PfSense et boitier pf-Box de Think-ITX

[ben350ci]

J'ai lu sur un autre sujet du forum une intervention de jdh qui disait:

Squid est un proxy : de par sa position dans le firewall, il n'est pas régi via des règles explicites dans le firewall, il permet d'outrepasser des règles et est donc, en définitive, en contradiction avec l'intérêt sécuritaire.

Quelqu'un peut développer?

[ccnet]

Pour la partie en rouge je laisserai jdh commenter lui même. Toutefois je crois connaitre , au moins pour partie, sa réponse. Mais puisqu'il est cité je lui laisse la parole. Pour le reste voici ce que j'en pense.

Il est couramment admis que la sécurité peut être évaluée sur trois critères : disponibilité, intégrité, confidentialité. Ces trois critères sont applicables aux données comme aux systèmes eux mêmes. qu'en est il lorsque l'on installe un proxy sur le firewall ?
En ce qui concerne la disponibilité je vous laisse le soin de relire les multiples messages récents qui font état d'un plantage d'ipcop suite à des problèmes lié à la présence de Squid (saturation mémoire, disque, etc .... On vont bien que sur le critère de la disponibilité nous sommes en mauvaise posture.

Nous savons depuis longtemps que le nombre de bugs est directement proportionnel au nombre de lignes de code. Nous constatons depuis quelques années que les principales causes d'intrusions sont la conséquence de failles applicatives. l'installation d'un proxy sur le firewall comporte en générale, outre le proxy lui même un programme de filtrage, une ou plusieurs interfaces de gestion, des utilitaires de reporting, voir une base de données, des mécanismes d'authentification qui mettent en jeux d'autres systèmes. Bref une augmentation considérable de la complexité donc mathématiquement, et ceci en dépit des efforts des développeurs, une augmentation des bugs "disponibles", potentiellement exploitables. la question de savoir si il en existe n'existe pas. Il en existe. Mais quelles en sont les conséquences potentielles ? En d'autres termes quels risques en plus ? Lorsque l'on veut un système sûr on limite les risques. Ici on voit que c'est l'intégrité de notre système qui peut, plus ou moins, être mise en péril. Les conséquences de la compromission d'un proxy ou d'un firewall ne sont pas comparables me semble t il.

Il serait possible de détailler d'autres aspects du danger qui existe à faire cohabiter firewall et proxy.

Que l'on ne me fasse pas dire ce que je n'ai pas écrit. J'ai voulu montrer pourquoi il est néfaste d'installer un proxy sur un firewall parce que cela conduit à des risques supplémentaires. Ce qui est envisagé, comme toujours en sécurité a priori, c'est la probabilité d'occurrence d'un risque et les conséquences qui en résultent. Celle ci est lié à des facteurs externes que nous ne maitrisons pas toujours, ou pas du tout. Il existe une "exposition naturelle". Elle est aussi liée à des facteurs internes, que nous devrions maitriser. Les maitriser signifie éviter les situations qui conduisent à une augmentation du risque. L'augmentation d'un risque c'est l'accroissement de sa probabilité d'occurrence d'une part et d'autre part l'importance des conséquences (les dommages) qui surviennent lorsque le risque se réalise.

Voilà pourquoi ce choix ne me semble pas judicieux. Le même type de raisonnement (non pas à l'identique) s'applique à la virtualisation mal pensée. Toutefois sur le critère de la disponibilité la virtualisation apporte incontestablement des solutions.

[ben350ci]

Jdh, est ce que tu peux développer cette idée stp. Ne te méprend pas sur mes intentions, je veux vraiment apprendre davantage.
Merci.

[ben350ci]

Hello!
Je reviens à la charge pour avoir des explications sur cette probable interférence du proxy sur les règles du firewall.

On peut en parler?

[jdh]

C'est une histoire de chaine Iptables.

Le proxy (Squid) est un process qui tourne sur le serveur.
Le client accède via une requête sur le port d'écoute (usuellement 3128/tcp) : il faut donc une règle dans la chaine INPUT correspondante.
Le proxy traite la requête et effectue l'accès vers le serveur voulu : il faut donc une règle dans la chaine OUTPUT qui autorise l'accès.
Cela est différent d'un proxy dédié qui utiliserait la chaine FORWARD.
Mais surtout, usuellement, on ne décrit pas toujours bien les règles de sortie du firewall (OUTPUT).
Souvent c'est même une règle sur l'interface "lo" auquel on permet tout par défaut.

En plus, on pense au mode "proxy transparent" :
on créé une règle FORWARD pour le trafic www, puis on ajoute une REDIRECTion via la table nat pour envoyer le flux vers le le service qui risque de ne même pas avoir une règle OUTPUT.
Bref, glissant ...

N'importe quel service installé sur le firewall a assez usuellement un accès total à Internet.
Si d'aventure, une faille existe dans le service, un petit malin pourra passer outre toutes les règles qui s'appliqua à lui.

Par ailleurs, il faudrait s'intéresser au mode CONNECT au sein d'un proxy : cela permet de passer presque n'importe quoi

En outre, la nature du traitement réalisé par le service proxy est totalement différent du travail de filtrage iptables !

La ligne de conduite :
- le moins de services sur le firewall, surtout s'ils sont différents et n'ont pas de rapport avec le filtrage IP,
- contrôler le flux sortant du firewall (lui-même) (différence entre OUTPUT et FORWARD).