Firewall Qu`est ce qu`un firewall? Comment ça marche?

Firewall
Qu'est ce qu'un firewall?
Il s'agit d'un dispositif de protection entre un réseau local et un autre réseau qui peut être un
autre réseau local ou internet.
Un pare-feu vise principalement 2 objectifs :
9 contrôler et protéger les hôtes du réseau local contre la divulgation non autorisé
d'informations, les virus, les chevaux de Troie…
9 protéger les serveurs internet contre des commandes jugées dangereuses pour
les serveurs tels que "Telnet" ou contre les modifications ou l'altération de
données sur le serveur
Un pare-feu est également un assemblage d'une partie matérielle (ordinateur) et d'un ou
plusieurs logiciels installés sur cette machine.
Comment ça marche?
Un firewall va assurer une fonction de filtrage de paquet IP – sa fonction principale. Il va
notamment analyser l'en-tête de chaque paquet pour vérifier :
9
9
9
9
le type de paquet
l'adresse IP d'origine
l'adresse IP de destination
le port de destination
L'objectif du filtrage est :
9 interdire les accès non autorisés
9 interdire des accès entrants ou sortants correspondant à des services non
autorisés
Mécanisme de filtrage :
9 applicatif
il est réalisé par l'examen de ports de service – le firewall, dans ce cas,
examine port par port la liste des paquets échangés et va le rejeter s'il
est susceptible d'être dangereux
9 utilisateur
il est généralement concédé à des logiciels de type proxy – qui gère les
accès à certains sites. Il permet au niveau de chaque utilisateur ou
groupe d'utilisateurs de filtrer des plages horaires, des volumes transmis
voire des sites exprimés sous forme de nom de domaine
(www.monsite.fr) ou d'adresse IP.
Fiabilité
Aucun système pare-feu n'est infaillible, cependant, une combinaison de filtrage applicatif et
utilisateur conduit à un assez bon niveau de sécurisation.
Les systèmes de sécurisation les plus fiables reposent généralement sur l'adjonction d'une
DMZ (zone démilitarisée).
En terme de configuration des firewall, il y a principalement 2 philosophies :
9 tout ce qui n'est pas expressément interdit est autorisé
9 tout ce qui n'est pas expressément autorisé est interdit
Dans le 1er cas, le firewall est conçu pour bloquer au cas par cas après analyse de tous les
risques recensés. Dans le 2nd, l'administrateur du réseau doit prévoir les attaques afin de les
contrer.
Firewall avec routeur de filtrage
LAN
INTERNET
Routeur
Cette solution permet de réaliser le pare-feu le plus simple mais aussi le moins sûr ; le routeur
de filtrage contenant uniquement des autorisations d'accès basées sur les ports et les adresses
IP.
Passerelle avec double bastion
Cette méthode consiste à inclure un ordinateur dans les 2 réseaux communicants. Cette
machine sera équipée de 2 cartes réseaux et jouera le jeu d'une soupape de sécurité. Cette
passerelle n'autorisera aucun trafic direct entre les 2 réseaux. Les paquets transiteront par le
bastion qui vérifiera tous les services accessibles de l'extérieur comme de l'intérieur du réseau.
On parle de double bastion lorsque l'on adjoint un serveur de proxy à la machine passerelle.
INTERNET
Bastion
LAN
Serveur de proxy
Un serveur de proxy masque toutes les adresses IP du LAN à l'extérieur. Concrètement,
lorsqu'un poste du LAN se procure des infos sur internet, le site contacté ne détient que
l'adresse IP du serveur proxy. Le rôle du proxy est donc, entre autre, de masquer l'adresse de
l'expéditeur pour empêcher qu'un intrus ne se fasse passer pour un utilisateur du LAN.
Un serveur proxy est associé un service – il est orienté application.
Firewall avec réseau de filtrage
Cette méthode consiste à combiner les 2 méthodes précédentes en configurant un routeur relié
à l'internet qui communiquera avec le LAN par l'intermédiaire du bastion.
Routeur
Bastion
LAN
INTERNET
Firewall avec sous-réseau de filtrage
Bastion 1
Routeur de filtrage
Bastion 2
INTERNET
Serveur
web / intranet
Routeur interne
DMZ - Zone Démilitarisée
LAN
Cette solution est la plus sûre et la plus coûteuse.
Elle est constituée de 2 routeurs, un connecté au LAN, l'autre à Internet.
Entre ces 2 routeurs, on intercale un ou plusieurs bastions qui vont constituer une zone
tampon, appelé DMZ ou zone démilitarisée. De l'extérieur, seul l'accès au réseau bastion est
autorisé ; les paquets destinés au LAN ne lui étant transmis que par son intermédiaire.
Les proxys installés dans la DMZ devant obligatoirement être en service pour qu'un échange
puisse s'effectuer entre l'interne et l'externe.
Cette solution est également utilisable pour l'interconnexion sécurisée de LAN entre eux.