firewall

Un article de Wikipedia.y-project.com.

En informatique, un pare-feu est un dispositif logiciel ou matériel qui filtre le flux de données sur un réseau informatique. Il est parfois appelé coupe-feu ou encore firewall.

Sommaire 1 Fonctionnement général 2 Catégories de pare-feu 2.1 Pare-feu sans états (stateless firewall) 2.2 Pare-feu à états (stateful firewall) 2.3 Pare-feu applicatif 2.4 Pare-feu authentifiant 2.5 Pare-feu personnel 3 Technologies utilisées 4 Implémentations connues 4.1 Versions libres 4.2 Distribution Linux 4.3 Versions commerciales 5 Voir aussi 5.1 Liens internes 5.2 Liens externes

[] Fonctionnement général

Le pare-feu est aujourd'hui considéré comme la pierre angulaire de la sécurité d'un réseau informatique. Il permet d'appliquer une politique d'accès aux ressources réseau (serveurs).

Le filtrage se fait selon divers critères. Les plus courants sont :

• l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.)
• les options contenues dans les données (fragmentation, validité, etc.)
• les données elles-mêmes (taille, correspondance à un motif, etc.)
• les utilisateurs pour les plus récents

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau en plusieurs zones de sécurité appelées zones démilitarisées ou DMZ. Ces zones sont séparées suivant le niveau de confiance qu'on leur porte.

[] Catégories de pare-feu

Les pare-feu sont le plus vieil équipement de sécurité et comme tel, ils ont été soumis à des nombreuses évolutions. Suivant la génération du pare-feu ou son rôle précis, on peut les classer en différentes catégories.

[] Pare-feu sans états (stateless firewall)

C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs. Il regarde chaque paquet indépendamment des autres et le compare à une liste de règles préconfigurées. La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des machines à états des protocoles réseaux ne permet pas d'obtenir une finesse du filtrage très évoluée. Ces pare-feu ont donc tendance à tomber en désuétude mais restent présents sur certains routeurs ou systèmes d'exploitation...

[] Pare-feu à états (stateful firewall)

Certains protocoles dits « à états » comme TCP introduisent une notion de connexion. Les pare-feu à états vérifient la conformité des paquets à une connexion en cours. C'est à dire qu'il vérifient que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens.

[] Pare-feu applicatif

Dernière mouture de pare-feu, ils vérifient la complète conformité du paquet à un protocole attendu. Par exemple, ce type de pare-feu permet de vérifier que seul du HTTP passe par le port TCP 80. Ce traitement est très gourmand en temps de calcul dès que le débit devient très important; il est justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP pour contourner le filtrage par ports.

Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles comme le fameux FTP en mode actif échangent entre le client et le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles sont dit "à contenu sale" ou "dirty payload" car ils échangent au niveau applicatif (FTP) des informations du niveau IP (échange d'adresses) ou du niveau TCP (échange de ports). Ce qui transgresse le principe de la séparation des Couches réseaux. Pour cette raison, les protocoles "à contenu sale" passent difficilement voir pas du tout, les règles de NAT dynamiques, à moins qu' une inspection applicative ne soit faite sur ce protocole.

Quelques protocoles "à contenus sale": FTP en mode passif, H323, les protocoles faisant du peer2peer (IRC-DCC), les protocoles de gestion de réseau (DNS, certains messages icmp, traceroute)

Chaque type de pare-feu sait inspecter un nombre limité d'applications. Chaque application est gérée par un module différent pour pouvoir les activer ou les désactiver. La terminologie pour le concept de module est différente pour chaque type pare-feu: Conntrack sur Linux Netfilter, CBAC sur Cisco IOS, Fixup puis inspect sur Cisco PIX, ApplicationLayerGateway sur Proventia M, Predefined Services sur Juniper ScreenOS...

[] Pare-feu authentifiant

Un pare-feu authentifiant réalise l?authentification des connexions passant à travers le filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par IP, et suivre l'activité réseau par utilisateur. Plusieurs méthodes différentes existent qui reposent sur des associations entre IP et utilisateurs réalisées par des moyens variés. On peut par exemple citer authpf (sous OpenBSD) qui utilise ssh pour faire l'association. Une autre méthode est l'authentification connexion par connexion, réalisée par exemple par la suite NuFW, qui permet d'authentifier également sur des machines multi-utilisateurs.

[] Pare-feu personnel

Les pare-feu personnels, généralement installés sur une machine de travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'origine des données. Le but est de lutter contre les virus informatiques et les logiciels espions.

[] Technologies utilisées

Les firewalls récents embarquent de plus en plus de fonctionnalités.

• Filtrage sur adresses IP/Protocole,
• Inspection stateful et applicative,
• Filtrage applicatif
  • HTTP (restriction des URL accessibles),
  • Mail (Anti-Spam)
  • Antivirus, Anti-Logiciel malveillant
• Translation d'adresses,
• Tunnels IPsec, PPTP, L2TP,
• Authentification des connexions,
• Serveurs de protocoles de connection (telnet, SSH), de protocoles de transfert de fichier (SCP),
• Clients de protocoles de transfert de fichier (TFTP),
• Serveur Web pour offrir une interface de configuration agréable,
• Système de détection d'intrusion
• Serveur mandataire

[] Implémentations connues

[] Versions libres

• Linux Netfilter, pare-feu libre des noyaux Linux 2.4 et 2.6.
• Linux Ipchains, pare-feu libre du noyau Linux 2.2.
• Packet Filter ou PF, pare-feu libre de OpenBSD.
• IPFilter ou IPF, pare-feu libre de BSD et Solaris 10.
• Ipfirewall ou IPFW, pare-feu libre de FreeBSD.

[] Distribution Linux

• Smoothwall *, distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en pare-feu dédié et complet.
• IPCop *, distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en pare-feu dédié et complet.

[] Versions commerciales

• (fr) Cisco IOS, boîtier routeur avec des fonctions de pare-feu commercialisé par Cisco Systems.
• (fr) Cisco PIX, boîtier pare-feu commercialisé par Cisco Systems.
• (fr) IPS Firewall NetASQ Appliance UTM NETASQ
• (fr) Cisco VPN3000, boîtier pare-feu orienté RPV commercialisé par Cisco Systems.
• (en) Check Point FireWall-1, logiciel pare-feu commercial commercialisé par Check Point.
• (en) Juniper Screen OS, boîtier pare-feu commercialisé par Juniper Networks après le rachat de Netscreen.
• (en) Seclutions AirLock, pare-feu applicatif commercial.
• (fr) NuFW, logiciel pare-feu authentifiant en GPL pour environnement GNU/Linux, client sous licence commerciale pour postes clients Windows
• (fr) Pare-feu personnel de Windows XP

[] Voir aussi

[] Liens internes

• Sécurité informatique
• Dictionnaire informatique

[] Liens externes

• (fr) La sécurité par Christian Caleca Site de vulgarisation sur le réseau.
• (fr) Comment ça marche un pare-feu ?
• (en) Shields Up, site permettant de vérifier l'efficacité de son pare-feu.
• (fr) Pare-feu sous Linux, explications sur le fonctionnement du pare-feu Netfilter de Linux

(vulgarisation)

• (fr) Le Firewall de Windows XP SP2, Présentation et configuration

 
Le Texte ci-dessus est disponible sous GNU Free Documentation License.
La source est wikipedia http://fr.wikipedia.org/wiki/firewall