L'offre commerciale Firewalls
Le marché des firewalls
Vue d'ensemble et perspectives
A l'instar des autres technologies issues de l'industrie des télécommunications, le marché des firewalls a non seulement connu un développement rapide mais a en plus battu tous les records en matière de croissance. C'est au cours de l'année 1995 que ce nouveau marché s'est réellement matérialisé. Bien sûr, avant cette année-là, les technologies firewalls existaient déjà mais l'essor rapide du réseau des réseaux, l’Internet, et l'adoption de plus en plus massive des technologies et des architectures Intranet, ont entraîné une croissance exponentielle de ce marché. En effet très rapidement, la technologie Internet a montré ses limites en matière de sécurité. Il faut se rappeler qu'elle avait été initialement créée dans un but de partage des ressources et des données à travers un nombre relativement limité de réseaux interconnectés. Aujourd'hui, on évalue - de façon très approximative - à plus de 100 millions, le nombre de stations connectées au réseau des réseaux
(Source: International Data Corporation, 1996)
Fig. 5-1 Ventes de firewalls dans le monde (1995-2000)
Dès 1995, le marché a commencé à se segmenter:
· 40% du marché des firewalls étaient représentés par des entreprises d'envergure insignifiante en matière de part de marché (moins de 50 produits vendus en 1995, soit 0,5% des parts du marché selon l'IDC). Seule une poignée de sociétés se partageaient et se partagent encore l'essentiel des parts du marché des firewalls.
· les offres se diversifiaient déjà allant des solutions purement logicielles - en passant par les solutions de "boîtes noires" (solutions plus ou moins plug-and-play) - aux solutions complètes (logiciels et équipements) proposant un ensemble d'options de services sur mesure (étude, installation logicielle et matérielle, formation du personnel, etc.)
(Source: International Data Corporation, 1996)
Fig. 5-2 Parts de marché par fournisseurs en 1995
En 1997, le schéma est toujours le même:
· Une poignée d'entreprise se partagent les plus grandes parts du marché.
· Quelques alliances ont eu lieu, comme celle de Border Network Technologies et de Secure Computing, alliant leurs savoir-faire respectifs pour proposer une gamme de produits plus complète mais surtout pour résister à la concurrence qui règne dans le pool de tête.
· De nouveaux protagonistes comme DEC (Digital Equipment Corporation) sont apparus proposant des produits très compétitifs menaçant peut-être l'hégémonie du leader du marché: CheckPoint Technologies Inc.
Entre temps cependant, le prix des solutions firewalls a commencé à baisser. D'après l'IDC, cette tendance continuera car les utilisateurs exigeront de plus en plus de flexibilité et surtout des solutions exclusivement logicielles s'exécutant sur des plates-formes bon marché (comme les plates-formes Windows NT). En 1995, le prix moyen d'une solution firewall était d'environ de 16000$. L'IDC prévoit une baisse des prix atteignant jusqu'à 650$ en l'an 2000. Cette chute des prix devrait, malgré tout, être compensée par la demande du marché provoquant une croissance des revenus de 160 millions de dollars en 1995 à 980 millions de dollars en l'an 2000. Le tableau suivant regroupe les prévisions de l'IDC pour le marché des firewalls en termes d'évolution du nombre d'unités vendues, des prix moyens, et des revenus.
Fig. 5-3 Le marché mondial des firewalls (1995-2000)
Les acteurs du marché
Comme pour la plupart des marchés liés à l’Internet (c'est le cas, par exemple, des serveurs Web), le marché des firewalls s'étend des produits de distribution libre du domaine public (freeware) et téléchargeables à partir de l’Internet (ex : le kit de Trusted Information System) aux solutions industrielles et commerciales très complètes. Pour les entreprises de firewalls, la clé du succès est la distribution de ces dernières via des réseaux de distribution fortement développés; le plus important étant de combiner la puissance des constructeurs (tels que Sun MicroSystem et Hewlett Packard) et le savoir-faire des revendeurs à valeur ajoutée (les VAR: Authorized Value-Added Resellers) et des intégrateurs de réseaux (cf. ANNEXES).
Si on remonte dans le temps, il faut noter que la vocation première de la plupart des entreprises de firewalls, surtout celles qui existaient déjà avant le grand boom d'Internet, est la recherche et le développement (R&D). En effet, pour développer les produits que nous apportent ces firmes aujourd'hui sur le marché, il a fallu qu'elles consacrent énormément de temps et d'énergie en R&D. A noter aussi qu'à l'époque (ceci peut encore partiellement s'appliquer à la situation actuelle), l'essentiel de la clientèle était constitué d'agences gouvernementales et militaires plus ou moins dédiées si bien que lorsque le marché a explosé, ces entreprises ont dû s'adapter et apprendre ou réapprendre la mercatique pour se différencier des concurrents et pour séduire les nouveaux clients potentiels toujours plus nombreux et venant de tous les secteurs d'activité.
Trois générations de technologies firewalls
Les filtres de paquets
Les firewalls de première génération se contentent d'examiner le numéro de port TCP et/ou les adresses (source et destination) contenus dans l'en-tête des paquets IP qui transitent entre le réseau interne (le réseau protégé) et le réseau externe, le plus souvent l'Internet. Comme nous l'avons déjà décrit au chapitre 4, bien qu'ils soient très couramment intégrés dans la plupart des routeurs et qu'ils soient transparents pour les utilisateurs, les filtres de paquets (ou routeurs filtres) sont relativement faciles à contourner pour quelqu'un qui connaît bien la structure d'un paquet IP et qui utilise des outils tels que des renifleurs (IP Sniffers) et des truqueurs IP (IP Spoofers). Les filtres de paquets sont incapables de signaler ce type d'attaque.
Les passerelles d'applications et de circuits
Les firewalls de deuxième génération s'assimilent à des stations de travail placées entre le réseau local et le réseau externe. Ces stations de travail constituent des passerelles qui assurent la sécurité du réseau interne par l'examen des données qui y entrent et qui en sortent. Cet examen s'effectue au niveau de couches hautes du modèle OSI contrairement aux filtres de paquets qui travaillent, eux, au niveau des couches basses. Ces passerelles permettent aux utilisateurs de communiquer de manière plus sûre à l'aide d'agents proxies.
Les passerelles circuit (circuit gateways)
Les passerelles circuit travaillent essentiellement au niveau de la couche transport du protocole TCP/IP qui correspond à la couche 4 du modèle OSI. La connexion réseau de TCP/IP est utilisée pour les agents proxies. Lorsqu'un dialogue doit s'effectuer entre le réseau externe (l'Internet) et le réseau interne, la connexion qui s'établit entre le routeur du réseau protégé et l'Internet, est gérée par un agent proxy ou service mandataire. Les adresses réelles du réseau protégé peuvent être cachées puisque l'adresse de l'agent proxy constitue l'adresse source de toutes les données envoyées vers l'extérieur. Les agents proxies assurent aussi les fonctions des filtres de paquets.
Les passerelles d'applications (application gateways)
Les passerelles d'application examinent les communications qui s'établissent entre les applications IP en analysant, au niveau des couches hautes du modèle OSI, les données qui sont transmises. Ainsi, elles rendent bien plus difficile la tâche des pirates qui veulent s'introduire dans le réseau protégé à l'aide de la technique du trucage IP par exemple. Elles permettent aussi la mise en œuvre de procédés tels que:
· l'authentification
· le paramétrage des autorisations d'accès à certains services en fonction de critères bien définis (type d'utilisateurs, horaires, …)
· le chiffrement (pour les réseaux virtuels privés (VPN) par exemple)
· l'audit et la journalisation des événements qui ont lieu sur le réseau
Bien qu'elles offrent un haut niveau de sécurité, les passerelles d'applications présentent certains inconvénients comme une baisse des performances, comparativement aux filtres de paquets, due au fait que les données doivent subir deux traitements successifs au lieu d'un. Il faut d'abord se connecter à la passerelle puis effectuer une seconde connexion, via l'agent proxy, au service désiré.
De plus, comme nous l'avons déjà évoqué au chapitre 4, les passerelles d'applications possèdent un agent proxy spécifique pour chaque service IP (HTTP, FTP, DNS, TELNET, SMTP, NNTP, SOCKS, RealAudio, etc.); ce qui, par défaut, limite le nombre de services disponibles.
En somme, les agents proxies - composants essentiels des passerelles circuits et d'applications - sont capables de manipuler les données qui transitent via le firewall. Le but est d'extraire le maximum d'informations en reconnaissant les paquets valides des non valides pour autoriser ou non leur transmission de part et d'autre des réseaux interne et externe.
La technologie Stateful Multi-Layer Inspection (SMLI)
SMLI constitue la nouvelle évolution en matière de produits firewalls. Les générations précédentes de firewalls avaient déjà pour but d'examiner le maximum de paquets afin de réduire toute chance de vol de données par des individus mal intentionnés. Comme pour les passerelles d'application, toutes les couches du modèle OSI sont examinées de la couche physique à la couche application.
Les objectifs de SMLI sont les suivants:
· Libérer l'administrateur réseau des contraintes imposées par l'utilisation d'agents proxies
· Analyser les sessions ou communications en cours de part et d'autre du firewall et manipuler les données qui transitent via le firewall en vue d'en extraire le maximum d'informations
· augmenter de façon optimale la sécurité apportée par les firewalls sans entraîner de baisse de performance grâce, entre autres, à l'utilisation d'algorithmes d'observation du trafic optimisés pour l'inspection de flots de données à haut débit
· fournir des fonctions avancées pouvant s'appliquer de façon externe et/ou interne à travers différents protocoles comme l'examen des paquets en transit et leur comparaison avec des modèles répertoriés de séquence de bits (bit patterns, signatures, etc.)
· faciliter l'administration des firewalls afin de diminuer les surcoûts qu'elle engendre mais aussi pour diminuer les risques d'erreurs de configuration susceptibles d'ouvrir des brèches (back-doors) sur le périmètre de sécurité
Le résultat est un firewall qui opère de manière transparente pour l'utilisateur légitime. Les communications s'établissent aussi rapidement que s'il n'y avait pas de firewall. Comme il n'y a plus d'agent proxy, toutes les applications Internet fonctionnent de façon native sans modifications supplémentaires ; ce qui facilite les tâches de création ou de mise à jour des services IP.
Moyens mis en œuvre pour assurer la sécurité
Pour effectuer la description d'un système informatique de sécurité de réseaux, plusieurs aspects conceptuels doivent être pris en considération. Un dispositif de sécurité tel qu'un firewall doit non seulement protéger les éléments du ou des réseaux auxquels il est connecté mais doit aussi être capable d'assurer sa propre protection. D'une manière générale, les procédés mis en œuvre pour effectuer ses deux tâches se basent sur des concepts communs.
Un bastion et un système d'exploitation sécurisés
SIMPLICITE vaut mieux que COMPLEXITE
En matière de sécurité informatique, la simplicité vaut mieux que la complexité. Ceci s'applique aussi bien aux méthodes et mécanismes utilisés pour mettre en œuvre la sécurité qu'à la façon dont un firewall est administré et utilisé. Une politique de sécurité de réseau doit nécessairement opter pour un des deux paradigmes de sécurité des réseaux suivants :
· « Ce qui n'est pas expressément interdit est autorisé » : avec ce paradigme, le firewall bloque tous les services qui sont connus comme étant à risque. Par défaut donc, la plupart des services disponibles, mis à part quelques-uns, sont actifs. Lorsqu'un problème est découvert, soit l'administrateur tente de le résoudre, soit il désactive le service
· « Ce qui n'est pas expressément autorisé est interdit » : avec ce paradigme, le firewall bloque tout. Tous les services sont éteints. L'administrateur active de façon sélective les services utiles dans la mesure où ils sont considérés comme étant sûrs. La mise en route d'un nouveau service requiert alors un examen de la part de l'administrateur avant d'être autorisée. C'est ce paradigme qui assure le plus grand degré de sécurité et qui est le plus utilisé.
La simplicité est aussi un élément important en matière de logiciels. Dans leur ouvrage Firewalls and Internet Security: Repelling the Wily Hacker, Cheswick et Bellovin nous rappellent que les logiciels contiennent des bogues et qu'il est impossible de prouver l'absence de bogues dans un logiciel. Par contre, plus le source d'un logiciel est petit, plus le degré d'assurance qu'il soit dépourvu de bogues, est élevé.
Limiter le nombre de services actifs sur le bastion
Le système d'exploitation qui supporte le firewall ne doit présenter aucune faille vis-à-vis de la sécurité. C'est pour cette raison que la plupart des solutions firewalls sont installées sur des stations de travail munies :
· soit d'un système d'exploitation modifié (hardened OS)
· soit d'un système d'exploitation propriétaire (CISCO PIX Firewall, CYBERGUARD Firewall, ON Guard Firewall, RADGUARD Pyro Wall)
Quelque soit le cas, le principe reste le même : minimiser les risques en modifiant le code de certains composants du système d'exploitation et en n'installant que ceux qui sont nécessaires au bon fonctionnement du firewall en toute sécurité. Le plus souvent, le système d'exploitation subit les modifications ou optimisations suivantes:
· Afin d'éviter des attaques portées sur des programmes serveurs non sûrs qui constamment acceptent des connexions sur les ports TCP et UDP, un nombre minimum de services réseaux doit s'exécuter sur le bastion.
· Des fonctions visant à empêcher les attaques telles que l'IP Spoofing qui a été décrit au chapitre 2, sont désactivées comme la fonction Source Routed Packet, par exemple. Ainsi, si une station hôte n'appartenant pas au périmètre de sécurité essaie d'envoyer des paquets en spécifiant le chemin exact à parcourir pour arriver à destination, le firewall refuse les paquets.
· La fonction IP Forwarding est désactivée ; ce qui empêche tout trafic direct entre l'Internet et le réseau protégé. Par exemple, si un pirate, par quelque moyen que ce soit, finit par apprendre l'adresse IP d'une station ou de tout autre équipement actif appartenant au périmètre de sécurité situé derrière le firewall et tente d'envoyer une requête telle qu'un ping, le firewall empêche le passage de la requête sur le réseau protégé.
· La fonction ICMP redirect est également désactiver afin de ne pas avertir un utilisateur externe que sa requête à échouer.
· D'autres modules du noyau comme celui qui permet à un serveur X-Window d'accepter des connexions provenant d'un hôte distant, sont enlevés.
· Aucune connexion à distance (remote logging) ne doit être autorisée à moins d'utiliser des procédés de cryptage.
· Tous les services et composants systèmes et réseaux tels que posix, netbeui, LAN Manager Server sous Windows NT et les services 'r' sous UNIX tels que rsh doivent être désactivés ou carrément supprimer du bastion.
· Sous UNIX, le super démon inetd doit être installé avec la configuration minimale, tous les services inutiles doivent être enlevés.
· Les services de procédure d'appel à distance RPC (Remote Procedure Call service) tels NFS (Network File System) ou NIS (Network Information Services), sont désactivés. Ils sont, de par leur vocation de partage de ressources, non sûrs.
· Sous Windows NT, le système de fichier doit être converti en NTFS et la base de registres configurée d'une manière sûre.
· Le firewall doit fonctionner sur une station de travail dédiée dépourvue de compte utilisateur à l'exception de celui réservé à son administration (plus il y a de comptes utilisateurs, plus le risque d'intrusion est important).
· Un module tel qu'un anti-virus peut être installé pour vérifier, de façon régulière, l'intégrité des fichiers stockés sur le firewall.
· Des outils complémentaires peuvent être utilisés pour observer et enregistrer le trafic mais aussi pour émettre des alertes en cas d'attaques.
En somme, seul les modules utiles du système d'exploitation doivent s'exécuter sur le firewall. Chacun d'eux doit avoir une tâche précise et limité afin de réduire de façon substantielle les risques de bogues. En général, les systèmes d'exploitation d'origine propriétaire sont très sûrs pour les deux raisons suivantes:
· Ils sont pour la plupart inconnus des pirates comparativement à UNIX dont on a déjà répertorié de nombreuses listes de « trucs et astuces » en vue d'exploiter ses failles inhérentes. Des organisations telles que le CERT (Computer Emergency Response Team) publient régulièrement des vulnérabilités et d’éventuelles parades associées.
· Ils ont bénéficié lors de leur développement d'une attention toute particulière en ce qui concerne la sécurité. Il ne faut pas oublier qu'à l'origine, un système d'exploitation comme UNIX a été créé par des programmeurs pour des programmeurs dans le but de pouvoir exploiter et partager des ressources appartenant à un ou plusieurs réseaux et qu'à ce moment-là, le niveau de sécurité du système d'exploitation n'était pas le problème majeur à résoudre. Quant à Windows NT, même si la nouvelle tendance est de développer des solutions firewalls pour ce système d'exploitation, son architecture plus complexe que simple, offre un éventail de failles potentielles en matière de sécurité. Elles ne manqueront pas d'être découvertes au fil du temps ; comme il en a été pour UNIX.
Sécuriser l'accès au bastion
Le bastion hôte doit être une station de travail dédiée dépourvue de compte utilisateur à l'exception de celui réservé à son administration car plus il y a de comptes utilisateurs, plus le risque d'intrusion est important.
La sécurisation de l'accès au bastion doit passer par l'utilisation de procédés plus ou moins sophistiqués d'authentification allant du mot de passe à usage unique (one-time password) aux dispositifs électroniques tels que les calculettes génératrices de mots de passe (SecurID, CryptoCard, etc…).
De plus, pour accroître davantage le niveau de sécurité d'accès au bastion et de manière générale le réseau interne, le chiffrement doit être utilisé pour crypter les paquets de données qui transitent à l'intérieur du périmètre de sécurité.
Certaines solutions firewalls disposent d'une fonctionnalité qui peut s'avérer intéressante au premier abord qui peut cependant se révéler à double tranchant : l'administration à distance (remote management). Comme nous l'avons déjà évoqué précédemment, la possibilité de se connecter au bastion depuis un hôte distant représente un risque à ne surtout pas négliger pour des raisons évidentes. En effet, si un pirate parvient, par quelque moyen que ce soit, à accéder à une station hôte du réseau protégé, il peut utiliser cette fonctionnalité pour tenter de prendre le contrôle du firewall en se faisant passer pour un hôte de confiance. La prise de contrôle sera, bien entendu, rendu beaucoup moins aisée, si ce n'est impossible, pour le pirate éventuel :
· si le bastion n'est accessible qu'à la suite d'une ou plusieurs procédures d'authentification
· si un chiffrement des paquets qui transitent sur le réseau protégé, est effectué (notion de réseaux virtuels privés ou virtual private networks)
Configuration et administration via une interface utilisateur graphique conviviale
L'administration d'un firewall se doit d'être la plus simple et la plus conviviale qui soit afin de réduire les risques liés aux erreurs humaines. Si un firewall est mal configuré, il peut devenir très vulnérable. C'est pour cette raison que les interfaces graphiques des firewalls tendent à devenir de plus en plus ergonomiques. Les premiers firewalls ne disposaient que d'interfaces utilisateurs en mode texte nécessitant souvent:
· l'écriture de fichiers scripts contenant des lignes de commandes de systèmes d'exploitation comme UNIX ou d'autres langages propriétaires
· la modification de fichiers systèmes de configuration tels que les listes d’accès (ACL)
De tels firewalls existent encore. Pour certains administrateurs de réseaux, l'utilisation d'une interface orientée caractères comme celle du firewall d'IBM (Secured Network Gateway for AIX) peut s'avérer plus rapide et plus facile d'utilisation que certaines interfaces graphiques d'autres solutions firewalls.
Cependant, la plupart des nouvelles interfaces utilisateurs sont graphiques (GUI), soient:
· sous forme de fenêtres et de menus déroulants proposant, par exemple, des paramétrages prédéfinis (Windows NT, Motif / X-Window / UNIX, Novell Netware, OS/2, RS/6000, SUN/OS, HP-UX ou tout autre système d'exploitation)
· soit au format HTML (HyperText Markup Language)
Toutes les tâches liées à la configuration s'effectuent à partir de l'interface utilisateur graphique (GUI) via des formulaires contenant menus déroulants et champs de saisie. L'aide en ligne fournie sur certaines des solutions notamment celle de DIGITAL (Alta Vista Firewall) permet d'apprendre très rapidement à exploiter pleinement le potentiel du firewall utilisé. L'interface graphique intègre, en plus, des procédures de vérification d'erreurs de saisie et des tests de cohérence des paramètres de configuration.
Certains firewalls combinent à la fois interface graphique et interface texte. C'est le cas par exemple de l'offre de CHECKPOINT (Firewall-1 ou Solstice) qui propose la génération ou l'édition de fichiers scripts en langage propriétaire (Inspect) pour personnaliser et affiner les règles de sécurité.
En somme, l'utilisation d'interface utilisateur graphique (GUI) permet de simplifier et de faciliter la configuration et l'administration du firewall en diminuant au maximum les risques d'erreurs humaines (utilisation de paramétrage prédéfini éprouvé). Pour affiner davantage les paramètres de configuration, certaines solutions firewalls permettent l'édition de fichiers de configuration ou de fichiers scripts.
Mise en œuvre de la politique de sécurité
Un firewall ne doit en aucun cas dicter une politique de sécurité. Au contraire, il doit permettre et faciliter sa mise en œuvre. Comme il l'a été exposé dans les premiers chapitres de ce dossier, l'option d'achat d'une solution firewall s'inscrit dans un processus d'élaboration puis de mise en pratique d'une politique de sécurité.
La gestion des autorisations d'accès
Sur les firewalls les plus conviviaux, la gestion des autorisations d'accès s'effectue à l'aide de l'interface utilisateur graphique (GUI) sur simple clic de souris sur des icônes (DEC Alta Vista Firewall, CHECKPOINT Firewall-1, CYBERGUARD Firewall, …). En général, des politiques de sécurité prédéfinies peuvent être proposées afin d'empêcher les administrateurs peu expérimentés d'élaborer des politiques peu sûres et susceptibles de compromettre le firewall. Bien sûr, le firewall offre toujours la possibilité de créer de façon personnalisée ses propres règles de sécurité.
Sur les firewalls un peu plus austères, notamment les filtres de paquets, la mise en œuvre de la politique de sécurité impose l'édition de fichiers de listes de contrôle d'accès écrits en langages propriétaires de contrôle d'accès (Custom Access Control Language).
En fait, tous les firewalls utilisent ce type de langage pour interdire ou autoriser les accès aux services IP. Les filtres de paquets n'agissant qu'au niveau des couches basses du modèle OSI, les critères de filtrage d'accès sont les suivants:
· Adresses IP source et destination
· Numéro de port
Pour les passerelles circuits et les passerelles d’applicationss qui travaillent au niveau des couches supérieurs du modèle OSI mais aussi pour les firewalls utilisant la technologie SMLI (Stateful Multi-Layer Inspection), les filtres opérés peuvent être plus élaborés et plus granulaires:
· Adresses IP source et destination
· Interfaces réseaux source et destination
· Numéro de port de service (Telnet, FTP, SMTP, HTTP, Gopher, etc.)
· Date, heure
· Durée d'utilisation
· Stations hôtes par noms, sous-réseaux ou domaines
D'une manière générale, l'accès à une ressource ou un service peut être soit "interdit" (deny), soit "autorisé" (permit). S'il est autorisé, il peut nécessiter l'utilisation d'un service mandataire (proxy) et/ou une procédure d'authentification (authenticate).
Les services fournis via des services mandataires : les agents proxies
Les firewalls basés sur l'utilisation d'agents proxies sont capables de fournir un certain nombre de services IP. En général, ces services mandataires sont comparables à des programmes client/serveur. Ils sont, en fait, des versions améliorées des outils réseaux classiques qui effectuent la mise en œuvre de la plupart des services Internet (Telnet, FTP, HTTP, SMTP, NNTP, etc.). De plus, dans la plupart des cas, afin d'augmenter le niveau de sécurité, ces programmes client/serveur que représentent les agents proxies s'exécutent dans un environnement restreint sans privilège (non-privileged state chrooted) à partir d'un répertoire isolé.
L'authentification et la notion de transparence
L'accès à un service IP via à un agent proxy peut s'effectuer selon les deux modes suivants :
· le mode transparent
· le mode non transparent
Dans le mode transparent, lorsqu'ils veulent se connecter à une station hôte située de l'autre côté du firewall, les utilisateurs ont l'impression d'effectuer une connexion directe à l'hôte comme si le firewall n'existait pas. En réalité, l'utilisateur se connecte à la passerelle d’application via l'agent proxy spécifique. A son tour, l'agent proxy établit une connexion à la station hôte destination. Même si la passerelle application applique les règles définies par la politique de sécurité, l'utilisateur n'a pas à se soucier de l'existence du firewall. En général, le mode transparent est un mode qui peut s'appliquer uniquement aux utilisateurs du réseau interne. En effet, même s'il ne faut pas négliger les attaques susceptibles de venir du réseau interne, le firewall est surtout là pour se protéger des menaces externes.
Dans le mode non transparent, lorsqu'ils veulent se connecter à une station hôte située de l'autre côté du firewall, les utilisateurs doivent s'authentifier de façon explicite. Plusieurs techniques d'authentification peuvent être utilisées allant du mot de passe à usage unique (one-time password) aux dispositifs électroniques tels que les calculettes génératrices de mots de passe.
Quel que soit le mode utilisé, le firewall autorise ou non les accès selon les règles définies par la politique de sécurité.
La technologie SMLI (Stateful Multi-Layer Inspection)
L'architecture novatrice appelée Stateful Multi-Layer Inspection Technology constitue la troisième génération en matière de technologie des firewalls. Elle est issue des laboratoires de Check Point Software Technologies.
Dans la solution firewall de CHECKPOINT (Firewall-1 ou Solstice), par exemple, un module d'inspection intercepte et analyse les données au niveau de toutes les couches de la communication. L'état (state) et le contexte (context) sont stockés et mis à jour dynamiquement. Ces paramètres permettent d'établir une base de données d'informations sur les états successifs des communications en cours (connexion, dialogue, déconnexion). Ainsi, il est possible de tracer des protocoles non fiables (en mode non connecté) tels que RPC et UDP.
Le firewall applique les règles définies par la politique de sécurité en appliquant le même type de règles de filtrage de paquets utilisés par les routeurs filtres et les agents proxies des passerelles circuit et d’applications en considérant en plus les données de la base d'informations sur les communications en cours.
Les firewalls qui utilisent la technologie SMLI (ASCEND Secure Access Firewall, CHECKPOINT (Firewall-1 ou Solstice), ON GUARD Firewall, …), sont en fait des passerelles applications hybrides dans la mesure où elles offrent à la fois toutes les fonctionnalités des filtres de paquets et des passerelles utilisant les agents proxies et plus encore…
Audit et journalisation des événements
Pour détecter et réagir aux incidents ou aux attaques éventuelles, le firewall doit être capable d'effectuer un audit et une journalisation des événements clés qui surviennent au niveau des ressources de calcul et d'informations de l'entreprise. La politique de sécurité doit prévoir un processus de planification et de réactions aux incidents de sécurité.
La plupart des firewalls sont munis d'outils de détection. Le tableau suivant présente les différents types d'outils de détection.
Fig. 5‑4 Les outils de détection d'intrusion
En règle générale, les firewalls sont capables de détecter, en plus de la plupart des attaques classiques (IP sniffing, IP spoofing, le refus de services, …), les indices typiques d'attaques potentielles suivants:
· Des types suspects d'utilisation (heure anormale d'utilisation, profil d'utilisateur et comportements suspects)
Exemple de comportement suspect: un pirate tente de s'introduire depuis l'Internet sur un réseau d'entreprise en dehors des heures de travail, se connecte sur un compte utilisateur ou accède au système par FTP, navigue dans l'arborescence du système de fichiers pour atteindre les niveaux supérieurs, liste les fichiers de chaque répertoire.
Autre exemple: un pirate casse le compte d'un utilisateur novice, utilise des commandes avancées qu'un utilisateur novice n'est pas censé connaître.
· L'utilisation de compte par défaut, inconnu ou inactif auparavant
Les comptes par défaut tels que guest sous MS Windows, field, system, test sous MVS ou encore daemon, lpd, sync, bin sous UNIX, possèdent souvent des mots de passe par défaut voire, des fois, aucun. Ils sont fréquemment visés par les pirates. Ces derniers peuvent également créer des comptes ou en activer pour s'introduire.
· Des altérations effectuées sur des fichiers
Pour parvenir à leurs fins, les agresseurs changent souvent les fichiers systèmes importants. Pour effacer les traces de leur passage, ils peuvent aussi altérer les fichiers d'audit et de journalisation.
· La découverte d'outils logiciels pour l'effraction électronique de système
Beaucoup d'outils logiciels pour l'attaque de système laisse des traces particulières. Par exemple, «Kuang» qui permet sous UNIX de passer root, laisse des fichiers de type .X et .XX
· Les connexions venant d'adresses Internet suspectes
Des connexions depuis des sites connus de pirates Internet, par exemple, peuvent indiquer une tentative d'intrusion.
Il est également possible de tester l’efficacité de ces outils en utilisant des outils de sécurité de réseau - tels que « Pingware » de Bellcore, « Netprobe » d’Infostructure, « Internet Security Scanner » d’ISS et même l’infâme « SATAN » - qui essaient d’identifier et d’exploiter les trous de sécurité d’une architecture réseau.
Exploitation des informations recueillies et génération d'alarmes
Tous les services fournis par le firewall doivent offrir la possibilité d'être journalisés. La forme des rapports est primordiale pour faciliter l'exploitation du fond par l'administrateur du réseau. Aussi, les solutions firewalls permettent-ils de plus en plus la personnalisation des rapports via l'interface graphique utilisateur (GUI) afin d'extraire très rapidement l'essentiel de l'information auditée et journalisée.
Les informations suivantes peuvent être auditées et journalisées:
· Le détail des connexions et des tentatives de connexion à des services du firewall
· Le détail des sessions incluant:
- la date, l'heure, la durée
- l'hôte source et l'hôte destination
- le nom de l'utilisateur quand il peut être déterminé
- la quantité de données transférées dans les deux directions
· Les données liées à l'intégrité et au fonctionnement du firewall lui-même:
- les connexions et les tentatives de connexion
- les modifications non autorisées des fichiers systèmes
- les insuffisances d'espace disque
· etc.…
Le firewall peut proposer les fonctionnalités suivantes:
· Un système de chiffrement, de compression, de sauvegarde et/ou d'effacement des rapports d'audits et des journaux. En effet, ceux-ci peuvent très rapidement occuper des espaces disques très volumineux du fait de la grande quantité de données à journaliser. Ainsi, le firewall DEC Alta Vista Firewall permet d'archiver les journaux systèmes à minuit de chaque jour, le premier de chaque mois et/ou tous les ans.
· Lorsqu'un incident est détecter, une alarme doit être générée et rapportée à l'administrateur ou une liste prédéfinie d'utilisateurs. Ce rapport peut être envoyé de façon régulière dans le temps et/ou lorsqu'il y a effectivement eu un incident en temps réel. Il peut prendre les formes suivantes:
- un message au niveau de l'interface graphique (GUI) du firewall
- un e-mail
- un message envoyé sur un boîtier messager électronique ou pager
· A la suite d'une attaque, le firewall peut aussi:
- augmenter son niveau de sécurité en restreignant davantage l'accessibilité des différents services
- inscrire l'hôte distant qui a provoqué l'incident sur une liste noire
- désactiver le service voire le firewall tout entier
L'utilisation de toutes ces fonctionnalités dépend essentiellement du plan de réactions aux incidents de sécurité défini au cours de l'élaboration de la politique de sécurité.
Vue d'ensemble et perspectives
A l'instar des autres technologies issues de l'industrie des télécommunications, le marché des firewalls a non seulement connu un développement rapide mais a en plus battu tous les records en matière de croissance. C'est au cours de l'année 1995 que ce nouveau marché s'est réellement matérialisé. Bien sûr, avant cette année-là, les technologies firewalls existaient déjà mais l'essor rapide du réseau des réseaux, l’Internet, et l'adoption de plus en plus massive des technologies et des architectures Intranet, ont entraîné une croissance exponentielle de ce marché. En effet très rapidement, la technologie Internet a montré ses limites en matière de sécurité. Il faut se rappeler qu'elle avait été initialement créée dans un but de partage des ressources et des données à travers un nombre relativement limité de réseaux interconnectés. Aujourd'hui, on évalue - de façon très approximative - à plus de 100 millions, le nombre de stations connectées au réseau des réseaux
(Source: International Data Corporation, 1996)
Fig. 5-1 Ventes de firewalls dans le monde (1995-2000)
Dès 1995, le marché a commencé à se segmenter:
· 40% du marché des firewalls étaient représentés par des entreprises d'envergure insignifiante en matière de part de marché (moins de 50 produits vendus en 1995, soit 0,5% des parts du marché selon l'IDC). Seule une poignée de sociétés se partageaient et se partagent encore l'essentiel des parts du marché des firewalls.
· les offres se diversifiaient déjà allant des solutions purement logicielles - en passant par les solutions de "boîtes noires" (solutions plus ou moins plug-and-play) - aux solutions complètes (logiciels et équipements) proposant un ensemble d'options de services sur mesure (étude, installation logicielle et matérielle, formation du personnel, etc.)
(Source: International Data Corporation, 1996)
Fig. 5-2 Parts de marché par fournisseurs en 1995
En 1997, le schéma est toujours le même:
· Une poignée d'entreprise se partagent les plus grandes parts du marché.
· Quelques alliances ont eu lieu, comme celle de Border Network Technologies et de Secure Computing, alliant leurs savoir-faire respectifs pour proposer une gamme de produits plus complète mais surtout pour résister à la concurrence qui règne dans le pool de tête.
· De nouveaux protagonistes comme DEC (Digital Equipment Corporation) sont apparus proposant des produits très compétitifs menaçant peut-être l'hégémonie du leader du marché: CheckPoint Technologies Inc.
Entre temps cependant, le prix des solutions firewalls a commencé à baisser. D'après l'IDC, cette tendance continuera car les utilisateurs exigeront de plus en plus de flexibilité et surtout des solutions exclusivement logicielles s'exécutant sur des plates-formes bon marché (comme les plates-formes Windows NT). En 1995, le prix moyen d'une solution firewall était d'environ de 16000$. L'IDC prévoit une baisse des prix atteignant jusqu'à 650$ en l'an 2000. Cette chute des prix devrait, malgré tout, être compensée par la demande du marché provoquant une croissance des revenus de 160 millions de dollars en 1995 à 980 millions de dollars en l'an 2000. Le tableau suivant regroupe les prévisions de l'IDC pour le marché des firewalls en termes d'évolution du nombre d'unités vendues, des prix moyens, et des revenus.
Fig. 5-3 Le marché mondial des firewalls (1995-2000)
Les acteurs du marché
Comme pour la plupart des marchés liés à l’Internet (c'est le cas, par exemple, des serveurs Web), le marché des firewalls s'étend des produits de distribution libre du domaine public (freeware) et téléchargeables à partir de l’Internet (ex : le kit de Trusted Information System) aux solutions industrielles et commerciales très complètes. Pour les entreprises de firewalls, la clé du succès est la distribution de ces dernières via des réseaux de distribution fortement développés; le plus important étant de combiner la puissance des constructeurs (tels que Sun MicroSystem et Hewlett Packard) et le savoir-faire des revendeurs à valeur ajoutée (les VAR: Authorized Value-Added Resellers) et des intégrateurs de réseaux (cf. ANNEXES).
Si on remonte dans le temps, il faut noter que la vocation première de la plupart des entreprises de firewalls, surtout celles qui existaient déjà avant le grand boom d'Internet, est la recherche et le développement (R&D). En effet, pour développer les produits que nous apportent ces firmes aujourd'hui sur le marché, il a fallu qu'elles consacrent énormément de temps et d'énergie en R&D. A noter aussi qu'à l'époque (ceci peut encore partiellement s'appliquer à la situation actuelle), l'essentiel de la clientèle était constitué d'agences gouvernementales et militaires plus ou moins dédiées si bien que lorsque le marché a explosé, ces entreprises ont dû s'adapter et apprendre ou réapprendre la mercatique pour se différencier des concurrents et pour séduire les nouveaux clients potentiels toujours plus nombreux et venant de tous les secteurs d'activité.
Trois générations de technologies firewalls
Les filtres de paquets
Les firewalls de première génération se contentent d'examiner le numéro de port TCP et/ou les adresses (source et destination) contenus dans l'en-tête des paquets IP qui transitent entre le réseau interne (le réseau protégé) et le réseau externe, le plus souvent l'Internet. Comme nous l'avons déjà décrit au chapitre 4, bien qu'ils soient très couramment intégrés dans la plupart des routeurs et qu'ils soient transparents pour les utilisateurs, les filtres de paquets (ou routeurs filtres) sont relativement faciles à contourner pour quelqu'un qui connaît bien la structure d'un paquet IP et qui utilise des outils tels que des renifleurs (IP Sniffers) et des truqueurs IP (IP Spoofers). Les filtres de paquets sont incapables de signaler ce type d'attaque.
Les passerelles d'applications et de circuits
Les firewalls de deuxième génération s'assimilent à des stations de travail placées entre le réseau local et le réseau externe. Ces stations de travail constituent des passerelles qui assurent la sécurité du réseau interne par l'examen des données qui y entrent et qui en sortent. Cet examen s'effectue au niveau de couches hautes du modèle OSI contrairement aux filtres de paquets qui travaillent, eux, au niveau des couches basses. Ces passerelles permettent aux utilisateurs de communiquer de manière plus sûre à l'aide d'agents proxies.
Les passerelles circuit (circuit gateways)
Les passerelles circuit travaillent essentiellement au niveau de la couche transport du protocole TCP/IP qui correspond à la couche 4 du modèle OSI. La connexion réseau de TCP/IP est utilisée pour les agents proxies. Lorsqu'un dialogue doit s'effectuer entre le réseau externe (l'Internet) et le réseau interne, la connexion qui s'établit entre le routeur du réseau protégé et l'Internet, est gérée par un agent proxy ou service mandataire. Les adresses réelles du réseau protégé peuvent être cachées puisque l'adresse de l'agent proxy constitue l'adresse source de toutes les données envoyées vers l'extérieur. Les agents proxies assurent aussi les fonctions des filtres de paquets.
Les passerelles d'applications (application gateways)
Les passerelles d'application examinent les communications qui s'établissent entre les applications IP en analysant, au niveau des couches hautes du modèle OSI, les données qui sont transmises. Ainsi, elles rendent bien plus difficile la tâche des pirates qui veulent s'introduire dans le réseau protégé à l'aide de la technique du trucage IP par exemple. Elles permettent aussi la mise en œuvre de procédés tels que:
· l'authentification
· le paramétrage des autorisations d'accès à certains services en fonction de critères bien définis (type d'utilisateurs, horaires, …)
· le chiffrement (pour les réseaux virtuels privés (VPN) par exemple)
· l'audit et la journalisation des événements qui ont lieu sur le réseau
Bien qu'elles offrent un haut niveau de sécurité, les passerelles d'applications présentent certains inconvénients comme une baisse des performances, comparativement aux filtres de paquets, due au fait que les données doivent subir deux traitements successifs au lieu d'un. Il faut d'abord se connecter à la passerelle puis effectuer une seconde connexion, via l'agent proxy, au service désiré.
De plus, comme nous l'avons déjà évoqué au chapitre 4, les passerelles d'applications possèdent un agent proxy spécifique pour chaque service IP (HTTP, FTP, DNS, TELNET, SMTP, NNTP, SOCKS, RealAudio, etc.); ce qui, par défaut, limite le nombre de services disponibles.
En somme, les agents proxies - composants essentiels des passerelles circuits et d'applications - sont capables de manipuler les données qui transitent via le firewall. Le but est d'extraire le maximum d'informations en reconnaissant les paquets valides des non valides pour autoriser ou non leur transmission de part et d'autre des réseaux interne et externe.
La technologie Stateful Multi-Layer Inspection (SMLI)
SMLI constitue la nouvelle évolution en matière de produits firewalls. Les générations précédentes de firewalls avaient déjà pour but d'examiner le maximum de paquets afin de réduire toute chance de vol de données par des individus mal intentionnés. Comme pour les passerelles d'application, toutes les couches du modèle OSI sont examinées de la couche physique à la couche application.
Les objectifs de SMLI sont les suivants:
· Libérer l'administrateur réseau des contraintes imposées par l'utilisation d'agents proxies
· Analyser les sessions ou communications en cours de part et d'autre du firewall et manipuler les données qui transitent via le firewall en vue d'en extraire le maximum d'informations
· augmenter de façon optimale la sécurité apportée par les firewalls sans entraîner de baisse de performance grâce, entre autres, à l'utilisation d'algorithmes d'observation du trafic optimisés pour l'inspection de flots de données à haut débit
· fournir des fonctions avancées pouvant s'appliquer de façon externe et/ou interne à travers différents protocoles comme l'examen des paquets en transit et leur comparaison avec des modèles répertoriés de séquence de bits (bit patterns, signatures, etc.)
· faciliter l'administration des firewalls afin de diminuer les surcoûts qu'elle engendre mais aussi pour diminuer les risques d'erreurs de configuration susceptibles d'ouvrir des brèches (back-doors) sur le périmètre de sécurité
Le résultat est un firewall qui opère de manière transparente pour l'utilisateur légitime. Les communications s'établissent aussi rapidement que s'il n'y avait pas de firewall. Comme il n'y a plus d'agent proxy, toutes les applications Internet fonctionnent de façon native sans modifications supplémentaires ; ce qui facilite les tâches de création ou de mise à jour des services IP.
Moyens mis en œuvre pour assurer la sécurité
Pour effectuer la description d'un système informatique de sécurité de réseaux, plusieurs aspects conceptuels doivent être pris en considération. Un dispositif de sécurité tel qu'un firewall doit non seulement protéger les éléments du ou des réseaux auxquels il est connecté mais doit aussi être capable d'assurer sa propre protection. D'une manière générale, les procédés mis en œuvre pour effectuer ses deux tâches se basent sur des concepts communs.
Un bastion et un système d'exploitation sécurisés
SIMPLICITE vaut mieux que COMPLEXITE
En matière de sécurité informatique, la simplicité vaut mieux que la complexité. Ceci s'applique aussi bien aux méthodes et mécanismes utilisés pour mettre en œuvre la sécurité qu'à la façon dont un firewall est administré et utilisé. Une politique de sécurité de réseau doit nécessairement opter pour un des deux paradigmes de sécurité des réseaux suivants :
· « Ce qui n'est pas expressément interdit est autorisé » : avec ce paradigme, le firewall bloque tous les services qui sont connus comme étant à risque. Par défaut donc, la plupart des services disponibles, mis à part quelques-uns, sont actifs. Lorsqu'un problème est découvert, soit l'administrateur tente de le résoudre, soit il désactive le service
· « Ce qui n'est pas expressément autorisé est interdit » : avec ce paradigme, le firewall bloque tout. Tous les services sont éteints. L'administrateur active de façon sélective les services utiles dans la mesure où ils sont considérés comme étant sûrs. La mise en route d'un nouveau service requiert alors un examen de la part de l'administrateur avant d'être autorisée. C'est ce paradigme qui assure le plus grand degré de sécurité et qui est le plus utilisé.
La simplicité est aussi un élément important en matière de logiciels. Dans leur ouvrage Firewalls and Internet Security: Repelling the Wily Hacker, Cheswick et Bellovin nous rappellent que les logiciels contiennent des bogues et qu'il est impossible de prouver l'absence de bogues dans un logiciel. Par contre, plus le source d'un logiciel est petit, plus le degré d'assurance qu'il soit dépourvu de bogues, est élevé.
Limiter le nombre de services actifs sur le bastion
Le système d'exploitation qui supporte le firewall ne doit présenter aucune faille vis-à-vis de la sécurité. C'est pour cette raison que la plupart des solutions firewalls sont installées sur des stations de travail munies :
· soit d'un système d'exploitation modifié (hardened OS)
· soit d'un système d'exploitation propriétaire (CISCO PIX Firewall, CYBERGUARD Firewall, ON Guard Firewall, RADGUARD Pyro Wall)
Quelque soit le cas, le principe reste le même : minimiser les risques en modifiant le code de certains composants du système d'exploitation et en n'installant que ceux qui sont nécessaires au bon fonctionnement du firewall en toute sécurité. Le plus souvent, le système d'exploitation subit les modifications ou optimisations suivantes:
· Afin d'éviter des attaques portées sur des programmes serveurs non sûrs qui constamment acceptent des connexions sur les ports TCP et UDP, un nombre minimum de services réseaux doit s'exécuter sur le bastion.
· Des fonctions visant à empêcher les attaques telles que l'IP Spoofing qui a été décrit au chapitre 2, sont désactivées comme la fonction Source Routed Packet, par exemple. Ainsi, si une station hôte n'appartenant pas au périmètre de sécurité essaie d'envoyer des paquets en spécifiant le chemin exact à parcourir pour arriver à destination, le firewall refuse les paquets.
· La fonction IP Forwarding est désactivée ; ce qui empêche tout trafic direct entre l'Internet et le réseau protégé. Par exemple, si un pirate, par quelque moyen que ce soit, finit par apprendre l'adresse IP d'une station ou de tout autre équipement actif appartenant au périmètre de sécurité situé derrière le firewall et tente d'envoyer une requête telle qu'un ping, le firewall empêche le passage de la requête sur le réseau protégé.
· La fonction ICMP redirect est également désactiver afin de ne pas avertir un utilisateur externe que sa requête à échouer.
· D'autres modules du noyau comme celui qui permet à un serveur X-Window d'accepter des connexions provenant d'un hôte distant, sont enlevés.
· Aucune connexion à distance (remote logging) ne doit être autorisée à moins d'utiliser des procédés de cryptage.
· Tous les services et composants systèmes et réseaux tels que posix, netbeui, LAN Manager Server sous Windows NT et les services 'r' sous UNIX tels que rsh doivent être désactivés ou carrément supprimer du bastion.
· Sous UNIX, le super démon inetd doit être installé avec la configuration minimale, tous les services inutiles doivent être enlevés.
· Les services de procédure d'appel à distance RPC (Remote Procedure Call service) tels NFS (Network File System) ou NIS (Network Information Services), sont désactivés. Ils sont, de par leur vocation de partage de ressources, non sûrs.
· Sous Windows NT, le système de fichier doit être converti en NTFS et la base de registres configurée d'une manière sûre.
· Le firewall doit fonctionner sur une station de travail dédiée dépourvue de compte utilisateur à l'exception de celui réservé à son administration (plus il y a de comptes utilisateurs, plus le risque d'intrusion est important).
· Un module tel qu'un anti-virus peut être installé pour vérifier, de façon régulière, l'intégrité des fichiers stockés sur le firewall.
· Des outils complémentaires peuvent être utilisés pour observer et enregistrer le trafic mais aussi pour émettre des alertes en cas d'attaques.
En somme, seul les modules utiles du système d'exploitation doivent s'exécuter sur le firewall. Chacun d'eux doit avoir une tâche précise et limité afin de réduire de façon substantielle les risques de bogues. En général, les systèmes d'exploitation d'origine propriétaire sont très sûrs pour les deux raisons suivantes:
· Ils sont pour la plupart inconnus des pirates comparativement à UNIX dont on a déjà répertorié de nombreuses listes de « trucs et astuces » en vue d'exploiter ses failles inhérentes. Des organisations telles que le CERT (Computer Emergency Response Team) publient régulièrement des vulnérabilités et d’éventuelles parades associées.
· Ils ont bénéficié lors de leur développement d'une attention toute particulière en ce qui concerne la sécurité. Il ne faut pas oublier qu'à l'origine, un système d'exploitation comme UNIX a été créé par des programmeurs pour des programmeurs dans le but de pouvoir exploiter et partager des ressources appartenant à un ou plusieurs réseaux et qu'à ce moment-là, le niveau de sécurité du système d'exploitation n'était pas le problème majeur à résoudre. Quant à Windows NT, même si la nouvelle tendance est de développer des solutions firewalls pour ce système d'exploitation, son architecture plus complexe que simple, offre un éventail de failles potentielles en matière de sécurité. Elles ne manqueront pas d'être découvertes au fil du temps ; comme il en a été pour UNIX.
Sécuriser l'accès au bastion
Le bastion hôte doit être une station de travail dédiée dépourvue de compte utilisateur à l'exception de celui réservé à son administration car plus il y a de comptes utilisateurs, plus le risque d'intrusion est important.
La sécurisation de l'accès au bastion doit passer par l'utilisation de procédés plus ou moins sophistiqués d'authentification allant du mot de passe à usage unique (one-time password) aux dispositifs électroniques tels que les calculettes génératrices de mots de passe (SecurID, CryptoCard, etc…).
De plus, pour accroître davantage le niveau de sécurité d'accès au bastion et de manière générale le réseau interne, le chiffrement doit être utilisé pour crypter les paquets de données qui transitent à l'intérieur du périmètre de sécurité.
Certaines solutions firewalls disposent d'une fonctionnalité qui peut s'avérer intéressante au premier abord qui peut cependant se révéler à double tranchant : l'administration à distance (remote management). Comme nous l'avons déjà évoqué précédemment, la possibilité de se connecter au bastion depuis un hôte distant représente un risque à ne surtout pas négliger pour des raisons évidentes. En effet, si un pirate parvient, par quelque moyen que ce soit, à accéder à une station hôte du réseau protégé, il peut utiliser cette fonctionnalité pour tenter de prendre le contrôle du firewall en se faisant passer pour un hôte de confiance. La prise de contrôle sera, bien entendu, rendu beaucoup moins aisée, si ce n'est impossible, pour le pirate éventuel :
· si le bastion n'est accessible qu'à la suite d'une ou plusieurs procédures d'authentification
· si un chiffrement des paquets qui transitent sur le réseau protégé, est effectué (notion de réseaux virtuels privés ou virtual private networks)
Configuration et administration via une interface utilisateur graphique conviviale
L'administration d'un firewall se doit d'être la plus simple et la plus conviviale qui soit afin de réduire les risques liés aux erreurs humaines. Si un firewall est mal configuré, il peut devenir très vulnérable. C'est pour cette raison que les interfaces graphiques des firewalls tendent à devenir de plus en plus ergonomiques. Les premiers firewalls ne disposaient que d'interfaces utilisateurs en mode texte nécessitant souvent:
· l'écriture de fichiers scripts contenant des lignes de commandes de systèmes d'exploitation comme UNIX ou d'autres langages propriétaires
· la modification de fichiers systèmes de configuration tels que les listes d’accès (ACL)
De tels firewalls existent encore. Pour certains administrateurs de réseaux, l'utilisation d'une interface orientée caractères comme celle du firewall d'IBM (Secured Network Gateway for AIX) peut s'avérer plus rapide et plus facile d'utilisation que certaines interfaces graphiques d'autres solutions firewalls.
Cependant, la plupart des nouvelles interfaces utilisateurs sont graphiques (GUI), soient:
· sous forme de fenêtres et de menus déroulants proposant, par exemple, des paramétrages prédéfinis (Windows NT, Motif / X-Window / UNIX, Novell Netware, OS/2, RS/6000, SUN/OS, HP-UX ou tout autre système d'exploitation)
· soit au format HTML (HyperText Markup Language)
Toutes les tâches liées à la configuration s'effectuent à partir de l'interface utilisateur graphique (GUI) via des formulaires contenant menus déroulants et champs de saisie. L'aide en ligne fournie sur certaines des solutions notamment celle de DIGITAL (Alta Vista Firewall) permet d'apprendre très rapidement à exploiter pleinement le potentiel du firewall utilisé. L'interface graphique intègre, en plus, des procédures de vérification d'erreurs de saisie et des tests de cohérence des paramètres de configuration.
Certains firewalls combinent à la fois interface graphique et interface texte. C'est le cas par exemple de l'offre de CHECKPOINT (Firewall-1 ou Solstice) qui propose la génération ou l'édition de fichiers scripts en langage propriétaire (Inspect) pour personnaliser et affiner les règles de sécurité.
En somme, l'utilisation d'interface utilisateur graphique (GUI) permet de simplifier et de faciliter la configuration et l'administration du firewall en diminuant au maximum les risques d'erreurs humaines (utilisation de paramétrage prédéfini éprouvé). Pour affiner davantage les paramètres de configuration, certaines solutions firewalls permettent l'édition de fichiers de configuration ou de fichiers scripts.
Mise en œuvre de la politique de sécurité
Un firewall ne doit en aucun cas dicter une politique de sécurité. Au contraire, il doit permettre et faciliter sa mise en œuvre. Comme il l'a été exposé dans les premiers chapitres de ce dossier, l'option d'achat d'une solution firewall s'inscrit dans un processus d'élaboration puis de mise en pratique d'une politique de sécurité.
La gestion des autorisations d'accès
Sur les firewalls les plus conviviaux, la gestion des autorisations d'accès s'effectue à l'aide de l'interface utilisateur graphique (GUI) sur simple clic de souris sur des icônes (DEC Alta Vista Firewall, CHECKPOINT Firewall-1, CYBERGUARD Firewall, …). En général, des politiques de sécurité prédéfinies peuvent être proposées afin d'empêcher les administrateurs peu expérimentés d'élaborer des politiques peu sûres et susceptibles de compromettre le firewall. Bien sûr, le firewall offre toujours la possibilité de créer de façon personnalisée ses propres règles de sécurité.
Sur les firewalls un peu plus austères, notamment les filtres de paquets, la mise en œuvre de la politique de sécurité impose l'édition de fichiers de listes de contrôle d'accès écrits en langages propriétaires de contrôle d'accès (Custom Access Control Language).
En fait, tous les firewalls utilisent ce type de langage pour interdire ou autoriser les accès aux services IP. Les filtres de paquets n'agissant qu'au niveau des couches basses du modèle OSI, les critères de filtrage d'accès sont les suivants:
· Adresses IP source et destination
· Numéro de port
Pour les passerelles circuits et les passerelles d’applicationss qui travaillent au niveau des couches supérieurs du modèle OSI mais aussi pour les firewalls utilisant la technologie SMLI (Stateful Multi-Layer Inspection), les filtres opérés peuvent être plus élaborés et plus granulaires:
· Adresses IP source et destination
· Interfaces réseaux source et destination
· Numéro de port de service (Telnet, FTP, SMTP, HTTP, Gopher, etc.)
· Date, heure
· Durée d'utilisation
· Stations hôtes par noms, sous-réseaux ou domaines
D'une manière générale, l'accès à une ressource ou un service peut être soit "interdit" (deny), soit "autorisé" (permit). S'il est autorisé, il peut nécessiter l'utilisation d'un service mandataire (proxy) et/ou une procédure d'authentification (authenticate).
Les services fournis via des services mandataires : les agents proxies
Les firewalls basés sur l'utilisation d'agents proxies sont capables de fournir un certain nombre de services IP. En général, ces services mandataires sont comparables à des programmes client/serveur. Ils sont, en fait, des versions améliorées des outils réseaux classiques qui effectuent la mise en œuvre de la plupart des services Internet (Telnet, FTP, HTTP, SMTP, NNTP, etc.). De plus, dans la plupart des cas, afin d'augmenter le niveau de sécurité, ces programmes client/serveur que représentent les agents proxies s'exécutent dans un environnement restreint sans privilège (non-privileged state chrooted) à partir d'un répertoire isolé.
L'authentification et la notion de transparence
L'accès à un service IP via à un agent proxy peut s'effectuer selon les deux modes suivants :
· le mode transparent
· le mode non transparent
Dans le mode transparent, lorsqu'ils veulent se connecter à une station hôte située de l'autre côté du firewall, les utilisateurs ont l'impression d'effectuer une connexion directe à l'hôte comme si le firewall n'existait pas. En réalité, l'utilisateur se connecte à la passerelle d’application via l'agent proxy spécifique. A son tour, l'agent proxy établit une connexion à la station hôte destination. Même si la passerelle application applique les règles définies par la politique de sécurité, l'utilisateur n'a pas à se soucier de l'existence du firewall. En général, le mode transparent est un mode qui peut s'appliquer uniquement aux utilisateurs du réseau interne. En effet, même s'il ne faut pas négliger les attaques susceptibles de venir du réseau interne, le firewall est surtout là pour se protéger des menaces externes.
Dans le mode non transparent, lorsqu'ils veulent se connecter à une station hôte située de l'autre côté du firewall, les utilisateurs doivent s'authentifier de façon explicite. Plusieurs techniques d'authentification peuvent être utilisées allant du mot de passe à usage unique (one-time password) aux dispositifs électroniques tels que les calculettes génératrices de mots de passe.
Quel que soit le mode utilisé, le firewall autorise ou non les accès selon les règles définies par la politique de sécurité.
La technologie SMLI (Stateful Multi-Layer Inspection)
L'architecture novatrice appelée Stateful Multi-Layer Inspection Technology constitue la troisième génération en matière de technologie des firewalls. Elle est issue des laboratoires de Check Point Software Technologies.
Dans la solution firewall de CHECKPOINT (Firewall-1 ou Solstice), par exemple, un module d'inspection intercepte et analyse les données au niveau de toutes les couches de la communication. L'état (state) et le contexte (context) sont stockés et mis à jour dynamiquement. Ces paramètres permettent d'établir une base de données d'informations sur les états successifs des communications en cours (connexion, dialogue, déconnexion). Ainsi, il est possible de tracer des protocoles non fiables (en mode non connecté) tels que RPC et UDP.
Le firewall applique les règles définies par la politique de sécurité en appliquant le même type de règles de filtrage de paquets utilisés par les routeurs filtres et les agents proxies des passerelles circuit et d’applications en considérant en plus les données de la base d'informations sur les communications en cours.
Les firewalls qui utilisent la technologie SMLI (ASCEND Secure Access Firewall, CHECKPOINT (Firewall-1 ou Solstice), ON GUARD Firewall, …), sont en fait des passerelles applications hybrides dans la mesure où elles offrent à la fois toutes les fonctionnalités des filtres de paquets et des passerelles utilisant les agents proxies et plus encore…
Audit et journalisation des événements
Pour détecter et réagir aux incidents ou aux attaques éventuelles, le firewall doit être capable d'effectuer un audit et une journalisation des événements clés qui surviennent au niveau des ressources de calcul et d'informations de l'entreprise. La politique de sécurité doit prévoir un processus de planification et de réactions aux incidents de sécurité.
La plupart des firewalls sont munis d'outils de détection. Le tableau suivant présente les différents types d'outils de détection.
Fig. 5‑4 Les outils de détection d'intrusion
En règle générale, les firewalls sont capables de détecter, en plus de la plupart des attaques classiques (IP sniffing, IP spoofing, le refus de services, …), les indices typiques d'attaques potentielles suivants:
· Des types suspects d'utilisation (heure anormale d'utilisation, profil d'utilisateur et comportements suspects)
Exemple de comportement suspect: un pirate tente de s'introduire depuis l'Internet sur un réseau d'entreprise en dehors des heures de travail, se connecte sur un compte utilisateur ou accède au système par FTP, navigue dans l'arborescence du système de fichiers pour atteindre les niveaux supérieurs, liste les fichiers de chaque répertoire.
Autre exemple: un pirate casse le compte d'un utilisateur novice, utilise des commandes avancées qu'un utilisateur novice n'est pas censé connaître.
· L'utilisation de compte par défaut, inconnu ou inactif auparavant
Les comptes par défaut tels que guest sous MS Windows, field, system, test sous MVS ou encore daemon, lpd, sync, bin sous UNIX, possèdent souvent des mots de passe par défaut voire, des fois, aucun. Ils sont fréquemment visés par les pirates. Ces derniers peuvent également créer des comptes ou en activer pour s'introduire.
· Des altérations effectuées sur des fichiers
Pour parvenir à leurs fins, les agresseurs changent souvent les fichiers systèmes importants. Pour effacer les traces de leur passage, ils peuvent aussi altérer les fichiers d'audit et de journalisation.
· La découverte d'outils logiciels pour l'effraction électronique de système
Beaucoup d'outils logiciels pour l'attaque de système laisse des traces particulières. Par exemple, «Kuang» qui permet sous UNIX de passer root, laisse des fichiers de type .X et .XX
· Les connexions venant d'adresses Internet suspectes
Des connexions depuis des sites connus de pirates Internet, par exemple, peuvent indiquer une tentative d'intrusion.
Il est également possible de tester l’efficacité de ces outils en utilisant des outils de sécurité de réseau - tels que « Pingware » de Bellcore, « Netprobe » d’Infostructure, « Internet Security Scanner » d’ISS et même l’infâme « SATAN » - qui essaient d’identifier et d’exploiter les trous de sécurité d’une architecture réseau.
Exploitation des informations recueillies et génération d'alarmes
Tous les services fournis par le firewall doivent offrir la possibilité d'être journalisés. La forme des rapports est primordiale pour faciliter l'exploitation du fond par l'administrateur du réseau. Aussi, les solutions firewalls permettent-ils de plus en plus la personnalisation des rapports via l'interface graphique utilisateur (GUI) afin d'extraire très rapidement l'essentiel de l'information auditée et journalisée.
Les informations suivantes peuvent être auditées et journalisées:
· Le détail des connexions et des tentatives de connexion à des services du firewall
· Le détail des sessions incluant:
- la date, l'heure, la durée
- l'hôte source et l'hôte destination
- le nom de l'utilisateur quand il peut être déterminé
- la quantité de données transférées dans les deux directions
· Les données liées à l'intégrité et au fonctionnement du firewall lui-même:
- les connexions et les tentatives de connexion
- les modifications non autorisées des fichiers systèmes
- les insuffisances d'espace disque
· etc.…
Le firewall peut proposer les fonctionnalités suivantes:
· Un système de chiffrement, de compression, de sauvegarde et/ou d'effacement des rapports d'audits et des journaux. En effet, ceux-ci peuvent très rapidement occuper des espaces disques très volumineux du fait de la grande quantité de données à journaliser. Ainsi, le firewall DEC Alta Vista Firewall permet d'archiver les journaux systèmes à minuit de chaque jour, le premier de chaque mois et/ou tous les ans.
· Lorsqu'un incident est détecter, une alarme doit être générée et rapportée à l'administrateur ou une liste prédéfinie d'utilisateurs. Ce rapport peut être envoyé de façon régulière dans le temps et/ou lorsqu'il y a effectivement eu un incident en temps réel. Il peut prendre les formes suivantes:
- un message au niveau de l'interface graphique (GUI) du firewall
- un e-mail
- un message envoyé sur un boîtier messager électronique ou pager
· A la suite d'une attaque, le firewall peut aussi:
- augmenter son niveau de sécurité en restreignant davantage l'accessibilité des différents services
- inscrire l'hôte distant qui a provoqué l'incident sur une liste noire
- désactiver le service voire le firewall tout entier
L'utilisation de toutes ces fonctionnalités dépend essentiellement du plan de réactions aux incidents de sécurité défini au cours de l'élaboration de la politique de sécurité.
publié par firewals à
14:30
0 commentaires:
Enregistrer un commentaire
Abonnement Publier les commentaires [Atom]
<< Accueil