LES FIREWALLS

mercredi 21 novembre 2007

Introduction

Google



La vocation première de l'Internet, lors de sa création en 1969 par le DoD (Department of Defense) américain, était de permettre à n’importe quel ordinateur appartenant au réseau de dialoguer avec un autre. Au début, ces ordinateurs représentaient les principaux centres de calculs militaires américains et le réseau s'appelait l'Arpanet. Ce réseau supportant les transmissions filaires mais aussi radios et satellites avait la faculté de rester exploitable même si l’un des nœuds était rendu inopérant suite à une destruction par exemple; le contexte était celui de la guerre froide.

Ce concept fit rapidement des émules si bien qu'au cours des années suivantes, de nombreuses organisations américaines se connectèrent au réseau. Un réseau complémentaire plus structuré, le NSFnet, fût mis en place par la NSF (National Science Foundation) pour palier au problème d'engorgement due à la forte croissance du réseau.

Aujourd'hui, Arpanet n'existe plus. Le NFSnet constitue l'épine dorsale de l'Internet. L'Internet se compose d’un grand nombre de réseaux du monde entier. Le réseau poursuit sa croissance exponentielle. L'exploitation du réseau n'est plus réservée à une élite militaire ou scientifique. Tout type d'organisations (institutions, entreprises, associations, …) et même n'importe quel particulier peuvent se connecter à l'Internet.

Au cours de son développement, les concepteurs de l'Internet ont négligé le facteur sécurité au profit de l'inter-opérabilité si bien que l'Internet présente des lacunes en matière de sécurité. Pour palier à ses problèmes, lorsqu'une organisation envisage de se connecter à l'Internet, elle se doit de déterminer les risques et les menaces encourus et d'établir une politique de sécurité pour la mise en œuvre de parades telles que des dispositifs firewalls. D'autres facteurs telles que les contraintes budgétaires doivent être prises en compte.

La première partie de ce document s'attache à présenter les différents points à considérer lors de l'élaboration d'une politique de sécurité. Ensuite, la deuxième partie se consacre aux différentes techniques de sécurité. Une présentation des différents composants et des architectures firewalls classiques est réalisé. Enfin, une troisième partie décrit l'évolution du marché des firewalls. Un comparatif des produits leaders du marché est effectué dans le but d'aider les utilisateurs dans le choix d'une solution firewall la plus appropriée à leurs besoins pour résoudre leurs problèmes de sécurité liés à l'Internet.

Internet dans les entreprises firewalls

Google

Le « réseau des réseaux », l'Internet, se compose d’un grand nombre de réseaux du monde entier qui utilisent un protocole de communication commun. De plus en plus d’organisations telles que les entreprises, envisagent de se connecter à l’Internet afin de profiter de ces services. Ces services peuvent être scindés en deux groupes : les services individuels et les services professionnels.

Parmi les services individuels, on compte :
• la messagerie électronique • la communication de groupe • la communication en temps immédiat • la consultation d’informations • le transfert de fichiers • le terminal virtuel

Les services professionnels les plus utilisés sont les suivants :
• la publicité • l'assistance aux clients • l'échange de données informatisé (EDI) • l'Intranet • les services de banque électronique et les services financiers • le commerce électronique
Les services individuels
Messagerie électronique
La messagerie électronique via le protocole Simple Mail Transfert Protocol (SMTP) est l’un des services les plus utilisés sur l'Internet. Il permet d'envoyer et de recevoir des messages électroniques de manière efficace. Tout type de document informatique peut être expédié via la messagerie électronique. Un tel service améliore de façon considérable la communication au sein de l'entreprise mais également avec les partenaires, les collaborateurs, les clients, etc.… En raison de l’augmentation incroyable du nombre d'utilisateurs et la baisse du temps d’aller-retour des messages, la messagerie électronique permet de gagner un temps précieux et par conséquent de l'argent.
Communication de groupe
La communication de groupe consiste en des échanges simultanés d'une multitude de messages électroniques via le protocole Network News Transfert Protocol (NNTP). Les deux services les plus utilisés sont les listes de diffusion et le forum. Le forum qui n’est qu’une alternative aux listes de diffusion s’utilise comme un journal électronique organisé par thème et est accessible à toute la population de l'Internet.
Communication en temps immédiat
Il est possible de converser en ligne et en temps immédiat par l'intermédiaire de services tels que Internet Relay Chat (IRC). IRC donne un accès texte où chaque utilisateur à la possibilité de converser simultanément avec un ou plusieurs autres utilisateurs.
Consultation d'informations
Le World Wide Web (WWW) offre la possibilité d'accéder n'importe où dans le monde à n'importe quel type d'information. Du fait de la nature du protocole HyperText Transfert Protocol (HTTP) utilisé par le Web qui permet d'offrir une interface de type hypertexte, la consultation des informations est rendue très conviviale et donc grandement facilitée. L'interrogation par mots clés d'annuaires et de moteurs de recherche par catalogues ou index thématiques (Yahoo, Global Network Navigator, Infoseek, Lycos, Altavista, Excite, Ecila, etc.) permet à l'utilisateur d'obtenir des listes d'adresses de sites Web correspondant à des critères de recherche précis.
Transfert de fichiers
Le transfert de fichiers est un service de base pour les communications intra- et inter-réseau. Il existe plusieurs méthodes pour transférer des fichiers. L'utilisation de la messagerie électronique en est une, l'utilisation du protocole de transfert de fichiers FTP (File Transfert Protocol) en est une autre. FTP est l'un des protocoles les plus utilisés car il permet de charger des applications et des données à partir de sites Internet sans nécessairement exiger une authentification de la part de l'utilisateur. Il reste aussi la possibilité d’utiliser le World Wide Web qui pourtant n’est pas le plus adapté aux transfert de fichiers; cependant il offre davantage de convivialité aux utilisateurs.
Terminal virtuel
Plusieurs services Internet comme telnet, rlogin, et X-windows donnent aux utilisateurs de l'Internet la possibilité d'accéder à des ordinateurs à distance. Ces services permettent de communiquer avec des ordinateurs distants via une interface texte (ex: VT100). Ainsi on peut exécuter ou lire un programme à distance.

Les services professionnels
Publicité
La publicité est le service le plus utilisé par les entreprises. L'Internet et plus précisément le World Wide Web (WWW) permet de créer des vitrines à travers lesquelles une entreprise peut présenter les services et produits qu'elle propose, à l'aide de textes, d'images, de séquences vidéo et sonores. Fini les catalogues à imprimer et à distribuer régulièrement aux clients et autres cibles potentielles. Le Web permet un gain de temps en ce qui concerne la remise à jour des différents produits, l’entreprise place simplement la nouvelle information sur sa page Web et elle est aussitôt accessible. De plus, lorsqu'un visiteur consulte le site Web de l'entreprise, celle-ci peut construire une base de données de population ou sur les préférences des clients en récupérant des informations sur les visiteurs avec leur accord.
Assistance aux clients
La messagerie électronique, les serveurs Web et le protocole FTP peuvent être utilisés à des fins d'assistance aux clients. Par exemple, la correspondance générale entre un fournisseur et son client peut utiliser la messagerie électronique en complément du fax et du téléphone. Un autre exemple est l'utilisation de serveurs Web pour permettre aux clients de déposer leurs réclamations ou de discuter sur le réseau dans des forums créés par l’entreprise sur les défauts des produits en vue de les améliorer.
Echange de données informatisé
L’échange de données informatisé (EDI) est devenu courant dans l'industrie de production. Les systèmes EDI utilisent des réseaux à valeur ajoutée privés comme infrastructure internationale de communication entre deux entreprises, quelles qu’elles soient de par le monde, pour échanger des commandes. Le suivi de l’exécution des commandes peut être fait automatiquement, ce qui permet aux clients et aux fabricants d’avoir immédiatement l’état d’avancement de la commande.
Intranet ciscofirewalls
La technologie qui est utilisée pour promouvoir des produits et partager de l’information dans le monde, commence à être utilisée pour l’information interne de l’entreprise. Les entreprises revoient leurs méthodes de travail autour de la technologie Internet. Ils utilisent le Web pour des applications internes et des partages des ressources informatiques. Banque électronique et services financiers
Commerce électronique
Les billets de banque et les chèques ont maintenant leurs équivalents électroniques. Quelques organismes financiers importants ont commencé à reconnaître les chèques électroniques en paiement de biens sur l'Internet; d’autres testent l’utilisation de la monnaie électronique où l’argent électronique va d’un compte de dépôt vers un ordinateur individuel ou vers un appareil portable appelé carte de dépôt ou portefeuille électronique. Bientôt il sera possible de transférer de l’argent depuis un compte de dépôt à l'aide d'un ordinateur individuel, réalimenter son propre porte monnaie électronique et payer des services directement sur l'Internet.

Risques et menaces liés à l'Internet les firewalls

Google


Comme il l'a été vu précédemment, l'Internet offre de nombreux avantages. Cependant, lorsqu'une organisation telle qu'une entreprise, par exemple, envisage de se connecter à l'Internet, il faut impérativement considérer le facteur sécurité. En effet, une connexion à l'Internet ne se fait pas sans risque. Un grand nombre d'utilisateurs de l'Internet ne sont pas conscients des risques et des menaces liés à l'Internet.
Ces menaces viennent surtout d’une mauvaise protection du réseau interne de l’entreprise, le niveau de sécurité du réseau interne est primordial. Une autre principale source de vulnérabilité aux attaques vient des propriétés intrinsèques de l'Internet. L'Internet relie au niveau mondial, des milliers de réseaux. Sa taille énorme touche sa fiabilité. La myriade de possibilités de se connecter à l'Internet génère beaucoup de risques différents à maîtriser. Lors de sa création, l’accent a été mis sur inter-opérabilité plutôt que sur la sécurité; ce qui a donner naissance à plusieurs types de menaces qui peuvent être regroupées en plusieurs catégories:
• Les menaces contre le réseau interne. L’introduction des services Internet dans un réseau d'entreprise peut ouvrir des trous de sécurité qui permettent à des intrus d’accéder au reste du réseau interne.
• Les menaces contre les serveurs Internet. On peut accéder à un serveur du réseau interne à partir de l'Internet pour lire ou même modifier les fichiers qu’il contient. Une société spécialisée dans la vente par correspondance (online) qui mémorise des numéros de carte de crédit sur un serveur connecté sur l'Internet est particulièrement exposée à ce risque.
• Les menaces contre la transmission des données. La confidentialité et l’intégrité des informations peuvent être violées si un agresseur intercepte les communications du réseau d’entreprise (messagerie, serveur d’information, téléchargement de fichiers, etc.).
• Les menaces contre la disponibilité. Un agresseur malveillant peut réaliser une attaque qui rend des machines, ou même le réseau tout entier, indisponible pour les utilisateurs légitimes.
• Les menaces de répudiation. Un partenaire dans une transaction en ligne peut nier qu’une transaction n’ait jamais eu lieu.
Des organisations telles que le CERT (Computer Emergency Response Team) publient régulièrement des vulnérabilités et d’éventuelles parades associées.
Cette partie présente les risques et les menaces liées à l'Internet, à savoir:
• Les vulnérabilités techniques:
- Les risques propres à l'Internet- L'absence de politique de sécurité- Les erreurs de configuration matérielle et logicielle
• Les types d'attaques:
- Mots de passe- Virus, Cheval de Troie- Manipulation de données- Espionnage (IP Sniffing)- Substitution (IP Spoofing)- Refus de service (denial of service)

Les vulnérabilités techniques
Les vulnérabilités inhérentes à l'Internet
Pourquoi l'Internet souffre-t-il de problèmes de sécurité ?
Plusieurs facteurs ont contribué à cet état de fait. Le problème fondamental est certainement dû au fait que l'Internet a été conçu dans le but d'offrir un réseau ouvert facilitant la communication entre les différents ordinateurs qui le composaient. A ce moment, la sécurité du réseau n'était pas le souci principal de ses concepteurs. En fait, l'Internet est victime de son succès phénoménal. De plus en plus de types d'utilisateurs incluant ceux dépourvus de sens éthique ont pu accéder au service de l'Internet. Un nouveau type de criminalité est alors apparu profitant des déficiences de l'Internet en matière de sécurité. Les sites Internet qui étaient alors très vulnérables, subissaient régulièrement des attaques et des dommages considérables. Aujourd'hui, l'efficacité de telles attaques peut être contrée par l'intermédiaire de dispositifs de sécurité tels que les firewalls.
Ces dispositifs ont pour objectif de palier aux vulnérabilités inhérentes à l'Internet et surtout particulièrement à la vulnérabilité des services TCP/IP qui facilite l'espionnage (sniffing) et le trucage (spoofing) des communications s'effectuant sur l'Internet.
La vulnérabilité des services TCP/IP est due au fait que beaucoup de ces services ne sont pas surs et peuvent être compromis par des intrus bien informés. Dans un environnement LAN (Lan Area Network), ce sont surtout les services visant à améliorer l'administration du réseau qui présente le plus de vulnérabilités. Ces vulnérabilités hérité du manque de sécurité de TCP/IP se retrouvent dans un grand nombre d'applications comme celles basées sur les services RPC (Remote Procedure Call) comme NFS (Network File System) et NIS (Network Information Service), les serveurs FTP, les serveurs de messageries notamment sendmail, etc...
La facilité d'espionnage et de trucage des communications résulte du fait que la plupart du trafic qui transitent sur Internet, s'effectue "en clair", c'est-à-dire sans procédé de chiffrement. Par conséquent, les lignes de communication et donc les transferts de messages électroniques (e-mail), de mots de passe, de fichiers peuvent être surveiller et enregistrer à l'aide de logiciels spécialisés.
Les vulnérabilités dues à l'absence de politique de sécurité
Un grand nombre de sites Internet facilitent, sans le savoir, les intrusions. Il n'est pas rare de constater qu'un réseau d'entreprise, par exemple, autorise plus de services TCP/IP que nécessaire. Or, il est primordial de limiter l'accès à ces services qui peuvent permettre à un intrus connaissant bien TCP/IP d'obtenir des informations précieuses pour sa tâche d'espionnage ou de sabotage. Il est donc nécessaire d'établir une politique de sécurité définissant les restrictions d'accès et d'utilisation des services à appliquer. Les étapes de l'élaboration d'une telle politique sont décrites dans la deuxième partie de ce document.
Les vulnérabilités liées aux erreurs de configuration
Le paramétrage de dispositifs de sécurité telles que des routeurs filtres permettant grâce à des listes d'accès (access-list) de limiter l'accès à des services, est souvent complexe et peut entraîner des erreurs de configuration accidentelles. De telles erreurs peuvent réduire à néant l'efficacité d'une politique de sécurité. Les fournisseurs de solutions firewalls sont conscients de ce fait. Aussi, la grande majorité des firewalls disponibles sur le marché intègrent-ils une interface graphique conviviale et intelligente.

Les attaques Internet
Les attaques fondées sur les mots de passe
Les attaques fondées sur les mots de passe impliquent une certaine exploitation des mots de passe. Une méthode commune d’infiltration pour un intrus est d’essayer une combinaison nom utilisateur - mot de passe (login - password), puis une autre, et ainsi de suite, jusqu’à ce qu’une combinaison particulière le connecte à un système. Etant donné que de nombreux systèmes comme UNIX ne rejettent pas les essais de connexions après un nombre d’essais infructueux, un intrus peut effectuer une multitude de tentatives de connexions.Il y a aussi la possibilité d'obtenir des mots de passe grâce à la messagerie électronique en utilisant des outils logiciels tel que «Crack» pour localiser et rapporter des mots de passe faibles dans des systèmes UNIX.
Les attaques à l'aide d'un virus ou d'un cheval de Troie
Les virus sont des programmes dévastateurs qui ont la capacité de se répliquer. En général, ils sont programmés soit pour créer des brèches dans le dispositif de sécurité du réseau pour faciliter une attaque postérieure plus directe, soit pour détruire les fichiers d'un système afin de le rendre inopérant. Le cheval de Troie est un programme qui semble fonctionner de manière normale mais qui, en fait, contient un ou plusieurs virus ou d'autres programmes subversifs et destructifs. Généralement, un cheval de Troie est créé en insérant du code malveillant dans un programme inoffensif à l'origine comme un utilitaire d'archivage ou un jeu vidéo. Lorsque l'utilisateur télécharge ou exécute le programme, le cheval de Troie peut s'exécuter à son tour.
Les attaques qui exploitent un accès par la confiance
Plusieurs systèmes d’exploitation (UNIX, VMS, et Windows NT) ont des mécanismes d’accès sûrs conçus pour faciliter l’accès à d’autres systèmes ou domaines. Un utilisateur peut aller d’un domaine à un autre, sans qu’il ait pour autant besoin de taper son mot de passe pour chaque domaine. Si un agresseur devine le nom d’une machine ou une combinaison nom utilisateur - nom de machine (username - hostname) peut ainsi accéder à une machine qui permet cet accès sûr. Ce type de menace d’accès machine par la confiance non autorisée augmente encore davantage quand le mécanisme de confiance mutuelle entre deux machines existe. L’agresseur a seulement besoin d’accéder à une machine pour être capable d’accéder à l’autre.
L’observation du réseau. l’examen des paquets (sniffing)
Un réseau à support partagé est un réseau dans lequel les paquets sont transmis partout sur le réseau quand ils circulent de l’origine vers les points de destination. La capture de ces paquets est appelée "observation de réseau" ou "reniflement de paquets" ou encore "interception illégale". Si un renifleur (sniffer) ou encore analyseur de protocoles est installé n’importe où le long du chemin entre une machine origine et une machine destination, les informations de connexion peuvent être saisies et utilisées ensuite pour attaquer la machine de destination. L’observation du réseau est une des menaces les plus sérieuses pour les entreprises, et ce, même si les réseaux internes ne sont pas connectés à l’Internet.
Le trucage IP
Le trucage IP consiste en la fourniture d’informations fausses sur une personne ou sur l’identité de la machine d’origine pour obtenir un accès non autorisé aux systèmes et aux services qu’ils fournissent. Le trucage exploite la manière dont un client et un serveur se connectent l'un à l'autre. Bien que le trucage puisse se produire avec de nombreux protocoles différents, le trucage IP est l'attaque par trucage la plus connue de toutes.
La première étape d'une telle attaque est d'établir une connexion avec la machine B en se faisant passer pour la machine A; ceci en créant un message truqué.
Pour bien comprendre le processus de l'attaque par trucage, il est nécessaire de rappeler que lors de l'établissement d'une communication - et plus précisément lors de l'établissement d'une communication TCP/IP - entre deux machines, certaines informations sont échangées dont l'adresse des deux hôtes, ainsi que des numéros de séquence. Ces numéros sont spécifiques à la communication et sont appliqués à chaque message échangé entre les deux machines. Ils sont généralement générés en fonction de l'horloge interne du système. Par conséquent, si un agresseur parvient à établir des communications avec un hôte (la machine B dans l'exemple ci-après) en vue d'observer et de déterminer la logique de génération des numéros de séquence, il pourra prédire les numéros de séquence qui seront utilisés par la même machine dans ses futures communications.
Cette phase d'observation constitue la première étape d'une attaque par trucage. L'agresseur identifie deux machines A et B d’un même réseau. Ces deux machines doivent entretenir une relation de confiance mutuelle.
L'attaquant tente alors d'établir une communication avec la machine B en se faisant passer pour la machine A en créant un message truqué, créé artificiellement par l'agresseur mais qui contient l'adresse source de la machine A.
A la réception de ce message, la machine B répond avec un message établissant les numéros de séquence spécifiques à la communication en cours d'établissement. Dans des circonstances normales, ce message croise un troisième message acquittant ces numéros de séquence. Comme B croît dialoguer avec A, la réponse de B est destinée à la machine A.
L'agresseur doit empêcher cette réponse d'atteindre la machine A. En effet, si elle recevait la réponse de la machine B, la machine A nierait avoir lancé une demande de connexion et le ferait savoir à B: l'attaque se solderait alors par un échec. Pour isoler la machine A, l'agresseur doit émettre typiquement une rafale de paquets vers A pour la saturer et l'empêcher de répondre au message de B. On parle de saturation ou inondation de port (port flooding).
La réponse de B doit être acquittée par un troisième message. Grâce à la faculté acquise lors de la phase d'identification de prédiction des numéros de séquence de B, l’agresseur acquitte la réponse de B et la communication peut s'établir entre la machine B et lui alors que la machine B croît toujours communiquer avec la machine A.

Fig. 1 Trucage IP (IP Spoofing)
Le détournement de session
Le détournement de session est une variante du trucage IP. Un intrus cherche une communication réelle entre deux machines et essaie de prendre le pouvoir. Après avoir pris le contrôle d’une machine (un firewall ou un composant dans un réseau de prestataire de service) par laquelle passe la communication ou une autre machine sur le même réseau local que celui d’une des deux machines, l’intrus observe la communication comme il veut. Ainsi il peut déterminer les numéros de séquence utilisés. Ensuite il génère le trafic qui semble venir de l’une ou l’autre des deux machines en volant effectivement la session de l’un des deux correspondants pour avoir les mêmes privilèges d’accès que l’utilisateur légitime. Après avoir éliminer l’utilisateur légitime de la communication, il peut maintenant continuer ce que l’utilisateur originel a commencé.
Les attaques de type refus de service (denial of service)
Les attaques de type refus de service (denial of service) visent à rendre le réseau inopérant en l'inondant d'informations (ping of death, SYN flooding) et/ou en altérant des tables de routages, des partitions de disques, des fichiers systèmes tels que les fichiers de journalisation des événements.

Bilan
Pour contrer ses attaques et palier aux vulnérabilités techniques de l’Internet, une organisation telle qu'une entreprise, par exemple, se doit impérativement d’élaborer une politique de sécurité.

Etablir une politique de sécurité (firewalls)

Google

Pour contrer les nombreuses menaces liées à l'Internet, il est nécessaire d'établir des moyens de sécurité de base comme point de départ pour un programme de sécurité des systèmes d’information.Pour commencer il faut préalablement connaître les raisons de connexions à l’Internet afin de préciser correctement les services à mettre en place et de définir les configurations matérielle, logicielle et réseau adéquates. Après avoir défini les raisons de développer un plan d’action Internet, un programme de sécurité doit être élaboré pour traiter les risques encourus à court terme comme à long terme.
L'établissement d'une politique de sécurité peut être divisé en quatre parties:
• Analyse de risques
• Planification et développement du programme de sécurité
• Allocation des ressources
• Implémentation et maintenance

L’analyse de risques
L’analyse de risques consiste à identifier les moyens par lesquels la confidentialité des informations, l’intégrité des données et des systèmes, ainsi que l’accessibilité aux informations et aux systèmes peuvent être compromis et à déterminer les conséquences au cas échéant de l’existence d’un trou dans la sécurité afin d’estimer le coût de chacune.
La compromission d’informations et le vol
Il faut partir du principe que toutes données stockées sur des systèmes informatiques peuvent être volées, c’est pourquoi une copie des données est nécessaire. Il faut connaître et classifier les données par ordre d’importance, déterminer les données qui peuvent être exposées à l'Internet.
La destruction des informations
Le coût de remplacement ou de reconstruction des informations si un agresseur devait les détruire, doit être évalué. L’impossibilité temporaire d’accéder aux données n’a pas habituellement de conséquences aussi sévères que ne le fait la destruction des informations, mais elle peut être plus coûteuse parce qu’elle perturbe des opérations commerciales. La destruction d’informations provoquée par une action non autorisée depuis l'Internet est souvent un événement extrêmement compliqué qui demande des ressources et des délais considérables pour l’étudier et y remédier.
Perte d’intégrité des données
L’accès puis la modification ou la destruction - par un intrus malveillant - de fichiers critiques (fichiers systèmes, fichiers de configuration, bases de données, etc.) peut entraîner une perte d’intégrité des données d’un système d’information qui peut s’avérer coûteuse pour une entreprise. En effet, les changements d’intégrité de données peuvent en fait se révéler plus coûteux en heures de travail nécessaires à l’analyse et la restauration que tout autre type d’incident de sécurité.
Perte d’intégrité système ou réseau
Cet incident est l'un des plus courants. L’intrus essaie d’obtenir les droits d'accès du super utilisateur (root sous UNIX) pour modifier les tables de routage et autres fichiers ou programmes qui limitent l’accès aux machines et aux applications que le firewall est supposé protéger. Il peut également agir indirectement par l'utilisation d'un virus ou d'un « cheval de Troie ».La perte d'intégrité système ou réseau a bien sûr des conséquences financières car elle occasionne une perte de fonctionnalité des différentes machines touchées et une perte de temps qui rend difficile la découverte et le rétablissement des changements opérés par l’intrus.
Perte de réputation
Il faut évaluer comment serait affectée la réputation de l’entreprise, les efforts de mercatique (marketing) et d’autres choses du même genre, si les médias devaient publier des informations sur un incident majeur de sécurité Internet dans le réseau de l’entreprise. Par exemple, si une entreprise de jouets voyait les photos de son catalogue Internet remplacées par des photos à caractères pornographiques, les conséquences pourraient être catastrophiques.
Méthodes d’évaluation de risque
Les méthodes d’évaluation de risque varient considérablement de par l’évolution toujours croissante de nouveaux services sur l'Internet et de nouvelles méthodes d’accès.
Il existe plusieurs méthodes d’évaluation de risque. Les quatre suivantes sont les plus utilisées :
La méthode globale
Cette méthode suppose que le risque varie en fonction de l’environnement, mais est constant dans chaque environnement particulier. Une évaluation des risques consisterait à estimer le niveau de menaces pour chaque environnement réseau.Cette méthode n’est ni quantitative ni très précise, mais elle a une certaine valeur pour amener une entreprise à un niveau général de sécurité Internet approprié dans chaque réseau, sans beaucoup investir dans une évaluation des risques.
La méthode "attaque-vulnérabilité"
Dans ce type de méthode, les entreprises inspectent des réseaux qui sont connectés à l'Internet pour déterminer comment les réseaux pourraient être attaqués. En identifiant les grandes méthodes d’attaques qui pourraient être utilisées et quels biens pourraient être atteints si ces méthodes étaient utilisées, les entreprises peuvent dresser une liste de risques qu’elles doivent traiter.Une variante de plus en plus célèbre de cette méthode est qu’un employé compétent sur le plan technique emploie des méthodes d’attaques Internet contre des systèmes et des réseaux internes pour découvrir les vulnérabilités.
La méthode quantitative
Cette méthode associe la puissance des mathématiques au traitement de l’évaluation des risques. Cette méthode est compliquée et consommatrice de ressources. Quantifier le risque venant de l’Internet en particulier est plus proche d’un art que d’une science.
La méthode des "mesures de base"
L’essence de cette méthode est de suivre une norme de précautions ou de mesures nécessaires en employant les commandes de sécurité et les pratiques que des organismes tels que le NIST (National Institute of Standards and Technology) qui ont des services de sécurité compétents, appliquent pour protéger des actifs de calculs et d’informations similaires, sans analyser entièrement les types de menaces et la vraisemblance de chacune d’entre elles.

La planification du programme et son développement
Après avoir identifié les menaces qui pèsent sur le réseau, il faut déduire le niveau acceptable de risques que l’on est prêt à prendre: c'est l'acceptation de risque. Le niveau de risques est suivant le coût de la perte des données et le coût de la mise en place d’un système de sécurité. Le niveau de sécurité désiré peut simplement ne pas être rentable ou il peut avoir des conséquences sur les performances. Une situation extrême pourrait être que l'entreprise décide que les risques dépassent les avantages et que ne pas se connecter à l'Internet est la chose prudente à faire.
Les étapes essentielles de la conception et de la réalisation du programme de sécurité suivent un schéma fixe. Ce ne sont pas les composants fondamentaux de la structure du programme de sécurité qui changeront mais le type de menaces. En effet, les évolutions technologiques seront toujours croissantes et les techniques utilisées par les pirates informatiques pour forcer les dispositifs de sécurité seront de plus en plus diversifiés au fur et à mesure que les technologies apparaîtront. Comme les menaces changent, les risques correspondants changent aussi, ce qui impose de réexaminer régulièrement la pertinence des solutions. Il est important de créer un plan projet qui identifie les composants majeurs du programme, les points que le programme doit traiter et leur synchronisation relative.
Le diagramme suivant résume les étapes essentielles d'un programme de sécurité. L'allocation des ressources qui n'apparaît pas sur ce schéma, intervient tout au long de l'élaboration du programme de sécurité notamment lors de la définition des besoins de l'entreprise, puis au cours de la conception de l'architecture de sécurité dont dépend l'allocation des ressources nécessaires pour l'implémentation et la maintenance de la solution technique.

Fig. 2 Le programme de sécurité

La planification du programme de sécurité se compose des éléments suivants :
• Conception et exigences de l'infrastructure de sécurité
• Etablissement de la politique de sécurité et des procédures associées
• Sensibilisation et formation des utilisateurs

Conception et exigences de l'infrastructure de sécurité
Le programme doit considérer et déterminer plus particulièrement les exigences de l'infrastructure, à savoir :
• L'hétérogénéité et inter-opérabilité des plates-formes
• L'utilisation de protocoles différents
• L'architecture informatique et de sécurité
• Les performances, les capacités, l'évolutivité
Hétérogénéité et inter-opérabilité des plates-formes
Une entreprise utilise généralement l’Internet pour mettre en œuvre plusieurs types de services et de transactions allant de la simple consultation de pages Web au commerce électronique. Les réseaux utilisés en interne peuvent être multiples (Ethernet, Token Ring, FDDI, SNA, ATM, et d’autres) ainsi que les plates-formes (MS Windows, UNIX, Novell, VMS, MVS, ...). L’infrastructure de sécurité doit être adaptée selon les besoins spécifiques de chaque entité du ou des réseaux. La sécurisation de réseaux composés d'ordinateurs personnels n'est pas la même que la sécurisation de stations de travail, de grappes VAX ou de domaines NIS. La problématique qu’il faut étudier est la suivante : comment l'inter-opérabilité affecte-t-elle la sécurité et inversement ?
Utilisation de protocoles différents
Divers protocoles doivent coexister dans un environnement Internet, mais certains apportent moins de sécurité que d’autres. Le protocole TCP/IP a beaucoup d’avantages mais est également plus vulnérable aux attaques comme le trucage et l’observation de réseau (sniffing) que la plupart des autres protocoles. IPX/SPX, qui est moins robuste que TCP/IP, est également vulnérable aux attaques de trucage. Le protocole SNA est moins vulnérable aux attaques de trucage, mais n’est pas aussi pratique dans un environnement de réseau actuel.
Un intrus peut essayer de traverser un firewall qui ignore le trafic IPX, en encapsulant un paquet TCP/IP contenant des commandes malveillantes dans un paquet IPX. Comme la désencapsulation est généralement réalisée à l’arrivée, les commandes contenues dans le paquet TCP/IP peuvent s’exécuter sur l’hôte destination à l’insu du firewall. Inversement et dans certains respects, l'hétérogénéité des protocoles peut être réellement un avantage puisque le trucage IP, par exemple, n'est pas possible dans un environnement IPX. Architecture informatique et de sécurité
Il est généralement plus sûr de minimiser le nombre de portes qui donnent l'accès à l'Internet. Les points d'entrée multiples augmentent la probabilité qu'il y ait au moins un point d'entrée faible fournissant un chemin facile d'accès non autorisé depuis l'Internet, dans le réseau interne.
D'autre part, l'infrastructure de sécurité doit comprendre des manières d'identifier d'isoler, et d'augmenter la sécurité des ressources informatiques particulièrement critiques et précieuses. Les périmètres de sécurité sont un paramètre critique dans la planification d'une infrastructure de sécurité Internet. Leur principale limitation est que si quelqu'un pénètre le périmètre de sécurité - en forçant un firewall, par exemple - peu de dispositifs de défenses supplémentaires sont susceptibles d'être en place pour empêcher une activité non autorisée. C'est pour cette raison qu'il faut définir un ou plusieurs périmètres de sécurité plus internes, à l'aide de firewalls supplémentaires, pour des sous-réseaux critiques du réseau de l'entreprise. Il faut se protéger des attaques Internet mais également des attaques susceptibles de venir du réseau interne.
Performances, capacités, évolutivité
L'infrastructure de sécurité doit avoir une bande passante de réseau suffisante pour permettre le volume de trafic prévisionnel entre l'Internet et un réseau interne tout en fournissant un niveau de sécurité conforme aux besoins opérationnels. Il faut savoir que les dispositifs de sécurité telles que les firewalls peuvent considérablement baisser la capacité de traitement de réseau. L'approche logique pour résoudre ce dilemme est de calculer les bandes passantes possibles avec chaque combinaison de mécanismes de sécurité de réseau.
En plus de tout ceci, l'infrastructure de sécurité doit pouvoir s'adapter aux évolutions technologiques ainsi qu'aux nouveaux besoins toujours croissants de l'entreprise en matière de services mais également en matière de performances.
Etablissement des procédures de sécurité
Une politique de sécurité consiste en un ensemble de directives de gestion qui établissent les buts fonctionnels de l'entreprise, fournissent un cadre de réalisation pour atteindre ces buts, et déterminent les responsabilités et affectations du processus. Le but premier d'une telle politique est la gestion des risques liés au système d'information qui comprend à la fois les risques financiers et les risques de sécurité.
Les procédures comprennent les objectifs de sécurité pour des applications ou des systèmes particuliers et définissent comment les systèmes doivent être pilotés dans des circonstances déterminées pour atteindre ces objectifs. Une procédure peut, par exemple, contraindre un administrateur de supprimer tous les comptes utilisateurs de la plate-forme sur laquelle tourne la partie logicielle du firewall.
Les méthodes de conception et de réalisation d'une politique de sécurité dépendent de la taille de l'entreprise. Une petite entreprise n'éprouvera pas nécessairement le besoin de recourir à une élaboration formalisée. Malgré tout, quelle que soit la taille de l'entreprise concernée, l'établissement de la politique de sécurité et des procédures associées nécessite l'engagement de la direction générale de l'entreprise qui doit informer le personnel, organiser et participer à des réunions, allouer des ressources réelles à la fois en terme de personnel et en terme d'équipement.
Une politique de sécurité efficace doit aussi satisfaire un certain nombre de critères. Elle doit être souple et flexible pour pouvoir s'adapter aux évolutions technologiques mais également aux nouveaux besoins toujours croissants des applications et des utilisateurs, notamment en matière de bande passante, tout en étant facile à mettre en œuvre. Elle doit également être rentable et refléter les objectifs fixés par l'entreprise. Le réalisme est de rigueur. Exiger que les utilisateurs ne choisissent pas de mots de passe faciles à deviner est applicable sur de nombreuses plates-formes telles que des plates-formes VMS qui peuvent rejeter de tels mots de passe. Une telle exigence n'aurait pas de sens sur des stations Windows NT qui ne peuvent effectuer une telle vérification. Le reflet des réalités de l'environnement informatique doit être l'une des vocations d'une politique de sécurité. Enfin, la politique de sécurité Internet doit bien s'intégrer avec la politique générale de sécurité du système d'information.
En vue de sécuriser les services et la connexion Internet, des politiques d'accès et des procédures doivent être établies. La politique doit présenter la position officielle de l'entreprise relativement aux modes d'accès et d'utilisation des services Internet, ainsi que les normes de configuration des équipements réseaux contribuant à la connectivité Internet - dont le firewall et les serveurs (FTP, HTTP, NNTP, etc.) qu'il abrite. Il faut définir aussi bien les services entrants que les services sortants, les types de connexions acceptables (SLIP, PPP, TIA, lignes spécialisées, etc.), le processus d'approbation des connexions mais également une politique d'utilisation acceptable d'Internet (AUP) qui s'attache aux aspects légaux, sociaux, moraux et éthiques.
Sensibilisation et formation des utilisateurs
Afin d'optimiser l'efficacité de la politique de sécurité, le programme de sécurité doit comporter un programme de sensibilisation des utilisateurs. Les utilisateurs doivent coopérer et comprendre l'importance du programme. L'élément humain joue un rôle critique dans l'établissement et le maintien de la sécurité Internet; les mesures techniques seules sont insuffisantes.
Le programme de sensibilisation et de formation à la sécurité Internet a pour objectif que les utilisateurs qu'ils prêtent attention à la sécurité. Un des moyens qui peut être utilisé pour parvenir à éduquer les utilisateurs, est d'inclure dans les résultats professionnels la façon dont sont respectées les règles, comme celle du choix de bons mots de passe, de la protection des informations et de l'utilisation des seuls moyens d'accès autorisés par l'entreprise.
Il est important de définir la portée du programme qui doit être justifié en fonctions des buts fonctionnels de l'entreprise. Il n'est pas nécessaire d'effectuer un grand programme de sensibilisation à travers une entreprise complète si seuls quelques utilisateurs accèdent à l'Internet.
Afin de les impliquer davantage dans le programme de sécurité, les utilisateurs doivent suivre une formation dont les lignes directrices sont les suivantes:
• la gestion des mots de passe et des droits d'accès
• la prévention d'activités illégales comme l'utilisation de logiciels piratés
• la détection des incidents qui doivent être rapportés le plus rapidement possible aux personnes autorisées et compétentes comme la direction informatique et réseau
• la réaction face aux incidents qui a pour but d'éviter que les utilisateurs endommagent plus leurs propres systèmes que le feraient des étrangers (l'action néfaste d'un virus peut être accélérer par un utilisateur non averti)
L’allocation des ressources
Des ressources sont nécessaires pour mener toutes les activités liées au programme de sécurité comme les besoins en personnels qualifiés, mais aussi les contraintes budgétaires et les besoins en matériel, logiciel, réseau.
Les besoins en personnel
La sécurité Internet diffère suffisamment des autres domaines liés aux réseaux informatiques pour justifier l’embauche de personnel supplémentaire spécialisé dans ce domaine. La quantité de personnel supplémentaire nécessaire dépend en grande partie de la manière de se connecter à l'Internet et l’étendue de la connectivité à l'Internet. La sécurité Internet peut être déléguée au fournisseur Internet. Il est également possible de faire appel à des consultants pour pallier des pénuries provisoires de personnel pour garantir la continuité et l’élan dans la construction du programme de sécurité Internet. Dans la majeure partie des offres firewalls, par exemple, des prestations de services sont généralement incluses pour l'étude mais aussi pour l'installation et surtout pour le transfert de compétence.
Les contraintes budgétaires
Les contraintes budgétaires freinent souvent l’évolution du programme de sécurité. L'achat des différentes machines de sécurité ainsi que leur maintenance peuvent s’avérer coûteux. La meilleure méthode est de fixer des priorités de sécurité. On résout le problème de sécurité le plus important puis on finit par le plus insignifiant selon le budget alloué. Une autre méthode est de garantir qu’au moins quelques contraintes de sécurité sont présentes dans chaque partie du réseau.
Les besoins en matériel, logiciel, réseau
La plupart des solutions de sécurité Internet demandent une certaine combinaison de matériels, de logiciels et d’équipements de réseau en plus des contraintes de base comme la bande passante pour réaliser la connectivité à l'Internet. Dans certain cas, l'adoption d’un routeur qui peut filtrer le trafic est une meilleure solution qu’un garde barrière (firewall) parce que le routeur est un composant de réseau indispensable et que le firewall est un composant additionnel qui peut faire baisser les performances du réseau en limitant la vitesse du trafic.

Implémentation et maintenance
Sécuriser l’accès à l’Internet
Pour sécuriser l'accès à l'Internet, plusieurs solutions sont envisageables :
• La déconnexion. Le niveau de sécurité désiré peut simplement ne pas être rentable ou il peut avoir des conséquences sur les performances. La déconnexion peut alors être envisager si les risques sont jugés trop importants par rapport aux avantages.
• La sécurisation des machines individuelles. Le but réel du programme de sécurité étant la protection de l'information, une telle démarche de sécurisation semble logique. Cependant, le coût de la maintenance d'une telle solution, compte tenu de la taille de la plupart des réseaux et l'hétérogénéité du parc informatique, représente un frein au développement d'une telle politique.
• La sécurisation du réseau dans son ensemble. Il s'agit d'établir une notion de périmètre de sécurité et d'identifier deux domaines séparés, le « dedans » et le « dehors ». Le nombre d’interfaces entre ces deux domaines doit être minimal (modems, lignes spécialisées, etc.). La principale difficulté est la définition du périmètre de sécurité. Il faut étudier les conséquences d’une divulgation ou d’une perte de l’information stockée sur une des machines individuelles et déduire la nécessité ou non de l’inclure dans le périmètre. Une fois le périmètre défini, les droits d’accès aux interfaces (flux entrants et flux sortants) doivent être définis scrupuleusement.
• La sécurisation des liaisons de communication. Une solution de plus en plus répandue est le concept de réseaux virtuels privés (Virtual Private Network), qui comprend le chiffrement du réseau de bout en bout, ce qui permet l’établissement d’une connexion sécurisée de n’importe quelle machine vers n’importe quelle autre

Une architecture de sécurité forte se compose d’une sécurisation du réseau dans son ensemble couplée à une sécurisation des machines individuelles. Un périmètre de sécurité ne protège pas contre la menace interne si bien que plusieurs périmètres internes séparant des parties du réseau de certaines autres peuvent être définis. Les réseaux virtuels privés (Virtual Private Networks) représentent un complément idéal à un système de défense périmétrique mais le chiffrement des communications qu’ils mettent en œuvre, consomment des ressources réseaux supplémentaires non négligeables.
Intervention du fournisseur d’accès Internet
En plus de la connexion, beaucoup de prestataires de services Internet (Internet Service Providers) fournissent des fonctions de sécurité qui vont des services de consultation jusqu’à des mesures efficaces de sécurité sur la connexion elle-même. Il peut s’avérer intéressant de déléguer certaines tâches du programme de sécurité à son fournisseur d’accès Internet. Cependant, l’entreprise doit conserver un contrôle complet de la sécurité de ses propres réseaux et de sa connexion Internet.
Le prestataire peut, par exemple, placer des filtres sur son routeur ou son firewall pour bloquer tout trafic qui n’est pas destiné aux machines du réseau interne, limiter les services accessibles aux utilisateurs de l’entreprise.
Il peut également intervenir dans le choix d’une solution de sécurité. Si la solution retenue est une solution firewall, le prestataire peut gérer le firewall pour l’entreprise. Bien que les recommandations du prestataire de services puissent accélérer le processus de choix d’une solution, les solutions potentielles et les recommandations du prestataire de services doivent être évaluées en fonction des besoins de l’entreprise en matière de sécurité, de l’acceptation des risques, des contraintes liées à la politique de sécurité notamment les contraintes budgétaires.
Installation et mise en service de la solution technique
Les règles qui régissent l’installation et la configuration de la solution technique sont présentées dans les chapitres suivants. Différentes architectures sont envisageables pour l’installation d’une solution firewall, par exemple. La configuration des matériels et logiciels composant la solution consiste, entre autres, à l’implémentation des règles d’accès définies dans la politique de sécurité.
Gestion et administration de la solution technique
La gestion et l’administration de la solution technique nécessitent des éléments comme la surveillance et l’audit de sécurité qui permettent de remarquer les intrus externes ou internes qui ont des accès non autorisés aux systèmes de l’entreprise. Ces éléments qui renseignent sur l’activité des machines individuelles ou sur le réseau tout entier, sont décrites dans les chapitres suivants. Leur objectif est de diminuer l’impact des pertes et des dommages suite à une éventuelle intrusion. Les réactions aux incidents doivent être le plus rapide possible. La vitesse d’exécution est primordiale puisque peu de temps suffit pour tout détruire.
Conclusion
Ce chapitre a présenté un ensemble de points clés à traiter pour établir un programme de sécurité efficace. L’importance d’une politique de sécurité dépend de la taille de l’entreprise mais également du degré de connectivité avec l’Internet auquel l’entreprise souhaite accéder. Il est primordial d’avoir conscience qu’il est plus facile de mettre en œuvre une politique de sécurité avant d’effectuer la connexion à l’Internet plutôt qu’après. Comme dit l’adage : « Il vaut mieux prévenir que guérir ».

Les techniques de sécurité Internet firewalls

Google

Pour mettre en œuvre une politique de sécurité, différentes techniques peuvent être utilisées :
• Les techniques de sécurité de base- La sécurisation des machines individuelles- La translation d'adresse- Le chiffrement et la signature numérique
Les firewalls (ou gardes-barrières)
Les techniques de sécurité de base
Sécurisation des machines individuelles
La sécurisation des machines individuelles est la technique de sécurité la plus répandue dans le monde informatique. Comme son nom l’indique, elle consiste à configurer chaque ordinateur sur le réseau pour résister à l’intrusion en utilisant :
• des méthodes d'authentification pour vérifier et garantir l'identité d'un utilisateur ou de toute autre entité du réseau
• des contrôleurs d'intégrité comme des anti-virus
• des mécanismes d'audit et de journalisation qui sont respectivement des procédés qui permettent d'observer tous les phénomènes qui surviennent sur le réseau et qui permettent le stockage de toutes ces informations sous forme de fichiers, de bases de données pour faciliter la surveillance et la maintenance des systèmes
• les plus récentes mises à jours (patchs) des logiciels afin de supprimer les bogues éventuels de certains logiciels entre deux versions
La translation d’adresse
La translation d’adresse (Network Adress Translation) est basée sur le principe que toutes les machines sur un réseau interne (réseau local) n’accéderont pas à l'Internet en même temps. Le traducteur d’adresses du réseau possède un ensemble d’adresses externes disponibles parmi les adresses officiellement affectées. Il fonctionne sur le même principe qu’un PABX qui gère des lignes téléphoniques, le NAT, lui, gère des adresses IP.

Fig. 3 La translation d’adresse (NAT)

La passerelle lit une liste d’adresses disponibles et réécrit les en-têtes de paquets pour que les adresses non référencées ne sortent jamais du réseau interne.
Quand un utilisateur interne veut utiliser l’Internet, le périphérique choisit un nombre de l’ensemble et réécrit tous les paquets sortants avec l’adresse externe. Parallèlement, les paquets entrants sont réécrits pour être transmis sur le réseau interne avec l’adresse interne.
La translation d’adresse permet aux organismes d’utiliser un plus petit espace d’adressage tout en cachant les adresses internes.
Une autre solution est d’affecter dynamiquement les adresses IP aux machines individuelles, en utilisant des protocoles tels que le Dynamic Host Configuration Protocol (DHCP) et le Boostrap Protocol (BOOTP) : ils gardent un ensemble d’adresses IP enregistrées et les affectent aux machines qui demandent d’accéder à l'Internet.
L’authentification
L’authentification est un procédé qui permet la vérification et la garantie de l’identité d’une entité. On distingue quatre fondements pour l’authentification :
• ce que l'entité connaît
• où se trouve l'entité à authentifier
• ce qu’est l'entité
• ce que l'entité possède
Ce que l'entité connaît
Cette méthode est habituellement réalisée en utilisant la combinaison d’un identifiant d'utilisateur et d'un mot de passe (exemple : login - password). Son principal inconvénient est qu’il n’y a aucune preuve que seules les personnes de confiance connaissent le bon mot de passe. En effet, les mots de passe peuvent être :
• communiqués (en laissant un post-it sur l'écran d'une station, par exemple)
• trop simples et facile à deviner
• récupérer par un intrus écoutant les lignes de communication n'utilisant pas de systèmes de chiffrement
Où se trouve l'entité à authentifier
La plupart des réseaux comptent sur un identifiant d’utilisateur et l’adresse réseau d’origine pour l’authentification. C’est à dire que l’authentifiant suppose que l’identité de l’origine peut être déduite de l’adresse de réseau d’où viennent les paquets. Comme nous l'avons vu précédemment, cette méthode atteint ses limites lorsqu'un intrus utilise le trucage IP (IP Spoofing) pour se faire passer pour un hôte de confiance.
Ce qu’est l'entité
Elle est fondée sur ce qu’est l’entité à authentifier. Cette catégorie comprends les attributs physiques telles que des empreintes digitales, rétiniennes, vocales, etc.
Ce que l'entité possède
Elle est fondée sur la possession d’une carte électronique à mémoire spécialement utilisée pour vérifier l'identité d'une personne.
Le chiffrement et la signature numérique
Le chiffrement (ou la cryptographie)
Le chiffrement est défini comme un processus consistant à prendre des informations qui existent sous forme lisible et à les convertir en une forme cryptée.
Si le destinataire des données codées souhaite lire les données originales, il doit les convertir à partir des données codées, selon un processus appelé décodage. Le décodage est la réciproque du codage. Afin de décoder des données le destinataire doit être en possession de ce que l’on appelle clé. La clé doit être conservée et distribuée avec circonspection.
Dans la cryptographie, deux types de clés peuvent être utilisées:
• la clé symétrique
• la clé asymétrique
La cryptographie à clé symétrique consiste à brouiller des messages en utilisant une clé ou un secret commun et à les déchiffrer en utilisant le même secret ou clé.
Le codage DES (Data Encryption Standard) est un codage à clé symétrique très largement utilisé. C’est le standard de cryptographie des données. Il transforme les informations en clair, en données que l’on appelle cyphertext. Pour ce faire, il utilise un algorithme spécifique et une valeur seed nommée clé. Le destinataire connaissant la clé peut l’utiliser pour reconvertir les données codées en texte en clair.
La cryptographie à clé asymétrique utilise deux clés : une clé publique et une clé privée. Les messages chiffrés avec l’une des deux clés peuvent être décodés par l’autre clé de la paire. Ainsi, tout message chiffré avec la clé publique peut être décrypté seulement avec la clé privée.
L'algorithme le plus connu dans la cryptographie à clé asymétrique est le RSA dont les créateurs sont Ron Rivest, Adi Shamir et Léonard Adleman. Le standard de l’Internet de Privacy Enhanced Mail utilise le système RSA.

Pour communiquer secrètement sur l’Internet à l’aide de la cryptographie asymétrique, deux personnes A et B doivent procéder comme suit :
1. A chiffre son message en utilisant la clé publique de B et l’envoie à B.2. B reçoit le message de A et le décrypte en utilisant sa clé privée.3. Pour répondre à A, B chiffre son message avec la clé publique de A.4. A reçoit le message de B et le décrypte en utilisant sa clé privée.
Il est à noter que n’importe qui peut envoyer des messages à B pourvu qu’il ait sa clé publique. Par contre, seul B peut lire, grâce à sa clé privée, les messages codés par sa clé publique.
Fig. 4 2 La cryptographie asymétrique La signature numérique
La cryptographie asymétrique permet de signer numériquement des messages. Une signature numérique s’obtient par l’inversion de la technique de cryptographie asymétrique à clé publique vue précédemment. La signature numérique permet de garantir l’intégrité et l’origine d’un message ; ce qui fait de cette technique une méthode efficace contre la non répudiation.

L’exemple suivant illustre l’intérêt de la signature numérique :
1. A chiffre son message en utilisant sa clé privée et l’envoie à B.2. B reçoit le message de A et le déchiffre avec la clé publique de A
Il est à noter que n’importe qui peut lire des messages de A pourvu qu’il ait sa clé publique. Par contre, seul A peut avoir écrit ce message car lui seul détient (théoriquement) sa clé privée. La signature numérique s’attache surtout à garantir l’origine du message et non sa confidentialité.
Fig. 4 3 La signature numérique
Les limitations des techniques de chiffrement
Avantages Inconvénients
Cryptographie symétrique Rapide Deux clés identiques Facile à mettre en œuvre sur une puce électronique Distribution des clés difficile

Cryptographie asymétrique Deux clés différentes Lent Signature numérique Distribution des clés relativement rapide
Fig. 4 4 Cryptographies symétrique et asymétrique

La cryptographie à clé publique possède des fonctionnalités très intéressantes pour sécuriser les communications. Cependant, elle requiert des temps de calculs très importants et ne s’implémente que trop difficilement sur circuits électroniques. La cryptographie symétrique, quant à elle, est rapide et très facile à mettre en œuvre.
L’idéal serait de pouvoir combiner ces deux types de cryptographie ; ce qui est tout à fait possible. Pour optimiser les performances d’une telle combinaison, un condenseur de message peut être utilisé. Il s’agit d’une fonction qui prend un message en entrée et produit un code irréversible, unique et apparemment aléatoire de longueur fixe. Plusieurs condenseurs de messages présentent ces propriétés. Les plus utilisés d’entre eux sont MD4 et MD5 créés par Ron Rivest de RSA Data Security Inc., ainsi que SHA (Secure Hash Algorithm) créé par le NIST (Institut National des Normes et Technologies des Etats-Unis).


Dans l’exemple suivant, A envoie un message secret à B via l’Internet en combinant la cryptographie symétrique et la cryptographie asymétrique :
1. A écrit son message et crée un condensé du message2. A chiffre le condensé du message avec sa clé privé3. Parallèlement, A chiffre son message avec la cryptographie à clé symétrique en utilisant une clé de session choisie aléatoirement4. A chiffre la clé de session avec la clé publique de B5. A envoie à B ces trois objets chiffrés6. B décode la clé de session en utilisant sa clé privée7. Le message peut alors être déchiffré par la clé de session décryptée8. B calcule son propre condensé du message9. B déchiffre le condensé du message envoyé par A avec sa clé publique10. La comparaison des deux condensés permet de garantir l’intégrité et l’origine du message
Grâce à la combinaison des deux crypto-systèmes et l’utilisation d’un condenseur de message, la confidentialité, l’intégrité et la non répudiation peuvent être garanties.
Fig. 4 5 Combinaison des deux crypto-systèmes
Les problèmes de performance ne sont pas les seules limitations des techniques de chiffrement. En effet, la génération et la distribution des clés posent quelques problèmes. Comment communiquer une clé publique de manière sûr ? Par téléphone ? Par courrier ? Une méthode pertinente et efficace est l’utilisation de certificat fondé habituellement sur la norme UIT_T.509 et des autorités de certification.
En France, le chiffrement des communications est considéré comme une arme de guerre si bien que pour utiliser certains algorithme des autorisations spéciales doivent être obtenues auprès du SSICS.


Les firewalls
Une autre technique de sécurité Internet et qui permet d'appliquer une politique de sécurité : les firewalls.
L’objectif essentiel d’un firewall est de protéger un réseau d’un autre. En principe, le réseau à protéger vous appartient ou est sous votre responsabilité tandis que le réseau contre lequel vous désirez vous protéger est un réseau externe en qui vous n’avez pas confiance et à partir duquel des attaques peuvent survenir.
La protection du réseau consiste à empêcher l'accès aux utilisateurs non autorisés à des informations sensibles, tout en permettant aux utilisateurs légitimes d’accéder facilement aux ressources du réseau.
Dans cette partie, nous allons établir les différents concepts des Firewalls en répondant à ces différentes questions :
• Quels sont les différentes techniques firewalls ?
• Quels sont les types d’architectures à utiliser ?
Le terme firewall est utilisé par beaucoup comme un terme générique décrivant n’importe quels dispositifs de protection d’un réseau ; ce qui est faux.
Un firewall se compose d'un ou plusieurs éléments bien spécifiques créant une interface entre deux réseaux. Son but est de restreindre l’accès entre un réseau protégé et un réseau externe (en général l'Internet ).
Figure 4 6 Notion de périmètre de sécurité
Il est également possible d'utiliser des firewalls internes pour protéger des parties d'un réseau d’autres parties. Il existe un certain nombre de raisons à cela :
• existence de sous-réseaux moins sûres que d'autres appartenant au même site, par exemple des réseaux de démonstration ou de formation accessibles à des personnes
• existence de parties du réseau nécessitant un plus grand niveau de sécurité comme des projets de développement secrets, ou des réseaux où transitent des données financières, ou encore des informations concernant les salariés d'une entreprise.
Le firewall est un dispositif permettant de contrôler et de rejeter le trafic au niveau applicatif (cf. schéma ci-dessous). Il peut également fonctionner au niveau des couches réseau et transport en examinant les en-têtes IP et TCP des paquets entrants et/ou sortants. L'acceptation et le rejet de paquets s'effectuent selon des règles de filtrage prédéfinis
APPLICATION


FIREWALL



PRESENTATION SESSION


ROUTEURFILTRE TRANSPORT RESEAU LIAISON PHYSIQUE
Fig. 4 7 Le filtrage de paquet et le modèle OSI
Le firewall ne protège pas contre des menaces internes. Il peut protéger de la plupart des attaques venant de l’Internet mais il ne fera rien si le danger vient de l'intérieur
Le firewall doit être le seul point d’entrée du réseau. Il ne sert à rien de construire un firewall coûteux et puissant si l'on connecte des modems au réseau le court-circuitant. En effet, le firewall protège seulement le trafic passant par lui. Il n’existe malheureusement aucune terminologie totalement cohérente pour les techniques et architectures des firewalls. Dans la suite de cet exposé, nous nous attacherons à décrire des architectures firewalls visant à protéger des risques et menaces de l'Internet.
Les différentes techniques firewalls
Il existe trois grandes techniques firewalls:
• le filtrage de paquet
• les services mandataires
• le SMLI (State Multi-Layer Inspection)
Un firewall combine différentes techniques et différents composants. Aussi, il n'est pas impossible que des solutions firewalls utilisent, en plus des techniques firewalls, des techniques de sécurité de base comme vu précédemment (contrôle d'intégrité, translation d'adresses, authentification, chiffrement, audit, journalisation, etc.).
Le filtrage de paquet
Le filtrage de paquet constitue un mécanisme puissant de contrôle du type de trafic qui circule sur un réseau donné. Il extrait, à partir des données qui transitent, diverses informations comme le type de services, les adresses source et destination du message et bien d’autres encore ; ce qui permet de restreindre les accès aux services susceptibles de compromettre la sécurité du réseau.
Le filtrage de paquet peut être une fonction logicielle d'un firewall ou un composant matériel d'un firewall dans une architecture firewall : il s'agit alors d'un routeur filtre.
Un routeur ordinaire se contente de regarder l’adresse de destination de chaque paquet et décide de la meilleure façon d’envoyer ce paquet vers cette destination. Cette décision est uniquement fondée sur sa destination. Il y a deux possibilités : le routeur sait comment faire atteindre sa destination au paquet et l’envoie ; ou bien il ne le sait pas, et le renvoie via un message ICMP redirect (de type «destination inaccessible») vers la source.
Le routeur filtre de paquets route les paquets entre un réseau interne et externe de manière sélective ; c’est à dire qu’il laisse passer les paquets suivant la politique de sécurité établie. Une raison essentielle de son succès est la transparence avec laquelle il opère. La plupart des filtres peuvent être implémentés sans aucun désagrément pour l'utilisateur final pour qui le routeur filtre est totalement transparent.
L'algorithme générique mis en œuvre par le filtre de paquet se décompose comme suit :
1. Les critères de filtrage doivent être définis, ils sont appelés les règles de filtrage de paquets.
2. Lorsqu’un paquet arrive sur un port du routeur filtre ses en-têtes IP, TCP ou UDP sont analysés.
3. Les règles de filtrage de paquets sont appliquées dans un ordre précis.
4. Si une règle bloque la transmission ou la réception d’un paquet, il est bloqué. Si une règle permet la transmission du paquet, le paquet passe. Si un paquet ne suit aucune règle, il est bloqué.
L’organigramme suivant résume le fonctionnement du filtrage de paquets:
Fig. 4 8 Algorithme du filtrage de paquet
Où placer le filtre de paquets ?
Le routeur peut examiner les paquets entrants ou sortants sur n’importe laquelle des interfaces. Par conséquent, le filtrage de paquet peut se faire au niveau des paquets entrants, des paquets sortants ou des deux.De nombreux constructeurs de routeurs mettent en œuvre le filtrage de paquets sur les paquets sortants pour des raisons d’efficacité. Pour les paquets sortants, les règles de filtrage peuvent s’appliquer lorsque le routeur consulte ses tables pour déterminer la destination du paquet. Si le paquet n’est pas routable ou s'il n’y a pas de correspondance avec les règles de filtrage, le paquet est rejeté et un message ICMP destination unreachable est retourné à l'expéditeur.

Etude d'un routeur filtre du constructeur CISCO
Sur les routeurs CISCO, il y a des listes d'accès (access control list) définies comme un recueil séquentiel de conditions d'autorisation et d'interdiction qui s'appliquent aux adresses de l'Internet. Ces conditions de listes d'accès permettent de mettre en œuvre les règles de filtrage de paquets.
Il existe deux types de listes d'accès :
• les listes d'accès standard• les listes d'accès étendu
Les listes d'accès standard ont une adresse unique pour les mises en correspondance. Les listes d'accès étendu ont deux adresses comportant des informations de protocole optionnelles pour les mises en correspondance.
La liste d'accès standard
La syntaxe des listes d'accès standard est la suivante :
access-list list {permitdeny} address wilcard-maskno-access -list list
Le mot clé est un nombre entier de 0 à 99 utilisé pour identifier une ou plusieurs conditions d'autorisation ou d'interdiction. Les mots clés et correspondent respectivement à l'interdiction et à l'autorisation d'accès à une ou plusieurs ressources. L'adresse IP source du paquet est mise en comparaison avec la valeur spécifiée dans la commande . Avec le mot clé , une correspondance entraîne l'acceptation du paquet. Avec , une correspondance débouche sur le rejet du paquet.
Pour le , les bits d'adresse à 1 sont ignorés lors de la comparaison et les bits d'adresse à 0 sont utilisés. Prenons l'exemple ci-dessous:
access-list 1 permit 199.245.180.0 0.0.0.255access-list 1 permit 132.23.0.0 0.0.255.255
Si le n'est pas spécifié, sa valeur par défaut est 0.0.0.O.
La liste d'accès étendu
Les listes d'accès étendu permettent de filtrer les paquets selon les adresses IP source et destination et selon des informations relatives au protocole.
La syntaxe des listes d'accès étendu est la suivante :
acces-list list {permitdeny} protocol source source-mask destinationdestination-mask [operator operand]
Le mot clé est un nombre entier de 100 à 199 utilisé pour identifier une ou plusieurs conditions étendues d'autorisation ou d'interdiction. Les nombres de 100 à 199 sont réservés aux listes d'accès étendu et ne peuvent pas être confondus avec les nombres utilisés pour les listes d'accès standard (1 à 99).
Les mots clés et s'utilisent comme pour les listes d'accès standard. correspond aux protocoles IP, TCP, UDP et ICMP.
Les paramètres et sont utilisés pour mettre en correspondance l'adresse IP source, sachant que s'utilise comme le des listes d'accès standard. Les valeurs et s'utilisent comme et pour l'adresse IP destination.
et servent à comparer des numéros de port, des points d'accès aux services ou des noms de contact. Pour les valeurs clé des protocoles TCP et UDP, peut prendre n'importe laquelle des valeurs suivantes :
(moins que) (égal à) (plus grand que) (différent de)
est soit un mot clé, soit la valeur décimale du port destination pour le protocole spécifié. Il peut prendre une série de valeurs.

Quelques exemples
Exemple n°1 :
Soit une politique de réseau exigeant l'interdiction de toute connexion SMTP entrante de l'hôte 132.124.23.55 vers le réseau 199.245.180.0. La liste d'accès étendu suivante permet de mettre en œuvre cette politique:
no acess-list 101acess-list any anyaccess-list 101 deny tcp 132.124.23.55 0.0.0.0access-list 101 deny t cp 199.245.180.0 0.0.0.255 eq 25
La première commande supprime toutes les listes d'accès étendu dont le numéro est antérieur à 101. La deuxième accepte tout paquet en provenance de n'importe quel hôte. En l'absence de cette commande, l'action par défaut serait l'interdiction de tous les paquets. La troisième commande interdit les paquets TCP en provenance de l’hôte 132.124.23.55 vers le réseau 199.245.180.0.
Exemple n°2 :
On reprend l’exemple n°1, en prenant 133.34.0.0 pour le réseau interne.
no access-list 101access-list 101 permit tcp 0.0.0.0 255.255.255.255133.34.0.0 0.0.255.255 gt 1023access-list 101 permit tcp 0.0.0.0 255.255.255.255133.34.12.3 0.0.0.0 eq 25access-list 101 permit icmp 0.0.0.0 255.255.255.255133.34.0.0 255.255.255.255interface ethernet 0 outip access-group 101
La première commande supprime toutes les listes d'accès étendu dont le numéro est antérieur à 101. La seconde accepte n’importe quelle connexion TCP entrante vers les ports dont le numéro est supérieur à 1023. La troisième commande autorise les connexions TCP entrantes vers le port SMTP de l’hôte 133.34.12.3.La dernière commande autorise les messages ICMP entrants pour le retour d’erreurs; à noter que la commande de la liste d’accès étendu doit être utilisée avec la commande d’interface . Celle-ci peut prendre un numéro de liste d’accès étendu (100 à 199) comme argument. La commande est utilisée pour appliquer les définitions de la liste d’accès à l’interface. Sa syntaxe est la suivante:ip access-group list où est un numéro de 100 à 199 qui spécifie la liste d’accès à appliquer à l’interface.
Exemple n°3 :
Dans cet exemple, le réseau à protéger est connecté à l’Internet. La politique de sécurité du réseau exige que tout hôte du réseau interne puisse établir des connexions TCP avec n’importe quel hôte situé sur l’Internet. Cependant il ne faut pas que les hôtes de l’Internet puissent établir des connexions TCP avec des hôtes du réseau interne à l’exception du port SMTP dédié qui se trouve sur un hôte chargé du courrier électronique (181.12.34.12). Pour le protocole TCP, le mot clé peut être utilisé pour indiquer une connexion établie.
access-list 102 permit tcp 0.0.0.0 255.255.255.255181.12.0.0 0.0.255.255 establishedaccess-list 102 permit tcp 0.0.0.0 255.255.255.255181.12.34.12 0.0.0.0 eq 25interface ethernet 0ip access-group 102

Les limitations du filtrage de paquet
La plupart des services applicatifs utilisent comme protocole TCP qui est un protocole orienté connexion. Il utilise des circuits virtuels aux extrémités desquels chaque parti maintient des informations d'état comme les numéros de séquence et d'accusé de réception pour déterminer les données en attente. Ces informations d’état spécifient un contexte dans lequel le paquet suivant doit se présenter. Ces informations contextuelles sont très utiles pour le filtrage de paquet comme :
- le drapeau TCP ACK pour associer un paquet en tant que partie d’une session TCP existante
- le drapeau ACK pour faire la distinction entre un paquet entrant ou un paquet en retour
- le drapeau SYN pour indiquer si le paquet fait partie d’une requête de connexion ouverte
- etc.
D'autres types de services sont également très utilisés, notamment les services UDP. Les sessions UDP sont en mode non connecté. UDP n’utilise pas de circuit virtuel et ne retient donc aucune information d’état. Il n’y a pas de numéro de séquence ni d’accusé de réception permettant de déterminer le paquet suivant. Par conséquent, pour réaliser le filtrage des communications UDP, il faut se contenter de filtrer sur la base des numéros des ports.
Exemple:
Soit un hôte 190.245.180.9 qui veut appeler un agent SNMP sur une machine externe à l'adresse 157.23.13.44. La politique de sécurité du réseau le permet. Les agents SNMP utilisent le numéro de port UDP bien connu 161. La règle de filtrage 1 permet les appels sortants SNMP et la règle de filtrage 2 permet les réponses entrantes SNMP. Le schéma suivant résume cette politique de sécurité :

Un paquet SNMP comporte les éléments suivants :
Adresse IP source = 190.245.180.9Port source = 1500Adresse IP destination = 157.23.13.44Port de destination = 161
La réponse à ce paquet est la suivante :
Adresse IP source = 157.23.13.44Port source = 161Adresse IP destination = 190.245.180.9Port de destination = 1500
Que se passerait-il si la réponse était la suivante ?
Adresse IP source = 157.23.13.44Port source = 161Adresse IP destination = 190.245.180.9Port de destination = 1352
Le port source étant le 161 avec la règle de filtrage n°2, l’accès est autorisé.Si quelqu’un avait truqué un paquet UDP en forçant la valeur du port source avec 161 ? Il pourrait alors l’utiliser pour s’attaquer au port 1352.
Du fait de la difficulté de filtrage du trafic UDP, il faut envisager de bloquer complètement les services UDP inutilisés. Par contre, un nombre limité de services indispensables comme le DNS devront rester activés.

D'autre part, comme le parcours des règles est séquentiel, l'ordre des règles est très important. Ainsi, si l'accès au service TELNET souhaite être autorisé à tous les utilisateurs externes au réseau protégé sauf pour l'hôte 128.18.30.2, les access-list peuvent être définies comme suit :
access-list 1 permit tcp all inside port 23access-list 1 deny tcp 128.18.30.2 inside port 23
Quel résultat obtient-on si la deuxième règle s'exécute avant la première ?
access-list 1 deny tcp 128.18.30.2 inside port 23access-list 1 permit tcp all inside port 23
La première règle interdit l'hôte externe 128.18.30.2 l'accès au service TELNET du réseau protéger tandis que la seconde autorise l'utilisation de ce même service à tous les hôtes externes au réseau protéger. Par conséquent, l'hôte 128.18.30.2 est également autorisé d'accès. La première ligne est donc inutile et la politique de sécurité n'est pas respectée.

Le filtrage présente d'autres limitations notamment en matière d'authentification. L'essentiel de cet inconvénient est dû au fait que le filtrage des accès n'opère qu'au niveau des couches 3 et 4 du modèle OSI et non au niveau des couches supérieures.
Les services mandataires (ou agents proxies d'applications)
Les services mandataires ou agents proxies sont des applications ou des programmes serveurs spécialisés programmés pour comprendre le trafic au niveau de la couche application.
Ces services mandataires fournissent des connexions de remplacement et agissent comme des passerelles vers les vrais services. C’est pour cette raison que les services mandataires ou proxies sont parfois appelés passerelles de niveau applicatif.
Au lieu de communiquer directement avec les services Internet, l’utilisateur du réseau interne passe par un intermédiaire qui gère toutes les communications; ce qui permet de masquer le réseau interne pour qu’il ne soit pas visible du monde extérieur et de contrôler l’accès au niveau de l’application.
La transparence constitue l'un des avantages majeurs des services mandataires. Un serveur de mandatement présente l’illusion que l’utilisateur communique directement avec le vrai serveur.
Les mandataires adoptent une approche Store And Forward (garde et fait suivre). Ils agissent en tant que proxy (mandataire en Français) qui accepte ou rejette les appels entrants et les vérifie par rapport à une liste d’accès (Access Control List) comportant les types de requêtes autorisées.
Dans ce cas, le proxy est un serveur proxy d’application. A la réception de l’appel et après avoir vérifié que celui-ci est autorisé, le proxy transmet la requête au serveur demandé. Par conséquent, il agit à la fois comme serveur pour réceptionner la requête entrante et comme client lorsqu’il envoie la requête comme le montre la figure ci-dessous :


Fig. 4 9 Agent proxy client/serveur d’application

Le proxy contrôle toutes les communications interceptées entre le client et le serveur Une fois que la session est établie, le proxy d’application agit en tant que relais et copie les données entre le client qui a lancé l’application et le serveur. Les proxies d'applications (ou services mandataires) qui tournent sur des passerelles sont appelées passerelles d’application.
Connexion au serveur mandataire
Pour se connecter au serveur mandataire, il y a deux façons :
• Faire fonctionner une application cliente spécifique et personnalisée sur les machines internes. Cette application client sait comment contacter le serveur mandataire au lieu du serveur réel quand un utilisateur lance une requête et comment dire au serveur mandataire à quel serveur réel se connecter.
• Se connecter directement sur la passerelle où se trouve le serveur mandataire et poursuivre comme précédemment.
Il existe trois types de service mandataire :
• le service mandataire spécifique à une application
• le service mandataire générique
• le service mandataire circuit

Le service mandataire spécifique à une application
Comme son nom l’indique, il s'agit d'un service qui fournit un service mandataire pour une seule application spécifique, par exemple FTP.
Ce service mandataire ou agent proxy connaît l’application précise pour laquelle il est mandataire et interprète les commandes du protocole d’application.
Même si ce service mandataire est limité à une application, il permet de prendre certaines décisions relatives à cette application. Par exemple, pour un service FTP, il peut limiter les émissions de fichiers en n'autorisant que l’importation de fichiers.
Il permet aussi, puisqu’il comprend le protocole utilisé, d’enregistrer des traces d’une manière particulièrement efficace. Par exemple, au lieu de tracer toutes les données transférées, un serveur FTP mandaté ne trace que les commandes lancées et les réponses reçues du serveur et non pas tous les messages intermédiaires de contrôle. Les résultats forment une trace beaucoup plus concise et utile.
Le serveur mandataire spécifique d’une application est la forme la plus commune des serveurs mandataires opérationnels aujourd’hui.

Le service mandataire générique
Bien que le service mandataire spécifique d’une application soit facilement disponible pour les services comme FTP et TELNET, des versions pour des services moins fréquemment utilisés sont plus difficiles à trouver. C’est le cas des services tels que NetNews ou encore ARCHIE qui possèdent une configuration particulière où de nombreux clients demandent de se connecter à un unique serveur distant.
Le service mandataire générique ou agent proxy générique n’est rien de plus qu’un relais de paquets qui accepte des connexions entrantes, consulte une base de règles sur les connexions permises, et effectue ou non alors la connexion vers la destination réelle.
L’exemple suivant décrit le mode de fonctionnement d’un service mandataire générique qui se connecte à un serveur ARCHIE distant. Tout le trafic venant sur le port 782 d'entrée de la passerelle est automatiquement orienté vers le serveur ARCHIE. Dans le cas où les utilisateurs voudraient se connecter sur un autre serveur ARCHIE, ils ne pourraient le faire. Il faudrait un autre service mandataire configuré sur un autre port pour établir la connexion. Ceci induit une certaine limitation dans l'utilisation des services mandataires génériques. Alors qu'ils sont utiles lorsque plusieurs utilisateurs se connectent sur un serveur distant, ils ne fonctionnent pas bien dans le cas ou un utilisateur se connecte à plusieurs serveurs et plusieurs utilisateurs se connectent à plusieurs serveurs.

Fig. 4 10 Service mandataire générique

Le service mandataire de circuit
Le service mandataire de circuit crée un circuit virtuel de bout en bout entre le client et la destination finale. Contrairement au service mandataire générique, celui-ci permet à de multiples utilisateurs de se connecter à de multiples serveurs. Il fournit un degré de transparence presque complet, à la fois aux utilisateurs et au serveur, mais il ne sait pas interpréter le protocole d'application.
La machine où tourne le service mandataire de circuit est une passerelle circuit. Ce type de service mandataire impose d'installer des logiciels clients spécifiques sur chaque machine du réseau interne. Dans la plupart des sociétés moyennes ou grandes, c'est une exigence inacceptable.
Les passerelles de circuit relaient les connexions TCP. L'appelant se connecte au port TCP sur la passerelle qui est reliée à une destination de l'autre coté de la passerelle. Pendant l'appel, le ou les programme de relais de la passerelle copient les octets d'un coté et de l'autre : la passerelle agit comme un fil répéteur.
La technologie SMLI (Stateful Multi-Layer Inspection)
SMLI constitue la nouvelle évolution en matière de produits firewalls. Il s’agit en fait d’une technologie de filtrage de paquets offrant une grande quantité de fonctionnalité sans la plupart des problèmes associés aux filtres de paquets standards. Ainsi, grâce à une interface homme-machine graphique (GUI) et conviviale, la configuration des listes d’accès (ACL) ou règles de filtrage est grandement facilité.
De plus, à la différence des routeurs filtres qui n’enregistrent que le fait qu’un paquet ait été accepté ou rejeté, SMLI permet de mettre en œuvre différents niveaux d’enregistrement du trafic. Les critères de filtrage peuvent s’effectuer sur tous les niveaux du modèle OSI - à l’instar des technologies à base d’agents proxies d’applications - allant d’un simple décompte des paquets à une remontée d’information vers un responsable réseau et informatique, suite à un certain type d’événement.
Outre la difficulté de paramétrage, les filtres de paquets standards présentent des limitations en matière de filtrage de flux FTP et UDP. Pour les flux FTP, SMLI est capable de distinguer et d’associer les connexions d’information et de contrôle FTP. Pour les flux UDP, SMLI stocke dans une base de données la liste des paquets UDP échangés lors d’une session de communication. SMLI analyse les paquets entrants pour vérifier s’il correspond à un paquet sortant donc à une réponse (notion d’authentification). Si ce n’est pas le cas, les règles de filtrages de paquets standards sont appliquées.
Avantages et inconvénients des techniques firewalls
Avantages Inconvénients
Filtres de paquets
Complètement transparent
Disponible sur le matériel existant
Faible coût Difficulté de gestion de certains trafics (UDP, FTP)
Difficile à configurer
Journalisation limitée quand elle existe
Pas d’authentification de l’utilisateur
Difficile de masquer la structure du réseau interne
Agents proxies applicatifs Masque complètement la structure du réseau interne
Haut niveau de contrôle d’accès des utilisateurs Gênant pour les utilisateurs, nécessite une modification du comportement de l’utilisateur
Nécessite de nombreux serveurs mandataires
Serveurs pas toujours disponibles
Coût
Agents proxies de circuit Transparent pour les utilisateurs
Flexible Nécessite une modification des clients
Clients pas toujours disponibles
Niveau de contrôle d’accès limité des utilisateurs (pas au-delà de la couche 4 du modèle OSI)
Difficultés pour réaliser des enregistrements
SMLI Facile à configurer
Résout quelques problèmes de filtres de paquets
Complètement transparent
Facilité d’évolution Difficile de masquer la structure du réseau interne
Fig. 4 11 Les techniques firewalls Les architectures Firewalls
Architecture d'hôte à double réseau
Une architecture d’hôte à double réseau est construite autour d’un ordinateur à double réseau. Cet ordinateur est un ordinateur classique équipé au moins de deux cartes d’interfaces réseau.
Ce type de machine peut jouer le rôle de routeur entre les réseaux auxquels sont rattachées les interfaces, c’est à dire qu’il est capable d’acheminer les paquets IP. Il faut pourtant désactiver cette fonction de routage pour avoir une architecture d’hôte à double réseau.
Ainsi, l’hôte à double réseau bloque complètement tout trafic IP entre le réseau interne et le réseau externe. L’architecture réseau d’un hôte à double réseau est simple : la machine est située entre l’Internet et le réseau interne comme le montre la figure ci-dessous.

Fig. 4 12 Architecture à double réseau
Les accès aux services sont généralement fournis par des agents proxies situés sur l’hôte à double réseau. Parfois, les hôtes à double réseau n’utilisent pas de services mandataires. Pour accéder à l’Internet à partir du réseau interne ou inversement de l’Internet vers le réseau interne, les utilisateurs doivent effectuer deux connexions successives. Il faut tout d’abord se connecter sur un compte utilisateur de l’hôte à double réseau pour pouvoir établir une autre connexion avec le servie désiré. Cette méthode d’accès a un gros inconvénient : elle impose la création de comptes utilisateurs supplémentaires sur le bastion.
L’hôte à double réseau constitue, à lui tout seul, un firewall. Un utilisateur externe peut avoir accès à une application A sur l’hôte à double réseau. De la même manière, un utilisateur interne peut accéder à une autre application B s’exécutant sur l’hôte à double réseau. Il est même possible que les deux utilisateurs interne et externe puissent échanger des informations en partage de données sans qu’il y ait de trafic réseau entre les réseaux.
Pour désactiver les fonctions de routage sous Unix, il faut reconfigurer et reconstruire le noyau du système (kernel). Dans la reconfiguration, il faut désactiver l’option IP FORWARDING en mettant l’option à -1, ce qui signifie « ne jamais transmettre de datagrammes IP ».
L’hôte à double réseau constitue, à lui tout seul, un firewall. S'il y a des données d’application qui doivent traverser le firewall, des agents d’émission ou services mandataires de l’application peuvent être paramétrés pour fonctionner sur l’hôte à double réseau. Ces agents proxies sont des logiciels spécifiques qui permettent de transférer des requêtes d’application entre deux réseaux connectés. L’autre solution consiste à autoriser les utilisateurs à ouvrir une session sur l’hôte à double réseau, puis à accéder aux services externes depuis l’interface externe du réseau de l’hôte à double réseau.
L’architecture d’hôte à double réseau présente une certaine inflexibilité qui réside dans le fait que tous les services sont bloqués par défaut à l’exception de ceux qui possède un agent proxy configuré pour autoriser l’accès au service associé. Cependant, il est possible de placer un routeur entre l’hôte à double réseau et l’Internet créant ainsi un sous-réseau entre l’hôte et le routeur pour la connexion de systèmes fournissant des services complémentaires.
Si un utilisateur est autorisé à ouvrir une session directement sur le firewall, la sécurité de celui-ci peut être mise en danger. Cela est dû au fait que cet ordinateur représente un point central d’accès entre le réseau interne et le réseau externe. Pour accroître la sécurité au niveau de l’hôte à double réseau, des dispositifs d’authentification forte doivent être utilisés.

Architecture d'hôte à écran
Un hôte bastion est un élément très important dans une architecture firewall. C’est un ordinateur qui doit être très sécurisé car il est exposé à l’Internet et représente le principal point d’accès pour les utilisateurs du réseau. L’hôte à double réseau que nous avons vu précédemment est un exemple de bastion.
L’architecture d’hôte à écran est plus flexible que l’architecture d’hôte à double réseau. Cependant, cette flexibilité ne s’obtient pas sans perte de sécurité.
L’architecture d’hôte à écran se compose d’un bastion et d’un routeur filtre. Le bastion ne laisse passer que les services qui possèdent un agent proxy associé. Le routeur filtre empêche les paquets dangereux d’atteindre le bastion et les machines du réseau interne. Il rejette ou accepte le trafic applicatif selon les règles suivantes :
1. le trafic venant de l’Internet vers le bastion est routé
2. tout le trafic restant venant de l’Internet est rejeté
3. le routeur filtre rejette tout le trafic originaire du réseau interne sauf s’il vient du bastion
Contrairement à l’architecture d’hôte à double réseau, l’architecture d’hôte à écran n’a besoin que d’une seule interface réseau et ne crée pas de sous-réseau séparés entre le bastion et le routeur. Ceci permet à l’architecture firewall d’être plus flexible mais peut-être moins sûr puisqu’il autorise le routeur à accepter les connexions aux services appartenant au domaine de confiance, en court-circuitant la passerelle d’application. Ces services appartenant au domaine de confiance peuvent correspondre aux services qui ne possèdent pas de service mandataire associé et qui présentent un niveau de risque acceptable suite à la phase d’analyse des risques au cours de l’élaboration de la politique de sécurité. L’architecture d’hôte à écran impose la configuration de deux systèmes au lieu d’un, par rapport à l’architecture d’hôte à double réseau. De plus, la configuration d’un routeur filtre présente un degré de complexité non négligeable.

Fig. 4 13 Architecture d’hôte à écran
Architecture de réseau périphérique
L’architecture de réseau périphérique ou DMZ (Demilitarized Zone) utilise – comparativement à l’architecture d’hôte à écran – un second routeur filtre. La zone qui se situe entre les deux routeurs s’appelle la zone démilitarisée (DMZ) ou le réseau périphérique car il s’agit, en fait, d’un réseau appartenant à la périphérie du réseau interne. De plus, le routeur filtre externe et le bastion représente la première ligne de défense après laquelle la probabilité d’intrusion est relativement faible. La seconde ligne de défense correspond au routeur filtre interne qui sert de sauvegarde au bastion pour protéger le réseau interne des machines appartenant à la DMZ dans le cas où un agresseur serait parvenu à corrompre l’une d’entre elles.

Fig. 4 14 Architecture de réseau périphérique (DMZ) Avantages et inconvénients des architectures Firewalls
Avantages Inconvénients
Architecture d’hôte à double réseau
Mode fiable
Masque complètement la structure du réseau interne Inconvénient pour les utilisa-teurs
Demande un changement dans le comportement des utilisa-teurs
Nécessite de nombreux ser-veurs mandataires ou agents proxies
Serveurs mandataires pas tou-jours disponibles
Architecture d’hôte à écran
Transparent aux utilisateurs finaux
Flexible
Masque complètement la structure du réseau interne
Fournit des services à l’ex-térieur sans compromettre l’intérieur Toutes les fonctions de sécurité sont fournies par la passerelle qui est un point critique
Architecture de réseau périphérique (DMZ)
Très sûre
Masque complètement la structure du réseau interne
Redondance faite par cons-truction Nécessite une modification des clients
Clients pas toujours disponi-bles
Niveau de contrôle d’accès limité des utilisateurs (pas au-delà de la couche 4 du modèle OSI)
Difficultés pour réaliser des enregistrements
Fig. 4 15 Le filtrage de paquet et le modèle OSI

vendredi 16 novembre 2007

L'offre commerciale Firewalls

Google


Le marché des firewalls
Vue d'ensemble et perspectives

A l'instar des autres technologies issues de l'industrie des télécommunications, le marché des firewalls a non seulement connu un développement rapide mais a en plus battu tous les records en matière de croissance. C'est au cours de l'année 1995 que ce nouveau marché s'est réellement matérialisé. Bien sûr, avant cette année-là, les technologies firewalls existaient déjà mais l'essor rapide du réseau des réseaux, l’Internet, et l'adoption de plus en plus massive des technologies et des architectures Intranet, ont entraîné une croissance exponentielle de ce marché. En effet très rapidement, la technologie Internet a montré ses limites en matière de sécurité. Il faut se rappeler qu'elle avait été initialement créée dans un but de partage des ressources et des données à travers un nombre relativement limité de réseaux interconnectés. Aujourd'hui, on évalue - de façon très approximative - à plus de 100 millions, le nombre de stations connectées au réseau des réseaux



(Source: International Data Corporation, 1996)

Fig. 5-1 Ventes de firewalls dans le monde (1995-2000)
Dès 1995, le marché a commencé à se segmenter:

· 40% du marché des firewalls étaient représentés par des entreprises d'envergure insignifiante en matière de part de marché (moins de 50 produits vendus en 1995, soit 0,5% des parts du marché selon l'IDC). Seule une poignée de sociétés se partageaient et se partagent encore l'essentiel des parts du marché des firewalls.

· les offres se diversifiaient déjà allant des solutions purement logicielles - en passant par les solutions de "boîtes noires" (solutions plus ou moins plug-and-play) - aux solutions complètes (logiciels et équipements) proposant un ensemble d'options de services sur mesure (étude, installation logicielle et matérielle, formation du personnel, etc.)


(Source: International Data Corporation, 1996)

Fig. 5-2 Parts de marché par fournisseurs en 1995


En 1997, le schéma est toujours le même:

· Une poignée d'entreprise se partagent les plus grandes parts du marché.

· Quelques alliances ont eu lieu, comme celle de Border Network Technologies et de Secure Computing, alliant leurs savoir-faire respectifs pour proposer une gamme de produits plus complète mais surtout pour résister à la concurrence qui règne dans le pool de tête.

· De nouveaux protagonistes comme DEC (Digital Equipment Corporation) sont apparus proposant des produits très compétitifs menaçant peut-être l'hégémonie du leader du marché: CheckPoint Technologies Inc.


Entre temps cependant, le prix des solutions firewalls a commencé à baisser. D'après l'IDC, cette tendance continuera car les utilisateurs exigeront de plus en plus de flexibilité et surtout des solutions exclusivement logicielles s'exécutant sur des plates-formes bon marché (comme les plates-formes Windows NT). En 1995, le prix moyen d'une solution firewall était d'environ de 16000$. L'IDC prévoit une baisse des prix atteignant jusqu'à 650$ en l'an 2000. Cette chute des prix devrait, malgré tout, être compensée par la demande du marché provoquant une croissance des revenus de 160 millions de dollars en 1995 à 980 millions de dollars en l'an 2000. Le tableau suivant regroupe les prévisions de l'IDC pour le marché des firewalls en termes d'évolution du nombre d'unités vendues, des prix moyens, et des revenus.


Fig. 5-3 Le marché mondial des firewalls (1995-2000)

Les acteurs du marché

Comme pour la plupart des marchés liés à l’Internet (c'est le cas, par exemple, des serveurs Web), le marché des firewalls s'étend des produits de distribution libre du domaine public (freeware) et téléchargeables à partir de l’Internet (ex : le kit de Trusted Information System) aux solutions industrielles et commerciales très complètes. Pour les entreprises de firewalls, la clé du succès est la distribution de ces dernières via des réseaux de distribution fortement développés; le plus important étant de combiner la puissance des constructeurs (tels que Sun MicroSystem et Hewlett Packard) et le savoir-faire des revendeurs à valeur ajoutée (les VAR: Authorized Value-Added Resellers) et des intégrateurs de réseaux (cf. ANNEXES).

Si on remonte dans le temps, il faut noter que la vocation première de la plupart des entreprises de firewalls, surtout celles qui existaient déjà avant le grand boom d'Internet, est la recherche et le développement (R&D). En effet, pour développer les produits que nous apportent ces firmes aujourd'hui sur le marché, il a fallu qu'elles consacrent énormément de temps et d'énergie en R&D. A noter aussi qu'à l'époque (ceci peut encore partiellement s'appliquer à la situation actuelle), l'essentiel de la clientèle était constitué d'agences gouvernementales et militaires plus ou moins dédiées si bien que lorsque le marché a explosé, ces entreprises ont dû s'adapter et apprendre ou réapprendre la mercatique pour se différencier des concurrents et pour séduire les nouveaux clients potentiels toujours plus nombreux et venant de tous les secteurs d'activité.

Trois générations de technologies firewalls
Les filtres de paquets

Les firewalls de première génération se contentent d'examiner le numéro de port TCP et/ou les adresses (source et destination) contenus dans l'en-tête des paquets IP qui transitent entre le réseau interne (le réseau protégé) et le réseau externe, le plus souvent l'Internet. Comme nous l'avons déjà décrit au chapitre 4, bien qu'ils soient très couramment intégrés dans la plupart des routeurs et qu'ils soient transparents pour les utilisateurs, les filtres de paquets (ou routeurs filtres) sont relativement faciles à contourner pour quelqu'un qui connaît bien la structure d'un paquet IP et qui utilise des outils tels que des renifleurs (IP Sniffers) et des truqueurs IP (IP Spoofers). Les filtres de paquets sont incapables de signaler ce type d'attaque.

Les passerelles d'applications et de circuits

Les firewalls de deuxième génération s'assimilent à des stations de travail placées entre le réseau local et le réseau externe. Ces stations de travail constituent des passerelles qui assurent la sécurité du réseau interne par l'examen des données qui y entrent et qui en sortent. Cet examen s'effectue au niveau de couches hautes du modèle OSI contrairement aux filtres de paquets qui travaillent, eux, au niveau des couches basses. Ces passerelles permettent aux utilisateurs de communiquer de manière plus sûre à l'aide d'agents proxies.

Les passerelles circuit (circuit gateways)

Les passerelles circuit travaillent essentiellement au niveau de la couche transport du protocole TCP/IP qui correspond à la couche 4 du modèle OSI. La connexion réseau de TCP/IP est utilisée pour les agents proxies. Lorsqu'un dialogue doit s'effectuer entre le réseau externe (l'Internet) et le réseau interne, la connexion qui s'établit entre le routeur du réseau protégé et l'Internet, est gérée par un agent proxy ou service mandataire. Les adresses réelles du réseau protégé peuvent être cachées puisque l'adresse de l'agent proxy constitue l'adresse source de toutes les données envoyées vers l'extérieur. Les agents proxies assurent aussi les fonctions des filtres de paquets.

Les passerelles d'applications (application gateways)

Les passerelles d'application examinent les communications qui s'établissent entre les applications IP en analysant, au niveau des couches hautes du modèle OSI, les données qui sont transmises. Ainsi, elles rendent bien plus difficile la tâche des pirates qui veulent s'introduire dans le réseau protégé à l'aide de la technique du trucage IP par exemple. Elles permettent aussi la mise en œuvre de procédés tels que:

· l'authentification

· le paramétrage des autorisations d'accès à certains services en fonction de critères bien définis (type d'utilisateurs, horaires, …)

· le chiffrement (pour les réseaux virtuels privés (VPN) par exemple)

· l'audit et la journalisation des événements qui ont lieu sur le réseau
Bien qu'elles offrent un haut niveau de sécurité, les passerelles d'applications présentent certains inconvénients comme une baisse des performances, comparativement aux filtres de paquets, due au fait que les données doivent subir deux traitements successifs au lieu d'un. Il faut d'abord se connecter à la passerelle puis effectuer une seconde connexion, via l'agent proxy, au service désiré.

De plus, comme nous l'avons déjà évoqué au chapitre 4, les passerelles d'applications possèdent un agent proxy spécifique pour chaque service IP (HTTP, FTP, DNS, TELNET, SMTP, NNTP, SOCKS, RealAudio, etc.); ce qui, par défaut, limite le nombre de services disponibles.

En somme, les agents proxies - composants essentiels des passerelles circuits et d'applications - sont capables de manipuler les données qui transitent via le firewall. Le but est d'extraire le maximum d'informations en reconnaissant les paquets valides des non valides pour autoriser ou non leur transmission de part et d'autre des réseaux interne et externe.

La technologie Stateful Multi-Layer Inspection (SMLI)

SMLI constitue la nouvelle évolution en matière de produits firewalls. Les générations précédentes de firewalls avaient déjà pour but d'examiner le maximum de paquets afin de réduire toute chance de vol de données par des individus mal intentionnés. Comme pour les passerelles d'application, toutes les couches du modèle OSI sont examinées de la couche physique à la couche application.

Les objectifs de SMLI sont les suivants:

· Libérer l'administrateur réseau des contraintes imposées par l'utilisation d'agents proxies

· Analyser les sessions ou communications en cours de part et d'autre du firewall et manipuler les données qui transitent via le firewall en vue d'en extraire le maximum d'informations

· augmenter de façon optimale la sécurité apportée par les firewalls sans entraîner de baisse de performance grâce, entre autres, à l'utilisation d'algorithmes d'observation du trafic optimisés pour l'inspection de flots de données à haut débit

· fournir des fonctions avancées pouvant s'appliquer de façon externe et/ou interne à travers différents protocoles comme l'examen des paquets en transit et leur comparaison avec des modèles répertoriés de séquence de bits (bit patterns, signatures, etc.)

· faciliter l'administration des firewalls afin de diminuer les surcoûts qu'elle engendre mais aussi pour diminuer les risques d'erreurs de configuration susceptibles d'ouvrir des brèches (back-doors) sur le périmètre de sécurité

Le résultat est un firewall qui opère de manière transparente pour l'utilisateur légitime. Les communications s'établissent aussi rapidement que s'il n'y avait pas de firewall. Comme il n'y a plus d'agent proxy, toutes les applications Internet fonctionnent de façon native sans modifications supplémentaires ; ce qui facilite les tâches de création ou de mise à jour des services IP.
Moyens mis en œuvre pour assurer la sécurité

Pour effectuer la description d'un système informatique de sécurité de réseaux, plusieurs aspects conceptuels doivent être pris en considération. Un dispositif de sécurité tel qu'un firewall doit non seulement protéger les éléments du ou des réseaux auxquels il est connecté mais doit aussi être capable d'assurer sa propre protection. D'une manière générale, les procédés mis en œuvre pour effectuer ses deux tâches se basent sur des concepts communs.


Un bastion et un système d'exploitation sécurisés

SIMPLICITE vaut mieux que COMPLEXITE

En matière de sécurité informatique, la simplicité vaut mieux que la complexité. Ceci s'applique aussi bien aux méthodes et mécanismes utilisés pour mettre en œuvre la sécurité qu'à la façon dont un firewall est administré et utilisé. Une politique de sécurité de réseau doit nécessairement opter pour un des deux paradigmes de sécurité des réseaux suivants :

· « Ce qui n'est pas expressément interdit est autorisé » : avec ce paradigme, le firewall bloque tous les services qui sont connus comme étant à risque. Par défaut donc, la plupart des services disponibles, mis à part quelques-uns, sont actifs. Lorsqu'un problème est découvert, soit l'administrateur tente de le résoudre, soit il désactive le service

· « Ce qui n'est pas expressément autorisé est interdit » : avec ce paradigme, le firewall bloque tout. Tous les services sont éteints. L'administrateur active de façon sélective les services utiles dans la mesure où ils sont considérés comme étant sûrs. La mise en route d'un nouveau service requiert alors un examen de la part de l'administrateur avant d'être autorisée. C'est ce paradigme qui assure le plus grand degré de sécurité et qui est le plus utilisé.

La simplicité est aussi un élément important en matière de logiciels. Dans leur ouvrage Firewalls and Internet Security: Repelling the Wily Hacker, Cheswick et Bellovin nous rappellent que les logiciels contiennent des bogues et qu'il est impossible de prouver l'absence de bogues dans un logiciel. Par contre, plus le source d'un logiciel est petit, plus le degré d'assurance qu'il soit dépourvu de bogues, est élevé.


Limiter le nombre de services actifs sur le bastion

Le système d'exploitation qui supporte le firewall ne doit présenter aucune faille vis-à-vis de la sécurité. C'est pour cette raison que la plupart des solutions firewalls sont installées sur des stations de travail munies :

· soit d'un système d'exploitation modifié (hardened OS)

· soit d'un système d'exploitation propriétaire (CISCO PIX Firewall, CYBERGUARD Firewall, ON Guard Firewall, RADGUARD Pyro Wall)


Quelque soit le cas, le principe reste le même : minimiser les risques en modifiant le code de certains composants du système d'exploitation et en n'installant que ceux qui sont nécessaires au bon fonctionnement du firewall en toute sécurité. Le plus souvent, le système d'exploitation subit les modifications ou optimisations suivantes:

· Afin d'éviter des attaques portées sur des programmes serveurs non sûrs qui constamment acceptent des connexions sur les ports TCP et UDP, un nombre minimum de services réseaux doit s'exécuter sur le bastion.

· Des fonctions visant à empêcher les attaques telles que l'IP Spoofing qui a été décrit au chapitre 2, sont désactivées comme la fonction Source Routed Packet, par exemple. Ainsi, si une station hôte n'appartenant pas au périmètre de sécurité essaie d'envoyer des paquets en spécifiant le chemin exact à parcourir pour arriver à destination, le firewall refuse les paquets.

· La fonction IP Forwarding est désactivée ; ce qui empêche tout trafic direct entre l'Internet et le réseau protégé. Par exemple, si un pirate, par quelque moyen que ce soit, finit par apprendre l'adresse IP d'une station ou de tout autre équipement actif appartenant au périmètre de sécurité situé derrière le firewall et tente d'envoyer une requête telle qu'un ping, le firewall empêche le passage de la requête sur le réseau protégé.

· La fonction ICMP redirect est également désactiver afin de ne pas avertir un utilisateur externe que sa requête à échouer.

· D'autres modules du noyau comme celui qui permet à un serveur X-Window d'accepter des connexions provenant d'un hôte distant, sont enlevés.

· Aucune connexion à distance (remote logging) ne doit être autorisée à moins d'utiliser des procédés de cryptage.

· Tous les services et composants systèmes et réseaux tels que posix, netbeui, LAN Manager Server sous Windows NT et les services 'r' sous UNIX tels que rsh doivent être désactivés ou carrément supprimer du bastion.

· Sous UNIX, le super démon inetd doit être installé avec la configuration minimale, tous les services inutiles doivent être enlevés.

· Les services de procédure d'appel à distance RPC (Remote Procedure Call service) tels NFS (Network File System) ou NIS (Network Information Services), sont désactivés. Ils sont, de par leur vocation de partage de ressources, non sûrs.

· Sous Windows NT, le système de fichier doit être converti en NTFS et la base de registres configurée d'une manière sûre.

· Le firewall doit fonctionner sur une station de travail dédiée dépourvue de compte utilisateur à l'exception de celui réservé à son administration (plus il y a de comptes utilisateurs, plus le risque d'intrusion est important).

· Un module tel qu'un anti-virus peut être installé pour vérifier, de façon régulière, l'intégrité des fichiers stockés sur le firewall.

· Des outils complémentaires peuvent être utilisés pour observer et enregistrer le trafic mais aussi pour émettre des alertes en cas d'attaques.


En somme, seul les modules utiles du système d'exploitation doivent s'exécuter sur le firewall. Chacun d'eux doit avoir une tâche précise et limité afin de réduire de façon substantielle les risques de bogues. En général, les systèmes d'exploitation d'origine propriétaire sont très sûrs pour les deux raisons suivantes:

· Ils sont pour la plupart inconnus des pirates comparativement à UNIX dont on a déjà répertorié de nombreuses listes de « trucs et astuces » en vue d'exploiter ses failles inhérentes. Des organisations telles que le CERT (Computer Emergency Response Team) publient régulièrement des vulnérabilités et d’éventuelles parades associées.

· Ils ont bénéficié lors de leur développement d'une attention toute particulière en ce qui concerne la sécurité. Il ne faut pas oublier qu'à l'origine, un système d'exploitation comme UNIX a été créé par des programmeurs pour des programmeurs dans le but de pouvoir exploiter et partager des ressources appartenant à un ou plusieurs réseaux et qu'à ce moment-là, le niveau de sécurité du système d'exploitation n'était pas le problème majeur à résoudre. Quant à Windows NT, même si la nouvelle tendance est de développer des solutions firewalls pour ce système d'exploitation, son architecture plus complexe que simple, offre un éventail de failles potentielles en matière de sécurité. Elles ne manqueront pas d'être découvertes au fil du temps ; comme il en a été pour UNIX.


Sécuriser l'accès au bastion

Le bastion hôte doit être une station de travail dédiée dépourvue de compte utilisateur à l'exception de celui réservé à son administration car plus il y a de comptes utilisateurs, plus le risque d'intrusion est important.

La sécurisation de l'accès au bastion doit passer par l'utilisation de procédés plus ou moins sophistiqués d'authentification allant du mot de passe à usage unique (one-time password) aux dispositifs électroniques tels que les calculettes génératrices de mots de passe (SecurID, CryptoCard, etc…).

De plus, pour accroître davantage le niveau de sécurité d'accès au bastion et de manière générale le réseau interne, le chiffrement doit être utilisé pour crypter les paquets de données qui transitent à l'intérieur du périmètre de sécurité.

Certaines solutions firewalls disposent d'une fonctionnalité qui peut s'avérer intéressante au premier abord qui peut cependant se révéler à double tranchant : l'administration à distance (remote management). Comme nous l'avons déjà évoqué précédemment, la possibilité de se connecter au bastion depuis un hôte distant représente un risque à ne surtout pas négliger pour des raisons évidentes. En effet, si un pirate parvient, par quelque moyen que ce soit, à accéder à une station hôte du réseau protégé, il peut utiliser cette fonctionnalité pour tenter de prendre le contrôle du firewall en se faisant passer pour un hôte de confiance. La prise de contrôle sera, bien entendu, rendu beaucoup moins aisée, si ce n'est impossible, pour le pirate éventuel :

· si le bastion n'est accessible qu'à la suite d'une ou plusieurs procédures d'authentification

· si un chiffrement des paquets qui transitent sur le réseau protégé, est effectué (notion de réseaux virtuels privés ou virtual private networks)


Configuration et administration via une interface utilisateur graphique conviviale

L'administration d'un firewall se doit d'être la plus simple et la plus conviviale qui soit afin de réduire les risques liés aux erreurs humaines. Si un firewall est mal configuré, il peut devenir très vulnérable. C'est pour cette raison que les interfaces graphiques des firewalls tendent à devenir de plus en plus ergonomiques. Les premiers firewalls ne disposaient que d'interfaces utilisateurs en mode texte nécessitant souvent:

· l'écriture de fichiers scripts contenant des lignes de commandes de systèmes d'exploitation comme UNIX ou d'autres langages propriétaires

· la modification de fichiers systèmes de configuration tels que les listes d’accès (ACL)

De tels firewalls existent encore. Pour certains administrateurs de réseaux, l'utilisation d'une interface orientée caractères comme celle du firewall d'IBM (Secured Network Gateway for AIX) peut s'avérer plus rapide et plus facile d'utilisation que certaines interfaces graphiques d'autres solutions firewalls.

Cependant, la plupart des nouvelles interfaces utilisateurs sont graphiques (GUI), soient:

· sous forme de fenêtres et de menus déroulants proposant, par exemple, des paramétrages prédéfinis (Windows NT, Motif / X-Window / UNIX, Novell Netware, OS/2, RS/6000, SUN/OS, HP-UX ou tout autre système d'exploitation)

· soit au format HTML (HyperText Markup Language)

Toutes les tâches liées à la configuration s'effectuent à partir de l'interface utilisateur graphique (GUI) via des formulaires contenant menus déroulants et champs de saisie. L'aide en ligne fournie sur certaines des solutions notamment celle de DIGITAL (Alta Vista Firewall) permet d'apprendre très rapidement à exploiter pleinement le potentiel du firewall utilisé. L'interface graphique intègre, en plus, des procédures de vérification d'erreurs de saisie et des tests de cohérence des paramètres de configuration.

Certains firewalls combinent à la fois interface graphique et interface texte. C'est le cas par exemple de l'offre de CHECKPOINT (Firewall-1 ou Solstice) qui propose la génération ou l'édition de fichiers scripts en langage propriétaire (Inspect) pour personnaliser et affiner les règles de sécurité.


En somme, l'utilisation d'interface utilisateur graphique (GUI) permet de simplifier et de faciliter la configuration et l'administration du firewall en diminuant au maximum les risques d'erreurs humaines (utilisation de paramétrage prédéfini éprouvé). Pour affiner davantage les paramètres de configuration, certaines solutions firewalls permettent l'édition de fichiers de configuration ou de fichiers scripts.


Mise en œuvre de la politique de sécurité

Un firewall ne doit en aucun cas dicter une politique de sécurité. Au contraire, il doit permettre et faciliter sa mise en œuvre. Comme il l'a été exposé dans les premiers chapitres de ce dossier, l'option d'achat d'une solution firewall s'inscrit dans un processus d'élaboration puis de mise en pratique d'une politique de sécurité.

La gestion des autorisations d'accès

Sur les firewalls les plus conviviaux, la gestion des autorisations d'accès s'effectue à l'aide de l'interface utilisateur graphique (GUI) sur simple clic de souris sur des icônes (DEC Alta Vista Firewall, CHECKPOINT Firewall-1, CYBERGUARD Firewall, …). En général, des politiques de sécurité prédéfinies peuvent être proposées afin d'empêcher les administrateurs peu expérimentés d'élaborer des politiques peu sûres et susceptibles de compromettre le firewall. Bien sûr, le firewall offre toujours la possibilité de créer de façon personnalisée ses propres règles de sécurité.
Sur les firewalls un peu plus austères, notamment les filtres de paquets, la mise en œuvre de la politique de sécurité impose l'édition de fichiers de listes de contrôle d'accès écrits en langages propriétaires de contrôle d'accès (Custom Access Control Language).
En fait, tous les firewalls utilisent ce type de langage pour interdire ou autoriser les accès aux services IP. Les filtres de paquets n'agissant qu'au niveau des couches basses du modèle OSI, les critères de filtrage d'accès sont les suivants:

· Adresses IP source et destination

· Numéro de port


Pour les passerelles circuits et les passerelles d’applicationss qui travaillent au niveau des couches supérieurs du modèle OSI mais aussi pour les firewalls utilisant la technologie SMLI (Stateful Multi-Layer Inspection), les filtres opérés peuvent être plus élaborés et plus granulaires:

· Adresses IP source et destination

· Interfaces réseaux source et destination

· Numéro de port de service (Telnet, FTP, SMTP, HTTP, Gopher, etc.)

· Date, heure

· Durée d'utilisation

· Stations hôtes par noms, sous-réseaux ou domaines



D'une manière générale, l'accès à une ressource ou un service peut être soit "interdit" (deny), soit "autorisé" (permit). S'il est autorisé, il peut nécessiter l'utilisation d'un service mandataire (proxy) et/ou une procédure d'authentification (authenticate).

Les services fournis via des services mandataires : les agents proxies

Les firewalls basés sur l'utilisation d'agents proxies sont capables de fournir un certain nombre de services IP. En général, ces services mandataires sont comparables à des programmes client/serveur. Ils sont, en fait, des versions améliorées des outils réseaux classiques qui effectuent la mise en œuvre de la plupart des services Internet (Telnet, FTP, HTTP, SMTP, NNTP, etc.). De plus, dans la plupart des cas, afin d'augmenter le niveau de sécurité, ces programmes client/serveur que représentent les agents proxies s'exécutent dans un environnement restreint sans privilège (non-privileged state chrooted) à partir d'un répertoire isolé.


L'authentification et la notion de transparence

L'accès à un service IP via à un agent proxy peut s'effectuer selon les deux modes suivants :

· le mode transparent
· le mode non transparent


Dans le mode transparent, lorsqu'ils veulent se connecter à une station hôte située de l'autre côté du firewall, les utilisateurs ont l'impression d'effectuer une connexion directe à l'hôte comme si le firewall n'existait pas. En réalité, l'utilisateur se connecte à la passerelle d’application via l'agent proxy spécifique. A son tour, l'agent proxy établit une connexion à la station hôte destination. Même si la passerelle application applique les règles définies par la politique de sécurité, l'utilisateur n'a pas à se soucier de l'existence du firewall. En général, le mode transparent est un mode qui peut s'appliquer uniquement aux utilisateurs du réseau interne. En effet, même s'il ne faut pas négliger les attaques susceptibles de venir du réseau interne, le firewall est surtout là pour se protéger des menaces externes.


Dans le mode non transparent, lorsqu'ils veulent se connecter à une station hôte située de l'autre côté du firewall, les utilisateurs doivent s'authentifier de façon explicite. Plusieurs techniques d'authentification peuvent être utilisées allant du mot de passe à usage unique (one-time password) aux dispositifs électroniques tels que les calculettes génératrices de mots de passe.


Quel que soit le mode utilisé, le firewall autorise ou non les accès selon les règles définies par la politique de sécurité.

La technologie SMLI (Stateful Multi-Layer Inspection)

L'architecture novatrice appelée Stateful Multi-Layer Inspection Technology constitue la troisième génération en matière de technologie des firewalls. Elle est issue des laboratoires de Check Point Software Technologies.

Dans la solution firewall de CHECKPOINT (Firewall-1 ou Solstice), par exemple, un module d'inspection intercepte et analyse les données au niveau de toutes les couches de la communication. L'état (state) et le contexte (context) sont stockés et mis à jour dynamiquement. Ces paramètres permettent d'établir une base de données d'informations sur les états successifs des communications en cours (connexion, dialogue, déconnexion). Ainsi, il est possible de tracer des protocoles non fiables (en mode non connecté) tels que RPC et UDP.

Le firewall applique les règles définies par la politique de sécurité en appliquant le même type de règles de filtrage de paquets utilisés par les routeurs filtres et les agents proxies des passerelles circuit et d’applications en considérant en plus les données de la base d'informations sur les communications en cours.

Les firewalls qui utilisent la technologie SMLI (ASCEND Secure Access Firewall, CHECKPOINT (Firewall-1 ou Solstice), ON GUARD Firewall, …), sont en fait des passerelles applications hybrides dans la mesure où elles offrent à la fois toutes les fonctionnalités des filtres de paquets et des passerelles utilisant les agents proxies et plus encore…
Audit et journalisation des événements

Pour détecter et réagir aux incidents ou aux attaques éventuelles, le firewall doit être capable d'effectuer un audit et une journalisation des événements clés qui surviennent au niveau des ressources de calcul et d'informations de l'entreprise. La politique de sécurité doit prévoir un processus de planification et de réactions aux incidents de sécurité.

La plupart des firewalls sont munis d'outils de détection. Le tableau suivant présente les différents types d'outils de détection.



Fig. 5‑4 Les outils de détection d'intrusion
En règle générale, les firewalls sont capables de détecter, en plus de la plupart des attaques classiques (IP sniffing, IP spoofing, le refus de services, …), les indices typiques d'attaques potentielles suivants:

· Des types suspects d'utilisation (heure anormale d'utilisation, profil d'utilisateur et comportements suspects)
Exemple de comportement suspect: un pirate tente de s'introduire depuis l'Internet sur un réseau d'entreprise en dehors des heures de travail, se connecte sur un compte utilisateur ou accède au système par FTP, navigue dans l'arborescence du système de fichiers pour atteindre les niveaux supérieurs, liste les fichiers de chaque répertoire.
Autre exemple: un pirate casse le compte d'un utilisateur novice, utilise des commandes avancées qu'un utilisateur novice n'est pas censé connaître.

· L'utilisation de compte par défaut, inconnu ou inactif auparavant
Les comptes par défaut tels que guest sous MS Windows, field, system, test sous MVS ou encore daemon, lpd, sync, bin sous UNIX, possèdent souvent des mots de passe par défaut voire, des fois, aucun. Ils sont fréquemment visés par les pirates. Ces derniers peuvent également créer des comptes ou en activer pour s'introduire.

· Des altérations effectuées sur des fichiers
Pour parvenir à leurs fins, les agresseurs changent souvent les fichiers systèmes importants. Pour effacer les traces de leur passage, ils peuvent aussi altérer les fichiers d'audit et de journalisation.

· La découverte d'outils logiciels pour l'effraction électronique de système
Beaucoup d'outils logiciels pour l'attaque de système laisse des traces particulières. Par exemple, «Kuang» qui permet sous UNIX de passer root, laisse des fichiers de type .X et .XX

· Les connexions venant d'adresses Internet suspectes
Des connexions depuis des sites connus de pirates Internet, par exemple, peuvent indiquer une tentative d'intrusion.

Il est également possible de tester l’efficacité de ces outils en utilisant des outils de sécurité de réseau - tels que « Pingware » de Bellcore, « Netprobe » d’Infostructure, « Internet Security Scanner » d’ISS et même l’infâme « SATAN » - qui essaient d’identifier et d’exploiter les trous de sécurité d’une architecture réseau.

Exploitation des informations recueillies et génération d'alarmes

Tous les services fournis par le firewall doivent offrir la possibilité d'être journalisés. La forme des rapports est primordiale pour faciliter l'exploitation du fond par l'administrateur du réseau. Aussi, les solutions firewalls permettent-ils de plus en plus la personnalisation des rapports via l'interface graphique utilisateur (GUI) afin d'extraire très rapidement l'essentiel de l'information auditée et journalisée.


Les informations suivantes peuvent être auditées et journalisées:

· Le détail des connexions et des tentatives de connexion à des services du firewall

· Le détail des sessions incluant:

- la date, l'heure, la durée

- l'hôte source et l'hôte destination

- le nom de l'utilisateur quand il peut être déterminé

- la quantité de données transférées dans les deux directions

· Les données liées à l'intégrité et au fonctionnement du firewall lui-même:

- les connexions et les tentatives de connexion

- les modifications non autorisées des fichiers systèmes

- les insuffisances d'espace disque

· etc.…


Le firewall peut proposer les fonctionnalités suivantes:

· Un système de chiffrement, de compression, de sauvegarde et/ou d'effacement des rapports d'audits et des journaux. En effet, ceux-ci peuvent très rapidement occuper des espaces disques très volumineux du fait de la grande quantité de données à journaliser. Ainsi, le firewall DEC Alta Vista Firewall permet d'archiver les journaux systèmes à minuit de chaque jour, le premier de chaque mois et/ou tous les ans.

· Lorsqu'un incident est détecter, une alarme doit être générée et rapportée à l'administrateur ou une liste prédéfinie d'utilisateurs. Ce rapport peut être envoyé de façon régulière dans le temps et/ou lorsqu'il y a effectivement eu un incident en temps réel. Il peut prendre les formes suivantes:

- un message au niveau de l'interface graphique (GUI) du firewall

- un e-mail

- un message envoyé sur un boîtier messager électronique ou pager

· A la suite d'une attaque, le firewall peut aussi:

- augmenter son niveau de sécurité en restreignant davantage l'accessibilité des différents services

- inscrire l'hôte distant qui a provoqué l'incident sur une liste noire

- désactiver le service voire le firewall tout entier


L'utilisation de toutes ces fonctionnalités dépend essentiellement du plan de réactions aux incidents de sécurité défini au cours de l'élaboration de la politique de sécurité.