Ingnieurs 2000 Informatique et Rseaux 3me anne

Les Firewalls

Masquelier Mottier Pronzato 1/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Table des matires

Pourquoi un firewall ?..........................................................................................................................3
Les diffrentes catgories de firewall...................................................................................................4
Firewall sans tats (stateless)...........................................................................................................4
Firewall tats (stateful)..................................................................................................................7
Firewall applicatif............................................................................................................................8
Firewall authentifiant.......................................................................................................................8
Firewall personnel............................................................................................................................9
Qualit de service...............................................................................................................................10
Classificateurs................................................................................................................................10
Gestionnaire de file dattente ( Queueing discipline )...............................................................11
pfifo_fast..............................................................................................................................11
tbf..........................................................................................................................................12
sfq.........................................................................................................................................12
prio........................................................................................................................................12
cbq........................................................................................................................................13
htb.........................................................................................................................................13
Installation sous Linux...................................................................................................................14
Exemple.........................................................................................................................................14
Fonctionnement du pare-feu sous Linux : NetFilter/Iptables.............................................................16
Fonctionnement.............................................................................................................................16
Les tables.......................................................................................................................................16
Les chanes.....................................................................................................................................17
Les cibles.......................................................................................................................................18
Exemple de script...........................................................................................................................19
Les diffrents types de firewalls.........................................................................................................20
Matriel..........................................................................................................................................20
Logiciels.........................................................................................................................................21
IPCop....................................................................................................................................21
Conclusion..........................................................................................................................................23
Sources...............................................................................................................................................24

Masquelier Mottier Pronzato 2/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Pourquoi un firewall ?
De nos jours, la plus part des entreprises possdent de nombreux postes informatiques qui sont en
gnral relis entre eux par un rseau local. Ce rseau permet d'changer des donnes entre les
divers collaborateurs internes l'entreprise et ainsi de travailler en quipe sur des projets communs.

La possibilit de travail collaboratif apporte par un rseau local constitue un premier pas. L'tape
suivante concerne le besoin d'ouverture du rseau local vers le monde extrieur, c'est dire internet.
En effet, une entreprise n'est jamais compltement ferme sur elle mme. Il est par exemple
ncessaire de pouvoir partager des informations avec les clients de l'entreprise.

Ouvrir l'entreprise vers le monde extrieur signifie aussi laisser une porte ouverte a divers acteurs
trangers. Cette porte peut tre utilise pour des actions qui, si elles ne sont pas contrles, peuvent
nuire l'entreprise (piratage de donnes, destruction,...). Les mobiles pour effectuer de tel actions
sont nombreux et varis : attaque visant le vol de donnes, passe-temps, ...

Pour parer ces attaques, une architecture de rseau scurise est ncessaire. L'architecture devant
tre mise en place doit comporter un composant essentiel qui est le firewall. Cette outil a pour but
de scuriser au maximum le rseau local de l'entreprise, de dtecter les tentatives d'intrusion et d'y
parer au mieux possible. Cela permet de rendre le rseau ouvert sur Internet beaucoup plus sr. De
plus, il peut galement permettre de restreindre l'accs interne vers l'extrieur. En effet, des
employs peuvent s'adonner des activits que l'entreprise ne cautionne pas, comme par exemple le
partage de fichiers. En plaant un firewall limitant ou interdisant l'accs ces services, l'entreprise
peut donc avoir un contrle sur les activits se droulant dans son enceinte.

Le firewall propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il permet
d'analyser, de scuriser et de grer le trafic rseau, et ainsi d'utiliser le rseau de la faon pour
laquelle il a t prvu. Tout ceci sans l'encombrer avec des activits inutiles, et d'empcher une
personne sans autorisation d'accder ce rseau de donnes.

Masquelier Mottier Pronzato 3/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Les diffrentes catgories de firewall

Depuis leur cration, les firewalls ont grandement volu. Ils sont effectivement la premire
solution technologique utilis pour la scurisation des rseaux. De ce fait, il existe maintenant
diffrentes catgories de firewall. Chacune d'entre-elles disposent d'avantages et d'inconvnients qui
lui sont propre. Le choix du type d'un type de firewall plutt qu'un autre dpendra de l'utilisation
que l'on souhaite en faire, mais aussi des diffrentes contraintes imposes par le rseau devant tre
protg.

Firewall sans tats (stateless)

Ce sont les firewall les plus anciens mais surtout les plus basiques qui existent. Ils font un contrle
de chaque paquets indpendamment des autres en se basant sur les rgles prdfinies par
l'administrateur (gnralement appeles ACL, Access Control Lists).

Ces firewalls interviennent sur les couches rseau et transport. Les rgles de filtrages s'appliquent
alors par rapport une d'adresses IP sources ou destination, mais aussi par rapport un port source
ou destination.

Les limites :

Lors de la cration des rgles de filtrage, il est d'usage de commencer spcifier que le firewall ne
doit laisser passer aucun paquets. Ensuite, il faut ajouter les rgles permettant de choisir les flux que
nous souhaitons laisser passer. Il suffit alors d'autoriser l'ouverture des ports des serveurs devant
tre accessible depuis l'extrieur. Mais les connexions des postes vers l'extrieur poseront
problmes. Effectivement, il faudrait autoriser les ports utiliss par les postes clients lors des
connexions vers les serveurs, ceci implique donc d'ouvrir tout les ports suprieurs 1024. Ceci pose
donc un rel problme de scurit.

Il n'est pas possible non plus de se prserver des attaques de type ip-spoofing (technique consistant
se faire passer pour une machine de confiance) ou SYN Flood (surcharge de demande de
connexion sans attente de la rponse). Les rgles de filtrage de ces firewalls sont bases que sur des
adresses IP, il suffit donc au pirate de trouver les rgles de ce firewall pour pouvoir utiliser cette
technique de piratage. Une solution pour se protger des attaques de type ip-spoofing est de mettre
en place une rgle interdisant les paquets provenant du rseau extrieur dont l'adresse IP source
correspond une adresse valide du rseau local.

Exemple d'attaque pas ip-spoofing. Une connexion est tablie entre le client A et le serveur B. Un

Masquelier Mottier Pronzato 4/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

pirate C souhaite attaquer cette connexion.

Masquelier Mottier Pronzato 5/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Une autre limite de ce type de firewall se trouve au niveau des protocoles fonctionnant de manire
similaire au FTP. Effectivement, certains protocoles ont besoin d'ouvrir un autre port que celui
ddi . Ce port est choisi alatoirement avec une valeur suprieure 1024. Dans le cas du protocole
FTP, l'utilisation de deux ports permet d'avoir un flux de contrle et un flux de donnes pour les
connexions. Le problme pos viens du fait que ce port est choisi alatoirement, il n'est donc pas
possible de crer des rgles pour permettre les connexions FTP avec les firewalls sans tats.

Firewall tats (stateful)

Les firewalls tats sont une volution des firewalls sans tats. La diffrence entre ces deux types
de firewall rside dans la manire dont les paquets sont contrls. Les firewalls tats prennent en
compte la validit des paquets qui transitent par rapport aux paquets prcdemment reus. Ils
gardent alors en mmoire les diffrents attributs de chaque connexions, de leur commencement
jusqu' leur fin, c'est le mcanisme de stateful inspection. De ce fait, ils seront capables de traiter les
paquets non plus uniquement suivant les rgles dfinies par l'administrateur, mais galement par
rapport l'tat de la session :

NEW : Un client envoie sa premire requte.

ESTABLISHED : Connexion dj initie. Elle suit une connexion NEW.

RELATED : Peut tre une nouvelle connexion, mais elle prsente un rapport direct avec une
connexion dj connue.

INVALID : Correspond un paquet qui n'est pas valide.

Les attributs gards en mmoires sont les adresses IP, numros de port et numros de squence des
paquets qui ont travers le firewall. Les firewalls tats sont alors capables de dceler une anomalie
protocolaire de TCP. De plus, les connexions actives sont sauvegardes dans une table des tats de

Masquelier Mottier Pronzato 6/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

connexions. L'application des rgles est alors possible sans lire les ACL chaque fois, car
l'ensemble des paquets appartenant une connexion active seront accepts.

Un autre avantages de ce type de firewall, se trouve au niveau de la protection contre certaines

attaques DoS comme par exemple le Syn Flood. Cette attaque trs courante consiste envoyer en
masse des paquets de demande de connexion (SYN) sans en attendre la rponse (c'est ce que l'on
appel flood). Ceci provoque la surcharge de la table des connexions des serveurs ce qui les rend
incapable d'accepter de nouvelles connexions. Les firewalls stateful tant capables de vrifier l'tat
des sessions, ils sont capables de dtecter les tentatives excessives de demande de connexion. Il est
possible, en autre, ne pas accepter plus d'une demande de connexion par seconde pour un client
donn.

Un autre atout de ces firewalls est l'acceptation d'tablissement de connexions la demande. C'est
dire qu'il n'est plus ncessaire d'ouvrir l'ensemble des ports suprieurs 1024. Pour cette
fonctionnalit, il existe un comportement diffrent suivant si le protocole utilis est de type orient
connexion ou non. Pour les protocoles sans connexion (comme par exemple UDP), les paquets de
rponses lgitimes aux paquets envoys sont accepts pendant un temps donn. Par contre, pour les
protocoles fonctionnant de manire similaire FTP, il faut grer l'tat de deux connexions (donne
et contrle). Ceci implique donc que le firewall connaisse le fonctionnement du protocole FTP (et
des protocoles analogues), afin qu'il laisse pass le flux de donnes tabli par le serveur.

Les limites :

La premire limite de ce type de firewall ce situe au niveau du contrle de la validit des protocoles.
Effectivement, les protocoles maisons utilisant plusieurs flux de donnes ne passeront pas,
puisque le systme de filtrage dynamique n'aura pas connaissance du fonctionnement de ces
protocoles particuliers.

Ensuite, il existe un cot supplmentaire lors de la modification des rgles du firewall. Il faut que
les firewalls rinitialisent leurs tables tat.

Pour finir, ce type de firewall ne protge pas contre l'exploitation des failles applicatives, qui
reprsentent la part la plus importante des risques en terme de scurit.

Firewall applicatif
Les firewall applicatif (aussi nomm pare-feu de type proxy ou passerelle applicative) fonctionne
sur la couche 7 du modle OSI. Cela suppose que le firewall connaisse l'ensemble des protocoles
utiliss par chaque application. Chaque protocole dispose d'un module spcifique celui-ci. C'est

Masquelier Mottier Pronzato 7/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

dire que, par exemple, le protocole HTTP sera filtr par un processus proxy HTTP.

Ce type de firewall permet alors d'effectuer une analyse beaucoup plus fine des informations qu'ils
font transiter. Ils peuvent ainsi rejeter toutes les requtes non conformes aux spcifications du
protocole. Ils sont alors capables de vrifier, par exemple, que seul le protocole HTTP transite
travers le port 80. Il est galement possible d'interdire l'utilisation de tunnels TCP permettant de
contourner le filtrage par ports. De ce fait, il est possible d'interdire, par exemple, aux utilisateurs
d'utiliser certains services, mme s'ils changeant le numro de port d'utilisation du services (comme
par exemple les protocoles de peer to peer).

Les limites :

La premire limitation de ces firewalls rside sur le fait qu'ils doivent imprativement connatre
toutes les rgles des protocoles qu'ils doivent filtrer. Effectivement, il faut que le module permettant
le filtrage de ces protocoles soit disponible.

Ensuite, ce type de firewall est trs gourmand en ressource. Il faut donc s'assurer d'avoir une
machine suffisamment puissante pour limiter les possibles ralentissements dans les changes.

Firewall authentifiant
Les firewall authentifiant permettent de mettre en place des rgles de filtrage suivant les utilisateurs
et non plus uniquement suivant des machines travers le filtre IP. Il est alors possible de suivre
l'activit rseau par utilisateur.

Pour que le filtrage puisse tre possible, il y a une association entre l'utilisateur connect et l'adresse
IP de la machine qu'il utilise. Il existe plusieurs mthode d'association. Par exemple authpf, qui
utilise SSH, ou encore NuFW qui effectue l'authentification par connexion.

Firewall personnel
Les firewalls personnels sont installs directement sur les postes de travail. Leur principal but est de
contrer les virus informatiques et logiciels espions (spyware).

Leur principal atout est qu'ils permettent de contrler les accs aux rseaux des applications
installs sur la machines. Ils sont capables en effet de reprer et d'empcher l'ouverture de ports par
des applications non autorises utiliser le rseau.

Masquelier Mottier Pronzato 8/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Qualit de service
Les firewalls peuvent grer de la qualit de service pour palier aux limitations du protocole IP. En
effet, celui-ci ne fait pas, ou trs peu, de diffrence entre les diffrents flux. Les donnes sont
traites de manire quivalente, on utilise le terme best effort (effort maximum) pour
caractriser IP.

La qualit de service est un terme assez vague qui ne s'applique pas uniquement aux firewalls, et
qui varie pour chaque personne et pour chaque usage.

Dans le domaine des rseaux informatiques, la qualit de service est employe pour le contrle des
rseaux en fonction de diffrents critres qui sont par exemple : la bande passante (dbit), les dlais
(latence) et le taux derreurs (perte),

On pourra donc offrir des qualits de service diffrentes en fonction de besoins propres chaque
applications (multimdia, transfert de donnes, ) et en fonction des besoins exprim par
lutilisateur. Il est donc possible de fournir une qualit de service beaucoup plus fine que la simple
limitation matrielle lie au type de la connexion utilise.

Le firewall pourra donc effectuer de la mise en forme de trafic ( shaping ) pour limiter lmission
de paquets un dbit configur, rordonnancer ( scheduling ) les paquets afin de prioriser certain
flux.

Nous allons maintenant tudier comment configurer Linux cet effet : les deux principaux lments
intervenant dans cette configuration sont les classificateurs et les files dattentes. On peut les
configurer soit par lintermdiaire de loutil nomm tc (traffic control) soit par lintermdiaire
du protocole netlink pour sinterfacer directement avec le noyau. Nous ne prsenterons ici que
des exemples bass sur tc .

Classificateurs
Dans un gestionnaire de file dattente bas sur des classes, le classificateur dtermine, par
lintermdiaire de filtres ( filter ), dans quelle file dattente un paquet sera plac.

Les principaux filtres utiliss sont u32 et fw , le filtre route est moins utilis.

Le filtre fw sappuie sur le marquage des paquets par le firewall.

Le filtre u32 sappuie directement sur les donnes du paquet IP.

Le filtre route sappuie sur la table de routage et permet de prioriser le flux destination de

Masquelier Mottier Pronzato 9/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

certaines routes.

Gestionnaire de file dattente ( Queueing discipline )

Cest un algorithme qui gre la file dattente dun priphrique rseau. Chaque priphrique est
compos dune file en mission ( egress ) et dune file en rception ( ingress ).

Ils dcident parmi les donnes, celles quil faut envoyer, celles quil faut liminer et celles quil faut
rordonnancer.

La modification du gestionnaire associ une file dattente permet den modifier le comportement.

Il existe deux types de gestionnaire de files dattente : les sans classes ( classless ) et avec classes
( classful ).

Classless
Ce type de gestionnaire est le plus simple, il est dit sans classe car il ne possde pas de subdivisions
interne configurable ( class ). Il sera donc impossible de changer le gestionnaire de file d'attentre
des subdivisions qui le composent.

Ce type de gestionnaire est gnralement utilis en terminaison des gestionnaires classful .

Voici la liste des gestionnaires classless existants sous linux :

pfifo_fast
Ce gestionnaire ( First In First Out ) est compos de trois bandes utilisant le champs TOS pour
prioriser les paquets. Les paquets seront plac dans l'une des trois bandes en fonction de leur valeur
du champ TOS. Les bandes, quand elles, seront vides dans l'odre : pour passer la bande
suivante, la bande prcdente doit tre compltement vide.

La cartographie associant une bande des valeurs du champs TOS est cependant configurable, voici
la cartographie par dfaut :

Cartographie par dfaut

Masquelier Mottier Pronzato 10/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

L'illustration ci-dessus met en relation la valeur du champ TOS (colone 1) la bande associe
(colone 5).

tbf
Ce gestionnaire ( Token Bucket Filter , filtre seau jetons), trs simple, permet de fixer des
limites concernant la bande passante. Il permet par ailleurs de dfinir un dbit crte pour dpasser
temporairement les limites prcdemment fixes.

Il est gnralement utilis pour limiter le trafic sortant et il convient bien pour les bandes passantes
importantes.

sfq
Ce gestionnaire ( Stochastic Fairness Queueing , file dattente stochastiquement quitable) est
trs souvent utilis car il ncessite moins de calculs tout en tant presque parfaitement quitable. En
effet, les diffrents flux de donnes (sessions TCP par exemple) on la mme probabilit denvoyer
des donnes.

Il est gnralement utilis lorsque le lien est satur et quon souhaite quaucune session naccapare
toute la bande passante.

Classful
Ces gestionnaires sont beaucoup plus complexes configurer car ils font intervenir une notion de
parent avec leurs classes filles qui peuvent leur tour contenir un gestionnaire de mise en file
dattente.

Le schma suivant reprsente un exemple de hirarchie :

Masquelier Mottier Pronzato 11/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Exemple de hirarchie classful

prio
Ce gestionnaire est lquivalent de pfifo_fast prcdemment tudi sauf quil nest plus compos de
bandes non configurables, mais de classes configurables. Il est donc possible d'avoir plus de trois
classes.

cbq
Ce gestionnaire ( Class Based Queueing ), trs complexe, peu prcis, permet de faire de la mise
en forme. Son manque de prcision est d au fait quil dpends du taux doccupation du mdium et
que le calcul de ce dernier savre complexe sur un ordinateur.

htb
Ce gestionnaire ( Hierarchigical Token Bucket , seau de jetons contrle hirarchique) est utilis
pour les mmes raisons que cbq la diffrence prs quil ne procde pas au calcul du taux
doccupation du mdium. Il sera donc le gestionnaire privilgier. De plus il est plus simple
configurer que son homologue cbq.

Masquelier Mottier Pronzato 12/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Installation sous Linux

Il faut, dans un premier temps, ajouter des options dans le noyau dont le nombre dpend des
fonctionnalits quon souhaite utiliser.

Il faudra donc cocher les options choisies dans :

Networking options --->
QoS and/or fair queueing --->
Et dans :
Networking options --->
QoS and/or fair queueing --->
IP: NetFilter Configuration --->

Il faut galement installer le paquetage iproute2 pour avoir accs au logiciel tc .

Exemple
Comme nous l'avons indiquer dans la section classificateur prsent prcdemment, nous
pouvons utiliser le firewall pour marquer les paquets et ainsi utiliser ce marquage pour utiliser
diffrents gestionnaires de file d'attente.

Nous souhaitons crer un cannal principal ( main link ) limit un dbit de 100kbps, y allouer
l'hte A (192.168.0.1) une bande passante de 40kbps et y allouber l'hte B (192.168.0.2) une
bande passante de 60kbps. L'hte A pourra utiliser son flux HTTP (www) un dbit de 30kbps et
son flux mail (smtp) un dbit de 10kbps.

Il en rsulte la reprsentation schmatique suivante :

Reprsentation schmatique
Masquelier Mottier Pronzato 13/23 Nouvelles Technologies Rseaux
Ingnieurs 2000 Informatique et Rseaux 3me anne

Passons maintenant la configuration de cet exemple sous linux grace aux outils tc et
iptable :

# Cration des classes htb

#
# Cration de la classe associe au main link, identifie par '1:1'
$>tc class add dev eth0 parent 1: classid 1:1 htb rate 100kbps ceil 100kbps
# Cration de la classe associe l'hte A, identifie par '1:2'
$>tc class add dev eth0 parent 1:1 classid 1:2 htb rate 40kbps ceil 100kbps
# Cration de la classe associe au flux www de A, identifie par '1:10'
$>tc class add dev eth0 parent 1:2 classid 1:10 htb rate 30kbps ceil 100kbps
# Cration de la classe associe au flux smpt de A, identifie par '1:11'
$>tc class add dev eth0 parent 1:2 classid 1:11 htb rate 10kbps ceil 100kbps
# Cration de la classe associe l'hte B, identifie par '1:12'
$>tc class add dev eth0 parent 1:1 classid 1:12 htb rate 60kbps ceil 100kbps

# Cration des filtres de type fw

#
# Cration du filtre utilisant le marquage '1' pour rediriger vers '1:1'
$>tc filter add dev eth0 parent 1: protocol ip prio 1 handle 1 fw classid 1:1
# Cration du filtre utilisant le marquage '2' pour rediriger vers '1:2'
$>tc filter add dev eth0 parent 1: protocol ip prio 1 handle 2 fw classid 1:2
# Cration du filtre utilisant le marquage '10' pour rediriger vers '1:10'
$>tc filter add dev eth0 parent 1: protocol ip prio 1 handle 10 fw classid 1:10
# Cration du filtre utilisant le marquage '11' pour rediriger vers '1:11'
$>tc filter add dev eth0 parent 1: protocol ip prio 2 handle 11 fw classid 1:11

# Positionnement des marquages avec iptable

#
# Positionnement du marquage '1' pour ce qui vient de A
$>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.1 -j MARK --set-mark 1
# Positionnement du marquage '11' pour le smtp de A
$>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.1 -p tcp --dport 25 -j
MARK --set-mark 11
# Positionnement du marquage '10' pour le www de A
$>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.1 -p tcp --dport 80 -j
MARK --set-mark 10
# Positionnement du marquage '2' pour ce qui vient de B
$>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.2 -j MARK ser-mark 2

Masquelier Mottier Pronzato 14/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Fonctionnement du pare-feu sous Linux : NetFilter/Iptables

NetFilter est actuellement le filtrage le plus utilis sous Linux. Il est disponible depuis la version 2.4
du noyau et remplace donc ipchains prsent dans la version 2.2. NetFilter est compos de 2 parties :
d'une part, NetFilter proprement dit qui doit tre compil dans le noyau ( en dur ou sous forme
de module), d'autre part la commande iptables.

Fonctionnement
Pour oprer le filtrage de paquets, NetFilter stocke un ensemble de rgles dfinies par l'utilisateur.
Ces rgles sont enregistres dans des tables sous formes de chanes. Lorsque NetFilter doit traiter un
paquet il applique l'ensemble des rgles d'une chane les une la suite des autres. Si le paquet
correspond aux critres dfinis par la rgle alors l'action associ la rgle (cible) est effectue. Dans
les paragraphes suivant les principaux types de tables, de chanes et cibles seront dtailles.

Les tables
Il existe par dfaut dans NetFilter une seule table, la table filter. Cette table permet de filtrer les
paquets entrant, sortant et transitant avec respectivement les chanes INPUT, OUPUT et
FORWARD. Ces trois chanes seront dtailles dans le chapitre suivant.

Grce l'ajout du module iptable_nat, une nouvelle table est accessible, la table nat. Comme son
nom l'indique, elle contient les chanes qui vont s'appliquer pour la translation d'adresses mais aussi
de port. Les chanes disponible avec ce module sont : PREROUTING, POSTROUTING, OUTPUT.
On dispose galement de nouvelles cibles notamment MASQUERADE, DNAT, SNAT. Ces deux
dernires cible sont respectivement utilises pour modifier l'adresse destination et l'adresse source
des paquets.

Une troisime table disponible est la table MANGLE. Cette table est utilis notamment lors de la
mise en place de la QoS pour marquer les paquets.

Masquelier Mottier Pronzato 15/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Les chanes
INPUT : Cette chane est utilise pour les
paquets tant destination des applications
du firewall. A ce stade, les paquets sont prt
tre envoy aux applications.

OUTPUT : Cette chane est utilise pour les

paquets sortant des applications du firewall.
A ce stade, les paquets ont donc dj t
traits, ou gnrs par les applications.

FORWARD : Cette chane filtre les paquets

passant d'une interface une autre du
firewall, c'est dire qu'ils ne sont pas
destins une application prsente sur le
firewall. Ces paquets ne passent pas par les
chanes INPUT et OUTPUT et ne passent
jamais par la couche applicative. Dans ce
cas, le firewall se comportera comme une
passerelle.

PREROUTING : Quand les paquets

arrivent au niveau du firewall, ils sont dans
un tat non modifi. C'est dire qu'il n'y a
Fonctionnement d'un firewall
encore eu aucun traitement quel qu'il soit
sur celui-ci au niveau du firewall. Cette chane est utilise afin de faire des traitements
particuliers sur les paquets en arriv avant d'effectuer leur filtrage proprement dit. Il est utilis,
par exemple, dans les cas d'utilisation de destination NAT ou DNAT, qui correspond la
modification de l'adresse IP destination.

POSTROUTING : Quand les paquets sont prts tre envoys sur l'interface rseau. Ils ont
donc t traits par les applications, et router par le firewall. Tout les traitements sur ces paquets
sont alors termins. Il est utilis, par exemple, dans le cas de source NAT ou SNAT, qui
correspond la modification de l'adresse IP source (utile pour accder au rseau Internet avec
une adresse IP priv).

Masquelier Mottier Pronzato 16/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Voici comment nous pouvons rsumer l'utilisation des chanes dans un firewall. Nous constatons
bien que les chanes INPUT et OUTPUT sont destination ou dpart du noyau Linux du firewall.
Cela valide le fait qu'elle ne sont utilises que pour les services que firewall lui-mme. Nous
constatons de mme que la chane FORWARD ne passe jamais par le noyau du firewall, ces
paquets ne sont donc pas traits par les processus externe au firewall.

Les cibles
Un firewall est donc une suite de rgles qui spcifient des critres. Si un paquet ne correspond pas
une rgle c'est la prochaine rgle de la chane qui est utilise, si il correspond la rgle va sauter
(jump) vers une autre rgle (target, cible).

Cette cible peut tre une autre rgle dfinie par la personne en charge de la configuration du
firewall, mais, le plus souvent, ce sont des cibles particulires, dfinies par Iptables qui sont utilise.

Parmi les cibles dfinies par Iptables trois sont frquemment utilises : ACCEPT, DROP et
REJECT. Ces rgles sont dites terminales car elles ne pourront pas tre utilises pour effectuer un
saut vers une autre rgle.

ACCEPT signifie qu'on laisse passer le paquet travers le firewall.

DROP signifie que le paquet est purement et simplement jet. L'hte source du paquet ne
sera pas prvenu, le cas est identique la perte du paquet.

REJECT signifie que le paquet est rejet. A la diffrence de DROP, un paquet d'erreur est
transmis l'metteur du paquet rejet. Ainsi celui-ci est prvenu que le paquet a t rejet et
pour donc agir en consquence.

Masquelier Mottier Pronzato 17/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Exemple de script
Le script ci-dessous est un exemple de script permettant la configuration de NetFilter l'aide de la
commande iptables. Ce type de strict doit tre plac l'emplacement adquat pour qu'il soit appel
des que les interfaces rseaux sont actives. Par exemple sous Debian il doit se trouver dans le
dossier /etc/network/if-pre-up./.

L'exemple fournis ici peut tre appliqu une machine personnelle connect Internet via un
modem de type PPPoE.
#!/bin/sh

#ppp0: internet

#Suppression des rgles prdfinies pour toutes les tables :

iptables -F
iptables -t nat -F
iptables -t mangle -F

#Suppression de toutes les rgles de l'utilisateur :

iptables -X

#Politique par dfaut (tout rejeter) :

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# l'interface loopback du firewall peut mettre dans tous les sens :

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# les connections invalides sont refuses :

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

# les connections tablies ou assimilables sont acceptes en entres :

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Le firewall peut mettre comme il veut sur ppp0 :

iptables -A OUTPUT -o ppp0 -j ACCEPT

Masquelier Mottier Pronzato 18/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Les diffrents types de firewalls

Matriel

Cisco
La clbre socit Cisco, plus connu pour ses routeurs,
propose galement des firewall matriels nomms PIX
(Private Internet eXchange).

Ces firewalls sont des plateformes compltes bases sur un

noyau propritaire de Cisco. Ce sont des firewalls tat
(stateful) utilisant l'algorithme de Cisco, l'ASA (Adaptive
Security Algorithm). Ils disposent, entre autre, d'un
client/serveur DHCP, d'une gestion du PAT (Translation
d'Adresse par Port) et NAT (Translation d'Adresse IP), de
la prise en compte des rseaux privs virtuel (VPN) avec la
gestion d'IPSec. Plusieurs classes de PIX existe, du plus Pix 501

simple pour les petites entreprise, au plus volu pour les

entreprises tel que les fournisseurs d'accs internet.

De nous jours, ces firewalls tendent de plus en plus ressembler aux routeurs Cisco. Effectivement,
les clients de la marque Cisco rclament frquemment la mise en place des systmes d'algorithmes
de routage sur les PIX. Ce phnomne existe aussi dans l'autre sens, c'est dire qu'il existe sur les
routeurs Cisco disposant de l'IOS 12 (Internetwork Operating System), le protocole FFS (Firewall
Feature Set) de filtrage tat (Stateful).

Voici quelques informations sur le schma de protection bas

sur l'algorithme de scurit adaptatif (ASA) :

Adresses IP source et destination

Numros de ports source et destination

Numros de squences TCP

Pix 515
Flags TCP/IP

Tout paquet sans connexion justifie est jet

Masquelier Mottier Pronzato 19/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Le trafic venant d'une interface de niveau de scurit haut (inside) vers une interface de
niveau bas (outside) est permis, sauf si des access-list (ACL) limitent ce trafic

Le trafic entrant est interdit par dfaut

Les flux ICMP sont interdits moins de les permettent spcifiquement.

Logiciels

IPCop
IPCop est un projet Open Source dont le but est dobtenir une distribution Linux compltement
ddie la scurit et aux services essentiels d'un rseau. IPCop joue le rle dintermdiaire entre
un rseau non sr (Internet) et un rseau quon souhaite scuriser (rseau local), tout en offrant des
services ajouts.

Les principaux services offerts de base sont les suivants : DHCP, NTP (serveur de temps), PROXY,
SSH, IDS(dtection d'intrusions), FIREWALL incluant le SHAPING (mise en forme du trafic).

Les services de bases concernant le firewall et le shaping sont assez sommaire et n'exploite pas
l'intgralit des fonctionnalits offertes par NetFilter.

IPCop permet l'ajout de fonctionnalits par lintermdiaire de plugins sans avoir redmarrer la
machine. On peut par exemple citer les plugins suivants : filtrage de mail contre les virus et les
spams, filtrage du protocole HTTP et FTP pour les virus, ...

Linstallation est simple et rapide car tous les lments non ncessaires son objectif de distribution
de scurit ont t omis. Le fait d'omettre un maximum d'lments est galement un gage de
scurit car cela vite au firewall d'tre vulnrable aux attaques ciblant des logiciels priphriques
(applications bureautique, ...)

La configuration se rvle aussi trs simple car elle est effectue par l'intermdiaire d'une interface
web pure.

Pour simplifier la configuration, IPCop utilise les bonnes pratiques en terme d'architecture rseau en
sparant les rseaux en diffrentes zones telles que :

la DMZ : rseau des machines publiant des services services sur Internet. Si une de ces
machines est compromise, elle ne pourra pas accder directement aux machines du LAN.

le WIRELESS : rseau des machines sans fils, elles ne pourront pas communiquer directement
avec les machines du LAN car les rseaux sans fils ne sont pas aussi scurises que des liaisons

Masquelier Mottier Pronzato 20/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

filaires.

le LAN: rseau protger.

L'INTERNET: rseau risque.

L'cran suivant prsente une partie de l'interface de configuration d'IPCop :

Ajout d'une nouvelle rgle avec IPCop

Masquelier Mottier Pronzato 21/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Conclusion
Comme on peux le constater, les firewalls possdent de multiple capacits qui peuvent diffrer en
fonction de leurs types. Cette multitude de solutions impose donc une tude rigoureuse de la
scurit devant tre mise en place. En effet, le systme informatique d'une centrale nuclaire n'aura
pas les mmes besoin en terme de scurit qu'un particulier et aura donc par consquent des
quipement diffrents.

Il est galement ncessaire de prciser que le firewall est seulement un composant de scurit, il ne
protgera donc pas lui seul un rseau. Il est ncessaire de l'inclure dans une dmarche qui prendra
en compte d'autres paramtres tel que la mise jour des applications.

Masquelier Mottier Pronzato 22/23 Nouvelles Technologies Rseaux

Ingnieurs 2000 Informatique et Rseaux 3me anne

Sources
Adresse Description
http://www.cisco.com Site officiel du constructeur Cisco.
http://www.orbytes.fr Site gnraliste sur les rseaux.
http://www.linux-france.org Site traitant du monde de Linux et du rseau
http://olivieraj.free.fr/fr/linux/information/firewall/ Firewall et scurit d'un rseau personnel sous
Linux
http://fr.wikipedia.org/wiki/Firewall Firewall, Wikipedia
http://www.frameip.com/firewall/ Les Firewalls par Alban Jacquemin et Adrien
Mercier
http://www.netfilter.org/ NetFilter / Iptables
http://www.linux-france.org/prj/inetdoc/ Routage avanc et contrl de trafic avanc
http://luxik.cdi.cz/~devik/qos/htb/ Gestionnaire HTB
man tc Page de manuel de la commande tc
man iptables Page de manuel de la commande iptables

Masquelier Mottier Pronzato 23/23 Nouvelles Technologies Rseaux