| Questions-réponses
: les pare-feu Par le JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0209/020924_firewall.shtml Mardi 24 septembre 2002
On entend généralement par pare-feu (firewall) un ou plusieurs systèmes conçus pour superviser les flux transitant entre deux réseaux, une infrastructure interne et une infrastructure publique dans la plupart des cas. Ce type d'outils remplit généralement cette fonction par le biais d'un double mécanisme : l'un prenant en charge le blocage de certains paquets de données (relatifs aux tentatives de pénétration notamment), et l'autre autorisant un trafic donné de s'écouler - vers l'extérieur la plupart du temps. Certains produits insistent plus sur le premier dispositif, alors que d'autres donneront la primeur au second. Mais dans tous les cas, un pare-feu est jugé à sa capacité de prendre en compte, à ces deux niveaux, une politique de contrôle des accès. A savoir : un ensemble de règles qui définissent les droits de se connecter depuis l'extérieur à tout ou partie des serveurs d'applications et autres systèmes (hosts) du réseau interne. Quel est le champ d'application d'un pare-feu ? Quels sont ses domaines de supervision ? Certains pare-feu se contentent de laisser transiter les e-mails, protégeant ainsi le réseau de toute attaque à l'exception de celles qui viseraient les services de messagerie. D'autres avancent des méthodes de protection moins restrictives : ils se contentent par exemple de bloquer les flux relatifs à des serveurs particuliers. Plus généralement, l'objectif du pare-feu consiste à protéger un réseau interne des tentatives d'accès extérieures non-authentifiées (espionage, attaque de toute sorte, etc.). Ses principaux avantages : il concentre en un point l'ensemble des contrôles de sécurité liés à cette tâche, et garde trace de tous les flux qu'il administre (type et quantité de données échangées, tentatives d'attaques, etc.). Bref, le pare-feu est au système d'information, ce que l'agent de sécurité est aux locaux de l'entreprise. Leur but est tous deux de surveiller les entrées et sorties d'un espace clos. Existe t-il des communications que les pare-feu ne peuvent contrôler ? Un pare-feu est dessiné pour contrôler les flux qui transitent par lui. Mais attention : il est loin de centraliser la totalité des liaisons utilisables par une personne mal intentionnée... qui chercherait par exemple à entrer dans le système d'information. Ce risque concerne particulièrement la manipulation de données confidentielles : un domaine qui nécessite plus que tout autre la mise en place d'un plan de sécurité global qui dépasse de loin le déploiement d'un pare-feu. Copies de disquettes, bornes Internet autonomes, mais également fax, téléphones, etc. Dans certaines entreprises, les outils pouvant permettre de lancer des ponts informels avec l'environnement extérieur sont nombreux... Qu'en est-il des flux supervisés par le pare-feu ? La plupart des pare-feu seraient incapables de contrôler les tunnels (sur HTTP ou SMTP), c'es-à-dire les dispositifs exploités (par exemple) pour activer des chevaux de Troie. Des dangers que des outils de sécurité, installés au niveau des serveurs d'applications, pourraient contribuer à palier. Cet outil protège t-il des virus ? Il est vrai que la plupart des éditeurs de pare-feu intègrent désormais un antivirus à leur solution. Un produit qui assure en cas de besoins le filtrage des codes malicieux (tels que les macro-virus). Cependant, il existe de très nombreuses manières d'encoder un fichier binaire lorsqu'il transite via un réseau, sans compter une liste de virus qui s'allonge de jour en jour. Une somme de possibilité et de croisement qui rend le contrôle difficile sur ce terrain... Même si un message provient d'un partenaire, celui-ci peut toujours contenir une pièce attachée de nature dangereuse. En clair, un pare-feu ne remplace pas encore une solution d'antivirus correctement déployée et paramétrée sur chaque poste utilisateur. D'autant qu'une telle infrastructure contrôle également les fichiers transitant par d'autres biais (disquettes, etc.). Quelles sont les principales technologies mises en oeuvre par les pare-feus ? 
La passerelle correspond au point du réseau (ou noeud)
par lequel le trafic transite d'un environnement privé à
un environnement public. Un pare-feu est généralement
formé de plusieurs passerelles associées à un
routeur. Parmi elles, on compte les passerelles d'applications : sortes
de passages IP (proxy) via lesquels un logiciel spécifique
est autorisé à faire transiter des données au
delà du pare-feu.
Le serveur de Socket est le point de connexion d'un pare-feu
entre client et serveur d'applications. Cette passerelle qui prend
en charge le trafic à la manière d'un proxy TCP/IP supporte
potentiellement n'importe quel type de flux (Telnet, SMTP, HTTP, FTP,
etc.) sans se soucier du contenu des données. Elle rejette
éventuellement les connexions en fonction de l'identification
des utilisateurs ou de la destination demandée.
Le filtrage de paquets a pour but de bloquer le trafic en repérant
les adresses IP et/ou les port utilisés. Intervenant au niveau
d'une passerelle, il permet par conséquent d'arrêter
les flux en fonction de l'adresses de l'émetteur ou du récepteur,
mais également du type de canal (e-mail, FTP, etc.). Principal
point faible de cette fonction : une relative vulnérabilité
au spoofing
d'adresses IP.
Le pare-feu d'hôtes (Screened host firewall) s'adosse
au filtrage de paquets pour limiter les transmissions destinées
à certaines catégories de passerelles. Souvent jugé
plus sure qu'une passerelle "dual-home" (voir plus bas), il s'appuie
à une interface réseau sans exiger d'intermédiaire
supplémentaire entre passerelle d'application et système
de filtrage.
La passerelle "dual-home" est souvent présenté
comme une alternative au routage de paquets. A la différence
des pares feu d'hôte, elle bloque l'intégralité
du trafic IP. Des serveurs de proxy intermédiaires étant
utilisés par procuration pour gérer les accès vers les
services internes ou externes demandés (telnet, FTP, etc.).
La liste de contrôle d'accès (ACL) détermine
le trafic qui est autorisé au sein des différentes parties
d'un réseau interne ainsi que les droits correspondants à
son utilisation.Une zone démilitarisée (ou DMZ pour "demilitarized zone") fait référence à une portion d'un réseau qui ne fait ni partie de l'environnement interne ni non plus partie directement d'Internet. Classiquement, elle peut se placer aussi bien entre un routeur d'accès à Internet et le point d'entrée d'un pare-feu, qu'entre deux pare-feu. Dans le premier cas, une DMZ se forme notamment si vous appliquez une liste de contrôles d'accès au routeur en question - en le limitant à un type de flux (SMTP par exemple). Cette procédure permet ensuite de limiter l'exposition du pare-feu placé derrière. [Antoine Crochet Damais, JDNet] Pour tout problème de consultation, écrivez au Webmaster Copyrights et reproductions . Données personnelles Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier 92517 Boulogne Billancourt Cedex, FRANCE |
