Академический Документы
Профессиональный Документы
Культура Документы
Résumé
Nous allons étudier les firewalls (pare-feux ou mur de feux). Nous verrons ses fonctions, ses caractéristiques ainsi
que ses limites. Nous étudierons également les différents types de configuration et architectures possibles.
Le firewall nous permet de résoudre certains problèmes liés à la sécurité, notamment lorsqu'on est connecté à internet.
Ce système a pour but de protéger une machine, un réseau domestique ou professionnel des attaques venant d'une autre
machine distante ou de l'extérieur (souvent Internet), en gérant le trafic.
Suivant les types de firewall ou de leurs configurations, le " filtrage " peut être plus ou moins sévère.
Un pare-feu est un élément du réseau informatique, logiciel et/ou matériel, qui a pour fonction de sécuriser un réseau
domestique ou professionnel en définissant les types de communication autorisés ou interdits.
L'origine du terme pare-feu se trouve au théâtre. Le pare-feu ou coupe-feu est un mécanisme qui permet, une fois déclenché,
d'éviter au feu de se propager de la salle vers la scène. En informatique un pare-feu est donc une allégorie d'une porte empêchant
les éléments non désirés de pénétrer un réseau. Le terme technique anglophone est : « firewall ». Dans un contexte OTAN, un pare-
feu est appelé Périphérique de protection en bordure (en anglais : Border Protection Device, ou BPD).
Peu importe le domaine dans lequel on parle de pare-feu, la définition nous ramène toujours à quelque chose bloquant ou
empêchant autre chose de pénétrer librement quelque part.
Fig. 1
Un firewall permet donc de délimiter les environnements publics et privés afin de protéger son réseau. On arrive à mieux gérer
les flux entrants et sortants et ainsi séparer son réseau intranet du réseau internet.
Un firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de
gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu.
Un pare-feu fonctionne sur des triplets (client/service/ condition). Ainsi, chaque « client » du firewall a accès à certains services
sous certaines conditions. Le pare-feu peut bloquer un trafic particulier, ou en laisser passer un autre. On peut donc protéger le
réseau d'intrusions non autorisées, tout en permettant aux employés un accès aux services Internet tels que l’e-mail, le web ou autre.
Dans la pratique, on peut configurer un firewall de manière à le rendre plus ou moins stricte.
Rappelons qu’un firewall ne suffit pas à assurer la sécurité d’un réseau mais fait partie d’un système de sécurité.
Pour assurer ce rôle de sécurité, un firewall implémente trois fonctions basiques : le filtrage, le relais et le masquage. En plus de
cela, il dispose de mécanisme d’authentification et de d’identification, ainsi que des processus d’audit et de surveillance.
Ces pare-feux ont plusieurs avantages : ils apportent une sécurité en bout de chaîne (au niveau de la machine
cliente), et sont pour la plupart assez facilement personnalisable.
Comme tous produits, ils ont aussi des inconvénients : ils sont assez facilement contournable par des pirates, et
compte tenue de leur grand nombre, un classement est impossible.
Il existe des distributions Linux permettant de transformer son ordinateur en pare-feu dédié et complet, que l’on
considèrera par la suite comme pare-feu matériel.
On peut citer par exemple : Smoothwall, IPCop et Endian Firewall, qui sont dérivés du package « Netfilter ».
Ces firewalls logiciels ont néanmoins une grande faille : ils n'utilisent pas la couche bas réseau. Pour récupérer des
paquets qui auraient été normalement « droppés », il suffit de passer outre le noyau (en utilisant une librairie particulière).
Néanmoins, cette faille signifie qu’on s’est déjà introduit sur l'ordinateur en question ; ce qui induit une intrusion dans le
réseau, où une prise de contrôle physique de l'ordinateur, donc qui est synonyme de faille.
3.3.1 Avantages
Nous pouvons noter trois grands avantages à utiliser des pare-feux matériels. Dans un premier temps, ceux-ci sont intégrés au
matériel réseau, ce qui réduit grandement les coûts de maintenance. Deuxièmement, une configuration et une administration
relativement simple car souvent associé à des services web. Et pour finir, un pare-feu matériel offre toujours un bon niveau de
sécurité.
3.3.2 Inconvénients
Les principales difficultés des pare-feux matériels provient du faites qu’ils sont dépendant du constructeur pour les mises à jour
et souvent peu flexibles
Travaillant directement sur la couche IP, ils sont très peu gourmands en mémoire. Il est à noter que s’ils sont totalement
transparents pour les utilisateurs il n'y a pas d'authentification possible des dits utilisateurs car seule l’adresse IP source est connue
du firewall. Selon la nature de l’analyse et des traitements effectués par un firewall, différents types de firewalls existent. Ils se
distinguent le plus souvent en fonction du niveau de filtrage des données auquel ils opèrent : niveau 3 (IP), niveau 4 (TCP, UDP)
ou niveau 7 (FTP, http, etc.) du modèle OSI.
Néanmoins, la journalisation des événements reste limitée en fonction du niveau auquel s’opère le firewall. En plus, le blocage
des usages malintentionnés des applications est assez difficile voire impossible.
Il existe également un autre type de firewall dit « stateful firewall ». Ce dernier permet de filtrer les paquets en se basant sur la
couche transport du modèle OSI (filtrage au niveau des ports de communication TCP-UDP). Il maintient une table d’état des
connexions correspondantes aux ports logiques du niveau 4 du modèle OSI et surtout les ports dont le numéro est supérieur à
1024 (les ports utilisés par les applications de l’utilisateur). Ce type de firewall offre les mêmes avantages que ceux offerts par le
firewall routeur avec le plus souvent une performance inférieure.
En s’interfaçant entre les systèmes du réseau d’une organisation et Internet, un firewall permet de cloisonner le réseau et
éventuellement de le masquer aux utilisateurs d’Internet. Cloisonner un réseau revient à le concevoir de telle manière que l’on
puisse en fonction d’impératifs de sécurité, séparer des systèmes et des environnements afin de mieux les contrôler. Le principe de
cloisonnement repose sur la segmentation du système d’information doit être rigoureux pour garantir la sécurité et la séparation
totale et filtrante des entités cloisonnées.
Le cloisonnement d’un réseau permet de constituer des environnements IP disjoints, en rendant physiquement indépendants les
accès des réseaux que l’on désire séparer. Cela permet d’interconnecter deux réseaux de niveaux de sécurité différents. Ainsi l’on
peut contrer les flux qui pourraient engendrer la compromission des systèmes et des données (modification, destruction, altération,
perte, fuite d’informations), l’atteinte aux critères d’intégrité, de disponibilité et aux performances (déni de service, détournement,
prise de contrôle à distance, etc.).
Ainsi par exemple dans la figure 8.2, toutes les demandes d’accès au réseau Y qui parviennent au firewall par un système du
réseau X, sont préalablement analysées et traitées avant d’être émises sur le réseau Y et inversement. Ce type de firewall possède
deux cartes réseau, généralement l’une pour le réseau de l’entreprise, l’autre pour le réseau Internet. La configuration du firewall est
telle que les données arrivant sur l’une des cartes ne sont pas transmises directement sur l’autre mais de manière sélective, selon des
critères de filtrages déterminés lors de sa configuration
S’il est vrai qu’un firewall peut permettre de protéger un réseau local d’une attaque externe, les utilisateurs internes ayant accès à
une ressource non protégée peuvent voler ou détruire des données sans jamais approcher du firewall.
Il est donc conseillé de protéger toutes les ressources internes sensibles avec un firewall.
La détection d’un virus par examens des paquets transitant au travers d’un firewall demanderait :
• de savoir que le paquet fait partie d’un programme exécutable ;
• de savoir à quoi le programme non infesté devrait ressembler ;
• de savoir que le changement est du à un virus.
Cette détection étant quasiment impossible à réaliser (et non réalisé à ce jour), la mise en place d’un firewall doit s’accompagner
de la mise en place d’anti-virus spécifiques à chacun des flux traversant le firewall et pouvant servir de support à virus.
Actuellement, de plus en plus de développeurs, associent leur anti-virus à leur firewall, comme par exemple « Bitdefender 10 »
ou « Windows OneCare » et bien d’autres encore.
Cisco :
●Nombre d'utilisateurs: Jusqu'à 253 utilisateurs - Cisco PIX Firewall 501 Prix ~ 380€
concurrents (128 utilisateurs sans fil)
●Ports: LAN: 4 ports 10/100BASE TX auto-sensing
(RJ-45) ; WAN: 1 port RJ-11
●Bande de fréquences utilisée: 2,4 - 2,4835 GHz
●Technologie sans fil: OFDM (Orthogonal Frequency
Division Multiplexing), DSSS (Direct Sequence Spread
Spectrum)
●Protocole d'accès: CSMA/CA
●Protocoles IP: Adressages IP dynamique et statique,
serveur DHCP, NAT/PAT (TCP et UDP),
PPTP/PPPoE, CHAP, IPCP, SNTP
●Sécurité: Firewall avec détection des routines de piratage
(Hacker Pattern Detection), consignation des événements, ●Processeur: 133 Mhz
désactivation de la diffusion du SSID, filtrage par URL ou ●RAM (MB): 16 Mo
mots clés, filtrage des adresses MAC, chiffrement WPA sur ●Mémoire Flash: 8 Mo
256 bits, chiffrement WEP par clé partagée sur 40/64 et ●Emplacements PCI: Aucun
128 bits, pass-through VPN (PPTP, L2TP, IPSec) ●Interfaces fixes (matérielles): Commutateur 10/100 à 4
●Routage: Statique, RIP v1 & v2 ports (internes), un port Ethernet 10Base-T (externe)
●Caractéristiques de la passerelle: Serveur DHCP, support ●Nombre maximal d'interfaces (matérielles et virtuelles) :
d'applications, support des serveurs virtuels, support des Commutateur 10/100 à 4 ports (internes), un port
zones DMZ virtuelles, proxy DNS dynamique, support Ethernet 10Base-T (externe)
Plug-and-Play ●Option carte VAC+ (VPN Accelerator Card+): Non
●Support de reprise: Non
●Dimensions: Ordinateur de bureau
NETASQ :
Un contrôle parental par utilisateur est disponible également, fonctionnant avec un système de liste noire/blanche pour les sites
Internet et un filtre dynamique avec 20 catégories, et d’un module permettant d’élaborer des plages horaires d’utilisation d’Internet.
: Icône qui signifie que le firewall a bloqué efficacement la méthode de terminaison, et a peut être prévenu l’utilisateur.
: Icône qui signifie que quelque chose s’est mal passé, mais le système reste intègre. Rien ne rentre ou ne sort.
: Icône qui signifie que le firewall a été crashé et complètement désactivé. Il n’y a plus de contrôle d’entrée/sortie.
: Icône qui signifie que le firewall a bloqué efficacement au moins ¾ des méthodes de terminaison (Sans aucune croix rouge).
: Icône qui signifie que le firewall a bloqué moins de ¾ des méthodes de terminaison, mais qui ne peut être désactivé
complètement (Aucune croix rouge).
: Icône qui signifie que le firewall a été crashé et complètement désactivé par au moins une méthode de terminaison.
Capacité de résistance de certains pare-feux aux méthodes de terminaison
Firewall
Personal
Zone Alarm Zone Alarm Sunbelt Filseclab Private
KIS6 Outpost Look'n'Stop NIS Jetico Netveda Firewall Comodo
Pro Free Kerio Pro Firewall
Plus
4.0.964.6926 2007 2.0.0.10
Build 6.0.0.303 6.5.737.000 6.5.737.000 4.3.268.1 2.05p3 3.0.0.8686 5.0.8.11 3.61.0002 8.0.207 2.3.6.81
(582) 10.0.0.86 beta
APT#1
APT#2
APT#3
APT#4
APT#5
APT#6
APT#7
APT#8
APT#9
APT#10
APT#11
APT#12
APT#13
APT#14
APT#15
APT#16
APT#17
APT#18
SPT#1
SPT#2
SPT#3
SPT#4
SPT#5
SPT#6
SPT#7
SPT#8
SPT#9
SPT#10
SPT#11
SPT#12
SPT#13
SPT#14
SPT#15
SPT#16
PX#1
PX#2
PX#3
SDT
SCORE
Firewall
Rank 2 4 5 10 1 11 6 7 12 9 13 8 3
Tant qu’il restera toujours des personnes qui ne feront pas de mises à jour de leur système d’exploitation ou qui n’utiliseront pas
de logiciels de sécurité comme les anti-virus ou les pare-feux, il ne faut pas s’étonner du nombre d’attaques informatiques
croissantes qui font tant de ravage dans le monde.
Après des années d’évolution dans le monde de la sécurité, le meilleur pare-feu ou le meilleur anti-virus possible ne sert à rien si
il n’est pas configuré ou mis à jour régulièrement. Le problème est et sera toujours le manque d’éducation concernant la sécurité
informatique des néophytes.
Avoir un réseau ou un ordinateur à l’abri d’attaques n’est pas impossible. Il suffit de le vouloir, ou d’y mettre les moyens. La
sécurité informatique dans une entreprise est aussi importante que la sécurité dans une voiture.
8 Références bibliographiques
Internet : Bibliographie :
www.wikipedia.org Sécurité Internet - Stratégies et technologies (DUNOD)
www.commentcamarche.net Sécurité Informatique et réseaux (DUNOD)
www.01net.com
www.secuser.com
www.kaspersky.com/fr/
fr.mcafee.com
www.norton.com
www.zonelabs.com
www.bitdefender.fr
www.3com.com
www.firewallleaktester.com
www.dlink.com
www.cisco.com
www.netasq.com
www.zyxel.com