Définition
Un pare-feu (firewall an anglais) est un équipement qui sert à filtrer le trafic réseau afin d'interdire l'accès au trafic non désiré... Le rôle d'un pare-feu dans un réseau informatique peut être assimilé au rôle d'un douanier aux frontières...
Les différents types de filtrage :
*) Filtrage de paquets sans états :
Il s’agit d’un filtrage qui permet l’analyse des paquets indépendamment les uns des autres. Des règles de filtrage prédéfinies sont utilisées. En voici un exemple : Interdire l’accès au serveur WEB à partir de l’extérieur du réseau (ceci revient à faire une règle qui bloque les paquets provenant de l’extérieur du réseau à destination du serveur WEB et qui demandent à atteindre le port 80...)
Ce type de filtrage est généralement utilisé sur les routeurs.
Exemple de pare-feu permettant ce type de filtrage: Les ACL des pare-feu de CISCO, les Pare-feu JUNIPER/NetScreen.
*) Filtrage de paquets avec états
Le filtrage applicatif permet d’analyser les paquets non pas indépendamment les uns des autres mais en tenant compte des échanges déjà établis. Ainsi, on pourra interdire l’établissement de plusieurs connexions provenant d’une même source sur un seul site (ceci peut servir à prévenir d’une attaque de type dénis de service...). On verra plus loin dans ce TP comment réaliser ce cas de figure.
Exemple de pare-feu permettant ce type de filtrage: Netfilter/iptables.
*) Filtrage applicatif :
Il s’agit du filtrage le plus délicat vu qu’il vérifie la conformité de tout le paquet avec le protocole attendu. Par exemple on pourra vérifier si la taille d’un paquet icmp est normale ou non (ceci peut servir à la prévention de l’attaque "ping de la mort").
Exemple de pare-feu permettant ce type de filtrage: Zone Alarm, NetBarrier
La zone démilitarisée DMZ :
Le réseau d’une entreprise comporte généralement des machines destinées à offrir des services au grand public (c'est-à-dire des serveurs accessibles de l’extérieur) et des machines comportant des informations confidentielles, non destinées à être divulgué à l’extérieur de l’entreprise.
En raison du risque d’intrusion à partit du réseau externe, on a eu l’idée de couper le réseau de l’entreprise en deux zones principales: une zone qui héberge l’ensemble des serveurs (c’est la zone démilitarisée DMZ) et une autre zone qui héberge les ressources propres à l’entreprise (réseau interne de l’entreprise). Les différentes zones sont ralliées à des interfaces réseau distinctes de la machine firewall qui aura pour tâche de contrôler l'accès à partir de chaque zone... Dans la configuration réseau qu'on vient de citer, il existe trois zones: le réseau interne LAN, la DMZ et le réseau externe. Les avantages qu'on peut tirer de cette architecture :
- Si une intrusion est réalisée sur la zone démilitarisée alors les ressources propres à l’entreprise ne seront pas directement affectées puisqu’ils ne sont pas dans la même partie du réseau.
- Si le réseau interne de l’entreprise est en panne ou hors service, le grand public ne s’en apercevra pas et pourra continuer à consulter les services que cette entreprise offre.
- L’architecture présentée ci-dessus permet de protéger les serveurs de l’entreprise des attaques internes (Notez que la plupart des attaques que subissent les entreprises sont d’origine interne...)
La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante :
* Trafic du réseau externe vers la DMZ autorisé.
* Trafic du réseau externe vers le réseau interne interdit.
* Trafic du réseau interne vers la DMZ autorisé.
* Trafic du réseau interne vers le réseau externe autorisé.
* Trafic de la DMZ vers le réseau interne interdit (sauf si c’est une réponse à une requête)
* Trafic de la DMZ vers le réseau externe refusé (sauf si c’est une réponse à une requête).
Remarque : Les serveurs hébergés par la DMZ sont appelés "bastions".
Pare-feux propriétaires
Les solutions pare-feux propriétaires les plus utilisés sont généralement des produits fabriqués par de grandes marques telles que StoneSoft, Juniper ou encore Cisco. On en cite Stonegate (Stonesoft), Netscreen (Juniper) ou encore Cisco PIX...
Pare-feux Open Source
Plusieurs solutions Open Source de pare-feux existent. A titre d'exemple il y a Smoothwall Express, IPCop, PFSense, m0n0wall, Vyatta, Endian Firewall, NuFW... On trouve généralement des versions commerciales de ces pare-feux, offrant plus de services et de performances...
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
