FIREWALL

De NoocNooNet
Sauter à la navigation Sauter à la recherche

Un pare-feu (de l'anglais firewall) est un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communications autorisés sur ce réseau informatique. Il surveille et contrôle les applications et les flux de données (paquets). Il est un passage obligatoire entre différents réseaux. 

 /!\    Un firewall ne protège pas contre les virus.

Un firewall ne protège pas votre réseau d’une personne à l’intérieur du réseau.

En clair, le firewall permet d'appliquer une politique d'accès aux ressources réseau (serveurs). Le filtrage se fait selon divers critères. Les plus courants sont :

  • l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.) ;
  • les options contenues dans les données (fragmentation, validité, etc.) ;
  • les données elles-mêmes (taille, correspondance à un motif, etc.) ;
  • les utilisateurs pour les plus récents.


LES DIFFÉRENTS TYPES DE FIREWALL

Pare-feu sans état (stateless firewall) :

C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs. Il regarde chaque paquet indépendamment des autres et le compare à une liste de règles préconfigurées. Ces règles peuvent avoir des noms très différents en fonction du pare-feu : « ACL » pour “Access Control List” (certains pare-feux Cisco), “politique” ou “policy”, “filtres”, “règles” ou “rules”, etc. La configuration de ces dispositifs est souvent complexe et ne permet pas d'obtenir une finesse du filtrage très évoluée. Ces pare-feux ont donc tendance à tomber en désuétude mais restent présents sur certains routeurs ou systèmes d'exploitation.


Pare-feu à états (stateful firewall) :

Certains protocoles dits « à états » comme TCP introduisent une notion de connexion. Les pare-feux à états vérifient la conformité des paquets à une connexion en cours. C’est-à-dire qu'ils vérifient que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens. Sans vérifier les paquets un par un indépendamment comme le firewall sans état.


Pare-feu applicatif :

Dernière génération de pare-feu, ils vérifient la complète conformité du paquet à un protocole attendu. Par exemple, ce type de pare-feu permet de vérifier que seul le protocole HTTP passe par le port TCP 80. Ce traitement est très gourmand en temps de calcul dès que le débit devient très important. Il est justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP. Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles comme FTP, en mode passif, échangent entre le client et le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles sont dits « à contenu sale » ou « passant difficilement les pare-feux » car ils échangent au niveau applicatif (FTP) des informations du niveau IP ou du niveau TCP.


Pare-feu identifiant :

Il réalise l’identification des connexions passant à travers le filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC, et ainsi suivre l'activité réseau par utilisateur.


Pare-feu personnel :

Les pare-feux personnels, généralement installés sur une machine de travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'origine des données. Le but est de lutter contre les virus informatiques et les logiciels espions.


L’architecture simple (couche réseau et transport) :

C’est l’architecture la plus connue et la plus utilisée On filtre au niveau des adresses IP (couche 3) et des ports TCP/UDP (couche 4). On autorise les règles définies dans la politique de sécurité. Cette solution est peu coûteuse, un hardware peu puissant combiné à un firewall open source est suffisant. Elle ne permet pas de filtrage sur les services tels que HTTP ou FTP (il est impossible d'empêcher du peer-to-peer par exemple). Cette architecture est utilisé lorsque le client ne possède pas de serveur interne ouvert sur l’extérieur.


LES DIFFÉRENTES ARCHITECTURES

PROXY = intermédiaire couche applicative

C’est la même architecture mais on ajoute un filtre, au niveau de la couche applicative. On va donc pouvoir filtrer des protocoles tel que HTTP. Un proxy est un matériel ou un logiciel servant d'intermédiaire entre deux réseaux. Une des utilisations les plus courantes de proxy concerne l’utilisation d’Internet (HTTP). Un utilisateur, pour se rendre sur Internet, va d’abord passer par le proxy et c’est le proxy qui va envoyer la requête HTTP vers Internet. Ce type d’architecture est très coûteux à mettre en place.


DMZ ZONE DÉMILITARISÉE , DOUBLE FIREWALL

La DMZ est une architecture qui permet de sécuriser votre réseau local, alors même que vous voulez le rendre accessible sur Internet. Elle vous permet de rendre votre serveur accessible sur le Web tout en sécurisant votre LAN. Ceci est possible grâce à l’ajout d’un deuxième firewall entre le LAN et les serveurs. L’idée est la suivante : une règle permet au Web de se rendre sur le serveur, par le routeur/firewall externe. L’accès est autorisé selon le protocole voulu (HTTP par ex). Tous les autres services doivent être désactivés et la connexion ssh ne doit pas pouvoir se faire depuis le WAN. Une autre règle permet au LAN de se rendre sur le serveur (par SSH par ex), tout en empêchant le serveur de se rendre sur le LAN.


LES ÉTAPES À RESPECTER


DÉFINIR LES BESOIN LIÉ AU MATÉRIEL, MAIS AUSSI A LA STRUCTURE DU RÉSEAU, SON UTILISATION/SON RÔLE.


DÉFINIR UNE POLITIQUE DE CONFIDENTIALITÉ ET LA METTRE EN PLACE. Tout est interdit de base, on autorise que les services nécessaires.


DÉFINIR SON ARCHITECTURE.

Récupérée de « https://nooc.way2sv.com/index.php?title=FIREWALL&oldid=71 »