Bienvenue sur Supporttechnique.com
Accueil | Tutoriaux | Outils | FAQ | Contacts | Tickets
Barre de navigation
  
Tutoriaux
 
Se protéger de quoi et comment ?

 

Le routeur filtre de paquets

Le rôle principal du routeur filtre de paquets est de permettre ou d’empêcher le passage des paquets de données reçus.

Le routeur examine tous les datagrammes afin de déterminer s'ils ne contiennent pas d’informations dérogeant aux règles de filtrage, règles basées sur le contenu informationnel de l’en-tête du datagramme.

L’en-tête contenant entre autre l’adresse IP source et destination, le protocole source et destination TCP/UDP (Transmission Control Protocol/User Datagram Protocol), ainsi qu’un message de type ICMP (Internet Control Message Protocol), il est aisé de vérifier si le paquet est destiné ou provient d’une localisation qui ne serait pas autorisée.
Signalons que le routeur se positionne au niveau 3 du modèle OSI et que le filtrage s’effectue généralement sur les datagrammes TCP, UDP et IP.



Le principe de fonctionnement du routeur est celui-ci :

  • Stocker les règles de filtrage sur chaque port physique du routeur.
  • Analyser l’en-tête du datagramme.
  • Appliquer les règles de filtrage aux paquets reçus.
  • Si une règle indique que le paquet doit être bloqué, celui-ci est rejeté.
  • Si une règle indique que le paquet doit être accepté, celui-ci est routé conformément à sa table de routage.
  • Si aucune règle ne s’applique, ce sont des règles par défaut configurables par l’utilisateur qui seront appliquées.

    Ainsi, si dans un tel cas on rejette les paquets, on peut bloquer tout trafic non explicitement permis.

    Exemple de règles pour Telnet:

    • Règle Direction Adresse source Adresse destination Protocole Port source Port destination Ack Set Action
    1 Entrée 155.547.*.* 195.874.12.5 TCP 14 > 512 oui Router
    2 Sortie 195.874.12.6 155.547.*.* TCP > 512 14 oui Router
    Défaut Entrée/Sortie *.*.*.* *.*.*.* Autre Autre Autre Autre Bloquer

    La règle 1 se lirait donc :
    "Router (permettre) le trafic en entrée dont les adresses sources débuteraient par 155.547 et dont l'adresse destination serait 195.874.12.5, dont le protocole serait TCP et dont le port source serait 14 avec un port destination supérieur à 512."

    Notons que la création de règles de filtrage est un moment important dans la mise en place d'un routeur et est directement tributaire de la politique de sécurité de l'entreprise.
    Si les règles définies sont insuffisantes ou mal conçues, le risque d'intrusion est grand, les méthodes de pénétration ne manquant pas.
    A titre d'illustration, évoquons le spoofing et la fragmentation de paquets.

    Quelques exemples typiques de méthode d'intrusion:

    Le Spoofing : le spoofing est une méthode commune d’intrusion.
    Cette méthode consiste à tromper le routeur sur l’adresse d’origine des paquets transmis :
    les paquets émis contiennent en fait l’adresse IP d’une machine interne au système que l’on désire pénétrer.
    Si le système emploie un service de défense simple comme celui d’un routeur, le stratagème a de bonnes chances de fonctionner, d’autant plus que les droits accordés en matière de sécurité dépendent généralement en partie de l’adresse IP.
    Ce genre d’attaque peut cependant être contourné en bloquant tout paquet qui viendrait d’un port source externe et qui contiendrait une adresse source interne au réseau.

    La fragmentation de paquet : cette technique vise principalement à contourner les règles de filtrage définies par l’utilisateur.
    Elle consiste à utiliser la propriété de fragmentation de IP afin de créer de tout petits fragments et de forcer l’en-tête TCP à être fragmentée elle aussi, l’espoir étant que seul le premier fragment sera analysé par le routeur, laissant alors passer tout le reste.
    Ce genre d’attaque peut être contournée en bloquant tout paquet dont le protocole est IP et dont la taille est inférieure à une taille déterminée.

    Les avantages du routeur filtre de paquets

    Les firewalls, dans leur grande majorité, sont basés sur l’emploi unique de routeurs filtrants.
    Cela s’explique pour plusieurs raisons :

  • Le gain de temps en terme de mise en place du routeur.
  • Le coût généralement faible d’un routeur filtrant.
  • Les performances de ces routeurs sont généralement bonnes.
  • Les routeurs filtrants sont transparents aux utilisateurs et aux applications.

    Cependant, le besoin croissant de sécurité et de contrôle du contenu informationnel des échanges met en évidence les limites de ce type de routeur. Examinons-les...

    Les limitations du routeur filtre de paquets

  • L’élaboration de règles de filtrage peut être une opération pénible à partir du moment où l’administrateur réseau doit avoir une compréhension détaillée des différents services Internet et du format des en-têtes des paquets.
    Si des règles complexes de filtrage doivent être mises en place, c’est un processus long, lourd et difficile à faire évoluer et à comprendre.
  • Le routeur filtre de paquets ne protège pas contre les applications du type Cheval de Troie.
  • Plus le nombre de règles à appliquer est grand, plus les performances du routeur diminuent, diminuant d’autant les performances de tout le système.
    On doit alors faire ici un choix parfois crucial entre performance et sécurité.
  • Le router filtrant n’est pas capable de comprendre le contexte du service qu’il rend : il ne peut par exemple pas bloquer l’importation de mail, de newsgroup concernant certains sujets.

    • << Les limitations du firewall | Protéger un réseau NT - outils >>