Le
filtrage de paquets au coeur du système de sécurité réseau
Véritable pièce maîtresse d'un réseau mais aussi cible privilégiée des pirates, le pare-feu est soumis à de multiples contraintes que détaille Alcôve dans son livre blanc. (Vendredi 31 octobre
2003)
Dans un livre blanc consacré au filtrage de
paquets (systèmes pare-feu) sous GNU/Linux, la société Alcôve
fait un tour complet des différentes facettes de cet élément
incontournable - mais également fragile - d'un système de sécurité
réseau.
Revenant sur les fondamentaux de cette technologie, le livre blanc présente
certains outils Open Source et rappelle la nécessité de protéger
le filtre de paquets, composant soumis à de multiples menaces.
Quelques
fondamentaux et des exemples Rappelant qu'un filtre de paquets peut
analyser soit le protocole utilisé (TCP, UDP, ICMP), soit l'adresse IP
de la machine émettrice ou réceptrice, soit le service du paquet
(pour TCP ou UDP : HTTP, SMTP, SSH...), soit le type ICMP, le livre blanc détaille
les différents choix qui s'offrent au filtre : traiter, rejeter (en avertissant
l'expéditeur du paquet) ou ignorer.
Une solution, appelée Netfilter, possède grâce à son
intégration au sein des noyaux Linux de la série 2.4 ou supérieure,
la possibilité de modifier les paquets, avant que la couche applicative
ne les traite. Cette solution intègre par ailleurs la notion de "session
connection tracking", à savoir le traitement de l'état
d'une connexion. Cela lui permet notamment d'autoriser le passage de paquets exclusivement
liés à une connexion déjà établie.
Une place de choix et un
découpage logique La place du filtre
au sein du réseau est également cruciale
: le filtre doit être le point de passage obligé
de tout flux, et le seul. Pour optimiser l'efficacité
du filtre, le découpage du réseau en sous-réseaux
logiques, sans aucun lien entre eux, est souvent pratiqué.
La DMZ (zone démilitarisée) est un cas particulier
de découpage, quand des besoins de sécurité
interne et de visibilité extérieure sont
couplés.
Quant au serveur SMTP, composant hybride jouant à la fois un rôle
de messagerie interne mais aussi d'envoi et de réception de courriers vers
et depuis l'extérieur, deux choix de configuration se présentent
à lui. Soit au sein de la DMZ, en connexion directe avec le réseau
Internet, les postes clients lisant leurs courriers en POP3 ou IMAP directement
sur ce serveur. Soit sur le réseau interne, sachant qu'un serveur dupliqué
est également présent sur la DMZ, son unique rôle étant
de dialoguer avec le réseau Internet, pour ensuite transférer les
courriers au serveur interne. Les courriers internes et les mots de passe d'authentification
POP3/IMAP ne transitent donc jamais par la DMZ, ce qui est plus sûr que
la première configuration.
Small is beautiful Pièce maîtresse, mais très
exposée, du système de sécurité réseau, le
filtre n'en reste pas moins un élément vulnérable qu'il faut
protéger au maximum. Une règle est avancée par Alcôve,
celle du "small is beautiful". Elle part du constat qu'aucun
logiciel n'est à l'abri d'une faille de sécurité. Le filtre ne doit ainsi contenir
aucun service non indispensable, tel qu'un serveur Web ou de messagerie.
Enfin, des systèmes de détection d'intrusions
(comme Snort) sont même recommandés pour renforcer la protection
du filtre, soumis à une large variété d'attaques potentielles,
telles les attaques applicatives, l'IP spoofing (contrefaçon d'IP) ou le
déni de service.