Le routage, c'est bien mais ...

Il était une fois, un apprenti hacker.

« - pom pom pom poooom (musique). Tiens m'sieur Marchais, j'ai un courrier pour toi.
- Merci, dépose le là. .... Dis donc, tu connais le salaire du patron ?
- Ben non et toi ?
- Ouaip. He bien Môsieur touche plus que moi. C'est un scandale !!
- Ooooh. Et t'as trouvé ça où ?
- Hé hé. L'autre jour, en fouillant un peu dans le réseau, je suis tombé sur un partage de la direction où les RH ont déposé de la doc pas vraiment publique. Et là, mon gars ...
- Ah. Je comprend mieux pourquoi la direction t'envoie du courrier. C'est sûrement pas pour t'offrir le salaire du boss.
- ?!!! Glps.

Eh oui, l'autre jour, les routeurs ont été renouvelés et les rêgles de sécurité n'ont pas encore été remises en place.

Mais quelle sécurité mettre en place ?

Il y a différents niveaux de sécurité simples :

• Le routage est la première sécurité (déjà vu)
• La seconde est la translation d'adresses ou/et de ports
• La troisième : le filtrage permet de mettre en place une sécurité plus avancée au niveau IP (on parle de routeur filtrant, bloc 2, pas encore de firewall, bloc 3)
• Enfin, les rêgles de filtrage avancées, au niveau 4 : TCP/UDP. Ici on est toujours sur un routeur filtrant, limite blocs 2 et 3.
• Pour finir, les couches ISO supérieures à transport appartiennent vraiment au bloc 3 et aux firewall qui filtre les niveaux 3 et 4 mais aussi les applications et processus.

Fidèles au bloc 2, nous verrons ici les trois premières pratiques de sûreté et de sécurité. Peut être courtiserons-nous le quatrième niveau ?

Petit add-on sur le routage (première sécurité).

Afin que le routage fasse son rôle, il est possible de définir des routes statiques particulières afin de limiter la communication au sein des réseaux.

Dans la table de routage, on pourrait ajouter des règles afin d'orienter les paquets vers une passerelle chargée de filtrer une partie des accès au réseau.

Ici, nous avons un réseau 162.168.0.0/24 avec un ensemble d'hôtes qui ne doivent pas pouvoir être atteints directement.

Pour ceux-là, on va définir une règle de routage, en plus de celle du réseau, qui aura un hôte spécialisé comme passerelle.

la table de routage pourrait être celle-ci :

Touts les paquets à destination des hôtes dans le filtre statique S (route 3) seront orientés vers sa passerelle. Les autres sont délivrés directement.
Bon, D'accord, c'est un peu tordu mais ça marche.

« NAT/PAT, nat-pat, nat-pat ... Yoh quel rythme ...
- N'importe quoi ! autant faire du rythme avec des boots et des cats
- Ouaaaiiis, Ça c'est une idée
- Boaf, ça existe déjà sur le net. Ha ha ha.
- Eh bien, petit malin, tu sais au moins ce que c'est ? NAT/PAT ? hm ?
- Euh. »

Le routage sert à passer d'un réseau à l'autre.
Cependant, Certaines adresses sont bloquées par le routeur. Lesquelles ? Eh bien, les adresses de réseaux privés.

Quel intérêt ? J'en vois des saladiers pleins (on est en IPV4) :

1. Il n'y a pas assez d'adresses pour en donner une publique à chaque poste,
2. On peut utiliser autant de fois la même adresse dans des organisations différentes,
3. On peut (un peu) se cacher derrière un routeur (le LAN est masqué par le routeur)
4. La techno est ancienne et connue des informaticiens en place.
5. On passe d'IPV4 sur le LAN en IPV6 sur internet
6. Etc.

Mais comment ça marche ?

Eh bien c'est NAT/PAT qui fait le taf.

Principe

Comme mon adresse n'est pas routable, le routeur me prête la sienne pour aller sur le net.
Il remplace mon IP privée par son IP publique et note le port de retour que je veux pour en mettre un bidon.

Ensuite, il envoie les paquets sur le net.

A la réception, il réceptionne des paquets pour lui (c'est la seule adresse publique) avec un port qu'il a noté dans une liste.
Dans cette liste, il retrouve ma conversation et remet mon IP privée et mon port dans la destination du paquet puis me l'envoie. Et voilà.

Voyons ça en détail :

En pratique

Principe

Comme je viens d'internet (avec une adresse publique) je ne connais que l'adresse du routeur et le port du service que je demande.
Le routeur consulte sa liste de redirection de port et d'adresse et remplace son IP publique par l'IP privée et le port de connexion du serveur à joindre.

Si le port demandé par le client n'est pas dans la liste, le paquet passe à la poubelle. Sinon, le routeur note le port dans une liste.

Ensuite, il envoie les paquets sur le réseau du serveur (souvent la DMZ).

A la réception, le serveur traite les paquets et renvoie une réponse.
Dans la liste, le routeur retrouve ma conversation et remet mon IP publique et le port de retour dans la destination du paquet puis l'envoie sur le net. Et voilà.

Voyons ça en détail :

En pratique

Exemple avec une service web (port 80).

Le routage se limite à orienter les paquets sur une route ou une autre. Ce travail est essentiel pour permettre aux réseaux de comuniquer.

Le NAT permet de convertir les adresses privées en adresses publiques et, inversement, de convertir des adresses/port publiques de services en adresses/port privées des serveurs assurant ces services.

C'est du full bloc 2. Mais qu'en est-il de la démarche de sécurisation des transferts entre les réseaux ? (on est à cheval sur les blocs 2 et 3)

Eh bien, dans la couche OSI 3 et 4, on pratique le filtrage IP et TCP basé sur des règles d'autorisation ou d'interdiction en fonction des adresses IP et/ou des ports TCP/UDP.

Une règle contient en général les données suivantes :

• L'interface d'application (*)
• Le sens d'application (entreée/sortie : in/out) (*)
• Action : accepter ou refuser (accept/deny)
• Le protocole traité : TCP ou UDP
• Un indicateur d'état (ack = acknowledgement)
• Une source :
  • Une adresse IP de filtrage
  • Un masque de filtrage de l'adresse IP
  • le port
• Une cible :
  • Une adresse IP de filtrage
  • Un masque de filtrage de l'adresse IP
  • le port

(*) Les règles sont souvent regroupées dans une liste (ACL) sans tenir compte de l'interface ni du sens.
Les ACL sont ensuite appliquées en bloc sur une interface. A ce moment, on définit aussi le sens.

L'indicateur d'état ACK à 1 (vrai, on, oui) exige que la connexion soit déjà enregistrée et autorisée pour que le paquet soit effectivement accepté.

Exemple

• A : Le serveur peut accéder à internet en réponse à une demande http (port TCP 80) vers les ports non réservés (>1023)
• B : Les clients peuvent demander le serveur accessible depuis l'extérieur avec le port TCP 80
• C : Toute autre communication est interdite

Sans état : stateless

Filtrage simple, les paquets sont analysés séparément et comparés à la liste de règles

Inconvénients :

Le nombre de règles risque d'être très grand et la protection moins efficace (il restera des trous non détectés).

Ceci les rend sensibles aux attaques IP spoofing (usurpation IP), IP flooding (innondation IP) et Dos (déni de service par saturation de l'algorithme d'analyse).

Avec état : statefull

Filtrage plus sophistiqué, il enregistre une trace dynamique des sessions et des connexions.

L'indicateur ACK permet de vérifier que la conversation soit déjà enregistrée pour que la règle soit appliquée.

Avantages :

Le suivi des sessions et connexions permet de ne pas consulter toutes les ACL durant la session ou la connexion. Cela accélère le filtrage : les paquets de connexion active seront acceptés sans vérifier les ACL.

Il est aussi possible de surveiller si le paquet est dans la suite des précédents ou fait la réponse à un paquet entrant.

Inconvénients :

Un grand nombre de connexion = un grand nombre d'enregistrements

Filtrage applicatif

Ce type de filtrage est clairment celui du firewall - proxy.

Avantages :

Il peut analyser les contenus au niveaux OSI supérieurs à TCP (4) et filtrer application par application.

Chaque protocole applicatif aura son propre filtre

Limites :

Un trafic important aura des conséquences sur la charge du logiciel.

Définition des règles

Elle se fait service par service (http, ftp, etc en fonction du port)

Elle se fait en fonction du sens à autoriser ou interdire (client interne, client externe)

Autoriser un service

Créer les règles d'autorisations dans les deux sens : client vers serveur et serveur vers client.

Interdire un service

le blocage d'un seul flux suffit. Mais on peut ajouter une règle d'interdiction de sortie si le service est externe.

Sens des règles

Service externe autorisé : règle d'autorisation des utilisateurs internes vers l'extérieur.

Service interne autorisé : règle d'autorisation des utilisateurs externes vers l'intérieur.

Exemple

• Autoriser les utilisateur à accéder aux serveurs web externes
• Autoriser les clients externes à accéder au serveur web de la DMZ sur le port 8080

L'indicateur ACK est important pour ne pas avoir de connexion du web vers le LAN à l'initiative d'un pirate. C'est la première couche de sécurité contre les intrusions.
En effet, seules les connexions du web vers le LAN à la suite d'un connexion du LAN vers le WAN enregistrée sera acceptée.

Il y a deux types d'ACL : les ACL IP standard ou étendues (extended). La première ne tiens pas compte du port et uniquement des adresses IP.

ACL Standard

Ces ACL ont :

• Numéro : numérotées de 1 à 99
• IN/OUT ? posées au plus près de la destination

Une acl standard ressemble à ça :

#access-list numéro_acl {deny|permit} ip_source [masque_source] [log]

Exemple

// interdiction des adresses 192.168.30.0/24 (vlan 30) vers le réseau de l'interface g0/1.1 (vlan 10)
r0(config)# access-list 30 deny 192.168.0.0 0.0.0.255
r0(config-std-nacl)# exit
 
// association de l'acl standard à l'interface (vers le réseau 10 + standard donc out)
r0(config)# int gi0/1.1
r0(config-subif)# ip access-group 30 out
r0(config-subif)# exit

« Mais ... Il n'y a pas de port ?!
- Ah ? tiens donc. hum. »

C'est normal, c'est une ACL standard. Une ACL étendue en a, elle.

ACL Étendue

Ces ACL ont :

• Numéro : numérotées de 100 à 199
• IN/OUT ? posées au plus près de la destination

#access-list numéro_acl {deny|permit} protocole ip_source masque_source [opérateur port] ip_cible masque_cible [opérateur port] [log]

« Euh, c'est quoi l'opérateur port ? un agent qui dirige les bateaux ?
- Non (soupir). C'est un opérateur de comparaison pour dire si le filtre est sur un port particulier ou sur une gamme de ports et le numéro du port ou nom du protocole. »

Par exemple, voila une règle : #access-list 111 permit TCP any 255.255.255.0 gt 1024 any 0.0.0.0 eq 80

L'opérateur sera gt, lt, eq, neq ou range. Le port est soit un numéro de port soit un nom de protocole : www, ftp, telnet, etc. C'est tout.

Devant une adresse IP, on peut mettre "host". Cela signifie que l'adresse concerne un et unseul hôte. C'est intéressant pour les ACL ciblées, par exemple sur un serveur.

Les ACL sont numérotées ou nommées.

• Autoriser les utilisateurs de tous les VLANs à accéder aux serveurs web externes
• Autoriser les clients externes à accéder au serveur web de la DMZ (VLAN 10) sur le port 8080
• Interdire les clients du VLAN 30 d'accéder aux VLANs 10 et 20

On va donc mettre des ACL sur l'interface Gi0/0 pour la navigation internet et sur Gi0/1.3 pour interdire d'aller sur les VLAN 10 et 20.

Bon, j'ai parlé de VLANs, mais le routeur ne connait que des adresses IP ...Voir plus haut pour la correspondance.

IN ou OUT ?

La règle implicite dit : une ACL standard se placera toujours au plus proche de la destination, une ACL étendue se placera toujours au plus proche de la source.
Pourquoi? Une ACL standard étant plus restrictive (blocage de tout le trafic d'un réseau ou d'un hôte, couche 3 routage), la placer au plus proche de la source risque de limiter ses possibilités d'accès ailleurs.
Une ACL étendue filtrant au niveau de la couche 4 (ports TCP/UDP) et pas 3 seulement, le placement au plus proche de la source évite de faire transiter des paquets qu'on ne souhaite pas voir sur le réseau. On économise aussi du temps de calcul.

 
// permission d'aller sur les serveurs web
r0(config)# ip access-list extended PERMIT_WWW
r0(config)# access-list 100 permit TCP any 255.255.255.255 gt 1024  192.168.0.0 0.0.255.255 eq 80
 
r0(config)# int gi0/0
r0(config-subif)# ip access-group PERMIT_WWW in
r0(config-subif)# exit
 
// Trafic vers la DMZ : de partout vers le serveur web, protocole www
r0(config)# ip access-list extended DMZ
r0(config)# permit tcp any host 192.168.0.2 eq 8080
 
r0(config)# int gi0/1.1
r0(config-subif)# ip access-group DMZ in
r0(config-subif)# exit
 
// interdiction du vlan 30 vers les réseaux des vlan 10 et 20 avec une acl standard
r0(config)# ip access-list standard DENY_V30
r0(config-std-nacl)# deny 192.168.0.0 255.255.255.0
r0(config-std-nacl)# exit
 
r0(config)# int gi0/1.1
r0(config-subif)# ip access-group DENY_V30 out
r0(config-subif)# exit
r0(config)# int gi0/1.2
r0(config-subif)# ip access-group DENY_V30 out
r0(config-subif)# end
r0#

Voilà

Comme on l'a vu, les ACL se basent sur un nombre de critères important qu'il s'agit d'utiliser au max.

Cependant, à trop détailler les ACL, on risque d'être confronté à des incohérences :

• Redondance une règle recouvre une règle dont la plage est plus générale que la première, avec la même action.
  La première règle est inutile
• Masquage une règle plus générale recouvre une règle recouvre règle avec une plage plus précise.
  La seconde règle est toujours ignorée. C'est un soucis si les actions sont différentes
• Généralisation une redondance avec des actions différentes.
  La première règle est ignorée mais la seconde est alors prise en compte. /ex : Un refus précis pourrait être accepté par la règle plus générale.