|
|
Sécurité |
Questions-réponses
: les pare-feu |
En sept questions, tour d'horizon d'une brique essentielle de la sécurité des systèmes. Les firewalls sont multiples mais ne contrôlent pas tout. Décryptage. (Mardi
24 septembre 2002) |
|
Qu'est-ce
qu'un pare-feu ?
On entend généralement par pare-feu
(firewall) un ou plusieurs systèmes conçus pour
superviser les flux transitant entre deux réseaux, une
infrastructure interne et une infrastructure publique
dans la plupart des cas. Ce type d'outils remplit généralement
cette fonction par le biais d'un double mécanisme : l'un
prenant en charge le blocage de certains paquets de données
(relatifs aux tentatives de pénétration notamment), et
l'autre autorisant un trafic donné de s'écouler - vers
l'extérieur la plupart du temps. Certains produits
insistent plus sur le premier dispositif, alors que d'autres
donneront la primeur au second. Mais dans tous les cas,
un pare-feu est jugé à sa capacité de prendre en compte,
à ces deux niveaux, une politique de contrôle des
accès. A savoir : un ensemble de règles qui
définissent les droits de se connecter depuis l'extérieur
à tout ou partie des serveurs d'applications et
autres systèmes (hosts) du réseau interne.
Quel
est le champ d'application d'un pare-feu ?
Le
plus souvent, le pare-feu est utilisé pour filtrer les
échanges entre un réseau interne d'entreprise et Internet.
Des flux qui ces dernières années ont connu un développement
important. Du trafic HTTP lors de la consultation de pages
Web à l'envoi d'e-mail en passant dans certains cas par
des transactions avec des systèmes d'information tiers
(dans le cadre de projets BtoB notamment), ils s'immiscent
dès lors à tous les étages des applications d'entreprise.
D'où la nécessité de mettre au point des procédures de
contrôle claires capables de faire la différence entre
mouvements suspects, qui chercheraient à atteindre une
solution dont la connexion est non-autorisée depuis l'extérieur,
et flux de production.
Quels
sont ses domaines de supervision ?
Certains pare-feu
se contentent de laisser transiter les e-mails, protégeant
ainsi le réseau de toute attaque à l'exception
de celles qui viseraient les services de messagerie. D'autres
avancent des méthodes de protection moins restrictives
: ils se contentent par exemple de bloquer les flux relatifs
à des serveurs particuliers. Plus généralement,
l'objectif du pare-feu consiste à protéger
un réseau interne des tentatives d'accès
extérieures non-authentifiées (espionage,
attaque de toute sorte, etc.). Ses principaux avantages :
il concentre en un point l'ensemble des contrôles
de sécurité liés à cette tâche,
et garde trace de tous les flux qu'il administre (type
et quantité de données échangées,
tentatives d'attaques, etc.). Bref, le pare-feu est au
système d'information, ce que l'agent de sécurité
est aux locaux de l'entreprise. Leur but est tous deux
de surveiller les entrées et sorties d'un espace
clos.
Existe t-il des communications
que les pare-feu ne peuvent contrôler ?
Un pare-feu
est dessiné pour contrôler les flux qui transitent
par lui. Mais attention : il est loin de centraliser la
totalité des liaisons utilisables par une personne
mal intentionnée... qui chercherait par exemple
à entrer dans le système d'information.
Ce risque concerne particulièrement la manipulation
de données confidentielles : un domaine qui
nécessite plus que tout autre la mise en place
d'un plan de sécurité global qui dépasse
de loin le déploiement d'un pare-feu. Copies de
disquettes, bornes Internet autonomes, mais également
fax, téléphones, etc. Dans certaines entreprises,
les outils pouvant permettre de lancer des ponts informels
avec l'environnement extérieur sont nombreux...
Qu'en est-il des flux supervisés par le pare-feu ?
La plupart des pare-feu seraient incapables de contrôler
les tunnels (sur HTTP ou SMTP), c'es-à-dire les
dispositifs exploités (par exemple) pour activer
des chevaux de Troie. Des dangers que des outils de sécurité,
installés au niveau des serveurs d'applications,
pourraient contribuer à palier.
Cet outil protège t-il des
virus ?
Il est vrai
que la plupart des éditeurs de pare-feu intègrent désormais
un antivirus à leur solution. Un produit qui assure en
cas de besoins le filtrage des codes malicieux (tels que
les macro-virus). Cependant, il existe de très nombreuses
manières d'encoder un fichier binaire lorsqu'il transite
via un réseau, sans compter une liste de virus qui s'allonge
de jour en jour. Une somme de possibilité et de croisement
qui rend le contrôle difficile sur ce terrain... Même
si un message provient d'un partenaire, celui-ci peut
toujours contenir une pièce attachée de nature dangereuse.
En clair, un pare-feu ne remplace pas encore une solution
d'antivirus correctement déployée et paramétrée sur chaque
poste utilisateur. D'autant qu'une telle infrastructure
contrôle également les fichiers transitant par
d'autres biais (disquettes, etc.).
Quelles
sont les principales technologies mises en oeuvre par
les pare-feus ?
La passerelle correspond au point du réseau
(ou noeud) par lequel le trafic transite d'un environnement
privé à un environnement public. Un pare-feu
est généralement formé de plusieurs
passerelles associées à un routeur. Parmi
elles, on compte les passerelles d'applications : sortes
de passages IP (proxy) via lesquels un logiciel spécifique
est autorisé à faire transiter des données
au delà du pare-feu.
Le serveur de Socket est le point de connexion
d'un pare-feu entre client et serveur d'applications.
Cette passerelle qui prend en charge le trafic à
la manière d'un proxy TCP/IP supporte potentiellement
n'importe quel type de flux (Telnet, SMTP, HTTP, FTP,
etc.) sans se soucier du contenu des données. Elle
rejette éventuellement les connexions en fonction
de l'identification des utilisateurs ou de la destination
demandée.
Le filtrage de paquets a pour but de bloquer le
trafic en repérant les adresses IP et/ou les port
utilisés. Intervenant au niveau d'une passerelle,
il permet par conséquent d'arrêter les flux
en fonction de l'adresses de l'émetteur ou du récepteur,
mais également du type de canal (e-mail, FTP, etc.).
Principal point faible de cette fonction : une relative
vulnérabilité au spoofing
d'adresses IP.
Le pare-feu d'hôtes (Screened host firewall)
s'adosse au filtrage de paquets pour limiter les transmissions
destinées à certaines catégories
de passerelles. Souvent jugé plus sure qu'une passerelle
"dual-home" (voir plus bas), il s'appuie à une
interface réseau sans exiger d'intermédiaire
supplémentaire entre passerelle d'application et
système de filtrage.
La passerelle "dual-home" est souvent
présenté comme une alternative au routage
de paquets. A la différence des pares feu d'hôte,
elle bloque l'intégralité du trafic IP.
Des serveurs de proxy intermédiaires étant
utilisés par procuration pour gérer les
accès vers les services internes ou externes demandés
(telnet, FTP, etc.).
La liste de contrôle d'accès (ACL)
détermine le trafic qui est autorisé au
sein des différentes parties d'un réseau
interne ainsi que les droits correspondants à son
utilisation.
Qu'est-ce
qu'une zone démilitarisée ?
Une zone démilitarisée
(ou DMZ pour "demilitarized zone") fait référence
à une portion d'un réseau qui ne fait ni
partie de l'environnement interne ni non plus partie directement
d'Internet. Classiquement, elle peut se placer aussi bien
entre un routeur d'accès à Internet et le
point d'entrée d'un pare-feu, qu'entre deux pare-feu.
Dans le premier cas, une DMZ se forme notamment si vous
appliquez une liste de contrôles d'accès
au routeur en question - en le limitant à un type
de flux (SMTP par exemple). Cette procédure permet
ensuite de limiter l'exposition du pare-feu placé
derrière.
|
|
|