Ministre de Formation Professionnelle Et dEmploi Centre de Formation Technologique de Tunis

Spcialit : Rseau & Scurit Informatique

Sujet :

Pare-feu

Ralis par : Mlle AOUADI Asma

2014 - 2015

Pare-feu

Pare-feu
1. Quest-ce quun pare-feu ?
Un pare-feu est un logiciel ou un matriel qui vrifie les informations provenant dInternet ou dun rseau, puis les empche daccder lordinateur ou les y autorise, selon vos paramtres de pare-feu dfinis.

limage dun mur en brique capable de crer un obstacle physique, un pare-feu cre un obstacle entre Internet et votre ordinateur. Un pare-feu nest pas la mme chose quun antivirus. Pour protger votre ordinateur, vous devez disposer dun pare-feu et dun logiciel antivirus et contre les programmes malveillants. Un pare-feu vous aide empcher les utilisateurs ou les logiciels malveillants (tels que les vers) daccder votre ordinateur via un rseau ou Internet. Un pare-feu peut galement empcher votre ordinateur denvoyer des lments logiciels nuisibles dautres ordinateurs. Un pare-feu (ou firewall en anglais) permet de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment Internet) en analysant les paquets de donnes (paquets IP) changs.

Rseau & Scurit Informatique

Page 2

Pare-feu

L'origine du terme pare-feu se trouve au thtre. Le pare-feu ou coupe-feu est un mcanisme qui permet, une fois dclench, d'viter au feu de se propager de la salle vers la scne. En informatique, un pare-feu est donc une allgorie d'une porte empchant le feu d'Internet de rentrer chez vous. Un firewall, pare-feu ou garde-barrire, est un outil permettant de protger un ordinateur connect un rseau ou linternet. Il protge dattaques externes (filtrage entrant) et souvent de connexions illgitimes destination de lextrieur (filtrage sortant) initialises

par des

programmes ou des personnes

Un pare-feu est un quipement rseau qui contrle le trafic rseau au niveau transport ou infrieur. Il utilise les informations d'un paquet IP (adresse source, adresse destination, type, etc.) et celles du niveau protocolaire suprieur comme TCP ou UDP (ports source et destination) pour garantir le respect d'une politique de scurit.

2. Comment fonctionne un pare-feu ?

Suivant des rgles de filtrage prdfinies ou configures par lutilisateur, un pare-feu permet d'autoriser ou de bloquer : - une ou des adresses IP spcifiques. - des types de protocoles (TCP ou UDP) - des numros de ports associs un service ou une application. Par exemple : le port 80 est utilis pour la navigation Web - des applications installes sur l'ordinateur

Rseau & Scurit Informatique

Page 3

Pare-feu
Un pare-feu permet donc de surveiller les donnes qui entrent et sortent dun ordinateur.

1. Notions de filtrage de paquets IP

Chaque ordinateur dun rseau local reli lInternet est dot dune adresse dite "IP" qui permet son identification sur le rseau, elle est compose d'une srie de 12 chiffres dcimaux cods en binaire, chaque adresse est unique et propre a une machine, elle est constitue d'une partie correspondant au numro du rseau et d'une tant le numro de la machine dans ce rseau. Seul len-tte IP dune trame peut laisser des traces lors de son passage, les rubriques utiles pour le filtrage de paquets sont :

types de paquets (TCP, UDP, ) adresse IP dorigine adresse IP de destination le port de destination (TCP, UDP, ) interdire laccs non autoris au rseau sans gner les accs autoriss. tester facilement le comportement du systme de scurit conserver des mcanismes simples configurer et entretenir afin que la politique de scurit soit aussi correctement et aussi compltement applique que possible.

(Une scurit informatique complexe nen est pas une)

2. Objectifs atteints par le filtrage IP :

Plusieurs facteurs compliquent linstallation dun systme de filtrage des paquets :

laccs asymtrique (les connexions de sortie sont plus accordes que celles rentrante) les privilges particuliers de certains groupes dordinateurs du rseau intrieur ou extrieur. les caractristiques des diffrents protocoles et services (pour lesquels le filtrage est mis en place).

La plupart des logiciels coupe-feu se basent sur la reconnaissance de ces adresses IP selon un systme de filtrage. Ce filtrage est appliqu deux niveaux : utilisateur et applicatif.

Filtrage applicatif :

Les Firewalls d'application (Application level Firewalls), qui permettent un contrle d'accs beaucoup plus prcis. Il est ralis par lexamen de ports de services filtrage prcis, Telnet ou FTP par exemple dits applicatifs. Le firewall ra lise une application par application, port par port. Il conserve

Rseau & Scurit Informatique

Page 4

Pare-feu
le type de protocoles utiliss pour la connexion et le numro dynamique de port attribu lutilisateur lors de la connexion lapplication. On peut expliquer ce filtrage par le schma suivant :

Filtrage applicatif

Filtrage utilisateur :

Les Firewalls de rseau (Network level Firewalls), proches du matriel, qui sont trs rapides et faciles configurer. Cest une authentification sre qui permet une protection au niveau de lutilisateur. Ce filtrage permet dautoriser ou de filtrer des plages horaires ou jours prcis, sur certains sites particuliers dfinis sous forme IP ou DNS de lInternet. Pour plus de scurit, vous pouvez combiner ces deux types de Firewalls. Examinons prsent les diffrentes possibilits en expliquant leur fonctionnement. Nous avons runi l'intrieur d'un tableau les avantages et les inconvnients des deux types de Firewall pour vous donner une vue d'ensemble. Nous pouvons constater que les avantages et les inconvnients des deux solutions sont presque opposs.

Avantages et Inconvnients des deux principaux concepts de Firewall :

Rseau & Scurit Informatique

Page 5

Pare-feu

3. Concernant les donnes entrantes :

Le contrle des donnes qui entrent sur l'ordinateur est utilis principalement pour la connexion au rseau Internet : lorsque vous tes connect Internet, d'autres ordinateurs viennent interroger le vtre pour voir si votre ordinateur "rpond". Le pare-feu protge votre ordinateur en gardant les "portes d'accs" appeles les ports. Dans la plupart des cas, le pare-feu bloque automatiquement ces ports afin d'viter qu'un intrus pntre dans votre ordinateur.

4. Concernant les donnes sortantes :

Le contrle des donnes qui sortent de l'ordinateur ne peut s'effectuer automatiquement : c'est l'utilisateur de demander au pare-feu de fermer ou d'ouvrir les portes d'accs. Les donnes sortantes sont en fait les programmes qui demandent une connexion Internet, soit pour vrifier s'il existe des mises jour, soit pour transmettre des statistiques, soit pour fonctionner (on imagine mal qu'un navigateur Internet vous permette de naviguer sur le Web si vous lui refusez l'accs Internet). Pour les applications les plus courantes, les ports associs sont dj correctement configurs dans les pare-feu (navigateurs Internet, envoi/rception d'emails, etc...).

Rseau & Scurit Informatique

Page 6

Pare-feu

5. Quest-ce quun pare-feu personnel ?

Dans le cas dun pare-feu personnel, cest un logiciel qui tourne sur le poste de linternaute qui assure le filtrage. La plupart des pare-feu personnels peuvent filtrer les applications qui tentent de se connecter linternet ou qui attendent une connexion de lextrieur. Lutilisateur est en gnral prvenu par un message dalerte, via lequel il peut accepter ou refuser cette connexion au cas par cas ou dfinitivement. Ce mode dutilisation est aussi appel mode dapprentissage. Certains pare-feu personnels vrifient galement que le logiciel qui tente de se connecter sur le rseau na pas t altr par un cheval de Troie. Attention, lorsquun pare-feu, un anti-espiogiciel et un antivirus sont installs sur un poste personnel, ils offrent une protection plus fine mais cette protection est aussi plus fragile que lorsquelle est mise en uvre sur une machine en coupure du rseau. En effet, si un code malveillant a eu la chance de pouvoir contourner les protections (par exemple, sil nest pas encore reconnu par lantivirus) il a la possibilit de dsactiver ces protections mises en uvre directement sur le poste de travail. Il est donc ncessaire de mettre en place ce type de protection, mais il ne faut pas leur accorder une confiance absolue. Il est recommand pour une entreprise (mais rien nempche un part iculier de le faire) dinstaller des protections en coupure (pare-feu rseau, antivirus sur le serveur de messagerie...) en complment des protections sur le poste de travail.

6. Le par feu nest pas infaillible :

Un coupe-feu peut cder de plusieurs faons : aucune nest bonne, mais certaines sont vritablement pires que dautres. Le rle du coupe-feu est de bloquer laccs. Si quelquun

Rseau & Scurit Informatique

Page 7

Pare-feu
dcouvre un moyen de passer outre la protection et sintroduit dans le rseau local, le coupe-feu aura certainement cd. Aucun firewall nest infaillible. Toutes personnes parvenant pntrer le rseau peut causer des dgts considrables. En effet, le pirate peut "dtruire " le systme et ainsi permettre laccs tous les individus. Cest en gnral ce qui se passe. Il est trs difficile de reconstituer une attaque, voire impossible ; mme si le pirate laisse des traces, celles-ci sont souvent inexploitables.

7. Par feu : un terme, plusieurs configurations

Le terme de "firewall " est un terme qui prte parfois confusion. En effet, il regroupe en fait tous les systmes de scurit qui fonctionnent en connexion avec un rseau. Il en existe diffrents types que nous allons dtailler. Mais avant de traiter cette partie, il nous a sembl utile de rappeler la philosophie de base du coupe-feu ; en effet, chaque type repose en quelque sorte sur celle-ci. Cette philosophie est la suivante : Tout ce qui nest pas expressment interdit est autoris OU Tout ce qui nest pas expressment autoris est interdit Dans le premier cas, le coupe-feu est conu pour bloquer trafic et tout est tudi au cas par cas aprs une analyse fine de tous les risques. Dans cette configuration, la protection peuttre ressentie comme une gne par lutilisateur. Dans le deuxime cas, cest ladministrateur du rseau qui doit ragir en temps rel. Il doit prvoir les attaques afin de les contrer. Cette mthode implique une "course larmement " entre les pirates et les responsables de la scurit du rseau local. Dans la suite de ce chapitre, vont tre dtaill chaque type de firewall avec leur fonctionnement et leur architecture.

8. Par feu avec routeur de filtrage :

La solution Firewall la plus simple, mais aussi la moins sure, se borne au rseau. On l'obtient en configurant le routeur qui assure la connexion avec lInternet. L'image suivante illustre cette solution appele Firewall avec routeur de filtrage.

Rseau & Scurit Informatique

Page 8

Pare-feu

Firewall avec routeur de filtrage

Cette solution permet de raliser les diffrents serveurs d'un Intranet sur plusieurs systmes. Le routeur de filtrage contient les autorisations d'accs bases exclusivement sur les adresses IP et les numros de port.

Routeur de filtrage :

Avantage : facilit de configuration, bon march. Inconvnient : lorsque le routeur est contourn ou paralys, le rseau entier est ouvert !

9. Passerelle double- le rseau bastion :

Il existe une autre possibilit permettant de raliser un Firewall d'application peu de frais : La passerelle double. Comme son nom l'indique, il s'agit d'un ordinateur inclus la fois dans les deux rseaux Internet et Intranet. Cette machine doit tre quipe de deux cartes rseau. Comme elle est la seule soupape de scurit entre les deux rseaux, elle doit tre configure avec le plus grand soin. La passerelle double n'autorise aucun trafic IP entre les rseaux. On l'appelle galement rseau bastion, car il contrle tous les services accessibles de l'extrieur comme de l'intrieur du rseau interne tels que les serveurs Web, FTP et Mail. Un " serveur Proxy " supplmentaire est galement configur pour permettre aux utilisateurs du rseau interne d'accder Internet. Le nom "rseau bastion" dcoule des mesures particulires de protection qui sont prises en prvision de possibles intrusions.

Serveur Proxy :

Hte bastion (un Proxy HTTP, par exemple) masque l'Internet toutes les adresses IP du rseau interne. Concrtement, lorsqu'un employ se procure des informations Internet partir d'un ordinateur de lIntranet d'entreprise, le site Sur le plan de la scurit, son rle est important. Un serveur Proxy excut sur un Internet contact ne dtient jamais que l'adresse IP du serveur Proxy, et en aucun cas l'adresse IP de l'ordinateur du rseau interne. Un pirate mal intentionn, l'afft des changes de donnes, ne lit par consquent que l'adresse du Proxy.

Rseau & Scurit Informatique

Page 9

Pare-feu
Si ce n'tait pas le cas, il pourrait dcouvrir l'adresse de l'ordinateur client puis s'identifier par IP-Spoofing en tant qu'utilisateur lgitime auprs de votre rseau. Le Proxy doit donc masquer l'adresse d'expditeur des paquets de donnes circulant via Internet, pour empcher tout intrus de dchiffrer les structures internes de votre rseau. Les serveurs Proxy ont l'inconvnient d'tre orients application, c'est--dire tributaires d'un protocole. Par consquent, chaque service Internet propos aux collaborateurs de l'entreprise exige son propre serveur Proxy, qui doit fonctionner sur le systme concern. Les serveurs Proxy sont presque toujours des versions allges des serveurs concerns Autrement dit, un Proxy HTTP est une version light de serveur Web. Il existe des serveurs Proxy pour tous les protocoles courants sur Internet.

La passerelle double est la possibilit la plus simple pour raliser un Firewall d'application n'autorisant aucun trafic IP entre les rseaux

Passerelle double :

Avantage : bon march. Inconvnient : s'ils parviennent s'introduire sur le rseau bastion par logiciel, les pirates peuvent accder au rseau tout entier

10.

Par feu avec rseau de filtrage :

La combinaison des deux mthodes est ici plus sre et efficace. Au niveau du rseau, un routeur sous cran est configur de faon n'autoriser les accs de l'extrieur et de l'intrieur que par l'intermdiaire du rseau bastion sur lequel fonctionnent tous les serveurs assurant les serveurs Internet. Cette possibilit est appele Firewall avec rseau de filtrage. L'image suivante illustre cette solution

Rseau & Scurit Informatique

Page 10

Pare-feu

Firewall avec rseau de filtrage dans lequel seuls les accs au rseau bastion sont autoriss

Pour la grande majorit des entreprises, cette solution est sre et abordable, car les prestataires Internet assurent la seconde partie de la protection l'autre bout de la ligne. En effet, votre entreprise y est galement connecte un routeur, et le trafic de donnes est rgl par un serveur Proxy au niveau de la couche application. Les pirates doivent par consquent franchir deux obstacles.

Firewall avec rseau de filtrage :

Avantage : bon march et sr lorsque le prestataire est quip en consquence. Inconvnient : le systme comporte deux scurits distinctes, le routeur et le rseau bastion, Si l'une des deux est paralyse, le rseau est menac dans son intgralit.

11.

Par feu avec sous-rseau de filtrage :

Cette solution est de loin la plus sre, mais galement la plus onreuse. Un Firewall avec sous-rseau de filtrage se compose de deux routeurs sous cran. L'un est connect Internet, et l'autre lintrant/LAN. Plusieurs rseaux bastions peuvent s'intercaler pour former entre ces deux routeurs, en quelque sorte, leur propre rseau constituant une zone tampon entre un Intranet et l'Internet appele " zone dmilitarise ". L'image suivante illustre cette variante. De l'extrieur, seul l'accs aux rseaux bastions est autoris. Le trafic IP n'est pas directement transmis au rseau interne. De mme, seuls les rseaux bastions, sur lesquels des serveurs Proxy doivent tre en service pour permettre l'accs diffrents services Internet, sont accessibles partir du rseau interne.

Rseau & Scurit Informatique

Page 11

Pare-feu

Firewall avec sous-rseau de filtrage

Pour s'introduire sur le rseau d'entreprise travers ce Firewall, il faut franchir les deux routeurs, ainsi que les rseaux bastions intercals

Firewall avec sous-rseau de filtrage :

Avantage : systme Firewall trs sr. Inconvnients : cot d'investissement lev, effort administratif important,

Rseau & Scurit Informatique

Page 12