| Protection des réseaux informatiques : le pare-feu |
 |
 |
 |
| Articles - Dossiers | |
| Écrit par Jean-Bernard KONDOSZEK | |
| Lundi, 26 Mai 2008 17:03 | |
|
Lorsqu'un réseau interne, pour une raison quelconque, doit posséder une connexion à un réseau externe, des failles de sécurités, certes involontaires, sont automatiquement crées, rendant le réseau vulnérable à toute personne malveillante présente sur le réseau extérieur. En effet, un réseau externe ne peut être aussi bien sécurisé par l'administrateur du réseau interne tout simplement parce qu'il n'a strictement aucun contrôle sur ce qui se passe en dehors de son réseau. Pour se protéger, le moyen le plus simple est de contrôler tout ce qui entre et ce qui en sort par la connexion. Pour cela, il existe un élément indispensable de protection et de sécurité dédié à ce travail : le pare-feu.
Le premier système de protection utilisé par le pare-feu est le filtrage : les systèmes de filtrage de paquets routent les paquets entre hôtes internes et externes de façon sélective, autorisant ou bloquant certains types de paquets au regard de règles qui ont été élaborées en fonction d'une politique de sécurité. Ce filtrage peut se faire en fonction de plusieurs critères. Il y a tout d'abord la transmission des données : adresse IP source, adresse IP de destination, type de protocole (TCP, UDP, ICMP, ...), port TCP, UDP source et/ou destination, type de message ICMP, type de message dans le suivi de session (Syn) ou encore interface réseau sur laquelle le paquet arrive (sens de communication) ou va sortir. Ensuite on peut filtrer directement le contenu des paquets : fragmentation, mots présents dans les paquets, taille ou protocole réseau sont autant de choix possibles sur ce type de filtrage. Enfin, on peut utiliser l'identification pour appliquer des règles personnalisées à chaque utilisateur du réseau. Il possède une évolution conséquente, dûe au fait qu'il existe depuis un certain temps. Le plus vieux type de pare-feu est appelé pare-feu sans état ou stateless firewall et correspond à la complexité la plus faible au point de vue de la mise en oeuvre et de l'utilisation. Un pare-feu de cette catégorie se contente de lire le port ou l'adresse source ou de destination et de bloquer ou de laisser passer le paquet. On ne peut pas par conséquent avoir une grande finesse de filtrage. Pour remédier à ce problème, on le remplace par le pare-feu dit "à état" (stateful firewall), car de nombreuses attaques se basent sur les différents états possibles pour une connexion de type TCP/IP (tels ESTABLISHED ou encore TIME_WAIT ...). Ils gèrent aussi bien plus efficacement les connexions de type UDP. Très peu connu chez les particuliers, le pare-feu à identification utilise le troisième type de filtrage : l'utilisateur s'authentifie en n'importe quel point du réseau et accède ainsi à ses propres règles de sécurité, définies par l'administrateur du système, autorisant alors une grande souplesse. Mais ce type de pare-feu n'est pas facile à mettre en place et c'est pourquoi seules les entreprises les utilisent. Le pare-feu le plus évolué est appelé pare-feu applicatif. Il analyse le contenu même des paquets, identifiant le protocole utilisé. Le filtrage est donc le plus précis actuellement mais nécessite un temps de traitement bien plus conséquent surtout lorsque le trafic devient plus important. De plus, travaillant au niveau applicatif, il permet une gestion des applications réseaux nécessitant un traitement complexe, tel l'ouverture de port dynamique, ou les protocoles dits "à contenu sale" car ils ne respectent pas le modèle OSI qui implique une séparation des différentes couches qui constituent un réseau. Le dernier type de pare-feu se nomme pare-feu personnel. Il est utilisé par les particuliers pour protéger uniquement leur machine. Généralement stateful, il s'agit d'un logiciel qui s'intègre directement au système d'exploitation et vérifie les programmes qui dialoguent vers l'extérieur de la machine. Ce pare-feu est aussi capable d'écouter certaines transmissions au niveau applicatif. Un pare-feu peut se présenter sous forme matériel ou logiciel. Il peut intégrer de nombreuses fonctionnalités tel la QoS (acronyme de Quality of Service signifiant Qualité de Service), une simplification au niveau de l'utilisation... Les firewalls matériels peuvent quant à eux intègrer de nombreux outils comme un serveur mandataire, un IDS ou encore un IPS. Enfin pour terminer, il existe plusieurs moyens de tester son pare-feu, les plus courants étants des sites ou des programmes spécialisés dans ce genre de service :
Bookmark
Commentaires (0)
 Ecrivez un commentaire
|
|
Entré depuis l'explosion d'Internet dans les foyers des particuliers, le pare-feu, encore appelé firewall, coupe-feu ou garde-barrière, est un des éléments principaux des systèmes de sécurité. Il permet de conrôler le trafic et de filtrer les données qui passent par lui par plusieurs moyens mais pas seulement : d'autres services lui sont affectés tel la surveillance interne des connexions réseaux ou encore de limiter l'accès à Internet. Il restreint l'accès du réseau à un seul point précis, empêche les menaces de s'approcher des autres défenses et restreint également les sorties à un seul point précis. Un pare-feu est, de manière logique, un séparateur, un limitateur et un analyseur implémenté physiquement par un ensemble de composants matériels tel que routeur, ordinateur hôte ou combinaison d'ordinateurs. Comme il centralise les règles de sécurité, plus efficace qu'une décision diffuse sur tout le réseau, il renforce la protection notamment sur l'utilisation de données partagées (NFS, NIS, ...) et permet d'enregistrer toutes les activités vers ou en provenance d'Internet. Revers de la médaille, le pare-feu ne peut pas protéger directement des utilisateurs malveillants qui se trouvent dans le réseau interne, ni contre les connexions dangeureuses qui ne passent pas par lui.
RSS feed Comments