Beruflich Dokumente
Kultur Dokumente
1
Unparefeu (del'anglaisfirewall)estunlogicielet/ouunmatrielpermettantde
fairerespecterlapolitiquedescuritdurseau,cellecidfinissantquelssontles
typesdecommunicationsautorisssurcerseauinformatique.Ilmesurela
prventiondesapplicationsetdespaquets.
Sommaire Unparefeu,reprsentparunmur
debriques,pourcloisonnerlerseau
1 Terminologie priv.
2 Origineduterme
3 Fonctionnementgnral
4 Catgoriesdeparefeu
4.1 Parefeusanstat(statelessfirewall)
4.2 Parefeutats(statefulfirewall)
4.3 Parefeuapplicatif
4.4 Parefeuidentifiant
4.5 Parefeupersonnel
4.6 Portailcaptif
5 Technologiesutilises
6 Notesetrfrences
7 Voiraussi
7.1 Articlesconnexes
7.2 Liensexternes
Terminologie
Unparefeuestparfoisappelcoupefeu,gardebarrire,barriredescurit,ouencorefirewall.
DansunenvironnementUnixBSD(BerkeleySoftwareDistribution),unparefeuestaussiappelpacketfilter.
Origineduterme
Selonlecontexte,letermepeutrevtirdiffrentessignifications:
dansledomainedelaluttecontrelesincendiesdefort,ilserfreauxallesparefeudestinescontenirl'extension
desfeuxdeforts
authtre,ledclenchementd'unmcanismeparefeu(oucoupefeu)permetd'viterlapropagationdufeudela
salleverslascne
dansledomainedel'architecture,ilfaitrfrenceauxportescoupefeuoutoutautredispositifconstructifdestin
contenirl'extensiond'unincendie
eninformatique,l'usagedutermeparefeuestdoncmtaphorique:ilvoqueuneporteempchantlesflammes
d'Internetd'entrerchezsoiet/oudecontaminerunrseauinformatique.
Fonctionnementgnral
Leparefeutaitjusqu'cesderniresannesconsidrcommeunedespierresangulairesdelascuritd'unrseau
informatique(ilperdenimportanceaufuretmesurequelescommunicationsbasculentversleHTTPsurSSL,court
circuitanttoutfiltrage).Ilpermetd'appliquerunepolitiqued'accsauxressourcesrseau(serveurs).
Ilapourprincipaletchedecontrlerletraficentrediffrenteszonesdeconfiance,
enfiltrantlesfluxdedonnesquiytransitent.Gnralement,leszonesdeconfiance
incluentInternet(unezonedontlaconfianceestnulle)etaumoinsunrseauinterne
(unezonedontlaconfianceestplusimportante).
Lebutestdefourniruneconnectivitcontrleetmatriseentredeszonesde
diffrentsniveauxdeconfiance,grcel'applicationdelapolitiquedescuritet
d'unmodledeconnexionbassurleprincipedumoindreprivilge.
Lefiltragesefaitselondiverscritres.Lespluscourantssont: ParefeupasserelleentreLANet
WAN.
l'origineouladestinationdespaquets(adresseIP,portsTCPouUDP,interface
rseau,etc.)
lesoptionscontenuesdanslesdonnes(fragmentation,validit,etc.)
lesdonnesellesmmes(taille,correspondanceunmotif,etc.)
lesutilisateurspourlesplusrcents.
Unparefeufaitsouventofficederouteuretpermetainsid'isolerlerseauen
plusieurszonesdescuritappeleszonesdmilitarisesouDMZ.Ceszonessont
sparessuivantleniveaudeconfiancequ'onleurporte.
Enfin,leparefeuestgalementsouventextrmitdetunnelIPsecouSSL. Parefeurouteur,avecunezone
L'intgrationdufiltragedefluxetdelagestiondutunnelesteneffetncessaire DMZ.
pourpouvoirlafoisprotgerletraficenconfidentialitetintgritetfiltrercequi
passedansletunnel.C'estlecasnotammentdeplusieursproduitsducommerce
nommsdanslalistecidessous.
Catgoriesdeparefeu
Lesparefeuxsontundesplusvieuxquipementsdescuritinformatiqueet,entantquetels,ilsonttsoumisde
nombreusesvolutions.Suivantlagnrationduparefeuousonrleprcis,onpeutlesclasserendiffrentescatgories.
Parefeusanstat(statelessfirewall)
C'estleplusvieuxdispositifdefiltragerseau,introduitsurlesrouteurs.Ilregardechaquepaquetindpendammentdes
autresetlecompareunelistederglesprconfigures.
Cesrglespeuventavoirdesnomstrsdiffrentsenfonctionduparefeu:
ACLpourAccessControlList(certainsparefeuxCisco),
politiqueoupolicy(parefeuJuniper/Netscreen),
filtres,
rglesourules,
etc.
Laconfigurationdecesdispositifsestsouventcomplexeetl'absencedepriseencomptedesmachinestatsdes
protocolesrseauxnepermetpasd'obtenirunefinessedufiltragetrsvolue.Cesparefeuxontdonctendancetomber
endsutudemaisrestentprsentssurcertainsrouteursousystmesd'exploitation.
Parefeutats(statefulfirewall)
CertainsprotocolesditstatscommeTCPintroduisentunenotiondeconnexion.Lesparefeuxtatsvrifientla
conformitdespaquetsuneconnexionencours.Cestdirequ'ilsvrifientquechaquepaquetd'uneconnexionestbien
lasuiteduprcdentpaquetetlarponseunpaquetdansl'autresens.Ilssaventaussifiltrerintelligemmentlespaquets
ICMPquiserventlasignalisationdesfluxIP.
Enfin,silesACLautorisentunpaquetUDPcaractrisparunquadruplet(ip_src,port_src,ip_dst,port_dst)passer,untel
parefeuautoriseralarponsecaractriseparunquadrupletinvers,sansavoircrireuneACLinverse.Ceciest
fondamentalpourlebonfonctionnementdetouslesprotocolesfondssurl'UDP,commeDNSparexemple.Cemcanisme
apporteenfiabilitpuisqu'ilestplusslectifquantlanaturedutraficautoris.Cependantdanslecasd'UDP,cette
caractristiquepeuttreutilisepourtablirdesconnexionsdirectes(P2P)entredeuxmachines(commelefaitSkypepar
exemple).
Parefeuapplicatif
Derniregnrationdeparefeu,ilsvrifientlacomplteconformitdupaquetunprotocoleattendu.Parexemple,cetype
deparefeupermetdevrifierqueseulleprotocoleHTTPpasseparleportTCP80.Cetraitementesttrsgourmanden
tempsdecalculdsqueledbitdevienttrsimportant.Ilestjustifiparlefaitquedeplusenplusdeprotocolesrseaux
utilisentuntunnelTCPafindecontournerlefiltrageparports.
Uneautreraisondel'inspectionapplicativeestl'ouverturedeportsdynamique.CertainsprotocolescommeFTP,enmode
passif,changententreleclientetleserveurdesadressesIPoudesportsTCP/UDP.Cesprotocolessontditscontenu
saleoupassantdifficilementlesparefeuxcarilschangentauniveauapplicatif(FTP)desinformationsduniveauIP
(changed'adresses)ouduniveauTCP(changedeports).Cequitransgresseleprincipedelasparationdescouches
rseaux.Pourcetteraison,lesprotocolescontenusalepassentdifficilementvoirepasdutoutlesrglesdeNAT
...dynamiques,moinsqu'uneinspectionapplicativenesoitfaitesurceprotocole.
Chaquetypedeparefeusaitinspecterunnombrelimitd'applications.Chaqueapplicationestgreparunmodule
diffrentpourpouvoirlesactiveroulesdsactiver.Laterminologiepourleconceptdemoduleestdiffrentepourchaque
typedeparefeu:parexemple:LeprotocoleHTTPpermetd'accderenlecturesurunserveurparunecommandeGET,et
encritureparunecommandePUT.Unparefeuapplicatifvatreenmesured'analyseruneconnexionHTTPetde
n'autoriserlescommandesPUTqu'unnombrerestreintdemachines.
ParefeuapplicatifsurBeeWare(http://www.beeware.net/fr)DenyAll(http://www.denyall.com)
FirewallasaService(filtrageenfonctiondel'origineetdeladestinationdechaquepaquet)surUPPERSAFE(https://up
persafe.com)
Conntrack(suivideconnexion)etl7Filter(filtrageapplicatif)surLinuxNetfilter
CBACsurCiscoIOS
FixuppuisinspectsurCiscoPIX
ApplicationLayerGatewaysurProventiaM,
PredefinedServicessurJuniperScreenOS
StatefulInspectionsurCheckPointFireWall1
DeepPacketInspectionsurQosmos(http://www.qosmos.com)
WebApplicationFirewallsurBinarySEC(http://www.binarysec.com)
Parefeuidentifiant
UnparefeuraliselidentificationdesconnexionspassanttraverslefiltreIP.L'administrateurpeutainsidfinirlesrgles
defiltrageparutilisateuretnonplusparadresseIPouadresseMAC,etainsisuivrel'activitrseauparutilisateur.
PlusieursmthodesdiffrentesexistentquireposentsurdesassociationsentreIPetutilisateursralisespardesmoyens
varis.Onpeutparexempleciterauthpf(http://www.openbsd.org/faq/pf/authpf.html)(sousOpenBSD)quiutilisesshpour
fairel'association.Uneautremthodeestl'identificationconnexionparconnexion(sansavoircetteassociationIP=
utilisateuretdoncsanscompromissurlascurit),raliseparexempleparlasuiteNuFW,quipermetd'identifier
galementsurdesmachinesmultiutilisateurs.
OnpourragalementciterCyberoamquifournitunparefeuentirementbassurl'identit(enralitenralisantdes
associationsadresseMAC=utilisateur)ouCheckPointavecl'optionNACBladequipermetdecrerdesrgles
dynamiquesbasesurl'authentificationKerberosd'unutilisateur,l'identitdesonposteainsiquesonniveaudescurit
(prsenced'antivirus,depatchsparticuliers).
Parefeupersonnel
Lesparefeuxpersonnels,gnralementinstallssurunemachinedetravail,agissentcommeunparefeutats.Bien
souvent,ilsvrifientaussiquelprogrammeestl'originedesdonnes.Lebutestdeluttercontrelesvirusinformatiqueset
leslogicielsespions.
Portailcaptif
Lesportailscaptifssontdesparefeuxdontlebutestd'intercepterlesusagersd'unrseaudeconsultationafindeleur
prsenterunepagewebspciale(parexemple:avertissement,charted'utilisation,demanded'authentification,etc.)avant
deleslaisseraccderInternet.Ilssontutilisspourassurerlatraabilitdesconnexionset/oulimiterl'utilisationabusive
desmoyensd'accs.OnlesdploieessentiellementdanslecadrederseauxdeconsultationInternetmutualissfilairesou
WiFi.
Technologiesutilises
Lesparefeuxrcentsembarquentdeplusenplusdefonctionnalits,parmilesquellesonpeutciter:
FiltragesuradressesIP/protocole,
2
Inspectionstateful etapplicative,
Intelligenceartificiellepourdtecterletraficanormal,
Filtrageapplicatif:
HTTP(restrictiondesURLaccessibles),
Courriel(Antipourriel),
Logicielantivirus,antilogicielmalveillant
Traductiond'adresserseau,
TunnelsIPsec,PPTP,L2TP,
Identificationdesconnexions,
Serveursdeprotocolesdeconnexion(telnet,SSH),deprotocolesdetransfertdefichier(SCP),
Clientsdeprotocolesdetransfertdefichier(TFTP),
ServeurWebpouroffriruneinterfacedeconfigurationagrable,
Serveurmandataire(proxyenanglais),
Systmededtectiond'intrusion(IDSenanglais)
Systmedeprventiond'intrusion(IPSenanglais)
Notesetrfrences
1.TermerecommandparlaCommissiongnraledeterminologieetdenologie,etcourammentemploy,chercherfirewalldans
FranceTerme(http://franceterme.culture.fr/FranceTerme/).
2.StatefulInspectionestunetechnologieinventeetdposeparCheckPointSoftwareTechnologieStatefulInspection(http://www.chec
kpoint.com/products/downloads/Stateful_Inspection.pdf)[PDF].
Voiraussi
Articlesconnexes
SurlesautresprojetsWikimedia:
Listedeparefeu
Bastion(informatique) Firewalletproxy,surWikiversity
Scuritinformatique
Zonedmilitarise(informatique)
Liensexternes
(fr)10ansdescuritapplicativeunarticledeDenyAll(WebApplicationFirewall(http://www.denyall.com/societe/liv
resblancs_fr.html))
(fr)NAXSIWebApplicationFirewall(WAF)OpensourcebassurNginx(https://github.com/nbssystem/naxsi)
(fr)Commentamarche,unparefeu?(http://www.commentcamarche.net/protect/firewall.php3)
(fr)LesFirewallssurwww.frameip.com(http://www.frameip.com/firewall/)
(en)TechnologieStatefulInspection(http://www.checkpoint.com/products/downloads/Stateful_Inspection.pdf)
Cedocumentprovientdehttps://fr.wikipedia.org/w/index.php?title=Parefeu_(informatique)&oldid=132442635.
Derniremodificationdecettepagele6dcembre2016,14:42.
Droitd'auteur:lestextessontdisponiblessouslicenceCreativeCommonsattribution,partagedanslesmmesconditions
dautresconditionspeuventsappliquer.Voyezlesconditionsdutilisationpourplusdedtails,ainsiquelescrdits
graphiques.Encasderutilisationdestextesdecettepage,voyezcommentciterlesauteursetmentionnerlalicence.
WikipediaestunemarquedposedelaWikimediaFoundation,Inc.,organisationdebienfaisancergieparle
paragraphe501(c)(3)ducodefiscaldestatsUnis.