Hacker 2020

Les proxys et les firewalls

   Proxys: Le serveur proxy est un moyen comme un autre de connecter tout un réseau à travers une seule adresse IP. De plus un proxy est un moyen de sécurité assez puissant, vu que un serveur proxy peut autoriser une connexion internet vers "l'extérieur" pour le réseau mais peut interdire une connexion "extérieure" via le proxy vers le réseau. Un proxy mets aussi en place ce que l'on appelle une mise en cache des pages visitées, ce qui revient à dire qu'en retournant sur la page visitée, la mise en cache s'éxécute et vous voyez la page de la mise en cache. Ainsi il n'y a aucun temps de chargement. Le problème reste le même avec ce système: quand on veut voir la nouvelle version d'un page web, la mise en cache s'éxécutera et on verra l'ancienne. Il ne restera alors qu'à reload la page. Ainsi en implémentant d'autres produits pour la sécurité le proxy peut alors devenir un "firewall" à part entière. Point de vue connexion on comprend bien que le proxy a 2 ou plus de cartes réseaux pour pouvoir joindre le réseau extérieur et le réseau intérieur. Tout ceci pour se sécuriser contre les intrusions LAN. Sur certains proxys la seule IP visible sera ladresse IP du proxy lorsque le routage d'IP ne sera pas activé (vous pouvez voir ça en cliquant sur Démarrer/Exécuter/winipcfg/plus d'infos/ en haut il y a coché ou non routage d'IP activé, avec d'autres infos comme WINS proxy activé etc...). De plus nombreux proxys filtrent les packets (tels des firewalls), de sorte que la machine recevant les trames reçoive aussi une demande de bloquage ou d'autorisation lors de la réception du packet de données.
   Un réseau interne est composé de multitudes de paires d'addresses IP: le Local Address Table - LAT. Le LAT est créé lors de l'installation du proxy pour définir les adresses internes. Prenons l'exemple concret de Microsoft: les serveurs proxy Microsoft utilisent la table de routage de windows NT pour autocréer le LAT, ce qui a pour effet de produire des erreurs. Information
interessante quand on sait que les paquets IP routés via ce chemin ne seront pas soumis aux regles. Ce qui inclut donc que les sous réseaux peuvent être dans le même cas. Par ailleurs nous pouvons supposer qu'en éditant le fichier msplat.txt qui est dans le dossier \Mspclnt de la machine proxy, nous pourrons voir le LAT. Seuls les utilisateurs du réseau interne peuvent y établir une connection et ainsi modifier la LAT.
   Firewalls (with the help of Tobozo): Un firewall permet de renforcer le dispositif de sécurité mis en place sur un système à l'aide de plusieurs options séléctionnées par le niveau de sécurité selon la sensibilitée des données à protéger. Donc en réalité un firewall fait une sélection des données à recevoir. Cette sélection s'appelle filtrage. Le filtrage permet de déterminer l'acceptation de réceptions des trames dont le système utilisant le firewall devrait bénéficier. Il est conçu aussi pour empêcher l'intrusion d'une machine "ennemie" sur la machine "amie". Donc les options du firewall permettent au firewall de savoir ce qu'il va devoir filtrer. Ces options sont les Règles de Contrôle d'Accès (Acces Control Policy). Les firewalls de type réseau operent au niveau des paquets IP. Ils possedent en general deux interfaces (cartes réseau), une vers le réseau "ami" et l'autre vers le
réseau "ennemi". Le filtrage s'établit par examination et comparaison des paquets sur la tabledes Regles de Controle d'Acces. Ces firewalls sont capables de filtrer un trafic composé de n'importe quelle combinaison d'IP source et destination, type de paquet ou assignement de port TCP. Normalement spécialisés comme des routeurs d'IP, ils sont rapides et efficaces et transparents a toute opération réseau. Les firewalls d'aujourd'hui deviennent de plus en plus complexes. Ils peuvent conserver des informations sur les statistiquesdes paquets qui les traversent, y compris certaines données. Les exemples qui sont decrits plus bas sont ceux de :
-Bastion Host
-Screened Host
-Screened Subnet

Bastion Host Firewall

Communément rencontré sur les réseaux, le terme bastion réfere a la structure d'un vieux chateau, principalement pour la notion du pont-levis. C'est un ordinateur avec au moins deux interfaces (cartes réseau), une vers le réseau "ami" et l'autre vers le réseau "ennemi". Quand le premier acces réseau estautorisé depuis l'interieur vers la partie "ennemi" par le Bastion Host, tous les autres acces le sont également. Physiquement, les Bastion Host se place entre l'intérieur et l'exterieur du réseau,sans autre intervenant. Ils sont normalement utilisés comme une partie d'un autre firewall -plus grand et plus sophistiqué-.
Les désavantages : Une fois qu'un intrus a les droits d'acces, il a un acces direct a la totalité du
réseau. Ce type de protection n'est pas assez sophistiqué pour les applications
réseau.

Screened Host Firewall

Déjà plus poussé au niveau technique, ce firewall utilise un routeur intégré avec
au moins deux interfaces (cartes réseau), une vers le réseau "ami" et l'autre vers
un Bastion Host. Le routeur intégré sert d'intermédiaire avec Bastion Host. Ainsi
les paquets sont routés apres avoir été filtrés selon des regles prédéfinies. Ces
regles peuvent décider quelles adresses IP sont autorisées ou refusées. Tous les
autres examens de paquets sont effectués par les "Bastion Host". Le routeur fait
baisser le traffic vers le bastion host et allege le travail en diminuant le nombre
d'algorithmes a éxécuter.
Physiquement, le Screened Host est un routeur avec une connexion sur l'exterieur et
une connexion vers un "Bastion Host". Le Bastion Host a une connexion avec le
routeur et une connexion sur le réseau interne.
Les désavantages : S'il est seul, il peut devenir un goulot d'étranglement. Si le systeme hote tombe,
la passerelle entiere tombe avec.

Screened Subnet Firewalls

Avec plusieurs autres routeurs et Bastion Hosts, on forme une batterie de pont-levis a un réseau. Physiquement plus difficile a représenter, mais un résultat plus sécurisé dans un environnemt robuste. Normalement il se constitue comme suit : Un routeur avec une connexion sur le reseau exterieur et une autre sur un Bastion Host. Le bastion Host a une connexion sur le routeur le plus proche de la sortie et une connexion sur un autre bastion host, avec une connexion réseau adressable au milieu.
Le bastion host le plus proche de l'intérieur a une connexion vers le bastion host le plus proche de la sortie et une autre connexion sur un routeur interne. Lerouteur interne a une connexion vers le Bastion host le plus proche de l'entrée du réseau interne. Le résultat de cette configuration tortueuse est que lescomposants de sécurité ne bogguent jamais, et toutes les adresses ip internes sont
invisibles de l'exterieur, évitant ainsi toute possibilité de "mapping". Les désavantages :
Le prix (deux a trois fois plus cher). L'implémentation doit etre faite par un professionnel de la sécurité. A déconseiller au newbies.
Du point de vue client, un serveur proxy est une application qui se substitue aux ressources réseau en se faisant passer pour l'émetteur/récepteur. Du point de vue réseau, le serveur proxy accede aux ressources en se faisant passer pour le client.Les firewall a niveau applicatif peuvent aussi controler un traffic entre deux réseaux. Ils sont aussi capable de proposer des fonctions comme les mesures d'auditet de logging avancé. Les statistiques sont plus détaillées mais généralement ne lefont pas si bien que ca. C'est avant tout un programme qui s'éxécute sur une machine qui est attaquable et plantable; le cas échéant, vous crashez le firewall avec. A utiliser en complément avec des firewalls network level.