Firewall Qu`est ce qu`un firewall? Comment ça marche?
Transcription
Firewall Qu`est ce qu`un firewall? Comment ça marche?
Firewall Qu'est ce qu'un firewall? Il s'agit d'un dispositif de protection entre un réseau local et un autre réseau qui peut être un autre réseau local ou internet. Un pare-feu vise principalement 2 objectifs : 9 contrôler et protéger les hôtes du réseau local contre la divulgation non autorisé d'informations, les virus, les chevaux de Troie… 9 protéger les serveurs internet contre des commandes jugées dangereuses pour les serveurs tels que "Telnet" ou contre les modifications ou l'altération de données sur le serveur Un pare-feu est également un assemblage d'une partie matérielle (ordinateur) et d'un ou plusieurs logiciels installés sur cette machine. Comment ça marche? Un firewall va assurer une fonction de filtrage de paquet IP – sa fonction principale. Il va notamment analyser l'en-tête de chaque paquet pour vérifier : 9 9 9 9 le type de paquet l'adresse IP d'origine l'adresse IP de destination le port de destination L'objectif du filtrage est : 9 interdire les accès non autorisés 9 interdire des accès entrants ou sortants correspondant à des services non autorisés Mécanisme de filtrage : 9 applicatif il est réalisé par l'examen de ports de service – le firewall, dans ce cas, examine port par port la liste des paquets échangés et va le rejeter s'il est susceptible d'être dangereux 9 utilisateur il est généralement concédé à des logiciels de type proxy – qui gère les accès à certains sites. Il permet au niveau de chaque utilisateur ou groupe d'utilisateurs de filtrer des plages horaires, des volumes transmis voire des sites exprimés sous forme de nom de domaine (www.monsite.fr) ou d'adresse IP. Fiabilité Aucun système pare-feu n'est infaillible, cependant, une combinaison de filtrage applicatif et utilisateur conduit à un assez bon niveau de sécurisation. Les systèmes de sécurisation les plus fiables reposent généralement sur l'adjonction d'une DMZ (zone démilitarisée). En terme de configuration des firewall, il y a principalement 2 philosophies : 9 tout ce qui n'est pas expressément interdit est autorisé 9 tout ce qui n'est pas expressément autorisé est interdit Dans le 1er cas, le firewall est conçu pour bloquer au cas par cas après analyse de tous les risques recensés. Dans le 2nd, l'administrateur du réseau doit prévoir les attaques afin de les contrer. Firewall avec routeur de filtrage LAN INTERNET Routeur Cette solution permet de réaliser le pare-feu le plus simple mais aussi le moins sûr ; le routeur de filtrage contenant uniquement des autorisations d'accès basées sur les ports et les adresses IP. Passerelle avec double bastion Cette méthode consiste à inclure un ordinateur dans les 2 réseaux communicants. Cette machine sera équipée de 2 cartes réseaux et jouera le jeu d'une soupape de sécurité. Cette passerelle n'autorisera aucun trafic direct entre les 2 réseaux. Les paquets transiteront par le bastion qui vérifiera tous les services accessibles de l'extérieur comme de l'intérieur du réseau. On parle de double bastion lorsque l'on adjoint un serveur de proxy à la machine passerelle. INTERNET Bastion LAN Serveur de proxy Un serveur de proxy masque toutes les adresses IP du LAN à l'extérieur. Concrètement, lorsqu'un poste du LAN se procure des infos sur internet, le site contacté ne détient que l'adresse IP du serveur proxy. Le rôle du proxy est donc, entre autre, de masquer l'adresse de l'expéditeur pour empêcher qu'un intrus ne se fasse passer pour un utilisateur du LAN. Un serveur proxy est associé un service – il est orienté application. Firewall avec réseau de filtrage Cette méthode consiste à combiner les 2 méthodes précédentes en configurant un routeur relié à l'internet qui communiquera avec le LAN par l'intermédiaire du bastion. Routeur Bastion LAN INTERNET Firewall avec sous-réseau de filtrage Bastion 1 Routeur de filtrage Bastion 2 INTERNET Serveur web / intranet Routeur interne DMZ - Zone Démilitarisée LAN Cette solution est la plus sûre et la plus coûteuse. Elle est constituée de 2 routeurs, un connecté au LAN, l'autre à Internet. Entre ces 2 routeurs, on intercale un ou plusieurs bastions qui vont constituer une zone tampon, appelé DMZ ou zone démilitarisée. De l'extérieur, seul l'accès au réseau bastion est autorisé ; les paquets destinés au LAN ne lui étant transmis que par son intermédiaire. Les proxys installés dans la DMZ devant obligatoirement être en service pour qu'un échange puisse s'effectuer entre l'interne et l'externe. Cette solution est également utilisable pour l'interconnexion sécurisée de LAN entre eux.