HS LMF 12 : Le firewall, votre meilleur ennemi

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
18
nov.
2002
Presse
La sortie d'un nouveau hors-série de Linux Magazine, le n°12, consacré aux firewalls. Ce premier volet présente ce qu'est le filtrage, les mécanismes internes de Netfilter, pourquoi firewall et application web ne font pas bon ménage, comment gérer des logs hétérogènes, et enfin la pénétration de réseaux à l'aide de backdoors réellement furtives.

Il sea suivi en Janvier d'un second volet détaillant différents types de firewalls (organisation réseau, FW matériels, FW personnels, FW bridges), comment déterminer et contrôler les règles d'un FW, voire les contourner. * Préambule : le firewall, mon meilleur ennemi

* Introduction au filtrage : qu'est ce que le filtrage, et où agit-il ?
- catégories de firewalls (stateless, stateful, proxying applicatif)
- protections offertes par les firewalls contre les attaques les plus
répandues (niveau réseau, niveau transport, niveau applicatif)
- les attaques qu'aucun firewall ou presque n'arrêtera

* Netfilter/iptable : fonctionnement interne du pare-feu selon Linux : tout ce que vous avez toujours voulu savoir sur Netfilter sans jamais oser le demander.
- architecture (hooks, tables, chaînes, pattern matching, cible)
- le moteur de suivi de session (conntrack)
- la traduction d'adresses réseau
- autres fonctionnalités (journalisation, marquage, extension de la
table mangle ...)

* Firewalls et applications web : architecture et sécurisation : pourquoi les firewalls sont impuissants face aux attaques web
- qu'est ce qu'une application web ?
- les attaques web (interprétation des URLs, contrôles des données
utilisateur, injection SQL, attaques sur les identifiants de
session, cross site scripting, ...)
- le filtrage applicatif

* Gestion de logs de firewalls hétérogène
« quand on pose un firewall quelque part, on ne le laisse pas moisir
tout seul dans son coin. Un firewall, ça s'entretient, ça s'arrose
tous les jours, il faut lui parler gentiment, tailler ses logs, etc. »
- collecte et transports (dispatcher, agents applicatifs, stockage)
- analyse par corrélation (contexte et analyse structurelle)

* Pénétration de réseaux et backdoors furtives
Pourquoi les pirates peuvent traverser la plupart de vos firewalls
personnels, pénétrer vos VPN et utiliser vos systèmes d'informations
malgré vos installations rigoureuses d'outils censés vous protéger ?
- la théorie : la pile TCP/IP dans les OS standards
- architecture réseau et problèmes associés
- pratique : chevaux de Troie furtifs

Ce hors-série est "MISC powered" ;-)

Aller plus loin

  • # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

    Posté par  . Évalué à 9.

    Je l'attendais, je l'ai, j'ai commencé à la lire : très intéressant pour quelqu'un qui, comme moi, est informaticien, bien dégrossi en réseaux, et modérément dégrossi en sécurité. Vivement janvier. :)

  • # typo

    Posté par  . Évalué à -1.

    bacdoor = backdoor, voir porte dérobée

    • [^] # Re: typo

      Posté par  . Évalué à -1.

      Il sea suivi = Il sera suivi ?

    • [^] # Re: typo

      Posté par  (site web personnel) . Évalué à -2.

      Il sea suivi en Janvier
      ^^^^^
      sera

      • [^] # groupf ;-)

        Posté par  (site web personnel) . Évalué à -1.

        Excuse 1 : je tape tellement vite sur les touches de mon clavier qu'il n'a pas le temps d'enregistrer toutes les entrées

        Excuse 2 : oui, bon, ben, c'est la matin et je buvais mon café en même temps ... ca arrive à tout le monde non ;-)

        • [^] # Re: groupf ;-)

          Posté par  . Évalué à 1.

          on est hors-sujet, mais dis moi Pappy, je ne parviens pas a me procurer les Misc (inconnu de mes marchands de journaux). Et le site ne propose que le 1 et le 2 en commande. Comment puis-ja faire pour acheter le 3 et 4 ??

          • [^] # Re: groupf ;-)

            Posté par  (site web personnel) . Évalué à 4.

            Pour les marchands de journaux, demande de le commander avec le code L 19018 - 4. On ne peut pas le commander auprès de Diamond tant qu'il est en vente chez les buralistes.

            Pour commander le 3 chez Diamond, tu fais comme pour commander le 1 ou le 2 ... sauf que ce n'est pas encore en ligne. Si tu as un problème, maile moi ou bien directement cial@ed-diamond.com, adresse qui nous permet de gérer les abonements et les commandes d'anciens numéros.

            • [^] # Re: groupf ;-)

              Posté par  . Évalué à 1.

              c'est vrai que je ne le trouve plus chez le marchand de journaux chez qui j'ai acheté les trois premiers.
              Le pire? Le titre... "M I S C ??? C'est quoi, c'est une bédé? De l'informatique! Ah bon! J'ai vendu ça moi ? Ca devait être il y a longtemps, alors!"
              Le titre ne permet pas de savoir que misc traite de sécurité informatique et qu'il vise à un haut niveau de qualité d'infos (lire pas un éniéme piratzvoiz).

              • [^] # sprotch

                Posté par  . Évalué à 0.

                lire pas un éniéme piratzvoiz

                A propos, quand Fozzy daignera-t-il répondre aux passionnantes questions que nous lui avons posées ? Hein ?

              • [^] # Re: groupf ;-)

                Posté par  . Évalué à 3.

                :-) Moi j'ai eut le droit a :
                " Miss? Vous trouverez ca dans les magazines du haut, la."

                Est-ce que qqn sait ou je peux le trouver dans le coin de La Defense ??

                • [^] # Re: groupf ;-)

                  Posté par  . Évalué à 1.

                  je l'ai trouvé sur l'avenue du gal de gaulle (c'est bien ça, le nom de cette avenue ?), en face du 168 où j'avais un entretien. Mais j'ai eu du mal, la couverture n'a aucun rapport avec le look des précédents numéros. Cherchez un truc bleu.

                  • [^] # Re: groupf ;-)

                    Posté par  (site web personnel) . Évalué à 2.

                    Dans le 11° arrondissement (p'têt ben avenue Philippe Auguste...), j'ai quand même vu un tabac-presse qui avait mis MISC en vitrine!
                    Mais je ne l'ai pas acheté ce jour là, et maintenant, faut que je le cherche sur Rennes :-(

  • # Nouveaux articles ou compilation ?

    Posté par  (site web personnel) . Évalué à 4.

    Avant d'acheter ce HS LMF qui a l'air pas mal, je voulais savoir si ce sont des nouveaux articles écrits pour l'occasion ou des reprises d'articles déjà publiés auparavant (entre autre dans MISC) ?

    Car il y a pas mal de sujet pour lesquels j'ai déjà lu des articles dans LMF ou MISC (Netfilter entre autres).

    • [^] # une reprise et que des nouveaux

      Posté par  (site web personnel) . Évalué à 10.

      Le préambule est une reprise d'un article de ZipiZ publié dans MISC 1 sur les "dangers" du firewall. Nous avons ce court préambule (2 pages) car il résume parfaitement toute la situation vis-à-vis des firewalls.

      Tous les autres articles sont intégralement nouveaux. Concernant celui sur netfilter, nous avons voulu présenter ses mécanismes internes en détails, plutôt que de donner un exemple de configuration. En effet, d'une part, un tel exercice soulève souvent plus de questions que ça n'apporte de réponses puisque chacun possède des besoins et une configuration particulière, qui ne correspond donc jamais à l'exemple qui serait traité dans l'article. D'autre part, de tels articles foisonnent par ailleurs sur le net.

      Dernier point, concernant l'article sur les backdoors furtives. J'epsère qu'il sera lu par les personnes qui vendent des FW (personnels en particulier) en prétendant que leur(s) produit(s) protège(nt) de toutes les attaques, connues ou non ... et qu'ils arrêteront alors de dire n'importe quoi.

      • [^] # Re: une reprise et que des nouveaux

        Posté par  . Évalué à 7.

        Dernier point, concernant l'article sur les backdoors furtives.
        J'epsère qu'il sera lu par les personnes qui vendent des FW
        (personnels en particulier) en prétendant que leur(s) produit(s)
        protège(nt) de toutes les attaques, connues ou non ... et qu'ils
        arrêteront alors de dire n'importe quoi.

        Bonjour,

        allez vendre un produit à un client en lui disant que votre produit ne bloque pas tout : ce dernier va alors aller voir le premier pipoteur qui lui dira que le sien, si, il bloque tout. conclusion, pour vendre, faut y aller : "notre produit fait des miracles, il arrête tout". Un peu comme les pubs pour .Net ou on passe de 16 heures pour développer une appli ( avec le temps de déboggage ) à 16 minutes ... Faut être bête pour y croire, mais apparemment, ça marche. Trop bien, même !

        Donc, la meilleure arme face à des gens qui promettent la lune, c'est son cerveau/exprit critique. Après, hein, libre à chacun de...

  • # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

    Posté par  . Évalué à 5.

    Le produit est interessant cependant je le trouve cher... trop cher
    sachant que la prochaine mouture sera au meme tarif ca nous fait 12E (80FF) le cours global. Le magazine est au meme prix que linux-mag alors qu'il n'y a pas le CD et moins de pages... J'aurais aussi aimé qq lignes de code (du meme style que MISC).
    Pour le prochain numero de janvier, je jeterai un oeil attentif sur l'ours avant d'acheter.

    • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

      Posté par  . Évalué à 7.

      Les connaissances qu'il y a dedans valent bien plus que 6 euros.
      Franchement, entre 6 euros pour quelques heures de lecture et je ne sais pas combien de centaines d'euros pour une formation sur le meme genre de sujets, 6 euros, c'est cadeau!

      D'un autre cote, quand on est un particulier, la formation est inaccessible, et 6 euros, c'est plus cher qu'un kebab. Mais c'est quand meme moins cher qu'une pizza, alors bon...

      Le bonjour chez vous,
      Yves (qui l'a deja achete)

  • # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

    Posté par  (site web personnel) . Évalué à 3.

    Tenez ... pour le mème prix, je vous ajoute un petit lien très interressant sur l'évolution vers iptables de vos règles de firewall anciennement en ipfwadm ou ipchains ...

    http://christian.caleca.free.fr/netfilter/index.htm(...)

    A lire absolument pour bien saisir les mécanismes INPOUT, OUTPUT et FORWARD.

    A++

    • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

      Posté par  . Évalué à 0.

      Mouais, les explications sont assez sympas, mais bon, pour une doc qui parle de filtrage, je trouve assez dommage qu'il n'y ait que peu d'explications "de sécurité", vers la fin du document, et très incomplètes (pas de vérifications des flags TCP pour les --state NEW, pas de suivi de connexions du tout pour le service local, etc...).


      A +

      VANHU.

    • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

      Posté par  . Évalué à 1.

      Excellent ! C'est la 1ère fois que je vois une doc expliquant clairement les bases de netfiler, et pourtant j'ai bien cherché.
      Une petite remarque cependant : depuis le kernel 2.4.18, la table mangle supporte aussi les chaînes INPUT, FORWARD et POSTROUTING.

      saisir les mécanismes INPOUT
      :-)

  • # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

    Posté par  (site web personnel) . Évalué à 1.

    Egalement, pour passer d'un environnement de firewalling sous windows + Checkpoint Firewall1, je vous propose 2 nouveaux liens :

    La home page de Fwbuilder (absolument époustouflant tant le GUI ressemble à celui de FW1).

    http://www.fwbuilder.org/(...)

    Ainsi que :

    cp2fwbuilder, un petit utilitaire pour convertir vos rules FW1 -> Fwbuilder.

    http://cp2fwbuilder.sourceforge.net/(...)

    A++

  • # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

    Posté par  . Évalué à -1.

    pourquoi deux volets donc deux numéros ?

    il y a tant de pages que ça ?

    un numéro sur les proxy est prévu ? (ou c'est couvert par les FW bridges) car bon, ça va souvent ensemble voir sur la même machine.

    • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

      Posté par  . Évalué à 3.

      un proxy et un firewall sur la même machine ? c'est contraire aux règles élémentaires de sécurité. Un Firewall ne doit faire QUE firewall, tout service supplémentaire sera une faille potentielle rajoutée sur le firewall.

      Bon, ok, là je parle d'un point de vue professionnel. Un particulier "normal" n'a pas 3 machines à sa dispo - son poste de travail, un FW, et un proxy dans sa DMZ ;)

      Mais bon, trop d'admins systèmes prétendent s'y connaitre en sécurité alors qu'ils sont capable de tout foutre sur la même machine, en prétendant avoir une solution top sécure de la mort qui tue...

      • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

        Posté par  . Évalué à 2.

        Y'a proxy et proxy: un proxy cache/autre n'a (normalement) pas sa place sur un firewall, mais un proxy "filtrage", voire un proxy "validation des paquets au niveau protocole" y est tout a fait à sa place.


        Il y a meme des produits de filtrage uniquement basés sur le principe de proxy.

        • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

          Posté par  . Évalué à 1.

          On est d'accord. Je parlais d'un proxy de type "applicatif", et non de proxy travaillant au niveau des paquets.

          • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

            Posté par  . Évalué à 3.

            et non de proxy travaillant au niveau des paquets C'est interessant comme concept. Un proxy est forcement "applicatif" et ne peut travailler au niveau des paquets, ne serait-ce que parce qu'une requete peut se trouver eclatee sur plusieurs paquets, voire fragments de paquets. Ce qui fait la difference, c'est le contexte dans lequel on l'utilise, et donc son but. Un "firewall" (pour autant que se terme est encore un sens) peut mettre en oeuvre aussi bien du filtrage de paquets que des proxies pour faire du filtrage applicatif, du moment que c'est la pour securiser le truc. FW1 a un belle collection de proxies, les PIX aussi, ca n'a l'air de faire bondir personne ;)

            • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

              Posté par  . Évalué à 1.

              En réfléchissant, quand tu fais du masquage, c'est un peu une fonction de proxy... au niveau des paquets. Tu vois un proxy qui a besoin de réassembler les paquets pour travailler, donc nécéssairement applicatif. Je ne prendrais que l'exemple d'un proxy ARP. Un paquet ARP fragmenté, faut être carrément vicieux quand même ;) Ce qui fait la difference, c'est le contexte dans lequel on l'utilise, et donc son but. Un "firewall" (pour autant que se terme est encore un sens) peut mettre en oeuvre aussi bien du filtrage de paquets que des proxies pour faire du filtrage applicatif, du moment que c'est la pour securiser le truc. Le problème avec le filtrage applicatif sur le pare-feu, c'est que: - ça consomme de la ressource en plus, donc les performances de filtrage diminuent - si le filtre plante, que se passe-t-il ? - si le filtre est exploitable, que se passe-t-il ? Je maintiens que rajouter des filtres applicatifs sur un pare-feu, c'est rajouter des faiblesses. FW1 a un belle collection de proxies, les PIX aussi, ca n'a l'air de faire bondir personne ;) Tu m'étonnes, il y a toujours des couillons pour les acheter :) Pour ce qui est de FW1 et ses proxies, je n'aurais qu'une seule réponse: faut être fou pour les utiliser ;-) Oui, j'utilise du FW1. Non, je n'activerais *jamais* autre chose, y compris checkpoint certified, sur la machine. (euh... et non, j'ai pas le choix pour ce FW ;)

              • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

                Posté par  . Évalué à 3.

                C'est amusant ton concept. La qualité de ta sécurité est dictée par le maillon le plus faible. Si ton proxy (prenons l'exemple d'un proxy web) est troué, le trou est dans l'application proxy. Cette application est AUTORISEE a travers le firewall, donc exploitable malgré ton firewall. Bref effectivement c'est mieux de ne pas faire tourner trop de choses sur le firewall. Mais il faut garder à l'esprit que faire tourner un service applicatif sur une autre machine n'apporte pas pour autant la sécurité. La seule différence c'est: cas 1: proxy et FW sur meme machine: l'exploit permet au cracker de posseder le FW, c'est mal. cas 2: proxy derriere le FW: l'exploit permet au cracker de posseder le proxy qui est derriere le FW, du coup il a moins de possibilitées de communication avec le monde exterieur, mais rien n'est impossible. il peut commencer a sniffer le reseau interne/dmz, attaquer d'autres machines de l'interieur ... les FW et proxy sont bien, mais il FAUT au minimum : - lire et exploiter les logs - auditer les regles et config regulierement - verifier les cheksum des fichiers important (type tripwire)

              • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

                Posté par  . Évalué à 4.

                En réfléchissant, quand tu fais du masquage, c'est un peu une fonction de proxy... au niveau des paquets. Absolument pas, par essence. Ce n'est pas le resultat qui est interessant, mais la maniere dont il est obtenu. Hors un proxy traite des requetes applicative, et un systeme de traduction d'adresses des paquets. C'est fondamentalement different, et c'est justement la que se situent les avantages et faiblesses des chacun des deux systemes. Je ne prendrais que l'exemple d'un proxy ARP. Un paquet ARP fragmenté, faut être carrément vicieux quand même ;) Un proxy est un mandataire pour un protocole donne. On parlait de protocole applicatif de niveau 7, mais si tu veux entrer dans le detail, et la jouer tordu, on peut la jouer tordu. ARP est un protocole de niveau 3, qui ne supporte pas la fragmentation (concept de niveau 3) et qui concu pour tenir en entier dans la trame de niveau 2 sous-jacente. Ca me parait un peu deplace comme exemple, maibon ;) Si tu parles de proxy ARP, il faut l'opposer a la notion de bridge par exemple, pour avoir quelquechose de comparable a l'opposition filtre+NAT/proxy. Si tu veux aller jusqu'a dire qu'un NAT est un proxy de niveau 4 (voire 5), pourquoi pas, on n'est plus a un abus de langage pres dans le monde de l'informatique, mais on prend bien garde a ne pas rapprocher ce concept de celui de proxy applicatif, de niveau 7. Je maintiens que rajouter des filtres applicatifs sur un pare-feu, c'est rajouter des faiblesses. Toujours, on est d'accord, mais ce n'etait pas l'objet de ma remarque. Malheureusement, tout le monde n'a pas les moyens/l'envie/la sagesse de creer une DMZ specialisee pour les proxies. C'est le marche qui veut ca, et c'est clairement a deplorer. Et la, on est d'accord. <--- c'est le but non ? C'est juste le concept de "proxy au niveau paquet" qui me fait bondir ;)

        • [^] # Re: HS LMF 12 : Le firewall, votre meilleur ennemi

          Posté par  . Évalué à 2.

          Dans certain cas, il est même indispensable d'avoir un proxy sur le firewall si celui-ci fait un nat (au hasard ftp-proxy ;)

  • # Filtrage Applicatif

    Posté par  . Évalué à 2.

    Excellent Hors serie, dommage qu'rWeb ne soit pas cité. rWeb permet de filtrer intégralement le flux HTTP (URI, ARGUMENTS, DATA). Il devient possible d'etablir une liste blanche (et ou liste noire) et de ne laisser passer que ce que l'on attend. Finit le cross site scripting et autre vilaineries!! :-) Ce produit est notament utilisé pour sécurisé les sites de plusieurs banques. plus de renseignement : http://www.deny-all.com

    • [^] # Re: Filtrage Applicatif

      Posté par  . Évalué à 1.

      Excellent Hors serie, dommage qu'rWeb ne soit pas cité.

      Je te donne un indice : il faut filer son adresse de mail pour pouvoir le telecharger...

      Ensuite, d'apres les fonctionnalites annoncees, j'ai du mal a cerner la difference entre ceci et un Apache+mod_proxy+mod_rewrite et mod_ssl pour le HTTPS).

      Finit le cross site scripting et autre vilaineries!! :-)

      Y'a un pas que je ne franchirai pas la ;)))

      Et puis, c'est libre comme truc ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.