Firewall

. Par contre le firewall ne transmet pas les paquets . Le pare feu accepte les paquets et les prend en charge jusqu'à la couche application .

II Les différents types .

1/Filtres de paquet .

Un firewall de ce type inspecte tous les paquets qu’il recoie et regarde s’ils correspondent aux règles préalablement établis. S’il respecte les règles il est accepté sinon il est rejeté . Les critères des règles peuvent être par exemple l’adresse IP , les ports sources et destination contenu dans les paquets .

2/ Les Proxy .

Lorsqu’un firewall de type proxy est utilisé sur un réseau , il n’y a aucune connexion directe entre les systèmes du réseau local et le réseau Internet . Les machines internes se connectent en fait au firewall pour lui demander un service . Après le FW se charge de relayer la requête au serveur Internet puis de renvoyer la réponse au client interne

3/Les hybrides .

La je peux pas dire grand chose dessus .

III Filtre de paquet .

(La technologie de filtre de paquets est incluse dans le noyau de Linux . Le filtre doit agir dans la pile IP du système . Pour utiliser cette technique vous allez devoir une fois de plus recompiler le noyau (Youpi vous allez bien vous marrez ) et répondre YES aux questions suivantes :

IP : forwarding/gatewaying (CONFIG_IP_FORWARD) YES

IP : firewalling (CONFIG_IP_FIREWALL) YES

IP : firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE) YES

Le noyau compilé , installé , redémarré vous allez être en mesure de configuré le FW.

(Pour cela on va utilisé ipfadm .

La syntaxe générale est :

ipfwadm -A commande paramètres [options]

ipfwadm -I commande paramètres [options]

ipfwadm -O commande paramètres [options]

ipfwadm -F commande paramètres [options]

ipfwadm -M [-l ou -s] [options]

Comme vous venez de le voir il y a cinq catégories :

-A configuration de l’accounting (compatibité des paquets atteignant le système) .

-I règles à appliquer aux paquets TCP/IP en entrée .

-O règles à appliquer aux paquets TCP/IP en sortie .

-F règles à appliquer aux paquets TCP/IP à router d’une interface à une autre .

-M administration de l’IP Masquerading .

Perso je pourrais vous parler que des categories I , O , F , M.

ipfwadm possède de très nombreuses options que je vais pas décrire ici par ce j’ai pas envie ! Lisez la doc Linux .

(Avant de créer toute règles de filtre IP , vas falloir définir des règles de sécurité .

Par exemple pour ma machine on va dire :

n Toute connexion du réseau internet vers une machine interne est interdite .

n De extérieur , on doit avoir accès au serveur de messagerie et au service DNS du firewall .

On va dire qu’on a un réseau interne de type 193.1.1.0/24 et qu’on est relié à un sous réseau de type 193.1.2.0/24 (entre le FW et le routeur) . Le FW ayant pour adresse 193.1.1.254 en interne (eth0) et 193.1.2.1 en externe (eth1) .

Je vais maintenant dire quelques uns des filtres que j’applique

-ipfwadm -O -p accept

La règle par défaut des paquets en sortie est accept (-p représente l’action par défaut)

- ipfwadm -I -p deny

La règle par défaut des paquets en entrée est deny .

-ipfwadm -F -p deny

La règle par défaut des paquets à router en entrée est deny .

-ipfwadm -F -a accept -S 193.1.1.0/24 -D0/0 -P tcp

Autorisation pour router tous les paquets TCP provenant de l’extérieur .

-ipfwadm -I -a deny -S 193.1.1.0/24 -D0/0 -W eth1

Cette commande sert à lutter contre le SPOOFING (changer son adresse IP) en effet cette règle dit que tous les paquets qui rentrent dans le sous réseau sécurisé et qui ont une adresse source correspondant à une adresse du sous réseau (ce qui n‘est pas logique) doivent être rejeté !

-ipfawadm -I -a accept -P udp -S0/0 -D 193.2.1.1 53

-ipfawadm -I -a accept -P tcp -S0/0 -D 193.2.1.1 53

Ces mesures disent que les accès au serveur DNS (port 53) sont accessible de n’importe où .

-ipfawadm -I -a accept -P udp -S0/0 -D 193.2.1.1 25

Accès au serveur SMTP du firewall de n’importe où .

Malheureusement on retrouve là le plus grand inconvenient des FW . En effet dans l’état actuelle système on ne pourra pas faire fonctionner un client FTP du réseau interne avec un serveur situé à l ‘extérieur .

Le protocole FTP prévoit l’établissement d’une connexion du serveur FTP vers le client (du port 20 -> port > 1024)

Mais il y a des solutions .

- Utiliser le client FTP en mode passif (A ce moment le client établit une connexion vers le serveur ftp)

- Utiliser un proxy(voir section suivante) installé sur le FW qui relaiera les requêtes de l’intérieur vers extérieur .

- Utiliser l’IP masquerading .

- Ou alors rajouter cette règle

ipfwadm -F -a accept -P tcp -S0/0 20 -D 193.1.1.0/24 1024-65535

Remarque intéressante : Si vous tombez sur un système avec une règle de ce type , vous pouvez en profitez , en effet cette règle expose les services du réseau interne qui écoutent sur un port >1024 . A partir de la vous avez plus qu’a fait partir un paquet du port 20 de votre machine vers un service . Beaucoup de services tournent sur ce port .

Par exemple pour sur les ports 6000vous avez les services X-Windows . S’ils n’ont pas ete protege correctement vous pouvez matter ce que fait le mec ! Vous pouvez memes voir les toubhes frappees , les programmes lancees . Si vous faites telnet dessus vous aurez je pense l’effet d’un denial of service ; l’ecran va se geler , le sys va ralentir ... Mais il y a plus rigolo !

SI vous vous y connaissez un peu en programmation utilisez la fonction XOpenDisplay() , si la fonction retourne NULL alors c’est securise sinon ...

char *hostname;

if (XOpenDisplay(hostname) == NULL) {

printf("Loupe : %s\n", hostname);

} else {

printf("Ca marche : %s\n", hostname);

}

Il y a a autre chose auquel il faut penser . Normalement la route qu’emprunte un paquet de se source a sa destination est determinee par les routeurs qui se trouvent entre eux . En fonction de l’adresse de destination et de leur table les routeurs se chargent de dirigier les paquets . Mais dans une trame TCP/IP , il y a une option qui porte le nom de « source routing » qui est peu utilisee . En fait on l’utilise dans le debuggage des reseaux pour trouver les problèmes . Le truc c’est que si vous envoyez un paquet en faisant croire qu’il vient de l’interieur , normalement les routeurs ne devrait pas l’ammener au FW mais le probleme la c’est qu’ils le font avec cette option . En plus c’est pas hyper du a faire ! Mais normalement il y a des options pour desactiver le «source routing » .

Note : n’oubliez pas de configurer les clients de telle façon que le routeur par défaut soit le FW .

IV IP MASQUERADING .

(C’est une technique de plus en plus utilisée . Elle consiste à masquer totalement l’adressage IP du réseau interne ( On peut donc utiliser des adresses IP privées ) . Ainsi chaque paquet qui traverse le firewall est modifié pour faire croire qu’il n’y a qu’un seul système connecté . Tout le réseau interne partage ainsi l’adresse IP (externe) du FW .

(Installation :

Bon beh va falloir recompiler le noyau (c’est la fête !) et répondre YES aux questions :

IP : forwarding/gatewaying (CONFIG_IP_FORWARD)

IP : firewalling (CONFIG_IP_FIREWALL)