Le filtrage IP

Ahmed SerhrouchniENST’Paris

CNRS

2

Plan de la présentation

• Sécurité

– Routeurs

– serveurs proxy-cache

– Firewall

• Etude de cas

– Equipements

– Services

3

La solution routeur filtrant

• Filtrage efficace sur les champs des protocoles de communication (adresse IP…)

• Intégré à la plupart des routeurs du marché

• Bien adapté au réseau de type PME

– Nécessite une bonne connaissance technique des protocoles

– Spécifique par routeur avec une syntaxe de bas niveau

– Généralement pas de fichiers logs et de statistiques exploitables

4

Inconvénients des routeurs filtrants

• Les routeurs accèdent seulement à des parties limitées des entêtes des paquets.

• Les routeurs n ’ont aucune notion de l ’état d ’une communication de bout en bout.

• Les routeurs ont un nombre très limité de possibilités de traitement des informations qu’ils routent.

• L ’implémentation de solutions de sécurité sur les routeurs réduisent leur performances.

5

La solution Firewall

• Accès sécurisé et transparent aux serveurs de l ’Internet

• Filtrage sur protocoles de communication

• Filtrage sur les applications

• Filtrage sur les utilisateurs

• Fichiers logs et statistiques d ’utilisation

• Gestion possible de réseaux complexe (VPN, DMZ, NAT)

6

Une solution Firewall Intranet

7

La solution Proxy serveur

• Accès performant et normalement non transparent aux applications de

l ’Internet.

• Filtrage applicatif (HTTP, FTP, Gopher)

• Nécessite une connexion utilisateur par type de service

– Difficile si l ’application n’est pas supporté par le proxy

• Optimisation de la bande passante vers l ’Internet en mettant en cache

les informations consultées de L ’internet

• Filtrage efficace des sites autorisés / interdits

• Masquage d ’adresse: une adresse unique pour l ’Internet

8

Un proxy-cache?

• Un proxy-cache est une entité intermédiaire entre un client et un serveur, entité qui garde les données.

• Quand un client cherche à accéder aux ressources d ’un serveur, il effectue une requête au proxy. Celui-ci va tout d ’abord chercher ce document dans son cache. Si le document demandé par le client ne figure pas dans le proxy-cache, celui-ci envoie une requête au serveur lui-même et transmet le document reçu au client tout en stockant au passage le document dans son cache.

9

Avantages des proxy-cache?

• Réduction du trafic WAN

• Une meilleure qualité de service

• Possibilité de filtrage des requêtes et des réponses

10

Logiciels

• Plusieurs proxy-cache sur le marché:

• Squid (logiciel gratuit)

• Netcache Appliance

• Cisco cache engine

• Netscape proxy server

• Microsoft proxy server

11

Critères de comparaisons

• Performance

– Temps de réponse, protocoles supportés, compatibilité avec ICP, Tolérance aux

pannes

• Sécurité

– Filtrage d ’URL, authentification et contrôle d ’accès, fichiers traces, SSL

• Administration

– Interface graphique intuitive, utilisation de SNMP

• Transparence

12

Critère de la transparence

• Un Proxy-cache est dit transparent si les clients l ’utilisent sans aucune configuration manuelle des navigateurs (Exemple: Cisco cache engine)

• Avantages:

– Utilisation du caching sans aucune modification chez le client

• Inconvénients:

– Le client ne peut pas éviter l ’utilisation du cache.

– Problème de droits d ’accès

13

Proxy-cache de Microsoft et de Netscape

• Ces proxy-cache ont les caractéristiques suivantes:

– Produits adaptés pour les réseaux d  ’entreprises et non pour les réseaux étendus

(Backbone opérateurs par exemple)

– Produits moins performants que Squid ou Netcacche

– Aucune solution de transparence

14

Cisco Cache Engine

• Ce produit a les caractéristiques suivantes:

– Pas de compatibilité avec ICP

– Possibilité de surcharge des routeurs

– Pas d ’interface d ’administration ni d ’agent SNMP

– Aucun contrôle interne du cache engine

– Produit cher (150000 francs pour 900 sessions simultanées)

15

Netcache et le switch d ’Altéon

• Avantages

– Utilisation des deux modes: mode transparent et mode proxy

– Scalability: facilité d ’ajout de proxy-cache.

– Performance logicielle: Netcache est 5 à 10 fois plus rapide que Squid.

– Administration: Interface graphique conviviale sous format HTML.

16

Firewall: Fonctionnement

17

La translation d ’adresses

• Localisation du translateur

– Sur Firewall

– Sur le routeur

• Types de translation

– N @ privées vers 1 @ publique

– N @ privées vers M @ publiques

– 1 @ privée vers 1 @ publique

18

La notion de Virtual Private Network

19

Les produits Firewall

• Les produits significatifs dans le monde /France:

– Checkpoint software (Firewall1)

– Cisco (PIX, Centri Firewall)

– Raptor systems (Eagle)

– Bull soft (M >Wall)

20

Les firewalls: quelles implémentations? (1/2)

• Sur châssis propriétaire

– Avantages: robustesse

– Inconvénients: évolutivité limitée

• Sur OS Sécurisé

– Exemple: Unix BSD

– Avantages: Implémentation sur architecture de type PC

– Inconvénients: Interaction étroite entre Firewall et OS: Problème de mise à jour

21

Les firewalls: quelles implémentations? (2/2)

• Sur OS standard du marché

– Exemple: Unix Solaris/ Windows NT server: Firewall1

– Inconvénients: sensible aux attaques sur l ’OS.

– Pas d ’idéal

• Critères de choix:

– Analyse de l ’existant/ Evolutivité de la solution

– Culture système de l ’entreprise

– Coûts

22

Les firewalls : la solution à tout ?

• Un firewall ne peut pa protéger contre le trafic qui ne passe pas par lui.

• Pas de protection contre les menaces internes:

– Rarement déployé et configuré entre les réseaux internes

• Pas de confidentialité des informations:

– Option Virtual Private Network (entre deux firewalls) possible

– Option cryptage entre un poste isolé et le Firewall

• Pas d ’authentification à l ’origine des informations:

– Impossible de savoir si l ’auteur du paquet est bien celui qui émet le paquet.

23

Propriétés du Firewall1 de checkpoint?

• Existant sur plusieurs platformes (PC, stations, switchs)

• +40% du marché mondial des Firewalls

• Composants de sécurité du Firewall1:

– Module Firewall (Contrôle des paquets, translation d ’adresses…)

– Module d ’encryption (Utilisation possible de VPN sécurisés)

– Module de management (Interface graphique + fonctionnalités de management de la

base de données)

– Possibilité d ’appliquer la même politique de sécurité pour plusieurs Firewalls à partir

d ’une même station de management.

24

La solution globale

• Filtrage communications et/ou applications non proxy sur le firewall

• Connexion des utilisateurs au Proxy Serveur pour les applications HTTP, FTP,

gestion de cache de disque, détection de virus

• En option, ACL sur les routeurs

25

Conclusion

• Les firewalls solutions matures et bien éprouvés

• PIX et CheckPoint se partagent le marché

• IPchains ou Netfilter grignote de plus en plus des parts

• Les proxy solutions nécessaires pour l’optimisation et le

filtrage applicatif

• Les switch de type alteon nécessaires pour augmenter les

performances.