ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION
SECTEUR NTIC
Pare-feu
ROYAUME DU MAROC
Office de la Formation Professionnelle et de la Promotion du Travail
DIRECTION RECHERCHE ET INGENIERIE DE FORMATION
SECTEUR NTIC
Pare-feu
Sommaire
1. Prsentation des are-feu et des mandataires.......................................!
!. "u#est-$e %u#un are-feu&..................................................................!
'. (on$tionnement d#un s)st*me are-feu................................................'
+. Tradu$tion d#adresses rseau ,NAT-......................................................
+.1. Prin$ie du NAT..............................................................................
+.!. Esa$es d#adressa/e.......................................................................0
+.'. Trans1ation stati%ue........................................................................0
+.+. Trans1ation d)nami%ue....................................................................2
.. (i1tra/e de a%uets...........................................................................2
..1. 3e fi1tra/e sim1e de a%uets...........................................................2
..!. 3e fi1tra/e d)nami%ue.....................................................................4
0. 3e fi1tra/e a1i$atif...........................................................................5
2. 3es 1imites des fire6a11s.....................................................................5
4. DM7 ,7one dmi1itarise-.................................................................18
4.1. Notion de $1oisonnement...............................................................18
4.!. Ar$9ite$ture DM7.........................................................................18
5. Em1a$ement du are-feu................................................................11
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 1 - 12
Pare-feu
1.Prsentation des pare-feu et des
mandataires
3a rin$ia1e mt9ode our se dfendre des assai11ants :enus d#Internet
est de mettre en 1a$e un are-feu. <n are-feu est un $omosant
matrie1= 1o/i$ie1 ou 1es deu>. 3e are-feu Internet a our ;ut d#em?$9er
1es a%uets IP ma1:ei11ants ou non sou9aits d#a$$der @ un rseau
s$uris.
C9a%ue ordinateur $onne$t @ internet ,et d#une mani*re 1us /nra1e @
n#imorte %ue1 rseau informati%ue- est sus$eti;1e d#?tre :i$time d#une
atta%ue d#un irate informati%ue. 3a mt9odo1o/ie /nra1ement
em1o)e ar 1e irate informati%ue $onsiste @ s$ruter 1e rseau ,en
en:o)ant des a%uets de donnes de mani*re a1atoire- @ 1a re$9er$9e
d#une ma$9ine $onne$te= uis @ $9er$9er une fai11e de s$urit afin de
1#e>1oiter et d#a$$der au> donnes s#) trou:ant.
Cette mena$e est d#autant 1us /rande %ue 1a ma$9ine est $onne$te en
ermanen$e @ internet our 1usieurs raisons A
3a ma$9ine $i;1e est sus$eti;1e d#?tre $onne$te sans our autant
?tre sur:ei11e B
3a ma$9ine $i;1e est /nra1ement $onne$te a:e$ une 1us 1ar/e
;ande assante B
3a ma$9ine $i;1e ne $9an/e as ,ou eu- d#adresse IP.
Ainsi= i1 est n$essaire= autant our 1es rseau> d#entrerises %ue our 1es
internautes ossdant une $onne>ion de t)e $C;1e ou ADS3= de se
rot/er des intrusions rseau> en insta11ant un disositif de rote$tion.
2.Qu'est-ce qu'un pare-feu?.
<n pare-feu ,ae1 aussi coupe-feu= garde-barrire ou fireall en
an/1ais-= est un s)st*me ermettant de rot/er un ordinateur ou un
rseau d#ordinateurs des intrusions ro:enant d#un rseau tiers
,notamment internet-. 3e are-feu est un s)st*me ermettant de fi1trer
1es a%uets de donnes $9an/s a:e$ 1e rseau= i1 s#a/it ainsi d#une
assere11e fi1trante $omortant au minimum 1es interfa$es rseau
sui:ante A
une interfa$e our 1e rseau @ rot/er ,rseau interne- B
une interfa$e our 1e rseau e>terne.
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 ! - 12
Pare-feu
3e s)st*me fire6a11 est un s)st*me 1o/i$ie1= reosant arfois sur un
matrie1 rseau ddi= $onstituant un intermdiaire entre 1e rseau 1o$a1
,ou 1a ma$9ine 1o$a1e- et un ou 1usieurs rseau> e>ternes. I1 est ossi;1e
de mettre un s)st*me are-feu sur n#imorte %ue11e ma$9ine et a:e$
n#imorte %ue1 s)st*me our:u %ue A
3a ma$9ine soit suffisamment uissante our traiter 1e traffi$ B
3e s)st*me soit s$uris B
Au$un autre ser:i$e %ue 1e ser:i$e de fi1tra/e de a%uets ne
fon$tionne sur 1e ser:eur.

Dans 1e $as oD 1e s)st*me are-feu est fourni dans une ;oEte noire F $1
en main G= on uti1ise 1e terme d#F a1ian$e G.
3.Fonctionnement d'un systme pare-feu
<n s)st*me are-feu $ontient un ensem;1e de r*/1es rdfinies
ermettant A
D#autoriser 1a $onne>ion ,allow- B
De ;1o%uer 1a $onne>ion ,deny- B
De reHeter 1a demande de $onne>ion sans a:ertir 1#metteur ,drop-.
3#ensem;1e de $es r*/1es ermet de mettre en oeu:re une mt9ode de
fi1tra/e dendant de 1a politi!ue de s"curit" adote ar 1#entit. On
distin/ue 9a;itue11ement deu> t)es de o1iti%ues de s$urit
ermettant A
soit d#autoriser uni%uement 1es $ommuni$ations a)ant t
e>1i$itement autorises A
soit d#em?$9er 1es $9an/es %ui ont t e>1i$itement interdits.
3a remi*re mt9ode est sans nu1 doute 1a 1us sIre= mais e11e imose toutefois
une dfinition r$ise et $ontrai/nante des ;esoins en $ommuni$ation.
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 ' - 12
Pare-feu
4.Serices pro!y
Dans 1e se$teur des rseau>= un ser:i$e ro>) est un 1o/i$ie1 %ui intera/it
a:e$ des rseau> e>trieurs au nom d#un 9Jte $1ient.
Figure 1
3a fi/ure rersente 1e ser:eur ro>) %ui rond au> ostes de tra:ai1.
Figure 2
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 + - 12
Pare-feu
3a fi/ure rersente un ser:eur ro>) a:e$ des ser:eurs Ke; internes.
En r*/1e /nra1e= 1es 9Jtes $1ient d#un rseau 1o$a1 s$uris demandent
une a/e Ke; @ un ser:eur %ui e>$ute des ser:i$es ro>). 3e ser:eur
ro>) a$$*de a1ors @ Internet our r$urer 1a a/e Ke;. 3a a/e Ke;
est $oie sur 1e ser:eur ro>). Ce ro$essus est ae1 $a$9in/. Enfin= 1e
ser:eur ro>) transmet 1a a/e Ke; au $1ient. En assant ar
1#intermdiaire des ser:i$es d#un ser:eur ro>)= 1e $1ient n#a Hamais @
intera/ir dire$tement a:e$ 1es 9Jtes e>trieurs. 3es $1ients sont ainsi
rot/s des :entue11es mena$es :enues d#Internet. 3es administrateurs
eu:ent $onfi/urer 1es ser:eurs ro>) de mani*re @ $e %u#i1s reHettent
$ertaines demandes $1ient ou $ertaines ronses Internet e>trieures. Par
e>em1e= 1es $o1es eu:ent uti1iser des ser:eurs ro>) our $ontrJ1er 1es
sites Ke; a$$essi;1es. Ltant donn %ue toutes 1es demandes Ke; sont
diri/es :ers 1e ser:eur ro>)= 1es administrateurs $ontrJ1ent
arfaitement 1es demandes traites. Mi$rosoft fournit un ser:i$e ro>)
$om1et our son NOS= ae1 Mi$rosoft Pro>) Ser:er !.8.
3es ser:eurs ro>) iso1ent 1es rseau> 1o$au> et rot*/ent 1es 9Jtes des
mena$es e>trieures. 3#effi$a$it des ser:eurs ro>) reose sur 1eur
$aa$it @ mettre en $a$9e 1es a/es Ke;. 3a ossi;i1it d#uti1iser un
ser:i$e ro>) our HTTP $onstitue un re1 a:anta/e. De nom;reu> $1ients
eu:ent a$$der au $ontenu HTTP a:e$ un mei11eur d1ai de ronse.
Cette am1ioration du d1ai de ronse est due au $a$9in/ du $ontenu
HTTP au%ue1 1es uti1isateurs a$$*dent fr%uemment sur un ser:eur 1o$a1.
".#raduction d'adresses rseau $%&#'
5.1. Principe du NAT
3e m$anisme de translation d#adresses ,en an/1ais Network Address
Translation not N$T- a t mis au oint afin de rondre @ 1a nurie
d#adresses IP a:e$ 1e roto$o1e IP:+ ,1e roto$o1e IP:0 rondra @ terme
@ $e ro;1*me-.
En effet= en adressa/e IP:+ 1e nom;re d#adresses IP routa;1es ,don$
uni%ues sur 1a 1an*te- n#est as suffisant our ermettre @ toutes 1es
ma$9ines n$essitant d#?tre $onne$tes @ internet de 1#?tre.
3e rin$ie du NAT $onsiste don$ @ uti1iser une adresse IP routa;1e ,ou un
nom;re 1imit d#adresses IP- our $onne$ter 1#ensem;1e des ma$9ines du
rseau en ra1isant= au ni:eau de 1a assere11e de $onne>ion @ internet=
une trans1ation ,1ittra1ement une F tradu$tion G- entre 1#adresse interne
,non routa;1e- de 1a ma$9ine sou9aitant se $onne$ter et 1#adresse IP de 1a
assere11e.
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 . - 12
Pare-feu
D#autre art= 1e m$anisme de trans1ation d#adresses ermet de
s"curiser 1e rseau interne tant donn %u#i1 $amouf1e $om1*tement
1#adressa/e interne. En effet= our un o;ser:ateur e>terne au rseau=
toutes 1es re%u?tes sem;1ent ro:enir de 1a m?me adresse IP.
5.2. Espaces d'adressage
3#or/anisme /rant 1#esa$e d#adressa/e u;1i$ ,adresses IP routa;1es-
est 1#Internet Assi/ned Num;er Aut9orit) ,IANA-. 3a R(C 1514 dfinit un
esa$e d#adressa/e ri: ermettant @ toute or/anisation d#attri;uer des
adresses IP au> ma$9ines de son rseau interne sans ris%ue d#entrer en
$onf1it a:e$ une adresse IP u;1i%ue a11oue ar 1#IANA. Ces adresses
dites non-routa;1es $orresondent au> 1a/es d#adresses sui:antes A
C1asse A A 1a/e de 18.8.8.8 @ 18.!...!...!.. B
C1asse M A 1a/e de 12!.10.8.8 @ 12!.'1.!...!.. B
C1asse C A 1a/e de 15!.104.8.8 @ 15!.104.!..... B
Toutes 1es ma$9ines d#un rseau interne= $onne$tes @ internet ar
1#intermdiaire d#un routeur et ne ossdant as d#adresse IP u;1i%ue
doi:ent uti1iser une adresse $ontenue dans 1#une de $es 1a/es. Pour 1es
etits rseau> domesti%ues= 1a 1a/e d#adresses de 15!.104.8.1 @
15!.104.8.!.. est /nra1ement uti1ise.
5.3. Translation statique
3e rin$ie du NAT stati%ue $onsiste @ asso$ier une adresse IP u;1i%ue @
une adresse IP ri:e interne au rseau. 3e routeur ,ou 1us e>a$tement
1a assere11e- ermet don$ d#asso$ier @ une adresse IP ri:e ,ar
e>em1e 15!.104.8.1- une adresse IP u;1i%ue routa;1e sur Internet et
de faire 1a tradu$tion= dans un sens $omme dans 1#autre= en modifiant
1#adresse dans 1e a%uet IP.
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 0 - 12
Pare-feu
3a trans1ation d#adresse stati%ue ermet ainsi de $onne$ter des ma$9ines
du rseau interne @ internet de mani*re transarente mais ne rsout as
1e ro;1*me de 1a nurie d#adresse dans 1a mesure oD n adresses IP
routa;1es sont n$essaires our $onne$ter n ma$9ines du rseau interne.
5.4. Translation dynamique
3e NAT d)nami%ue ermet de arta/er une adresse IP routa;1e ,ou un
nom;re rduit d#adresses IP routa;1es- entre 1usieurs ma$9ines en
adressa/e ri:. Ainsi= toutes 1es ma$9ines du rseau interne oss*dent
:irtue11ement= :u de 1#e>trieur= 1a m?me adresse IP. C#est 1a raison our
1a%ue11e 1e terme de F mas$arade IP G ,en an/1ais IP mas%ueradin/- est
arfois uti1is our dsi/ner 1e m$anisme de trans1ation d#adresse
d)nami%ue.
Afin de ou:oir F mu1ti1e>er G ,arta/er- 1es diffrentes adresses IP sur
une ou 1usieurs adresses IP routa;1es 1e NAT d)nami%ue uti1ise 1e
m$anisme de trans1ation de ort ,PAT - Port Address Trans1ation-= $#est-
@-dire 1#affe$tation d#un ort sour$e diffrent @ $9a%ue re%u?te de te11e
mani*re @ ou:oir maintenir une $orresondan$e entre 1es re%u?tes
ro:enant du rseau interne et 1es ronses des ma$9ines sur Internet=
toutes adresses @ 1#adresse IP du routeur.
(.Fi)tra*e de paquets
6.1. e !iltrage simple de paquets
<n s)st*me are-feu fon$tionne sur 1e rin$ie du fi1tra/e sim1e de
a%uets ,en an/1ais F stateless packet filtering G-. I1 ana1)se 1es en-t?tes
de $9a%ue a%uet de donnes ,datagramme- $9an/ entre une ma$9ine
du rseau interne et une ma$9ine e>trieure.
Ainsi= 1es a%uets de donnes $9an/e entre une ma$9ine du rseau
e>trieur et une ma$9ine du rseau interne transitent ar 1e are-feu et
oss*dent 1es en-t?tes sui:ants= s)stmati%uement ana1)ss ar 1e
fire6a11 A
adresse IP de 1a ma$9ine mettri$e B
adresse IP de 1a ma$9ine r$etri$e B
t)e de a%uet ,TCP= <DP= et$.- B
numro de ort ,rae1A un ort est un numro asso$i @ un
ser:i$e ou une a1i$ation rseau-.

3es adresses IP $ontenues dans 1es a%uets ermettent d#identifier 1a

ma$9ine mettri$e et 1a ma$9ine $i;1e= tandis %ue 1e t)e de a%uet et 1e
numro de ort donnent une indi$ation sur 1e t)e de ser:i$e uti1is.
3e ta;1eau $i-dessous donne des e>em1es de r*/1es de are-feu A
Rgle Action IP source IP dest Protocol Port source Port dest
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 2 - 12
Pare-feu
1 Accept 192.168.10.20 194.154.192.3 tcp any 25
2 Accept any 192.168.10.3 tcp any 80
3 Accept 192.168.10.0/24 any tcp any 80
4 Deny any any any any any
3es orts re$onnus ,dont 1e numro est $omris entre 8 et 18!'- sont
asso$is @ des ser:i$es $ourants ,1es orts !. et 118 sont ar e>em1e
asso$is au $ourrier 1e$troni%ue= et 1e ort 48 au Ke;-. 3a 1uart des
disositifs are-feu sont au minimum $onfi/urs de mani*re @ fi1trer 1es
$ommuni$ations se1on 1e ort uti1is. I1 est /nra1ement $onsei11 de
;1o%uer tous 1es orts %ui ne sont as indisensa;1es ,se1on 1a o1iti%ue
de s$urit retenue-.
3e ort !' est ar e>em1e sou:ent ;1o%u ar dfaut ar 1es disositifs
are-feu $ar i1 $orresond au roto$o1e Te1net= ermettant d#mu1er un
a$$*s ar termina1 @ une ma$9ine distante de mani*re @ ou:oir e>$uter
des $ommandes @ distan$e. 3es donnes $9an/es ar Te1net ne sont
as $9iffres= $e %ui si/nifie %u#un indi:idu est sus$eti;1e d#$outer 1e
rseau et de :o1er 1es :entue1s mots de asse $ir$u1ant en $1air. 3es
administrateurs 1ui rf*rent /nra1ement 1e roto$o1e SSH= rut sIr
et fournissant 1es m?mes fon$tionna1its %ue Te1net.
6.2. e !iltrage dynamique
3e fi1tra/e sim1e de a%uets ne s#atta$9e %u#@ e>aminer 1es a%uets IP
indendamment 1es uns des autres= $e %ui $orresond au ni:eau ' du
mod*1e OSI. Or= 1a 1uart des $onne>ions reosent sur 1e roto$o1e TCP=
%ui /*re 1a notion de session= afin d#assurer 1e ;on drou1ement des
$9an/es. D#autre art= de nom;reu> ser:i$es ,1e (TP ar e>em1e-
initient une $onne>ion sur un ort stati%ue= mais ou:rent d)nami%uement
,$#est-@-dire de mani*re a1atoire- un ort afin d#ta;1ir une session entre
1a ma$9ine faisant offi$e de ser:eur et 1a ma$9ine $1iente.
Ainsi= i1 est imossi;1e a:e$ un fi1tra/e sim1e de a%uets de r:oir 1es
orts @ 1aisser asser ou @ interdire. Pour ) remdier= 1e s)st*me de
filtra%e d&nami!ue de pa!uets est ;as sur 1#inse$tion des $ou$9es '
et + du mod*1e OSI= ermettant d#effe$tuer un sui:i des transa$tions
entre 1e $1ient et 1e ser:eur. 3e terme an/1o-sa>on est F stateful
inspection G ou F stateful packet filtering G= traduiseN F filtrage de
paquets avec tat G.
<n disositif are-feu de t)e F statefu1 inse$tion G est ainsi $aa;1e
d#assurer un sui:i des $9an/es= $#est-@-dire de tenir $omte de 1#tat des
an$iens a%uets our a1i%uer 1es r*/1es de fi1tra/e. De $ette mani*re= @
artir du moment oD une ma$9ine autorise initie une $onne>ion @ une
ma$9ine situe de 1#autre $Jt du are-feuB 1#ensem;1e des a%uets
transitant dans 1e $adre de $ette $onne>ion seront im1i$itement a$$ets
ar 1e are-feu.
Si 1e fi1tra/e d)nami%ue est 1us erformant %ue 1e fi1tra/e de a%uets
;asi%ue= i1 ne rot*/e as our autant de 1#e>1oitation des fai11es
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 4 - 12
Pare-feu
a1i$ati:es= 1ies au> :u1nra;i1its des a1i$ations. Or $es
:u1nra;i1its rersentent 1a art 1a 1us imortante des ris%ues en
terme de s$urit.
+.,e fi)tra*e app)icatif
3e fi1tra/e a1i$atif ermet de fi1trer 1es $ommuni$ations a1i$ation ar
a1i$ation. 3e fi1tra/e a1i$atif o*re don$ au ni:eau 2 ,$ou$9e
a1i$ation- du mod*1e OSI= $ontrairement au fi1tra/e de a%uets sim1e
,ni:eau +-. 3e fi1tra/e a1i$atif suose don$ une $onnaissan$e des
roto$o1es uti1iss ar $9a%ue a1i$ation.
3e fi1tra/e a1i$atif ermet= $omme son nom 1#indi%ue= de fi1trer 1es
$ommuni$ations a1i$ation ar a1i$ation. 3e fi1tra/e a1i$atif suose
don$ une ;onne $onnaissan$e des a1i$ations rsentes sur 1e rseau= et
notamment de 1a mani*re dont e11e stru$ture 1es donnes $9an/es
,orts= et$.-.
<n fire6a11 effe$tuant un fi1tra/e a1i$atif est ae1 /nra1ement
F assere11e a1i$ati:e G ,ou F ro>) G-= $ar i1 sert de re1ais entre deu>
rseau> en s#interosant et en effe$tuant une :a1idation fine du $ontenu
des a%uets $9an/s. 3e ro>) rersente don$ un intermdiaire entre
1es ma$9ines du rseau interne et 1e rseau e>terne= su;issant 1es
atta%ues @ 1eur 1a$e. De 1us= 1e fi1tra/e a1i$atif ermet 1a destru$tion
des en-t?tes r$dant 1e messa/e a1i$atif= $e %ui ermet de fournir un
ni:eau de s$urit su1mentaire.
I1 s#a/it d#un disositif erformant= assurant une ;onne rote$tion du
rseau= our eu %u#i1 soit $orre$tement administr. En $ontreartie= une
ana1)se fine des donnes a1i$ati:es re%uiert une /rande uissan$e de
$a1$u1 et se traduit don$ sou:ent ar un ra1entissement des
$ommuni$ations= $9a%ue a%uet de:ant ?tre finement ana1)s.
Par ai11eurs= 1e ro>) doit n$essairement ?tre en mesure d#interrter
une :aste /amme de roto$o1es et de $onnaEtre 1es fai11es affrentes our
?tre effi$a$e.
Enfin= un te1 s)st*me eut otentie11ement $omorter une :u1nra;i1it
dans 1a mesure oD i1 interr*te 1es re%u?tes %ui transitent ar son ;iais.
Ainsi= i1 est re$ommand de disso$ier 1e are-feu ,d)nami%ue ou non- du
ro>)= afin de 1imiter 1es ris%ues de $omromission.
-.,es )imites des fire.a))s
<n s)st*me are-feu n#offre ;ien :idemment as une s$urit a;so1ue=
;ien au $ontraire. 3es fire6a11s n#offrent une rote$tion %ue dans 1a
mesure oD 1#ensem;1e des $ommuni$ations :ers 1#e>trieur asse
s)stmati%uement ar 1eur intermdiaire et %u#i1s sont $orre$tement
$onfi/urs. Ainsi= 1es a$$*s au rseau e>trieur ar $ontournement du
fire6a11 sont autant de fai11es de s$urit. C#est notamment 1e $as des
$onne>ions effe$tues @ artir du rseau interne @ 1#aide d#un modem ou
de tout mo)en de $onne>ion $9aant au $ontrJ1e du are-feu.
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 5 - 12
Pare-feu
De 1a m?me mani*re= 1#introdu$tion de suorts de sto$Oa/e ro:enant
de 1#e>trieur sur des ma$9ines internes au rseau ou ;ien d#ordinateurs
orta;1es eut orter fortement rHudi$e @ 1a o1iti%ue de s$urit
/1o;a1e.
Enfin= afin de /arantir un ni:eau de rote$tion ma>ima1= i1 est n$essaire
d#administrer 1e are-feu et notamment de sur:ei11er son Hourna1
d#a$ti:it afin d#?tre en mesure de dte$ter 1es tentati:es d#intrusion et
1es anoma1ies. Par ai11eurs= i1 est re$ommand d#effe$tuer une :ei11e de
s$urit ,en s#a;onnant au> a1ertes de s$urit des CERT ar e>em1e-
afin de modifier 1e aramtra/e de son disositif en fon$tion de 1a
u;1i$ation des a1ertes.
3a mise en 1a$e d#un fire6a11 doit don$ se faire en a$$ord a:e$ une
:rita;1e o1iti%ue de s$urit.
/.012 $2one dmi)itarise'
".1. Notion de cloisonnement
3es s)t*mes are-feu ,fire6a11- ermettent de dfinir des r*/1es d#a$$*s
entre deu> rseau>. Nanmoins= dans 1a rati%ue= 1es entrerises ont
/nra1ement 1usieurs sous-rseau> a:e$ des o1iti%ues de s$urit
diffrentes. C#est 1a raison our 1a%ue11e i1 est n$essaire de mettre en
1a$e des ar$9ite$tures de s)st*mes are-feu> ermettant d#iso1er 1es
diffrents rseau> de 1#entrerise A on ar1e ainsi de F cloisonnement
des r"seau' G ,1e terme isolation est arfois /a1ement uti1is-.
".2. Arc#itecture $%&
3ors%ue $ertaines ma$9ines du rseau interne ont ;esoin d#?tre
a$$essi;1es de 1#e>trieur ,ser:eur 6e;= un ser:eur de messa/erie= un
ser:eur (TP u;1i$= et$.-= i1 est sou:ent n$essaire de $rer une nou:e11e
interfa$e :ers un rseau @ art= a$$essi;1e aussi ;ien du rseau interne
%ue de 1#e>trieur= sans our autant ris%uer de $omromettre 1a s$urit
de 1#entrerise. On ar1e ainsi de F (one d"militaris" G ,note D)*
our DeMilitaried !one- our dsi/ner $ette None iso1e 9;er/eant des
a1i$ations mises @ disosition du u;1i$. 3a DM7 fait ainsi offi$e de
F None tamon G entre 1e rseau @ rot/er et 1e rseau 9osti1e.
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 18 - 12
Pare-feu
3es ser:eurs situs dans 1a DM7 sont ae1s F +astions G en raison de
1eur osition d#a:ant oste dans 1e rseau de 1#entrerise.
3a o1iti%ue de s$urit mise en oeu:re sur 1a DM7 est /nra1ement 1a
sui:ante A
Traffi$ du rseau e>terne :ers 1a DM7 autoris B
Traffi$ du rseau e>terne :ers 1e rseau interne interdit B
Traffi$ du rseau interne :ers 1a DM7 autoris B
Traffi$ du rseau interne :ers 1e rseau e>terne autoris B
Traffi$ de 1a DM7 :ers 1e rseau interne interdit B
Traffi$ de 1a DM7 :ers 1e rseau e>terne refus.
3a DM7 oss*de don$ un ni:eau de s$urit intermdiaire= mais son
ni:eau de s$urisation n#est as suffisant our ) sto$Oer des donnes
$riti%ues our 1#entrerise.
I1 est @ noter %u#i1 est ossi;1e de mettre en 1a$e des DM7 en interne
afin de $1oisonner 1e rseau interne se1on diffrents ni:eau> de rote$tion
et ainsi :iter 1es intrusions :enant de 1#intrieur.
13. 4mp)acement du pare-feu
I1 est aussi essentie1 de sa:oir oD 1a$er un are-feu Internet %ue de
sa:oir $onfi/urer 1es r*/1es du fi1tra/e des a%uets.
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 11 - 12
Pare-feu
Figure 3
3a fi/ure + i11ustre 1#em1a$ement standard du are-feu. <n routeur de
fronti*re $onne$te 1e rseau 1o$a1 de 1#entrerise @ son (AI ou @ Internet.
3#interfa$e de rseau 1o$a1 du routeur de fronti*re ointe :ers un rseau
$onPu our 1#a$$*s u;1i$. Ce rseau $ontient des ser:eurs NOS %ui
ermettent d#a$$der au Ke;= @ 1a messa/erie= ainsi %u#@ d#autres
ser:i$es de 1#Internet u;1i$. Ce rseau u;1i$ est arfois ae1 rseau
1o$a1 sa$rifi. Ce %ua1ifi$atif est dI au fait %ue 1es demandes u;1i%ues
sont autorises sur 1e rseau. I1 est arfois nomm /a1ement None DM7
,None dmi1itarise-. 3a DM7 fon$tionne $omme une None de mmoire
tamon. 3e routeur de fronti*re doit $omorter un fi1tre IP %ui rot*/era
1e s)st*me $ontre 1es fai11es :identes. Par e>em1e= 1e roto$o1e de
/estion SNMP ne doit as ?tre autoris en entre sur 1e rseau. 3es
ser:eurs NOS de 1a DM7 doi:ent ?tre $onfi/urs ri/oureusement. 3e
routeur de fronti*re ne doit autoriser %ue $ertains t)es de trafi$
arti$u1iers sur $es ser:eurs. Dans 1a fi/ure += 1e routeur de fronti*re ne
doit autoriser %ue 1es trafi$s HTTP= (TP= messa/erie et DNS.
<ne so1ution de are-feu ddi= du t)e PIQ ,Cis$o Pri:ate Internet
eQ$9an/e-= ta;1it une $onne>ion entre 1a DM7 et 1e rseau 1o$a1 rot/.
Ce disositif offre des fon$tions su1mentaires de fi1tra/e IP= fi1tra/e
d)nami%ue= ser:i$es ro>) etRou NAT.
3a DM7 est $onPue our rot/er 1e rseau interne. 3#e>em1e i11ustr @ 1a
fi/ure + rsente une $onfi/uration ;asi%ue. Sous sereN sou:ent amen @
ren$ontrer des :ariations $om1e>es des 1ments rsents dans $ette
se$tion.
11. 5ti)isation d6un pare-feu
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 1! - 12
Pare-feu
<n fire6a11 est un 1o/i$ie1 $ontrJ1ant 1es $9an/es entre un rseau ,1o$a1
ou Internet- et :otre ordinateur. 3e are-feu e>amine 1es donnes
entrantes et 1es donnes sortantes de 1#ordinateur.
11.1. 1.a es donn'es entrantes
3e $ontrJ1e des donnes entrantes est uti1is rin$ia1ement our 1a
$onne>ion au rseau Internet A en effet= 1ors%ue :ous ?tes $onne$ts= un
/rand nom;re d#autres ordinateurs :iennent interro/er 1e :Jtre our :oir
si :otre ordinateur TrondT. 3e are-feu rot*/e :otre ordinateur en
/ardant 1es Tortes d#a$$*sT ae1es 1es orts. Dans 1a 1uart des $as=
1e fire6a11 ;1o%ue automati%uement $es orts afin d#:iter %u#un intrus
n*tre dans :otre ordinateur.
11.2. es donn'es sortantes
3e $ontrJ1e des donnes sortantes ne eut s#effe$tuer automati%uement A
$#est @ 1#uti1isateur de demander au fire6a11 de fermer ou d#ou:rir 1es
ortes d#a$$*s. 3es donnes sortantes sont en fait 1es ro/rammes %ui
demandent une $onne>ion @ Internet= soit our :rifier s#i1 e>iste des
mises @ Hour= soit our transmettre des statisti%ues= soit our fon$tionner
,On ima/ine ma1 %u#un na:i/ateur Internet $omme Internet E>1orer ou
MoNi11a (irefo> :ous ermette de na:i/uer sur 1e Ke; si :ous 1ui refuseN
1#a$$*s @ 1#Internet- et$ ...
Certains ro/rammes eu:ent ?tre %uis de s)6ares UU Et eu:ent
ainsi transmettre :os informations ersonne11es au> sites 6e;. Par
e>em1e= 1e 1e$teur Kindo6s Media 5 transmettait des informations @
Mi$rosoft sur 1e nom des DSD %ue 1es uti1isateurs :isionnaient. <n :irus
ou un $9e:a1 de troie disosant de son rore e>$uta;1e est a1ors
fa$i1ement identifia;1e our 1#uti1isateur. I1 est don$ imratif de ne as
n/1i/er 1es donnes sortantes U
11.3. (omment utiliser un !ire)all *
11.3.1. ,es a)ertes
3ors%u#un $9an/e se rare= 1e fire6a11 informe 1#uti1isateur du t)e de
donnes ,sortantesRentrantes-= de 1#adresse IP et du ort $on$erns ,sous
1a forme IP.IP.IP.IPAPORT-= 1e nom de domaine ,1e TsiteT- %ui en:oie 1a
demande ,si disoni;1e-= et= dans 1e $as du $ontrJ1e de ro/ramme= 1e
fire6a11 demande @ 1#uti1isateur s#i1 faut ;1o%uer ou ou:rir 1es orts. Pour
1es donnes entrantes= i1 est ossi;1e de dsa$ti:er 1es a1ertes dans 1a
mesure oD 1e fire6a11 n#attend as de ronse de 1#uti1isateur et ;1o%ue
automati%uement 1es orts.
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 1' - 12
Pare-feu
11.3.2. 2.7 8omment saoir s'i) faut ourir ou 7)oquer )es
ports ? $8ontr9)e des pro*rammes'
Tout d'abord, il aut i!p"rati#e!ent $a#oir identi%er le pro&ra!!e 'ui tente de $e connecter (
)nternet, dans 1e $as $ontraire= i1 :aut mieu> ;1o%uer 1#a$$*s
temorairement et $9er$9er a:e$ un moteur de re$9er$9e @ %uoi
$orresond 1#e>$uta;1e.
Si 1e ro/ramme fon$tionne uni%uement /rC$e @ Internet ,na:i/ateur=
anti:irus= modu1e de $onne>ion= 1o/i$ie1 de messa/erie instantane ...-
:ous ou:eN a1ors ou:rir 1es orts ,I1 est ossi;1e d#attri;uer un $9oi> ar
dfaut= afin d#:iter de touHours $1i%uer sur T;1o%uerT ou TautoriserT-. Si 1e
ro/ramme n#a au$une raison de se $onne$ter @ Internet ,@ moins de
:ous r:enir d#une nou:e11e :ersion mise @ Hour- ,Traitement de te>te=
1o/i$ie1 de /ra:ure= et autres 1o/i$ie1s ne fon$tionnant as /rC$e @
Internet-= i1 est a1ors $onsei11 de ;1o%uer 1es orts. Si :ous ne $onnaisseN
as 1e 1o/i$ie1= ;1o%ueN 1es orts= et rensei/neN-:ous sur 1e forum.
11.3.3. 8omment uti)iser mon fire.a)) aec p)usieurs
conne!ions rseau ?
3ors%ue :ous uti1iseN un rseau 1o$a1= 1e fire6a11 :a /a1ement fi1trer $e
rseau. Pour ) remdier= i1 suffit d#enre/istrer 1es adresses IP des
ordinateurs du rseau 1o$a1 ou 1e nom de 1a $arte rseau en tant %ue
#7one sIre#= ou d#autoriser toute $onne>ion :ers $ette adresse IP. Sous
ou:eN /a1ement 1a$er des IP ou $artes rseau dans une #7one
dan/ereuse# B dfinisseN ensuite un ni:eau de rote$tion 1e: our 1e
rseau Internet= mo)en ou dsa$ti: our 1a None sIre ,1e ni:eau Mo)en
est $onsei11= dsa$ti:eN 1e fire6a11 uni%uement si :ous ren$ontreN des
ro;1*me a:e$ un ni:eau de rote$tion mo)en- et TM1o%uer toutT our 1a
None dan/ereuse.
Sotre are-feu est maintenant r?t @ 1#uti1isation U
11.3.4. 5n fire.a)) est-i) comp)iqu : uti)iser ?
On ne eut as romettre %ue tout :a se faire en un $1in d#oei1. Tout
d#a;ord= tC$9eN de $9oisir un are-feu sim1e d#uti1isation= 1utJt %ue de
$9oisir un are-feu $om1et our 1e%ue1 i1 nous faudra nous-m?me dfinir
1es r*/1es de fi1tra/e. <n fire6a11 $omme 7oneA1arm :ous a:ertira 1a
remi*re fois %u#une intrusion a t dte$te= :ous aureN sim1ement @
1ui demander de ne 1us affi$9er 1es a1ertes our %u#i1 :ous 1aisse
tran%ui11e. Par $ontre= 1es a1ertes our 1es $onne>ions sortantes ,our
autoriser 1es ro/rammes @ se $onne$ter @ Internet- resteront affi$9es.
Mais i1 est 9eureusement ossi;1e de demander au 1o/i$ie1 d#enre/istrer
1es aram*tres $9oisis.
En rsum= ar*s 1#insta11ation d#un are-feu= i1 nous suffit de %ue1%ues
Hours d#uti1isation de 1a ma$9ine our 1ui e>1i%uer %ue1s ro/rammes
autoriser ou interdire d#a$$der @ Internet. Ensuite= i1 se fait dis$ret.
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 1+ - 12
Pare-feu
OFPPT @
Do$ument Mi11sime Pa/e
!'51080!'.do$ no:em;re 82 1. - 12