Protéger contre des menaces imprévues (hors politique);
Administrateurs mal formés sur le pare-feu.
QUELS SONT LES DIFFÉRENTS TYPES DE FIREWALL ?
Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands constructeurs comme Cisco ou
Nortel. Intégrés directement dans la machine, ils font office de « boite noire », et ont une intégration parfaite
avec le matériel. Leur configuration est souvent relativement ardue, mais leur avantage est que leur interaction
avec les autres fonctionnalités du routeur est simplifiée de par leur présence sur le même équipement réseau.
Souvent relativement peu flexibles en terme de configuration, ils sont aussi peu vulnérables aux attaques, car
présent dans la « boite noire » qu'est le routeur. De plus, étant souvent très liés au matériel, l'accès à leur code
est assez difficile, et le constructeur a eu toute latitude pour produire des systèmes de codes « signés » afin
d'authentifier le logiciel (système RSA ou assimilés). Ce système n'est implanté que dans les firewalls haut de
gamme, car cela évite un remplacement du logiciel par un autre non produit par le fabricant, ou toute
modification de ce dernier, rendant ainsi le firewall très sûr.
Pare-feu d’entreprise : pare-feu d'entreprise sont appropriés pour les grandes organisations, y compris les
organisations avec des milliers d'utilisateurs.
Avantages :
o Intégré au matériel réseau.
o Administration relativement simple.
o Bon niveau de sécurité.
Inconvénients :
o Dépendant du constructeur pour les mises à jour.
o Souvent peu flexibles.
Inconvénients :
o Facilement contournable.
o Difficiles à départager de par leur nombre énorme
COMMENT FONCTIONNE UN PARE FEU ?
1. Le filtrage de paquets
- Le filtrage simple de paquet (Stateless)
C'est la méthode de filtrage la plus simple, elle opère au niveau de la couche réseau
et transport du modèle OSI. La plupart des routeurs d'aujourd'hui permettent
d'effectuer du filtrage simple de paquet. Cela consiste à accorder ou refuser le
passage de paquet d'un réseau à un autre en se basant sur :
L'adresse IP Source/Destination.
Le numéro de port Source/Destination (rappel : un port est un numéro associé à un
service ou une application réseau).
Type de paquet (TCP, UDP, etc.) ;
- Filtrage dynamique
L'amélioration par rapport au filtrage simple, est la conservation de la trace des sessions et des connexions
dans des tables d'états internes au Firewall. Le Firewall prend alors ses décisions en fonction des états de
connexions, et peut réagir dans le cas de situations protocolaires anormales. Ce filtrage permet aussi de se
protéger face à certains types d'attaques DoS. Quand un pare-feu voit un paquet de réseau sortant, il devrait
se rappeler qu'une réponse entrante est due bientôt, et seulement autoriser ces paquets réseau entrants
attendus, tout paquet inattendu arrivant au pare-feu qui prétend être une réponse sollicitée est
immédiatement bloquée. Cette action de se souvenir est appelé état. Cette forme plus intelligente de filtrage
de paquets est appelé filtrage de paquets stateful, par opposition au filtrage de paquets sans état d'origine,
qui ne se souvient pas de l'état des paquets de retour attendus.
Une des premières choses que vous devez décider lorsque vous configurez votre
pare-feu est la stratégie générale permettant de spécifier les paquets et les protocoles
à autoriser ou interdire.
On distingue habituellement deux types de politiques de sécurité permettant :
soit de tout autoriser : autorise tous les paquets réseau, sauf ceux qui sont
explicitement interdits
soit de Tout interdire : Bloc tous sauf les paquets qui ont été explicitement autorisé.
LES ATTAQUES CLASSIQUES QUE PEUVENT SUBIR LES
FIREWALLS ?
IP spoofing
L'IP spoofing consiste à modifier les paquets IP afin de faire croire au firewall qu'ils
proviennent d'une adresse IP considérée comme « de confiance ».
DOS et DDOS
Le DOS, ou Denial Of Service attack, consiste à envoyer le plus de paquets possibles
vers un serveur, générant beaucoup de trafic inutile, et bloquant ainsi l'accès aux
utilisateurs normaux.
Le DDOS, pour Distributed DOS, implique venir de différentes machines simultanées,
cette action étant le plus souvent déclenchée par un virus : ce dernier va d'abord
infecter nombre de machines, puis à une date donnée, va envoyer depuis chaque
ordinateur infecté des paquets inutiles vers une cible donnée.
Port scanning
Ceci constitue en fait une « pré- attaque » (Etape de découverte). Elle consiste à déterminer quels
ports sont ouverts afin de déterminer quelles sont les vulnérabilités du système. Le firewall va, dans
quasiment tous les cas, pouvoir bloquer ces scans en annoncent le port comme « fermé ». Elles sont
aussi aisément détectables car elles proviennent de la même source faisant les requêtes sur tous les
ports de la machine. Il suffit donc au firewall de bloquer temporairement cette adresse afin de ne
renvoyer aucun résultat au scanner.
Exploit
Les exploits se font en exploitant les vulnérabilités des logiciels installés, par exemple un serveur Http,
Ftp, etc. Le problème est que ce type d'attaque est très souvent considéré comme des requêtes tout à fait
« valides » et que chaque attaque est différente d'une autre, vu que le bug passe souvent par
reproduction de requêtes valides non prévues par le programmeur du logiciel. Autrement dit, il est
quasiment impossible au firewall d'intercepter ces attaques, qui sont considérées comme des requêtes
normales au système, mais exploitant un bug du serveur le plus souvent. La seule solution est la mise à
jour périodique des logiciels utilisés afin de barrer cette voie d'accès au fur et à mesure qu'elles sont
découvertes.
QUELS SONT LES AVANTAGES ET INCONVÉNIENTS ?
Avantage :
Avec une architecture réseau cohérente, on bénéficie d'une centralisation dans la gestion des
flux réseaux.
De plus, avec un plan d'adressage correct, la configuration du pare- feu est peu ou pas
sensible au facteur d'échelle (règles identiques pour 10 comme 10000 équipements protégés).
L'utilisation de la journalisation offre une capacité d'audit du trafic réseau et peut donc
fournir des traces robustes en cas d'incident, si le pare - feu n'est pas lui - même une des cibles.
Enfin le pare- feu permet de relâcher les contraintes de mise à jour rapide de l'ensemble d'un
parc en cas de vulnérabilité sur un service réseau : il est possible de maintenir une certaine
protection des équipements non vitaux au prix de la dégradation du service avec la mise en
place d'un filtrage.
Inconvénients :
La capacité de filtrage d'un équipement dépend de son intégration dans le réseau mais le transforme en
goulet d'étranglement (capacité réseau et ressources du pare - feu).
De par sa fonction, le pare- feu est un point névralgique de l'architecture de sécurité avec de fortes
contraintes de disponibilité. Il existe des solutions permettant la synchronisation de l'état des pare- feu,
comme l'élection du routeur avec VRRP, ou le système de haute disponibilité CARP/pfsync développé pour
Open BSD, mais beaucoup de configurations reposent encore sur un équipement unique.
Enfin une bonne gestion d'un pare-feu nécessite la compréhension des protocoles filtrés surtout lorsque les
interactions deviennent complexes comme dans les cas FTP, H323, ...avec le transport de paramètres de
connexion dans le segment de données. De plus il apparaît bien souvent des effets de bord liés aux diverses
fonctions (couches réseaux filtrées, traduction d'adresses) et influencées par l'ordre d'application des règles.
CONCLUSION
Nous avons vu dans cette présentation les différents types de firewalls, les
différentes attaques et parades. Il ne faut pas perdre de vue qu'aucun firewall n'est
infaillible et que tout firewall n'est efficace que si bien configuré. De plus, un firewall
n'apporte pas une sécurité maximale et n'est pas une fin en soi. Il n'est qu'un outil
pour sécuriser et ne peut en aucun cas être le seul instrument de sécurisation d'un
réseau. Un système comportant énormément de failles ne deviendra jamais ultra-
sécurisé juste par l'installation d'un firewall.
Toutes ces technologies sont et seront en pleine évolution, car la base même de
tout cela est de jouer au chat et à la souris entre les hackers et les programmeurs de
firewall ainsi que les administrateurs. Une grande bataille d'imagination qui n'aura
certainement jamais de fin.