Beruflich Dokumente
Kultur Dokumente
Pare-feu
2014 - 2015
Pare-feu
Pare-feu
1. Quest-ce quun pare-feu ?
Un pare-feu est un logiciel ou un matriel qui vrifie les informations provenant dInternet ou dun rseau, puis les empche daccder lordinateur ou les y autorise, selon vos paramtres de pare-feu dfinis.
limage dun mur en brique capable de crer un obstacle physique, un pare-feu cre un obstacle entre Internet et votre ordinateur. Un pare-feu nest pas la mme chose quun antivirus. Pour protger votre ordinateur, vous devez disposer dun pare-feu et dun logiciel antivirus et contre les programmes malveillants. Un pare-feu vous aide empcher les utilisateurs ou les logiciels malveillants (tels que les vers) daccder votre ordinateur via un rseau ou Internet. Un pare-feu peut galement empcher votre ordinateur denvoyer des lments logiciels nuisibles dautres ordinateurs. Un pare-feu (ou firewall en anglais) permet de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment Internet) en analysant les paquets de donnes (paquets IP) changs.
Page 2
Pare-feu
L'origine du terme pare-feu se trouve au thtre. Le pare-feu ou coupe-feu est un mcanisme qui permet, une fois dclench, d'viter au feu de se propager de la salle vers la scne. En informatique, un pare-feu est donc une allgorie d'une porte empchant le feu d'Internet de rentrer chez vous. Un firewall, pare-feu ou garde-barrire, est un outil permettant de protger un ordinateur connect un rseau ou linternet. Il protge dattaques externes (filtrage entrant) et souvent de connexions illgitimes destination de lextrieur (filtrage sortant) initialises
par des
Un pare-feu est un quipement rseau qui contrle le trafic rseau au niveau transport ou infrieur. Il utilise les informations d'un paquet IP (adresse source, adresse destination, type, etc.) et celles du niveau protocolaire suprieur comme TCP ou UDP (ports source et destination) pour garantir le respect d'une politique de scurit.
Page 3
Pare-feu
Un pare-feu permet donc de surveiller les donnes qui entrent et sortent dun ordinateur.
types de paquets (TCP, UDP, ) adresse IP dorigine adresse IP de destination le port de destination (TCP, UDP, ) interdire laccs non autoris au rseau sans gner les accs autoriss. tester facilement le comportement du systme de scurit conserver des mcanismes simples configurer et entretenir afin que la politique de scurit soit aussi correctement et aussi compltement applique que possible.
laccs asymtrique (les connexions de sortie sont plus accordes que celles rentrante) les privilges particuliers de certains groupes dordinateurs du rseau intrieur ou extrieur. les caractristiques des diffrents protocoles et services (pour lesquels le filtrage est mis en place).
La plupart des logiciels coupe-feu se basent sur la reconnaissance de ces adresses IP selon un systme de filtrage. Ce filtrage est appliqu deux niveaux : utilisateur et applicatif.
Filtrage applicatif :
Les Firewalls d'application (Application level Firewalls), qui permettent un contrle d'accs beaucoup plus prcis. Il est ralis par lexamen de ports de services filtrage prcis, Telnet ou FTP par exemple dits applicatifs. Le firewall ra lise une application par application, port par port. Il conserve
Page 4
Pare-feu
le type de protocoles utiliss pour la connexion et le numro dynamique de port attribu lutilisateur lors de la connexion lapplication. On peut expliquer ce filtrage par le schma suivant :
Filtrage applicatif
Filtrage utilisateur :
Les Firewalls de rseau (Network level Firewalls), proches du matriel, qui sont trs rapides et faciles configurer. Cest une authentification sre qui permet une protection au niveau de lutilisateur. Ce filtrage permet dautoriser ou de filtrer des plages horaires ou jours prcis, sur certains sites particuliers dfinis sous forme IP ou DNS de lInternet. Pour plus de scurit, vous pouvez combiner ces deux types de Firewalls. Examinons prsent les diffrentes possibilits en expliquant leur fonctionnement. Nous avons runi l'intrieur d'un tableau les avantages et les inconvnients des deux types de Firewall pour vous donner une vue d'ensemble. Nous pouvons constater que les avantages et les inconvnients des deux solutions sont presque opposs.
Page 5
Pare-feu
Page 6
Pare-feu
Dans le cas dun pare-feu personnel, cest un logiciel qui tourne sur le poste de linternaute qui assure le filtrage. La plupart des pare-feu personnels peuvent filtrer les applications qui tentent de se connecter linternet ou qui attendent une connexion de lextrieur. Lutilisateur est en gnral prvenu par un message dalerte, via lequel il peut accepter ou refuser cette connexion au cas par cas ou dfinitivement. Ce mode dutilisation est aussi appel mode dapprentissage. Certains pare-feu personnels vrifient galement que le logiciel qui tente de se connecter sur le rseau na pas t altr par un cheval de Troie. Attention, lorsquun pare-feu, un anti-espiogiciel et un antivirus sont installs sur un poste personnel, ils offrent une protection plus fine mais cette protection est aussi plus fragile que lorsquelle est mise en uvre sur une machine en coupure du rseau. En effet, si un code malveillant a eu la chance de pouvoir contourner les protections (par exemple, sil nest pas encore reconnu par lantivirus) il a la possibilit de dsactiver ces protections mises en uvre directement sur le poste de travail. Il est donc ncessaire de mettre en place ce type de protection, mais il ne faut pas leur accorder une confiance absolue. Il est recommand pour une entreprise (mais rien nempche un part iculier de le faire) dinstaller des protections en coupure (pare-feu rseau, antivirus sur le serveur de messagerie...) en complment des protections sur le poste de travail.
Page 7
Pare-feu
dcouvre un moyen de passer outre la protection et sintroduit dans le rseau local, le coupe-feu aura certainement cd. Aucun firewall nest infaillible. Toutes personnes parvenant pntrer le rseau peut causer des dgts considrables. En effet, le pirate peut "dtruire " le systme et ainsi permettre laccs tous les individus. Cest en gnral ce qui se passe. Il est trs difficile de reconstituer une attaque, voire impossible ; mme si le pirate laisse des traces, celles-ci sont souvent inexploitables.
Page 8
Pare-feu
Cette solution permet de raliser les diffrents serveurs d'un Intranet sur plusieurs systmes. Le routeur de filtrage contient les autorisations d'accs bases exclusivement sur les adresses IP et les numros de port.
Routeur de filtrage :
Avantage : facilit de configuration, bon march. Inconvnient : lorsque le routeur est contourn ou paralys, le rseau entier est ouvert !
Serveur Proxy :
Hte bastion (un Proxy HTTP, par exemple) masque l'Internet toutes les adresses IP du rseau interne. Concrtement, lorsqu'un employ se procure des informations Internet partir d'un ordinateur de lIntranet d'entreprise, le site Sur le plan de la scurit, son rle est important. Un serveur Proxy excut sur un Internet contact ne dtient jamais que l'adresse IP du serveur Proxy, et en aucun cas l'adresse IP de l'ordinateur du rseau interne. Un pirate mal intentionn, l'afft des changes de donnes, ne lit par consquent que l'adresse du Proxy.
Page 9
Pare-feu
Si ce n'tait pas le cas, il pourrait dcouvrir l'adresse de l'ordinateur client puis s'identifier par IP-Spoofing en tant qu'utilisateur lgitime auprs de votre rseau. Le Proxy doit donc masquer l'adresse d'expditeur des paquets de donnes circulant via Internet, pour empcher tout intrus de dchiffrer les structures internes de votre rseau. Les serveurs Proxy ont l'inconvnient d'tre orients application, c'est--dire tributaires d'un protocole. Par consquent, chaque service Internet propos aux collaborateurs de l'entreprise exige son propre serveur Proxy, qui doit fonctionner sur le systme concern. Les serveurs Proxy sont presque toujours des versions allges des serveurs concerns Autrement dit, un Proxy HTTP est une version light de serveur Web. Il existe des serveurs Proxy pour tous les protocoles courants sur Internet.
La passerelle double est la possibilit la plus simple pour raliser un Firewall d'application n'autorisant aucun trafic IP entre les rseaux
Passerelle double :
Avantage : bon march. Inconvnient : s'ils parviennent s'introduire sur le rseau bastion par logiciel, les pirates peuvent accder au rseau tout entier
10.
La combinaison des deux mthodes est ici plus sre et efficace. Au niveau du rseau, un routeur sous cran est configur de faon n'autoriser les accs de l'extrieur et de l'intrieur que par l'intermdiaire du rseau bastion sur lequel fonctionnent tous les serveurs assurant les serveurs Internet. Cette possibilit est appele Firewall avec rseau de filtrage. L'image suivante illustre cette solution
Page 10
Pare-feu
Firewall avec rseau de filtrage dans lequel seuls les accs au rseau bastion sont autoriss
Pour la grande majorit des entreprises, cette solution est sre et abordable, car les prestataires Internet assurent la seconde partie de la protection l'autre bout de la ligne. En effet, votre entreprise y est galement connecte un routeur, et le trafic de donnes est rgl par un serveur Proxy au niveau de la couche application. Les pirates doivent par consquent franchir deux obstacles.
Avantage : bon march et sr lorsque le prestataire est quip en consquence. Inconvnient : le systme comporte deux scurits distinctes, le routeur et le rseau bastion, Si l'une des deux est paralyse, le rseau est menac dans son intgralit.
11.
Cette solution est de loin la plus sre, mais galement la plus onreuse. Un Firewall avec sous-rseau de filtrage se compose de deux routeurs sous cran. L'un est connect Internet, et l'autre lintrant/LAN. Plusieurs rseaux bastions peuvent s'intercaler pour former entre ces deux routeurs, en quelque sorte, leur propre rseau constituant une zone tampon entre un Intranet et l'Internet appele " zone dmilitarise ". L'image suivante illustre cette variante. De l'extrieur, seul l'accs aux rseaux bastions est autoris. Le trafic IP n'est pas directement transmis au rseau interne. De mme, seuls les rseaux bastions, sur lesquels des serveurs Proxy doivent tre en service pour permettre l'accs diffrents services Internet, sont accessibles partir du rseau interne.
Page 11
Pare-feu
Pour s'introduire sur le rseau d'entreprise travers ce Firewall, il faut franchir les deux routeurs, ainsi que les rseaux bastions intercals
Avantage : systme Firewall trs sr. Inconvnients : cot d'investissement lev, effort administratif important,
Page 12