Par Xavier GRUSELLE et Grégory ALLAIN (Site optimisé pour Firefox 1.5)

Liens conseillés

• Détection d'intrusion Systèmes de détection d'intrusion: vocabulaire, terminologie, critère de choix, positionnement, utilité...
• La sécurité "by-design"Une vue d'ensemble sur la sécurité informatique par la société TWD Industries
• Présentation sur les IDSUne présentation simple mais efficace des systèmes IDS par la societe HSC
• Serveur-proxy type FirewallComme son nom l'indique : Qu'est ce qu'un serveur proxy de type Firewall
• HIDS/NIDSUn site trés complet sur les IDS et la sécurité informatique en général
• FAQ IDS (Anglais)Un FAQ complet sur les IDS et autres, malheureusement en anglais
• Définitions IDSUn rapide rappel sur les définitions liées aux IDS
• Site officiel de SquidComme son nom l'indique, le site officiel du célébre serveur proxy
• Wiki sur SquidUn court aperçu du logiciel avec quelques liens
• CCM - les IDSLe célébre site 'Comment ça marche' s'intéresse ici aux IDS
• Un tutorial sur les ACLsQu'est ce qu'une ACL, comment la modifier...Un paranorama sur les listes de contrôles d'accès
• Tenable Network SecurityLe site de la société Tenable Network Security Inc.
• Internet Security SystemsLe site de la société Internet Security Systems (ISS)
• Solution IPS CiscoUn apercu des solutions IPS proposées par la société Cisco
• Solution IDS EnteraSysUn apercu des solutions IDS proposées par la société EnteraSys Security

Firewalls et intrusions

Le firewall est un système de contrôle d’accès périphérique basé sur des règles statiques autorisant ou non certains flux. Les entreprises les ont principalement adoptés pour créer des périmètres de sécurité et des zones de confinement de certains flux applicatifs.

Les firewalls des systèmes qui travaillent essentiellement au niveau des couches basses du modèle OSI (en général jusqu’au niveau 4), ce qui est insuffisant du point de vue d’une intrusion.

Prenons le cas de l’attaque Decode Bug : Si le firewall est configuré pour autoriser les flux HTTP, ce qui est relativement fréquent, il ne pourra pas détecter (et encore moins bloquer) l’intrusion car les requêtes liées à l’attaque sont effectuées au niveau applicatif, à l’intérieur de paquets HTTP qui auront été autorisés par le firewall.

Il existe 3 types de firewalls :

• Les systèmes à filtrage de paquets : ces firewalls se contentent d’analyser les paquets indépendamment les uns des autres et les autorisent ou non en fonction de règles de filtrage préconfigurées. Il est plutôt simple de contourner ces systèmes en leur faisant croire que les paquets appartiennent à une session déjà établie alors que ce n’est pas le cas (par exemple avec NMAP).
• Les systèmes à maintien d’état (statefull) : ces firewalls travaillent aux mêmes niveaux que les précédents mais implémentent en plus une table d’analyse de l’état des sessions. Le firewall peut ainsi déterminer si un paquet entrant appartient à une session régulière ou non. Ce mode peut empêcher certaines méthodes de reconnaissance (par exemple avec NMAP).
• Les firewalls de type proxy : ces systèmes sont encore plus évolués et peuvent par exemple détecter des attaques par insertion (man in the middle ou MiM). Par exemple, lorsqu’un firewall proxy analyse une session HTTP, le navigateur du client se connecte au proxy. Celui-ci effectue ensuite une requête vers le serveur Web désiré de la part de l’utilisateur. L’information retournée est analysée et traitée avant d’être renvoyée à l’utilisateur. En s’intercalant dans la session, le proxy peut vérifier que les échanges protocolaires sont conformes aux normes.

Il est important de noter que certains firewalls intègrent des fonctions complémentaires de détection et/ou prévention des intrusions. Le simple terme firewall n’est plus vraiment approprié dans ce cas et certains analystes préfèrent l’expression firewall applicatif.

On peut considérer que le firewall est le premier type de système à avoir offert des fonctionnalités simples de prévention des intrusions, sans pour autant le qualifier d’IPS.

En effet, le but d’un IPS est de prévenir une intrusion sur un flux autorisé et non d’interdire tous les flux associés à un protocole donné pour ne pas prendre de risque.

Le type de prévention que fournit un firewall ne perturbe généralement pas le système à protéger. Si on interdit les connexions en provenance d’adresses IP non connues, il n’y aura pas généralement de conséquences pour l’entreprise visée.

Certaines sociétés ont entrepris de coupler un IDS avec un firewall : quand une intrusion est détectée, une règle est automatiquement ajoutée au firewall pour bloquer l’adresse incriminée. Cette solution est intéressante mais peut s’avérer parfois risquée pour l’entreprise car il ne faut pas oublier que sur Internet, on ne peut jamais être certain de l’identité de la source. Il est en effet relativement simple de se faire passer pour quelqu’un d’autre en usurpant son adresse IP.

Par le passé, certains groupes de pirates ont même utilisé ces mécanismes de reconfiguration automatique de firewalls pour prendre la main sur celui-ci et compromettre la totalité du système d’information. Le principe de la technique d’intrusion consistait à forcer l’IDS à reconfigurer le firewall en permanence jusqu’à ce que les tables de celui-ci saturent. Le firewall devenait alors totalement perméable, laissant le réseau sans ligne de défense !

Dream © 2006