Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Pare-Feu (Informatique) - Wikipédia PDF

    Hochgeladen von

    Paulin Patrick Kala
    253 Ansichten5 Seiten

    Originaltitel

    Pare-feu (informatique) — Wikipédia.pdf

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    253 Ansichten5 Seiten

    Pare-Feu (Informatique) - Wikipédia PDF

    Hochgeladen von

    Paulin Patrick Kala

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 5

    Parefeu(informatique)

    1
    Unparefeu (del'anglaisfirewall)estunlogicielet/ouunmatrielpermettantde
    fairerespecterlapolitiquedescuritdurseau,cellecidfinissantquelssontles
    typesdecommunicationsautorisssurcerseauinformatique.Ilmesurela
    prventiondesapplicationsetdespaquets.

    Sommaire Unparefeu,reprsentparunmur
    debriques,pourcloisonnerlerseau
    1 Terminologie priv.
    2 Origineduterme
    3 Fonctionnementgnral
    4 Catgoriesdeparefeu
    4.1 Parefeusanstat(statelessfirewall)
    4.2 Parefeutats(statefulfirewall)
    4.3 Parefeuapplicatif
    4.4 Parefeuidentifiant
    4.5 Parefeupersonnel
    4.6 Portailcaptif
    5 Technologiesutilises
    6 Notesetrfrences
    7 Voiraussi
    7.1 Articlesconnexes
    7.2 Liensexternes

    Terminologie
    Unparefeuestparfoisappelcoupefeu,gardebarrire,barriredescurit,ouencorefirewall.

    DansunenvironnementUnixBSD(BerkeleySoftwareDistribution),unparefeuestaussiappelpacketfilter.

    Origineduterme
    Selonlecontexte,letermepeutrevtirdiffrentessignifications:

    dansledomainedelaluttecontrelesincendiesdefort,ilserfreauxallesparefeudestinescontenirl'extension
    desfeuxdeforts
    authtre,ledclenchementd'unmcanismeparefeu(oucoupefeu)permetd'viterlapropagationdufeudela
    salleverslascne
    dansledomainedel'architecture,ilfaitrfrenceauxportescoupefeuoutoutautredispositifconstructifdestin
    contenirl'extensiond'unincendie
    eninformatique,l'usagedutermeparefeuestdoncmtaphorique:ilvoqueuneporteempchantlesflammes
    d'Internetd'entrerchezsoiet/oudecontaminerunrseauinformatique.

    Fonctionnementgnral
    Leparefeutaitjusqu'cesderniresannesconsidrcommeunedespierresangulairesdelascuritd'unrseau
    informatique(ilperdenimportanceaufuretmesurequelescommunicationsbasculentversleHTTPsurSSL,court
    circuitanttoutfiltrage).Ilpermetd'appliquerunepolitiqued'accsauxressourcesrseau(serveurs).
    Ilapourprincipaletchedecontrlerletraficentrediffrenteszonesdeconfiance,
    enfiltrantlesfluxdedonnesquiytransitent.Gnralement,leszonesdeconfiance
    incluentInternet(unezonedontlaconfianceestnulle)etaumoinsunrseauinterne
    (unezonedontlaconfianceestplusimportante).

    Lebutestdefourniruneconnectivitcontrleetmatriseentredeszonesde
    diffrentsniveauxdeconfiance,grcel'applicationdelapolitiquedescuritet
    d'unmodledeconnexionbassurleprincipedumoindreprivilge.

    Lefiltragesefaitselondiverscritres.Lespluscourantssont: ParefeupasserelleentreLANet
    WAN.
    l'origineouladestinationdespaquets(adresseIP,portsTCPouUDP,interface
    rseau,etc.)
    lesoptionscontenuesdanslesdonnes(fragmentation,validit,etc.)
    lesdonnesellesmmes(taille,correspondanceunmotif,etc.)
    lesutilisateurspourlesplusrcents.

    Unparefeufaitsouventofficederouteuretpermetainsid'isolerlerseauen
    plusieurszonesdescuritappeleszonesdmilitarisesouDMZ.Ceszonessont
    sparessuivantleniveaudeconfiancequ'onleurporte.

    Enfin,leparefeuestgalementsouventextrmitdetunnelIPsecouSSL. Parefeurouteur,avecunezone
    L'intgrationdufiltragedefluxetdelagestiondutunnelesteneffetncessaire DMZ.
    pourpouvoirlafoisprotgerletraficenconfidentialitetintgritetfiltrercequi
    passedansletunnel.C'estlecasnotammentdeplusieursproduitsducommerce
    nommsdanslalistecidessous.

    Catgoriesdeparefeu
    Lesparefeuxsontundesplusvieuxquipementsdescuritinformatiqueet,entantquetels,ilsonttsoumisde
    nombreusesvolutions.Suivantlagnrationduparefeuousonrleprcis,onpeutlesclasserendiffrentescatgories.

    Parefeusanstat(statelessfirewall)

    C'estleplusvieuxdispositifdefiltragerseau,introduitsurlesrouteurs.Ilregardechaquepaquetindpendammentdes
    autresetlecompareunelistederglesprconfigures.
    Cesrglespeuventavoirdesnomstrsdiffrentsenfonctionduparefeu:

    ACLpourAccessControlList(certainsparefeuxCisco),
    politiqueoupolicy(parefeuJuniper/Netscreen),
    filtres,
    rglesourules,
    etc.

    Laconfigurationdecesdispositifsestsouventcomplexeetl'absencedepriseencomptedesmachinestatsdes
    protocolesrseauxnepermetpasd'obtenirunefinessedufiltragetrsvolue.Cesparefeuxontdonctendancetomber
    endsutudemaisrestentprsentssurcertainsrouteursousystmesd'exploitation.

    Parefeutats(statefulfirewall)

    CertainsprotocolesditstatscommeTCPintroduisentunenotiondeconnexion.Lesparefeuxtatsvrifientla
    conformitdespaquetsuneconnexionencours.Cestdirequ'ilsvrifientquechaquepaquetd'uneconnexionestbien
    lasuiteduprcdentpaquetetlarponseunpaquetdansl'autresens.Ilssaventaussifiltrerintelligemmentlespaquets
    ICMPquiserventlasignalisationdesfluxIP.
    Enfin,silesACLautorisentunpaquetUDPcaractrisparunquadruplet(ip_src,port_src,ip_dst,port_dst)passer,untel
    parefeuautoriseralarponsecaractriseparunquadrupletinvers,sansavoircrireuneACLinverse.Ceciest
    fondamentalpourlebonfonctionnementdetouslesprotocolesfondssurl'UDP,commeDNSparexemple.Cemcanisme
    apporteenfiabilitpuisqu'ilestplusslectifquantlanaturedutraficautoris.Cependantdanslecasd'UDP,cette
    caractristiquepeuttreutilisepourtablirdesconnexionsdirectes(P2P)entredeuxmachines(commelefaitSkypepar
    exemple).

    Parefeuapplicatif

    Derniregnrationdeparefeu,ilsvrifientlacomplteconformitdupaquetunprotocoleattendu.Parexemple,cetype
    deparefeupermetdevrifierqueseulleprotocoleHTTPpasseparleportTCP80.Cetraitementesttrsgourmanden
    tempsdecalculdsqueledbitdevienttrsimportant.Ilestjustifiparlefaitquedeplusenplusdeprotocolesrseaux
    utilisentuntunnelTCPafindecontournerlefiltrageparports.

    Uneautreraisondel'inspectionapplicativeestl'ouverturedeportsdynamique.CertainsprotocolescommeFTP,enmode
    passif,changententreleclientetleserveurdesadressesIPoudesportsTCP/UDP.Cesprotocolessontditscontenu
    saleoupassantdifficilementlesparefeuxcarilschangentauniveauapplicatif(FTP)desinformationsduniveauIP
    (changed'adresses)ouduniveauTCP(changedeports).Cequitransgresseleprincipedelasparationdescouches
    rseaux.Pourcetteraison,lesprotocolescontenusalepassentdifficilementvoirepasdutoutlesrglesdeNAT
    ...dynamiques,moinsqu'uneinspectionapplicativenesoitfaitesurceprotocole.

    Chaquetypedeparefeusaitinspecterunnombrelimitd'applications.Chaqueapplicationestgreparunmodule
    diffrentpourpouvoirlesactiveroulesdsactiver.Laterminologiepourleconceptdemoduleestdiffrentepourchaque
    typedeparefeu:parexemple:LeprotocoleHTTPpermetd'accderenlecturesurunserveurparunecommandeGET,et
    encritureparunecommandePUT.Unparefeuapplicatifvatreenmesured'analyseruneconnexionHTTPetde
    n'autoriserlescommandesPUTqu'unnombrerestreintdemachines.

    ParefeuapplicatifsurBeeWare(http://www.beeware.net/fr)DenyAll(http://www.denyall.com)
    FirewallasaService(filtrageenfonctiondel'origineetdeladestinationdechaquepaquet)surUPPERSAFE(https://up
    persafe.com)
    Conntrack(suivideconnexion)etl7Filter(filtrageapplicatif)surLinuxNetfilter
    CBACsurCiscoIOS
    FixuppuisinspectsurCiscoPIX
    ApplicationLayerGatewaysurProventiaM,
    PredefinedServicessurJuniperScreenOS
    StatefulInspectionsurCheckPointFireWall1
    DeepPacketInspectionsurQosmos(http://www.qosmos.com)
    WebApplicationFirewallsurBinarySEC(http://www.binarysec.com)

    Parefeuidentifiant

    UnparefeuraliselidentificationdesconnexionspassanttraverslefiltreIP.L'administrateurpeutainsidfinirlesrgles
    defiltrageparutilisateuretnonplusparadresseIPouadresseMAC,etainsisuivrel'activitrseauparutilisateur.

    PlusieursmthodesdiffrentesexistentquireposentsurdesassociationsentreIPetutilisateursralisespardesmoyens
    varis.Onpeutparexempleciterauthpf(http://www.openbsd.org/faq/pf/authpf.html)(sousOpenBSD)quiutilisesshpour
    fairel'association.Uneautremthodeestl'identificationconnexionparconnexion(sansavoircetteassociationIP=
    utilisateuretdoncsanscompromissurlascurit),raliseparexempleparlasuiteNuFW,quipermetd'identifier
    galementsurdesmachinesmultiutilisateurs.
    OnpourragalementciterCyberoamquifournitunparefeuentirementbassurl'identit(enralitenralisantdes
    associationsadresseMAC=utilisateur)ouCheckPointavecl'optionNACBladequipermetdecrerdesrgles
    dynamiquesbasesurl'authentificationKerberosd'unutilisateur,l'identitdesonposteainsiquesonniveaudescurit
    (prsenced'antivirus,depatchsparticuliers).

    Parefeupersonnel
    Lesparefeuxpersonnels,gnralementinstallssurunemachinedetravail,agissentcommeunparefeutats.Bien
    souvent,ilsvrifientaussiquelprogrammeestl'originedesdonnes.Lebutestdeluttercontrelesvirusinformatiqueset
    leslogicielsespions.

    Portailcaptif

    Lesportailscaptifssontdesparefeuxdontlebutestd'intercepterlesusagersd'unrseaudeconsultationafindeleur
    prsenterunepagewebspciale(parexemple:avertissement,charted'utilisation,demanded'authentification,etc.)avant
    deleslaisseraccderInternet.Ilssontutilisspourassurerlatraabilitdesconnexionset/oulimiterl'utilisationabusive
    desmoyensd'accs.OnlesdploieessentiellementdanslecadrederseauxdeconsultationInternetmutualissfilairesou
    WiFi.

    Technologiesutilises
    Lesparefeuxrcentsembarquentdeplusenplusdefonctionnalits,parmilesquellesonpeutciter:

    FiltragesuradressesIP/protocole,
    2
    Inspectionstateful etapplicative,
    Intelligenceartificiellepourdtecterletraficanormal,
    Filtrageapplicatif:
    HTTP(restrictiondesURLaccessibles),
    Courriel(Antipourriel),
    Logicielantivirus,antilogicielmalveillant
    Traductiond'adresserseau,
    TunnelsIPsec,PPTP,L2TP,
    Identificationdesconnexions,
    Serveursdeprotocolesdeconnexion(telnet,SSH),deprotocolesdetransfertdefichier(SCP),
    Clientsdeprotocolesdetransfertdefichier(TFTP),
    ServeurWebpouroffriruneinterfacedeconfigurationagrable,
    Serveurmandataire(proxyenanglais),
    Systmededtectiond'intrusion(IDSenanglais)
    Systmedeprventiond'intrusion(IPSenanglais)

    Notesetrfrences
    1.TermerecommandparlaCommissiongnraledeterminologieetdenologie,etcourammentemploy,chercherfirewalldans
    FranceTerme(http://franceterme.culture.fr/FranceTerme/).
    2.StatefulInspectionestunetechnologieinventeetdposeparCheckPointSoftwareTechnologieStatefulInspection(http://www.chec
    kpoint.com/products/downloads/Stateful_Inspection.pdf)[PDF].

    Voiraussi
    Articlesconnexes
    SurlesautresprojetsWikimedia:
    Listedeparefeu
    Bastion(informatique) Firewalletproxy,surWikiversity
    Scuritinformatique
    Zonedmilitarise(informatique)

    Liensexternes

    (fr)10ansdescuritapplicativeunarticledeDenyAll(WebApplicationFirewall(http://www.denyall.com/societe/liv
    resblancs_fr.html))
    (fr)NAXSIWebApplicationFirewall(WAF)OpensourcebassurNginx(https://github.com/nbssystem/naxsi)
    (fr)Commentamarche,unparefeu?(http://www.commentcamarche.net/protect/firewall.php3)
    (fr)LesFirewallssurwww.frameip.com(http://www.frameip.com/firewall/)
    (en)TechnologieStatefulInspection(http://www.checkpoint.com/products/downloads/Stateful_Inspection.pdf)

    Cedocumentprovientdehttps://fr.wikipedia.org/w/index.php?title=Parefeu_(informatique)&oldid=132442635.

    Derniremodificationdecettepagele6dcembre2016,14:42.
    Droitd'auteur:lestextessontdisponiblessouslicenceCreativeCommonsattribution,partagedanslesmmesconditions
    dautresconditionspeuventsappliquer.Voyezlesconditionsdutilisationpourplusdedtails,ainsiquelescrdits
    graphiques.Encasderutilisationdestextesdecettepage,voyezcommentciterlesauteursetmentionnerlalicence.
    WikipediaestunemarquedposedelaWikimediaFoundation,Inc.,organisationdebienfaisancergieparle
    paragraphe501(c)(3)ducodefiscaldestatsUnis.

    Das könnte Ihnen auch gefallen