Dudin Aymeric

Marino Andrès

Les technologies

1 / 27
 PLAN

Introduction

1. CHAPITRE 1 : Pourquoi se protéger ?

1.1. De quoi se protéger ?

1.2. De qui se protéger ?
1.3. aspect juridique

2. CHAPITRE 2 : Le firewall, une technique de protection

2.1. Introduction

2.2. Technologies de filtrage

• A - Filtrage de paquets
• B - Filtrage de circuit
• C - Filtrage d’applications
• D - Filtrage de paquets dynamique

2.3. Architectures firewall

•2.3.1. Vocabulaire technique
•2.3.2. Types d’architecture, comparatifs et coûts
A - firewall avec routeur de filtrage
B - passerelle double ou réseau bastion
C - firewall avec réseau de filtrage
D - firewall avec sous-réseau de filtrage

2.4. Bilan technologique.

•2.4.1. Problèmes existants.
•2.4.2. Solutions pratiques.

Conclusion

2 / 27
 Introduction

Certaines histoires d'intrusions sont bien connues, elles ont été relayées par les médias, et font
aujourd'hui partie de la légende du piratage informatique. Quelques faits :

• En 1986, de nombreux ordinateurs du gouvernement U.S. ont été infiltrés par des pirates
Ouests allemands enrôlés par le KGB. Chris Stoll, l'administrateur système qui découvrit les faits, en a
tiré un livre devenu désormais un classique : The Coockoo's Egg ( L’œuf de coucou.

• En 1988, l'Internet Worm (ver ), un programme qui s'auto-reproduisait, contamina le système

informatique académique de tout le pays.

• En 1994, un ingénieur de MCI communication a été inculpé pour avoir intercepté 60.000
numéros de cartes téléphoniques depuis un central téléphonique.

• En 1995, Kévin Mitnick, 31 ans, a été arrêté après une longue carrière de délinquant
informatique, comprenant le vol de 20.000 numéros de cartes de crédits, en pénétrant des ordinateurs
de Pacific Bell, Digital Equipment Corporation et en détournant pour environ 1 million de dollars
d'informations volées.

Cependant, aussi inquiétantes que puissent être ces histoires, elles ne représentent qu'une infime partie
du problème. Accompagnant la croissance du nombre de machines interconnectées dans Internet et la
conscience dans le grand public du développement des "Autoroutes de l'Information", le nombre
d'intrusions explose littéralement. La nécessité d’une protection efficace s’est donc naturellement
imposée.

Ce dossier propose de faire découvrir et d’expliquer une solution parmi tant d’autres, mais
couramment retenue dans la plupart des réseaux aujourd’hui : le firewall ou garde-barrière. Il y sera
expliqué dans quelles mesures il est nécessaire de protéger un réseau aujourd’hui. Le terme de firewall
est un terme générique ; nous tenterons donc de présenter au niveau fonctionnel et physique, les
techniques représentées par cette appellation. Il sera aussi question de la couche logicielle des pare-
feu, qui représentent une part importante de la protection : Il en sera établi un comparatif aussi clair
que possible.

3 / 27
 Chapitre I : pourquoi se protéger ?

1. De quoi se protéger ?
Un réseau présente de nombreux risques s’il n’est pas correctement protégé contre les intrusions. Les
risques sont variés, mais voici les plus courants et pouvant présenter un danger quelconque.

• espionnage industriel
• destruction de fichier
• utilisation de votre système pour pénétrer dans d’autres qui font confiance au votre
• vol d’informations

 l’espionnage industriel
Ce point concerne essentiellement les entreprises soucieuses de conserver des informations
secrètes. La concurrence pourrait être tentée d’utiliser Internet pour obtenir ces informations.

 destruction de fichiers
Dans un système, de nombreux fichiers vitaux à celui-ci sont souvent les cibles privilégiées
des pirates informatiques. En effet, à la suite d’une intrusion, ces fichiers sont la plupart du temps
détruit pour ne pas laisser de traces et laisser la porte ouverte aux autres pirates.

 utilisation du système
De nombreux systèmes sont interconnectés les uns avec les autres. S’il est parfois difficile de
pénétrer directement dans le réseau à atteindre, les pirates ont la possibilité de passer par des " portes
dérobées " ; Ils peuvent décider de s’introduire dans d’autres sous-systèmes qui " font confiance " à
votre système pour arriver à leur fin. Cette méthode est courante bien qu’elle nécessite de très bonnes
notions de routage.

 vol d’informations
Dans tout système informatique, certaines informations sont très importantes et doivent rester
confidentielles. Lorsque celles-ci sont dérobées, elles peuvent être utilisées à l’insu de la personne qui
les possédaient initialement.

 utilisation frauduleuse du réseau

Certaines personnes travaillant dans votre réseau peuvent créer des trous de sécurité de façon
intentionnelle (divulgation de mots de passe) ou non intentionnelle (connexion à Internet de façon non
autorisée, par la ligne téléphonique par exemple.)

4 / 27
2. De qui se protéger ?
Les motifs de l'agresseur sont nombreux et variés ; ils évoluent dans le temps. Il n'est pas possible de
dresser une liste exhaustive des motivations des criminels en col blanc mais quelques exemples
permettront de saisir la personnalité de quelques-uns d'entre eux. Les actes intentionnels, qui nous
intéressent ici, comprennent : l'espionnage, l'appât du gain, la fraude, le vol le piratage, le défi
intellectuel, la vengeance, le chantage, l'extorsion de fonds. Nous compléterons cette liste par celles
des actes non intentionnels mais qui constituent une menace pour les systèmes : la curiosité, l'ennui, la
paresse, l'ignorance, l'incompétence, l'inattention...

Bien qu'il n'y ait pas de portrait robot de l'attaquant, quelques enquêtes et études ont montré que les
criminels en informatique étaient majoritairement des hommes ayant un travail peu gratifiant mais
avec d'importantes responsabilités et un accès à des informations sensibles. L'avidité et l'appât du gain
sont les motifs principaux de leurs actes, mais il apparaît que les problèmes personnels ainsi que l'ego
jouent un rôle primordial en influant sur le comportement social.

3. aspect juridique
Comme stipulé dans le nouveau code pénal (articles 323), le piratage d’un système informatique est
passible de nombreuses peines, souvent lourdes de conséquences au niveau financier et des droits
civiques.

Les peines varient (peu) suivant les délits commis, mais dans tous les cas, le problème n’est pas pris à
la légère, de quoi dissuader bon nombre de pirates informatiques (hackers, crackers).

Les peines encourues correspondent souvent à une importante somme d’argent, a une peine de prison
et voire, dans certains cas, l’interdiction des droits civiques.

Les amendes s’échelonnent de 100.000 F à 300.000 F selon le délit. Cette somme d’argent à payer
s’accompagne d’une durée d’emprisonnement pouvant aller généralement de 1 à 3 ans. Il est même
possible de se voir interdire l’exercice de ses droits civiques pendant une durée de cinq années.

5 / 27
 Chapitre II : Le firewall, une technique de protection

1 Introduction
Le Firewall ou «coupe-feu » ou encore «garde-barrière » est essentiellement un
dispositif qui constitue un filtre entre un réseau considéré comme sûr, tel que le réseau local
auquel vous appartenez, et un réseau qui ne l’est pas, tel qu’Internet.

Derrière le mot firewall se cache un concept plutôt qu’un matériel ou un logiciel bien
défini. Nous dirons qu’un firewall peut être généralement constitué de plusieurs éléments
parmi lesquels nous distinguerons :

- Un (des) routeur (s) assurants les fonctionnalités de filtrages.

- Une (des) machine (s) dites «système bastion » qui entre autres assurent les
fonctions :

- de passerelle applicative (proxy) pour les applications les plus connues

telles que telnet, FTP, WWW, Mail, etc.

- D’authentification des appels entrants, avec éventuellement mise en

œuvre de systèmes d’authentification par clé.

- D’audit / log / trace des appels entrants ainsi que des sessions mail,
WWW, etc.

Le rôle d’un environnement de firewall est d’assurer un certain niveau de protection du réseau
interne, tout en permettant de travailler sans trop de contraintes. Ceci est possible grâce à des
techniques de filtrage de plus en plus rapides et intelligentes.

6 / 27
2 Quatre générations de Firewalls

L’industrie du firewall est jeune mais arrive rapidement à maturité. La première génération de firewall
a été développée vers 1985 par la Cisco’s IOS software division. Ce type de firewall est dit à
filtrage de paquets. Le premier rapport concernant ceux-ci n’a pas paru avant 1988, quand Jeff
Mogul publia ses études pour Digital Equiment Corporation.

Durant les années 1989 – 90, Dave Presotto et Howard Trickey de AT&T Bell furent les pionniers de
la seconde génération de firewall avec leurs recherches sur les relais de circuit. Ils ont aussi
implémenté le premier modèle de la troisième génération de firewall, connu sous le nom
firewall de niveau application. Malgré tout, ils n’ont jamais publié d’article sur leur travail ni
vendu de produit basé sur leur travail.

Comme souvent dans le monde de l’informatique, les recherches sur la troisième génération de
firewall ont été faites indépendamment par un grand nombre d’américains dans le début des
années 90. Les premières parutions à ce sujet furent publiées en 1990 et 91. Le travail de
Marcus Ranum a rapidement évolué pour devenir le premier produit commercial utilisant les
services proxy (SEAL de Digital Equipment Corporation).

Vers 1991, Bill Cheswick et Steve Bellovin commencèrent leurs recherches sur le filtrage dynamique
de paquets, et aidèrent à développer un produit interne pour Bell, bien que ce produit ne fut
jamais vendu. En 1992, Bob Braden et Annette DeSchon commencèrent indépendamment des
recherches sur le firewall de quatrième génération, pour développer un produit nommé Visa
qui sera mis sur le marché en 1994.

7 / 27
A – Le filtrage de paquet
Un Firewall à filtrage de paquets est une technologie de première génération qui analyse le trafic sur la
couche transport. Chaque paquet IP est examiné de façon à voir s’il correspond à une des règles
définissant les types de flux permis. Ces règles permettent de savoir si une communication est
autorisée, en se basant sur l‘entête de la trame IP et sa direction (interne vers externe et vice versa).

Le filtrage de paquets permet de manipuler (c’est à dire : autoriser ou interdire) le transfert de données,
en se basant sur les contrôles suivants :
• Le réseau physique sur lequel le paquet arrive
• L’adresse d’où le paquet est supposé arriver (adresse source)
• L’adresse destination
• Le type de protocole de transport utilisé (TCP, UDP, ICMP)
• Les ports source / destination (pour TCP ou UDP)

En général, le filtrage de paquets ne comprend pas le niveau applicatif des paquets reçus. En revanche,
il travaille en appliquant une liste de règles de filtrage qui est contenue dans le noyau TCP/IP. Cette
liste contient un critère de filtrage et une action associée, et on applique l’action au paquet suivant le
critère de filtrage.

L’action mise en œuvre peut prendre 2 formes : « autorise » ou « rejette » le paquet.

Deux listes sont donc maintenues dans le noyau TCP/IP (deny list et permit list). Pour qu’un paquet
soit routé à sa destination, il faut qu’il passe les 2 vérifications. C’est à dire : il ne doit pas être refusé
et doit être expressément autorisé. Quelques filtres de paquets incorporés dans des routeurs hardware

8 / 27
appliquent une politique de filtrage différente. Dans ceux ci, si le paquet n’est pas expressément rejeté,
il est accepté. Il est indispensable pour l’administrateur de connaître le type de filtrage utilisé par le
routeur.

Généralement, le filtre de paquet permet de vérifier les ports source et destination d’un paquet pour les
protocoles TCP et UDP. Cette vérification permet de savoir s’il existe une règle correspondant à la
combinaison : Port / Protocole. Etant donné que le protocole ICMP n’utilise pas de numéro de port, il
est difficile d’appliquer des règles de sécurité à cette forme de trafic. Pour réaliser une politique de
sécurité pour ICMP, il est nécessaire de maintenir une table d’états, pour s’assurer qu’un paquet de
réponse a bien été demandé au préalable. Cette habilité à traquer les états de connexion est la majeure
différence entre un simple filtre de paquets et un filtre dynamique.

Comme les filtres de paquets sont généralement implantés dans la couche réseau, ils ne savent pas
comment traiter une information de protocole haut niveau comme FTP. Les filtres les plus
sophistiqués sont capables de détecter IP, TCP, UDP, et ICMP. En utilisant un filtre de paquet incluant
le filtrage TCP/UDP, on peut autoriser certains types de connexions pour certaines machines et les
interdire pour les autres.

L’inspection complète d’un paquet suit l’algorithme suivant :

• Si aucune règle de permission n’est trouvée, le paquet est rejeté
• Si on trouve une règle qui autorise cette communication, on autorise la connexion
• Si on trouve une règle qui interdit la communication, le paquet est rejeté

Comme ce type de firewall n’inspecte pas la couche application du paquet, et ne supervise pas l’état
des connexions, c’est la solution la moins sure des technologies de firewall. Elle laisse passer les
paquets avec un minimum d’éléments de décision. En contrepartie, comme il exécute moins de
fonctions que les firewalls de technologie différente, c’est le moyen le plus rapide et il est souvent
implémenté dans des solutions hardware telles que les routeurs IP.

Le firewall à filtrage de paquet ré adresse souvent les paquets de manière à ce que le trafic sortant
semble parvenir d’un hôte différant plutôt que d’un hôte interne. Ce principe de ré adressage est
appelé Network Adress Translation. Ce système permet de cacher la topologie et l’adressage du réseau
interne.

Pour conclure voici les avantages du filtrage de paquets :

• Les filtres de paquets sont généralement plus rapides que les autres technologies, car ils
procèdent à moins d’opérations. Ils sont aussi plus faciles à implémenter en dur.
• Une règle suffit à bannir une source spécifiée.
• Cette technologie est totalement transparente pour l’utilisateur, qui n’a aucune modification à
apporter à sa configuration.
• En association avec NAT, on peut protéger les adresses IP internes des utilisateurs externes.
Et ses inconvénients
• Les filtres de paquets ne comprennent pas la couche application. Ils ne peuvent donc pas
assurer la sécurité pour des services basiques tels que PUT ou GET dans FTP. Pour cette raison,
c’est la moins fiable des solutions.
• Ils ne gardent pas d’informations sur les différentes connexions.
• Ils ne peuvent pas manipuler les informations contenues dans un paquet.
• Ils n’offrent pas de services supplémentaires tels que le cache HTTP, le filtrage d’URL, et
l’authentification car ils ne comprennent pas les protocoles mis en jeu.
• Ils ont peu ou pas de fichier d’audit ni de mécanisme d’alerte.
• Les tests d’efficacité sont très difficiles à mettre en œuvre.

9 / 27
B – Firewalls de niveau circuit
Un firewall de niveau circuit est une technologie de seconde génération qui accepte le fait qu’un
paquet soit une demande de connexion ou qu’il appartienne à une connexion ou un circuit virtuel
existant.

Pour valider une session, un firewall de niveau circuit examine le déroulement de chaque connexion
pour vérifier s’il suit un handshake (poignée de main) légal (Le seul protocole de transport largement
développé utilisant un handshake est TCP). Les paquets de données ne sont transmis que lorsque la
connexion est établie. Le firewall maintient une table des connexions valides et ne laisse passer les
paquets que s’ils correspondent à une de ces connexions. A la déconnexion, la ligne correspondante
est effacée.

Quand une connexion est établie, le firewall stocke les informations suivantes.
• Un numéro unique pour identifier la connexion.
• L’état de la connexion : handshake, established ou closing.
• Les informations de séquence.
• L’adresse IP source (d’où les données arrivent).
• L’adresse IP destination (où les données vont).
• L’interface physique d’entrée.
• L’interface physique de sortie.

En utilisant ces informations, le firewall vérifie l’entête de chaque paquet pour déterminer si la
machine source a la permission d’envoyer des données à la machine cible, et si celle ci a la permission
de les recevoir.

10 / 27
Ces firewall n ’ont qu’une compréhension limitée des protocoles utilisés dans la couche réseau. Ils ne
peuvent détecter qu’un protocole de niveau transport, comme TCP. Tout comme le filtre de paquets, le
firewall de niveau transport applique une liste règles maintenues dans le noyau TCP/IP.

Le firewall permet le passage des données avec un minimum de vérifications en construisant une
image limitée de l’état de la connexion. Si un paquet appartient à une connexion établie, il passera
sans plus de vérifications, sinon il sera jeté. A l’arrivée d’une demande de connexion, le firewall
vérifie si elle est acceptable en la comparant aux règles prédéfinies. Cette méthode est très rapide et
offre un nombre limité de vérifications possibles.

Le firewall peut procéder à des vérifications supplémentaires pour s’assurer que le paquet n’a pas été
truqué, et que les données contenues dans l’entête correspondent bien à celles définies par ce
protocole. Ceci permet de détecter certaines formes de modifications de données.

Souvent, le firewall ré adresse le paquet pour qu’il semble provenir du firewall plutôt que de l’hôte
interne. En conservant les informations sur chaque session, il peut facilement faire correspondre les
réponses externes à l’hôte interne approprié.

Pour résumer, voici les avantages du firewall de niveau circuit :

• Il est généralement plus rapide que les firewalls de couche application, car il procède à moins
de vérifications.
• Il peut protéger un réseau en interdisant les connexions entre certaines sources Internet et les
ordinateurs internes.
• En association avec NAT, on peut protéger les adresses IP internes des utilisateurs externes.

Et ses inconvénients :
• Il ne peut restreindre les accès que pour le protocole TCP.
• Il ne peut contrôler les protocoles de niveau supérieur.
• Il n’offre pas de services supplémentaires tels que le cache HTTP, le filtrage d’URL, et
l’authentification car ils ne comprennent pas les protocoles mis en jeu.
• Il est difficile de tester l’efficacité des règles « accept » et « deny »

C – Firewall de couche application

Un Firewall de couche application est un firewall de troisième génération qui vérifie la validité des
données au niveau application avant d’autoriser une connexion. Il examine le paquet et maintient l’état
et l’historique de la connexion. En plus, ce type de firewall permet d’utiliser une authentification.

La plupart des firewalls de couche application incluent des applications spécialisées et des services
proxy. Les services proxy sont des programmes adaptés qui gèrent le trafic pour un protocole
particulier, tel que HTTP ou FTP. Les proxy sont spécifiques au service pour lequel ils sont destinés.
Ils proposent un contrôle d’accès accru, des vérifications détaillées pour la validité des données, et
peuvent générer des fichiers d’audit sur le trafic.

11 / 27
Chaque proxy nécessite 2 composants généralement implémentés en un seul exécutable : un serveur
proxy et un client proxy. Le serveur proxy joue le rôle du serveur final pour les clients du réseau
interne. Toutes les communications des clients internes vers Internet passent par le serveur proxy,
plutôt que d'autoriser une connexion directe. Le client envoie une requête au proxy pour se connecter à
un service extérieur, comme FTP ou Telnet. Le serveur décide à la suite de la légalité de la requête en
se basant sur une liste de règles propre au service en question. Il comprend le protocole pour lequel il
est approprié et à l’arrivée de chaque paquet, celui ci est analysé et ne passe que s’il correspond à la
définition du protocole. Il permet aussi de bénéficier de rapports d’audit détaillés, d’authentifications
d’utilisateurs, ainsi que d’un cache.

Le client proxy jouera le rôle du client pour le serveur sur le réseau externe. Si une requête vers
l’extérieur est acceptée par le serveur proxy, celle ci sera expédiée au client proxy qui établira la
connexion au nom de du réel client. Ainsi, il relais les requêtes du serveur proxy vers le serveur
extérieur, et les réponses de celui ci vers le serveur proxy. De même, le serveur proxy relaiera les
informations entre le client proxy et le client réel.

12 / 27
 Véritable serveur

Internet

Réponse Requête
retransmise

Réseau
local
Proxy Protocole Proxy Machine
Serveur d’analyse client Proxy

Véritable client

Les services proxy ne permettent jamais une connexion directe, et ils forcent les paquets à être
examinés et filtrés. Au lieu de communiquer directement avec le serveur choisi, le client converse
avec le serveur proxy. La passerelle par défaut est le serveur proxy du firewall. Ceci est vrai aussi du
coté du serveur distant qui converse avec le client proxy.

Le service proxy est transparent entre l’utilisateur sur le réseau interne et le serveur distant.
L’utilisateur a l’impression de converser directement avec le l’hôte réel. L’hôte lui communique avec
un utilisateur sur le proxy.

Les services proxy sont implémentés sur le haut de la pile réseau et opèrent uniquement dans l’espace
d’application du système d’exploitation. En conséquence, chaque paquet doit être traité par les
protocoles de bas niveau avant d’être mis à disposition de la couche application, et y être inspecté.
Pour être redistribué, le paquet doit subir le cheminement inverse. Comme chaque paquet subit ce
traitement, il est connu que ce système de firewall est très lent.

De même que le firewall de niveau circuit, le firewall de couche application peu opérer des contrôles
pour vérifier que le paquet n’a pas été truqué, et il utilise souvent la translation d’adresse.

Pour résumer, voici les avantages du firewall de niveau application :

• Les services proxy comprennent et renforcent les protocoles de haut niveau comme FTP ou
HTTP.
• Ils tiennent à jour les informations concernant les données transitant. Ils fournissent des
informations sur les états des communications, ainsi que sur les sessions.
• Ils peuvent interdire les accès à certains services et en autoriser d’autres.
• Ils peuvent traiter les informations d’un paquet, et les modifier.
• Ils n’autorisent pas les communications directes.
• Ils donnent aux utilisateurs l’impression de communiquer directement avec l’extérieur.
• Ils mettent à disposition quelques services supplémentaires comme le cache http, le filtrage
d’URL ou une authentification d’utilisateur.
• Ils sont un moyen pratique pour générer des rapports d’audit, et permettent à l’administrateur
de superviser les tentatives de violation de la sécurité.
• Les applications du serveur proxy ne s’exécutent pas forcément tous sur la même machine, le
proxy peut très bien router certains services (comme HTTP ou FTP) sur une autre machine serveur,
de façon à diminuer sa charge de travail.

13 / 27
Et ses inconvénients
• Sa mise en place, demande de remplacer l’ancienne pile réseau dans le firewall.
• Comme il écoute sur les même ports que les serveurs, on ne peut pas faire tourner de serveur
sur un firewall.
• Les services proxy engendrent un grand temps de traitement de l’information (qui doit être
traitée par le proxy puis par l’application).
• En général, un nouveau service proxy doit être écrit pour chaque protocole.
Approximativement, il faut considérer un délai de 6 mois entre l’arrivée d’un nouveau protocole et
celle du proxy qui lui sera propre.
• Enfin c’est toujours une charge supérieure pour les utilisateurs qui doivent souvent
configurer leurs clients ou encore taper des mots de passe pour pouvoir faire fonctionner leur client.

D – Filtrage dynamique de paquets

14 / 27
Un firewall à filtrage de paquet est un firewall de quatrième génération qui permet la modification des
règles de filtrage à la volée. Ce type de filtrage est utilisé pour limiter les accès par UDP au réseau.

Le filtrage dynamique de paquet possède les mêmes avantages et inconvénients que le firewall de
première génération, à la différence près qu’il n’autorise pas les paquets UDP non sollicités, à
l’intérieur du réseau.

Ce firewall accompli sa tâche en associant à chaque paquet UDP qui passe le périmètre de sécurité, un
circuit virtuel. Si une réponse à ce paquet est envoyée à l’expéditeur, alors une connexion est établie et
le paquet sera autorisé à traverser le firewall. L’information concernant les circuits, est valide pendant
une courte durée, et si aucune réponse ne parvient pendant cette durée, le circuit est invalidé. Pour
qu’une réponse soit autorisée, l’adresse destination et le numéro de port doivent correspondre à la
requête originale.

Ce filtrage est pratique pour rendre possible le franchissement de votre périmètre de sécurité à votre
serveur DNS interne(Domain Name Server) qui fonctionne souvent en mode UDP. Le serveur interne
envoie une requête à un DNS extérieur pour un hôte inconnu, et la réponse pourra franchir le firewall
sans problèmes.

ICMP est utilisé pour tester la connectivité de 2 réseaux, en envoyant des paquets entre des réseaux
qui coopèrent. Comme le firewall permet à une réponse de se propager dans le réseau interne, une
machine locale peut savoir si un hôte existe sur un réseau distant.

15 / 27
3. Architectures firewall
3.1. Analyse technique préalable
La mise en activité d'un environnement firewall doit impérativement s'accompagner d'une
réflexion à propos de l'objectif que l'on veut réellement atteindre, de la politique de sécurité et
d'utilisation du réseau que l'établissement souhaite voir respectée, ainsi que des moyens que l'on est
prêt à y mettre. Il faut que la politique de sécurité soit acceptée par tous, sinon, on tentera de la
contourner, avec les conséquences que l'on peut imaginer.

Ce n'est qu'une fois cette politique définie (dans ses grandes lignes) que le choix de solutions
techniques et organisationnelles peut être opéré. Ceci pour dire que ce n'est pas la technologie qui doit
imposer une politique de sécurité parce que l'outil est «joli» et le vendeur agréable, mais bien que la
politique de sécurité dicte les solutions.

De nombreux constructeurs proposent leurs solutions, et parfois, les moins onéreuses ne sont pas les
plus mauvaises ! D’autre part ce choix devra également prendre en compte le niveau des ressources
humaines disponibles, pour l’installation, la configuration et la maintenance du produit !

Les produits de sécurité nécessitent un investissement de départ pour l'installation, mais également un
suivi constant. L'engagement doit en être pris dès le départ. Ainsi du temps «d’administrateurs
compétents et rigoureux» doit être prévu pour le suivi de l'exploitation.

Il faut donc trouver une solution adaptée aux besoins, aux moyens, à l'environnement, et à la
culture de l’entreprise.

Grâce à cette analyse vous pourrez connaître les avantages, les inconvénients ainsi que le
fonctionnement des différentes architectures firewall.

16 / 27
3.2. Types d’architecture, comparatifs et coûts
Le firewall n’est pas seulement une solution logicielle de sécurité implantée sur une machine, c’est
aussi une architecture réseau de machines filtrantes.
L’approche simpliste d’un firewall localisé sur une machine jouant le rôle de grand chef d’orchestre
n’a plus cours à présent dans les grandes entreprises, car elle représente un goulet d’étranglement pour
le débit Internet et elle est trop peu sécurisée en cas de panne ou faille dans cette unique défense.

La mise en place de plusieurs filtres de différents niveaux assurent une meilleure étanchéité du réseau,
et un meilleur débit, mais ils s’accompagnent d’un coût plus élevé.

A - Firewall avec routeur de filtrage

La solution Firewall la plus simple, mais aussi la moins sure, se borne au réseau. On l'obtient en
configurant le routeur qui assure la connexion avec l’Internet. L'image suivante illustre cette solution
appelée Firewall avec routeur de filtrage.

Firewall avec routeur de filtrage

Cette solution permet de réaliser les différents serveurs d'un Intranet sur plusieurs systèmes. Le routeur
de filtrage contient les autorisations d'accès basées exclusivement sur les adresses IP et les numéros de
port.

Les filtres mis en œuvre dans le routeur pourront être (entre autres) :
- "IP source-routing" invalidé
- "IP-Spoofing" (mascarade IP) interdite
- "sites louches" filtrés en entrée
- Applicatifs comme : X11, RSH, R-Command (port-mapper), Finger, TFTP, etc.

On peut aussi envisager une solution identique à la précédente pour la partie filtrage, mais avec une
station de surveillance du trafic après le routeur.

Un certain nombre de contraintes pour la machine LOG :

- Ne pas avoir de compte utilisateurs (ou alors un /etc/passwd "fantôme")
- Ne pas tourner de «démons» inutiles (aucun en fait si possible)
- Ne pas avoir accès aux serveurs NFS du réseau interne, ni aux NIS par exemple.
- Préserver les fichiers de LOG sur une autre machine du réseau, car si la machine LOG est
compromise, les fichiers de trace «risquent» de disparaître. Les traces peuvent aussi être
conservées sur CD-ROM, cassettes, disques optiques...
- Activation d'alarmes dirigées vers l'administrateur.

17 / 27
Avantage : facilité de configuration, bon marché, de plus il fournit des traces exploitables, et surtout
la possibilité d'alarmes pour :
+ une vérification du bon fonctionnement des filtres du routeur.
+ il y ait encore un peu de temps pour réagir si le routeur est compromis.

Inconvénient : lorsque le routeur est contourné ou paralysé, le réseau entier est ouvert.

B - passerelle double ou réseau bastion

La passerelle double est la possibilité la plus simple pour réaliser un Firewall d'application
n'autorisant aucun trafic IP entre les réseaux

La machine «coupe-feu» cumule les fonctions de filtrage, de PROXY, de passerelle applicative et de

trace.
Elle :
- Filtre tout trafic entre le monde extérieur et le réseau local.
- Joue le rôle de serveur (store and forward) pour NNTP (news), SMTP (mail), et de proxy
pour HTTP.
- Sert de passerelle avec authentification pour les applicatifs telnet, rlogin, FTP.
- rend les services équivalent à la machine de LOG de la solution précédente

Pour simplifier le rôle du Proxy/Filtre, nous pourrions faire un filtre sélectif entre le monde extérieur
et le réseau local et permettre ainsi un trafic direct pour certains services comme SMTP, NNTP,
HTTP, mais cela demanderait un logiciel de routage spécifique.

Avantage : bon marché.

Inconvénient :
- Il ne faut pas que cette machine présente de faiblesses, car c'est le seul rempart contre
l'adversité !
- Du fait de tout ce qu'elle doit faire (routage et application), une telle configuration pourrait
rencontrer des problèmes de performance.

Précautions
Il vaut mieux utiliser un autre système que la passerelle au moins pour :
- assurer l'authentification (S/KEY)
- stocker les traces, audits, logs, etc.

18 / 27
C - firewall avec réseau de filtrage
La combinaison des deux méthodes est ici plus sûre et efficace. En ce qui concerne le réseau, un
routeur sous écran est configuré de façon à n'autoriser les accès de l'extérieur et de l'intérieur que par
l'intermédiaire du réseau bastion sur lequel fonctionnent tous les serveurs assurant les serveurs
Internet. Cette possibilité est appelée Firewall avec réseau de filtrage. L'image suivante illustre cette
solution

Firewall avec réseau de filtrage dans lequel seuls les accès au réseau bastion sont autorisés

Pour la grande majorité des entreprises, cette solution est sûre et abordable, car les prestataires Internet
assurent la seconde partie de la protection à l'autre bout de la ligne. En effet, votre entreprise y est
également connectée à un routeur, et le trafic de données est réglé par un serveur Proxy en ce qui
concerne la couche application. Les pirates doivent par conséquent franchir deux obstacles.

Avantage : bon marché et sûr lorsque le prestataire est équipé en conséquence.

Inconvénient : le coût d’investissement est plus élevé.

D - firewall avec sous-réseau de filtrage

Firewall avec sous-réseau de filtrage

Cette solution est de loin la plus sûre, mais également la plus onéreuse. Un Firewall avec sous-
réseau de filtrage se compose de deux routeurs sous écran. L'un est connecté à Internet, et l'autre à
l’Intranet/LAN. Plusieurs réseaux bastions peuvent s'intercaler pour former entre ces deux routeurs, en
quelque sorte, leur propre réseau constituant une zone tampon entre un Intranet et l'Internet appelée
«zone démilitarisée».

19 / 27
 De l'extérieur, seul l'accès aux réseaux bastions est autorisé. Le trafic IP n'est pas directement
transmis au réseau interne. De même, seuls les réseaux bastions, sur lesquels des serveurs Proxy
doivent être en service pour permettre l'accès à différents services Internet, sont accessibles à partir du
réseau interne.

Pour s'introduire sur le réseau d'entreprise à travers ce Firewall, il faut franchir les deux routeurs, ainsi
que les réseaux bastions intercalés

Le Routeur interne :
- Autorise le trafic entre le bastion 1 et les machines internes et inversement.
- Interdit tout autre trafic.

Le Routeur externe :
- Filtre le trafic entre le monde extérieur et le bastion 2.
- Interdit tout autre trafic direct(donc pas de trafic direct entre le réseau interne et
l’extérieur).

Les deux bastions peuvent discuter sans aucune règle => zone démilitarisée (DMZ)

Le bastion interne :
- Assure les fonctions de DNS vis à vis du réseau interne en envoyant ses requêtes au
bastion externe.
- Assure les fonctions de proxy avec authentification pour les applications distantes (Telnet,
Rlogin, FTP)
- Assure le relais du Mail sortant(SMTP).

Le bastion externe :
- Filtre au niveau applicatif les paquets en direction du réseau interne
- Assure le relais X11 de l’extérieur vers l’intérieur, sur autorisation.
- Assure le relais du Mail entrant(POP).
- Assure les fonctions de DNS vis à vis du réseau externe.

Avantage : système Firewall très sûr.

Inconvénients : coût d'investissement élevé, et il faut fournir un effort d’installation, et
d’administration important.

20 / 27
4. Bilan technologique.

4.1. Problèmes existants

a) Quand le pare-feu bloque les débits !

«Je prends une trame, je l'examine, je la transmets ou la bloque en fonction de règles... tout ça prend
du temps. Tant que l'on travaillait avec des liaisons spécialisées à 64 kbit/s, cela n'avait aucune
importance", explique Lee Klarich, responsable du produit N500 chez Netscreen. "Aujourd'hui, nous
sommes confrontés au problème de l'augmentation des capacités des postes clients, de plus en plus
souvent reliés à Internet via des accès DSL. On s'aperçoit alors que c'est le firewall - et non le routeur
ou le switch - qui bloque le débit. Et, dès que l'on gravite autour du Gigabit, on constate très vite les
limitations matérielles de l'électronique de ce genre de passerelles». C'est l'une des principales raisons
qui expliquent l'abandon, sitôt que les débits deviennent importants, des coupe-feu logiciels,
handicapés par une architecture PC relativement peu performante en terme d'entrées/sorties, au profit
des alliances firewall/VPN. Reste que, même sous une forme totalement matérielle, ces équipements
doivent être conçus pour ne pas léser la qualité de service du réseau : processeurs dédiés, bus interne
largement dimensionné ; cartes d'entrée/sortie aussi «intelligentes» que possible pour décharger au
maximum la CPU de travaux lourds, noyau embarqué optimisé (les dérivés des GNU-Linux montrent
parfois quelques limitations en puissance de traitement), et, éventuellement, équilibrage de charge vers
les segments "aval" de la passerelle. Sur ce point, la plupart des vendeurs commencent à proposer des
fonctions de répartition de charge par VLAN, pour que les administrateurs puissent favoriser les accès
à un serveur web, ou à une base de données. «La parallélisation en mode actif/passif ou actif/actif ne
résout pas tout, insiste Lee Klarich. Une entreprise moyenne peut parfaitement se contenter d'un
système classique, mais un opérateur, un ISP, un ASP, une société d'envergure internationale ne
sauraient penser le moindre déploiement sans tenir compte du sérieux des entrées/sorties de leurs
équipements ».

b) Les limites d’un Firewall

Paradoxe soulevé par les experts

Même entouré de tous ces cerbères, rien ne garantit vraiment l'efficacité d'un firewall. L'actualité de
ces derniers mois regorge d'exemples d'intrusions utilisant des techniques de covered channel
(attaques exploitant la liaison VPN d'un client, invisible depuis le pare-feu) ou profitant d'un défaut de
conception propre à tel ou tel maillon de la chaîne de communication. Ces mêmes déboires montrent
clairement qu'il n'existe, en matière de firewall, aucune solution "prête à l'emploi", en dépit de la
vogue actuelle des alliances Firewall/VPN. Ainsi une porte bien blindée par un robuste firewall reste
inefficace sans une protection des murs et des fenêtres de l'entreprise (antivirus, détecteurs
d'intrusions, systèmes d'authentification et de certification...), de plus la multiplication des boucliers et
des armures alourdit bien souvent l'administration générale, quand elle ne va pas jusqu'à générer de
nouvelles failles de sécurité...

21 / 27
4.2. Solutions pratiques
Le but du firewall est d’effectuer un filtrage le plus efficace possible sans pour autant devenir
un goulet d’étranglement pour le débit. Afin de réussir ce pari les chercheurs ont décidé d’intégrer la
sécurité sur certains firewall au niveau le plus bas. Il est vrai que le défaut majeur des firewalls pour le
moment est leur temps de latence pour filtrer les trames qui croît avec la complexité de l’analyse.

A terme les fonctions de sécurité devraient être intégrées au niveau le plus bas, celui du
silicium ou à un niveau à peine plus élevé, au sein d'éléments de base du réseau, tel le modem.

Un autre objectif est d’associer un antivirus au firewall afin de ne pas avoir à subir d’attaques
de l’intérieur du réseau par de simples courriers électroniques. Les mails n’ayant pas ou peu de
contraintes sur le temps de transit sur le réseau, il est possible d’analyser plus en détail les courriers
ainsi que leurs pièces jointes avant leur entrée dans le réseau afin de ne risquer aucune attaque.

4.2.1 Le firewall certifié par la direction centrale de la sécurité des systèmes d’informations.

a) Mise en valeur d’un firewall de qualité.

Les entreprises ainsi que les organismes gouvernementaux se tournent désormais vers des produits
standards plutôt que vers des produits "sur mesure". Leur objectif est de faire appel à des produits
certifiés, dont les caractéristiques de sécurité ont été dûment vérifiées, pour construire des systèmes
sécurisés.

L'utilisation d'un firewall certifié garantit :

• Que les fonctions de sécurité sont pertinentes, efficaces et correctement mises en œuvre
• Que tous les mécanismes de sécurité critiques ont été testés pour établir leur capacité à
résister aux attaques directes et indirectes.

b) Problèmes de coût et délais de réponse

Les délais nécessaires à l'évaluation d'un firewall varient de 2 à 9 mois, selon les
fonctionnalités évaluées, le niveau d'évaluation et la résistance des mécanismes visés. Le
commanditaire de l'évaluation est tenu de fournir tous les documents nécessaires, tels que le dossier de
conception, les plans de test... et, à partir du niveau d'évaluation E3, le code source.

L'évaluation est effectuée et facturée au commanditaire conformément aux conditions commerciales

négociées à l'avance, par l'un des centres d'évaluation agréés. Le suivi de l'évaluation et la délivrance
du certificat par l'organisme de certification (DCSSI) sont gratuits.

c) Avantages de l'évaluation

Une évaluation effectuée par une tierce partie indépendante couvre aussi bien la qualité du
développement que l’efficacité des mesures de sécurité. Réalisée par des experts selon des méthodes
éprouvées, elle est confirmée par un certificat officiel.

L'expérience montre que le seul fait d'adopter la démarche rigoureuse exigée pour une évaluation
améliore globalement la qualité du processus de développement et de fabrication. Certificat à l'appui,
le développeur peut ainsi pleinement valoriser son savoir-faire.

Enfin, les certificats délivrés dans le cadre du Schéma français sont reconnus par nos homologues
allemands et britanniques avec lesquels des accords de reconnaissance mutuelle ont été signés.

22 / 27
4.2.2 La technique FireProof d’équilibrage de charge entre firewalls.

Le FireWall est un point unique de panne. En cas d'incident sur cet élément vital, plus aucune
communication n'est possible. Une solution peu satisfaisante consiste à faire l'acquisition d'un second
FireWall, en attente, qui n'est utilisé qu'en cas d'incident majeur. Le basculement de l'unité
opérationnelle à l'unité de secours se fait généralement manuellement et dans l'urgence.

Les FireWall, et plus encore les crypteurs, sont des "goulets d'étranglement". Les tâches qu'ils
ont à accomplir sont très exigeantes en termes de charge CPU. L'installation d'un FireWall sur un
serveur plus puissant ne résout pas tous les problèmes de capacité

Le FireProof a été conçu pour pouvoir multiplexer le travail de filtrage sur plusieurs firewall. En effet
il permet :

- En cas d'incident sur l'un des FireWall ou sur le "chemin" emprunté par les utilisateurs, le
FireProof le détecte automatiquement et reroute aussitôt et de façon transparente les appels
utilisateurs vers un autre Firewall.

- Le FireProof répartit intelligemment les requêtes entre plusieurs FireWall ou crypteurs, en

tenant compte de leur taille, de leur disponibilité et vos choix.

23 / 27
En résumé le FireProof permet:

- D’obtenir une architecture à tolérance de panne grâce à un reroutage intelligent et

transparent pour l’utilisateur

- Equilibrage de charge performant sur chacun de vos firewalls.

Résumé de l’approche performance contre sécurité

Lorsque l’on examine les différentes possibilités technologiques d’un Firewall, il y a toujours
une question récurrente «quels sont les compromis entre performance et sécurité ? » Pour répondre à
cette question, nous devons nous demander quel niveau de sécurité sera demandé au firewall : va-t-il
devoir faire des analyses de type réseau ou transport, ou encore au niveau application ? Les firewalls
filtrants fournissent les meilleures performances, en terme de temps de traitement, suivi par le Firewall
de circuits, du firewall à filtrage de paquets dynamique, et finalement du Firewall de la couche
application.

Les performances de sécurité, le coût d’investissement et de maintenance sont évidemment inverse.

En règle générale le filtrage applicatif représente l’architecture la plus lente puisque pour filtrer les
trames, le firewall les fait rentrer par une pile réseau et ressortir par une autre. Ce type de filtrage
effectue une analyse la plus exhaustive possible sur les données, ce qui augmente le temps CPU
nécessaire. C’est pour cela qu’il n’est utilisé que dans de rares réseaux nécessitants une sécurité
absolue (réseaux militaires).

24 / 27
Conclusion

Les recherches pour faire évoluer les technologies de filtrage sont nées du besoin de sécurisé
les échanges réseaux. Pour améliorer ce filtrage il a été nécessaire de remonter dans les couches OSI,
ce qui a été rendu possible grâce à une technologie logicielle et matérielle de plus en plus rapide.

Néanmoins, le firewall représente un goulet d’étranglement face aux débits sans cessent croissants, et
aux applications de plus en plus compliquées qui surchargent de travaille le firewall. On peut donc se
demander si les performances de débit d’un firewall pourront évoluer aussi vite que les performances
des réseaux haut-débit ou assisterons-nous à une dégradation du service firewall au profit d’un
meilleur débit ?

Suivant le niveau de sécurité, l’investissement monétaire, et l’encadrement d’experts il est possible

d’améliorer la sécurité d’un réseau par une structuration réfléchie des techniques de sécurité. D’une
simple machine à la double passerelle, le filtrage n’est pas aussi intelligent ni aussi rapide, mais le
coût d’achat et de fonctionnement n’est pas aussi élevé. Pourtant cette structuration permet de
découper le réseau en zones ayant les mêmes niveaux de sécurité et de définir les compromis
sécurité/vitesse dans chacune de celles-ci. Mais si le concept permet un gain de sécurité et de débit, sa
réalisation est coûteuse, en matériel (passerelle, routeur, serveur), et en qualification ( installation,
configuration, maintenance).

La plupart des analyses montrent que le budget de sécurité est souvent sous-évalué et que les solutions
clefs en main avec télémaintenance sont les plus faciles et les plus répandues. On peut se demander si
ces solutions couvrent bien les besoins de sécurité ou si au contraire elles ne surchargent pas de travail
le firewall faisant ainsi chuter les débits ? D’autre part les réactions de télémaintenance ne sont pas
aussi rapides que les interventions d’administrateurs propres au réseau, sans compter que bien souvent
lors de graves problèmes les administrateurs distants sont obligés de faire faire les manipulations
techniques à des novices qui ne savent pas interpréter les problèmes ! !

C’est donc une nouvelle problématique qui se pose : Face à ce manque de budget et ces offres de
firewall « prêtes à emporter », les structures de firewall sont-elles évoluer vers une meilleure qualité
de service ou vers une simplification plus économe ?

Enfin le firewall permet de fournir à votre réseau une sécurité à plusieurs niveaux mais malgré
l’importance du blindage du mur d’entrée, s’il existe une porte dérobée comme un port DNS ou une
connexion au web par une prise téléphonique, le réseau peu alors être endommagé sans qu’aucune
porte du Firewall n’ait été forcée !

25 / 27
 NETOGRAPHIE

Techniques de filtrages:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/index.htm

Architectures de filtrage :
http://www.cru.fr/securite/CRUGB/principe.html

Limites d'un Firewall :

http://www.reseaux-telecoms.net/articles_btree/189_9/Article_view
Article du 05/10/2001 : Portes coupe-feu : marché ouvert, réseau fermé

Equilibrage de charge dans un firewall :

http://www.iperformances.fr/public/FireProof.htm

Firewall certifié :
http://www.scssi.gouv.fr/document/fiches/fire-fr.html (lien ne fonctionne plus??)

26 / 27
 ANNEXES

Une segmentation du marché des firewalls par prix

Le cabinet d'études IDC a classé en six catégories les différents modèles «d'appliances
firewall/réseau privé virtuel (VPN)» du marché, en fonction du prix de vente des produits.

Au sommet de la pile trônent les appliances dont le prix dépasse les 50 000 dollars. Ces
produits haut de gamme sont destinés aux fournisseurs de services, aux grandes entreprises ou aux
opérateurs. Les principaux acteurs de ce segment sont Cisco et Netscreen, talonnés par des acteurs
comme Servgate, Crossbeam, Cyberguard ou Asita.

Pour sa part, la tranche des produits de 10 000 à 50 000 dollars s'adresse aux PME comme aux
grandes structures. On retrouve là encore, parmi les protagonistes, Cisco, Nokia, Cyberguard et,
depuis peu, Netscreen.

Sur le segment de 10 000 à 5 000 dollars, le marché est couvert par Cisco, Nokia, Netscreen -
toujours les mêmes - avec, à leurs côtés, Lucent et des challengers comme Symantec/Cobalt ou
Netasq.

Les modèles vendus entre 1 000 et 5 000 dollars constituent l'un des segments les plus
dynamiques. Un grand nombre d'acteurs y évoluent, tels Watchguard, Nokia, Sonicwall, Cisco,
Netscreen, eSoft, Dica, Alcatel ou Redcreek, qui devront bientôt affronter de nouveaux concurrents
comme PGP, Intrusion.com, Symantec, Enterasys, Netguard...

Pour des prix allant de 300 à 1 000 dollars, c'est Sonicwall, toujours selon IDC, qui domine le
secteur, suivi de près par Netscreen et Redcreek, puis Watchguard.

Enfin, le segment grand public est alimenté à moins de 300 dollars par les Linksys, Netgear,
D-Link et autres 3Com.

27 / 27