Vous êtes sur la page 1sur 21

Firewall, Pare-feux, Mur de feu

Amakou M’BATA, Olivier PERSENT


11 décembre 2006

Résumé
Nous allons étudier les firewalls (pare-feux ou mur de feux). Nous verrons ses fonctions, ses caractéristiques ainsi
que ses limites. Nous étudierons également les différents types de configuration et architectures possibles.
Le firewall nous permet de résoudre certains problèmes liés à la sécurité, notamment lorsqu'on est connecté à internet.
Ce système a pour but de protéger une machine, un réseau domestique ou professionnel des attaques venant d'une autre
machine distante ou de l'extérieur (souvent Internet), en gérant le trafic.
Suivant les types de firewall ou de leurs configurations, le " filtrage " peut être plus ou moins sévère.

Mots-clés : firewall, pare-feux, réseau local, sécurité, protection

Table des Matières


1 INTRODUCTION.....................................................................................................................................................2
2 COMMENT MARCHE UN FIREWALL ? ..............................................................................................................2
2.1 LIEU DE SURVEILLANCE .............................................................................................................................................................. 2
2.2 LIEU DE MISE EN PLACE DU NAT .............................................................................................................................................. 3
3 LES DIFFERENTS TYPES DE PARE-FEU...........................................................................................................3
3.1 LES PARE-FEUX BRIDGE............................................................................................................................................................... 4
3.2 LES PARE-FEUX LOGICIELS.......................................................................................................................................................... 4
3.3 LES PARE-FEUX MATERIELS......................................................................................................................................................... 5
3.3.1 Avantages .................................................................................................................................................................... 5
3.3.2 Inconvénients................................................................................................................................................................. 5
4 LES DIFFERENTS TYPES DE FILTRAGE...........................................................................................................5
4.1 LES FIREWALLS A FILTRAGE DE PAQUETS ................................................................................................................................. 5
4.2 LES FIREWALLS PROXY ................................................................................................................................................................ 6
4.3 LES PROXY « SOCKS » ................................................................................................................................................................ 6
5 LA PROTECTION CONTRE LES MENACES INTERNES................................................................................6
5.1 LA PROTECTION CONTRE LES CONNEXIONS NE PASSANT PAS PAR LE FIREWALL ............................................................... 7
5.2 LA PROTECTION CONTRE LES NOUVELLES MENACES ............................................................................................................. 7
5.3 LA PROTECTION CONTRE LES VIRUS .......................................................................................................................................... 7
6 ETUDE DE MARCHE ET EXEMPLES DE FIREWALLS ...................................................................................7
6.1 LES FIREWALLS MATERIELS ......................................................................................................................................................... 7
6.2 LES FIREWALLS LOGICIELS PAYANTS ....................................................................................................................................... 15
6.3 LES PARE-FEUX LOGICIELS GRATUITS (WWW.01NET.COM)................................................................................................... 16
6.4 COMPARATIF DES DIFFERENTS PARE-FEUX LOGICIELS ........................................................................................................ 19
7 CONCLUSION ........................................................................................................................................................ 21
8 REFERENCES BIBLIOGRAPHIQUES................................................................................................................ 21
1 Introduction
La technologie des pare-feu est apparue dans les années 80 pour palier à un nouveau problème de sécurité lié à l’émergence de
l’Internet. En 1988, un employé de NASA Ames Research Center en Californie a envoyé un mémo par courrier électronique à son
collègue qui a pu lire « Nous sommes actuellement attaqué par un virus Internet appelé Morris Worm ». Ce virus était la première
attaque à grande échelle sur Internet. La communauté d’Internet a collaboré à la recherche de nouveaux moyens de protection
contre ces nouvelles menaces. A la suite de cela nous avons pu voire apparaître de nouveaux produits de protection contre ces
attaques comme les anti-virus et les pare-feux.

Un pare-feu est un élément du réseau informatique, logiciel et/ou matériel, qui a pour fonction de sécuriser un réseau
domestique ou professionnel en définissant les types de communication autorisés ou interdits.

L'origine du terme pare-feu se trouve au théâtre. Le pare-feu ou coupe-feu est un mécanisme qui permet, une fois déclenché,
d'éviter au feu de se propager de la salle vers la scène. En informatique un pare-feu est donc une allégorie d'une porte empêchant
les éléments non désirés de pénétrer un réseau. Le terme technique anglophone est : « firewall ». Dans un contexte OTAN, un pare-
feu est appelé Périphérique de protection en bordure (en anglais : Border Protection Device, ou BPD).

Peu importe le domaine dans lequel on parle de pare-feu, la définition nous ramène toujours à quelque chose bloquant ou
empêchant autre chose de pénétrer librement quelque part.

2 Comment marche un firewall ?


Le principe de base de la sécurité d’un réseau, intranet, repose sur l’installation d’un ou plusieurs firewalls qui peuvent être
logiciels ou matériels. L'idée principale d’un firewall est la connexion du réseau interne avec l'Internet (ou un autre réseau local non
sûr) en un point, et une sécurisation extrême en ce point (Figure 1).

Fig. 1

Un firewall permet donc de délimiter les environnements publics et privés afin de protéger son réseau. On arrive à mieux gérer
les flux entrants et sortants et ainsi séparer son réseau intranet du réseau internet.

Un firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de

gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu.

Un pare-feu fonctionne sur des triplets (client/service/ condition). Ainsi, chaque « client » du firewall a accès à certains services
sous certaines conditions. Le pare-feu peut bloquer un trafic particulier, ou en laisser passer un autre. On peut donc protéger le
réseau d'intrusions non autorisées, tout en permettant aux employés un accès aux services Internet tels que l’e-mail, le web ou autre.
Dans la pratique, on peut configurer un firewall de manière à le rendre plus ou moins stricte.

2.1 Lieu de surveillance


Le firewall est l'endroit de prédilection permettant de mettre en place un système de surveillance et d'audit.
• Surveillance : Le firewall se doit de fournir le plus d'indications concernant des tentatives (réussies ou non) d'intrusions
non autorisées dans le réseau protégé; ceci afin de prendre au plus vite les mesures qui s'imposent.
• Audit : Le point unique de passage obligatoire qu'il représente permet d'étudier quels types de services sont
particulièrement demandés et de fournir des statistiques d'utilisation dans le but de réaliser la meilleure architecture de
réseau.

2.2 Lieu de mise en place du NAT


Le firewall est souvent l'endroit où l'on implémente un NAT (Network Address Translator). Ceci permet d'éviter l'obligation de
fournir une adresse IP officielle à chaque machine du réseau interne. A partir de ce point on en vient au concept de sécurité
périphérique.
En effet, la définition, par des systèmes firewalls, d’un périmètre de sécurité ou zone démilitarisée (DMZ) permet d’y isoler des
serveurs web ouverts au public. De sorte que les serveurs privés à l’organisation ne sont pas visibles ou atteignables depuis Internet.

Rappelons qu’un firewall ne suffit pas à assurer la sécurité d’un réseau mais fait partie d’un système de sécurité.

3 Les différents types de pare-feu


Un firewall a 2 objectifs contradictoires :
- Offrir un maximum de connectivité (c’est le but des réseaux)
- Limiter les accès (pour la sécurité)

Pour assurer ce rôle de sécurité, un firewall implémente trois fonctions basiques : le filtrage, le relais et le masquage. En plus de
cela, il dispose de mécanisme d’authentification et de d’identification, ainsi que des processus d’audit et de surveillance.

Rapport de TER de Amakou M’BATA, Olivier PERSENT 3


Fig.2

On va distinguer par la suite deux différents types de firewall :


- les firewalls bridge
- les firewalls logiciels
- les firewalls matériels

3.1 Les pare-feux bridge


Ces derniers sont assez répandus. Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus, d'où leur
appellation de firewall. Ils ne disposent pas d'adresse IP sur leurs interfaces, et ne font que transférer les paquets d'une interface a
une autre en leur appliquant les règles prédéfinies. Cette absence d’adresse IP est particulièrement utile, car cela signifie que le
firewall est indétectable sur le réseau. En effet, quand une requête ARP est émise sur le câble réseau, le firewall ne pourra pas
répondre. Ses adresses Mac ne circuleront jamais sur le réseau, et comme il ne fait que « transmettre » les paquets, il sera totalement
invisible sur le réseau. Cela rend impossible toute attaque dirigée directement contre le firewall, étant donné qu'aucun paquet ne sera
traité par ce dernier comme étant sa propre destination. Donc, la seule façon de le contourner est de passer à travers ses règles de
« drop ».

Ces firewalls se trouvent typiquement sur les Switchs.

3.2 Les pare-feux logiciels


Présents à la fois dans les serveurs et les machines, on peut les classer en plusieurs catégories :
• Les firewalls personnels
Ils sont pour la plupart commerciaux et ont pour but de sécuriser un ordinateur particulier. Souvent payants, ils
peuvent être contraignants et quelque fois très peu sécurisés. En effet, pour rester accessible à l'utilisateur final, ils
s'orientent plus vers la simplicité d'utilisation, et donc mettent de côté l’aspect technique.

Ces pare-feux ont plusieurs avantages : ils apportent une sécurité en bout de chaîne (au niveau de la machine
cliente), et sont pour la plupart assez facilement personnalisable.
Comme tous produits, ils ont aussi des inconvénients : ils sont assez facilement contournable par des pirates, et
compte tenue de leur grand nombre, un classement est impossible.

• Les firewalls plus « sûre »


Ils se trouvent généralement sous Linux, car ce Système d’Exploitation offre une sécurité réseau plus élevée et aussi un
contrôle plus précis. Ils ont généralement le même comportement que les firewalls matériels des routeurs, à la seule
différence qu’ils sont configurables à la main.

Rapport de TER de Amakou M’BATA, Olivier PERSENT 4


Le firewall le plus courant est « iptables », qui utilise directement le noyau Linux. Toutes les fonctionnalités des firewalls
de routeurs sont réalisables sur cette plateforme.

Il existe des distributions Linux permettant de transformer son ordinateur en pare-feu dédié et complet, que l’on
considèrera par la suite comme pare-feu matériel.
On peut citer par exemple : Smoothwall, IPCop et Endian Firewall, qui sont dérivés du package « Netfilter ».

Ces firewalls logiciels ont néanmoins une grande faille : ils n'utilisent pas la couche bas réseau. Pour récupérer des
paquets qui auraient été normalement « droppés », il suffit de passer outre le noyau (en utilisant une librairie particulière).
Néanmoins, cette faille signifie qu’on s’est déjà introduit sur l'ordinateur en question ; ce qui induit une intrusion dans le
réseau, où une prise de contrôle physique de l'ordinateur, donc qui est synonyme de faille.

3.3 Les pare-feux matériels


Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands constructeurs comme Cisco ou Nortel.
Intégrés directement dans la machine, ils font office de « boite noire », et ont une intégration parfaite avec le matériel. Leur
configuration est souvent relativement ardue, mais leur avantage est que leur interaction avec les autres fonctionnalités du routeur
est simplifiée de par leur présence sur le même équipement réseau. Souvent relativement peu flexibles en terme de configuration, ils
sont aussi peu vulnérables aux attaques, car présent dans la « boite noire » qu'est le routeur.
De plus, étant souvent très liés au matériel, l'accès à leur code est assez difficile, et le constructeur a eu toute latitude pour
produire des système de codes « signés » afin d'authentifier le logiciel (système RSA ou assimilés). Ce système n'est implanté que
dans les firewalls haut de gamme, car cela évite un remplacement du logiciel par un autre non produit par le fabricant, ou toute
modification de ce dernier, rendant ainsi le firewall très sûr.
Son administration est souvent plus aisée que les firewall bridges, les grandes marques de routeurs utilisant cet argument comme
argument de vente. Leur niveau de sécurité est de plus très bon, sauf découverte de faille éventuelle comme tout firewall.
Néanmoins, il faut savoir que l'on est totalement dépendant du constructeur du matériel pour cette mise à jour, ce qui peut être,
dans certains cas, assez contraignant.
Enfin, seules les spécificités prévues par le constructeur du matériel sont implémentées. Cette dépendance induit que si une
possibilité nous intéresse sur un firewall d'une autre marque, son utilisation est impossible. Il faut donc bien déterminer à l'avance
ses besoins et choisir le constructeur du routeur avec soin.

3.3.1 Avantages
Nous pouvons noter trois grands avantages à utiliser des pare-feux matériels. Dans un premier temps, ceux-ci sont intégrés au
matériel réseau, ce qui réduit grandement les coûts de maintenance. Deuxièmement, une configuration et une administration
relativement simple car souvent associé à des services web. Et pour finir, un pare-feu matériel offre toujours un bon niveau de
sécurité.

3.3.2 Inconvénients
Les principales difficultés des pare-feux matériels provient du faites qu’ils sont dépendant du constructeur pour les mises à jour
et souvent peu flexibles

4 Les différents types de filtrage

4.1 Les firewalls à filtrage de paquets


Ce type de firewall travaille sur la composition même des paquets réseaux (couche réseau du modèle OSI).Ils analysent les
paquets entrants/sortants suivant leur type, leurs adresses source et destination ainsi que les ports utilisés.

Travaillant directement sur la couche IP, ils sont très peu gourmands en mémoire. Il est à noter que s’ils sont totalement
transparents pour les utilisateurs il n'y a pas d'authentification possible des dits utilisateurs car seule l’adresse IP source est connue
du firewall. Selon la nature de l’analyse et des traitements effectués par un firewall, différents types de firewalls existent. Ils se
distinguent le plus souvent en fonction du niveau de filtrage des données auquel ils opèrent : niveau 3 (IP), niveau 4 (TCP, UDP)
ou niveau 7 (FTP, http, etc.) du modèle OSI.

Rapport de TER de Amakou M’BATA, Olivier PERSENT 5


Si on considère un firewall routeur, par exemple, ce dernier analyse chaque paquet, selon un ensemble de règles
déterminées qui constituent le filtre. Il analyse les informations contenues dans le paquet (adresses IP, numéros de ports TCP ou
UDP, nature du protocole véhiculé dans le paquet, etc.). A l’issue de cette analyse, le paquet est soit transmis, soit détruit. La
performance et la souplesse (sa capacité à être déployés dans presque tout type d’infrastructure) sont les principaux avantages de ce
type de firewall.

Néanmoins, la journalisation des événements reste limitée en fonction du niveau auquel s’opère le firewall. En plus, le blocage
des usages malintentionnés des applications est assez difficile voire impossible.
Il existe également un autre type de firewall dit « stateful firewall ». Ce dernier permet de filtrer les paquets en se basant sur la
couche transport du modèle OSI (filtrage au niveau des ports de communication TCP-UDP). Il maintient une table d’état des
connexions correspondantes aux ports logiques du niveau 4 du modèle OSI et surtout les ports dont le numéro est supérieur à
1024 (les ports utilisés par les applications de l’utilisateur). Ce type de firewall offre les mêmes avantages que ceux offerts par le
firewall routeur avec le plus souvent une performance inférieure.
En s’interfaçant entre les systèmes du réseau d’une organisation et Internet, un firewall permet de cloisonner le réseau et
éventuellement de le masquer aux utilisateurs d’Internet. Cloisonner un réseau revient à le concevoir de telle manière que l’on
puisse en fonction d’impératifs de sécurité, séparer des systèmes et des environnements afin de mieux les contrôler. Le principe de
cloisonnement repose sur la segmentation du système d’information doit être rigoureux pour garantir la sécurité et la séparation
totale et filtrante des entités cloisonnées.

Le cloisonnement d’un réseau permet de constituer des environnements IP disjoints, en rendant physiquement indépendants les
accès des réseaux que l’on désire séparer. Cela permet d’interconnecter deux réseaux de niveaux de sécurité différents. Ainsi l’on
peut contrer les flux qui pourraient engendrer la compromission des systèmes et des données (modification, destruction, altération,
perte, fuite d’informations), l’atteinte aux critères d’intégrité, de disponibilité et aux performances (déni de service, détournement,
prise de contrôle à distance, etc.).
Ainsi par exemple dans la figure 8.2, toutes les demandes d’accès au réseau Y qui parviennent au firewall par un système du
réseau X, sont préalablement analysées et traitées avant d’être émises sur le réseau Y et inversement. Ce type de firewall possède
deux cartes réseau, généralement l’une pour le réseau de l’entreprise, l’autre pour le réseau Internet. La configuration du firewall est
telle que les données arrivant sur l’une des cartes ne sont pas transmises directement sur l’autre mais de manière sélective, selon des
critères de filtrages déterminés lors de sa configuration

4.2 Les firewalls Proxy


Les firewalls proxy (ou firewalls applicatifs) ont un mode de fonctionnement différent des firewalls à filtrage de paquets. Ils
masquent les ressources internes du réseau.
Chaque application passe alors par le firewall proxy et envoie sa requête non pas au serveur qu’elle désire atteindre mais au
firewall qui la retransmettra. Inversement, les communications émises depuis Internet à destination des systèmes internes ne les
atteignent pas directement mais sont préalablement traitées par le firewall.
Il est à noter que ces firewalls sont des gros consommateurs de ressources informatiques.

4.3 Les Proxy « SOCKS »


Ce type de firewall ne travaille pas sur les flux applicatifs mais rétablisse, à chaque connexion, la connexion vers l'extérieur. Ce
type de firewall est peu utilisé désormais. Il est à noter que ces firewalls ne réalisent pas d’authentification des utilisateurs même s’ils
ont la capacité d’enregistrer les coordonnées de l'utilisateur qui a demandé la connexion.

5 La protection contre les menaces internes

S’il est vrai qu’un firewall peut permettre de protéger un réseau local d’une attaque externe, les utilisateurs internes ayant accès à
une ressource non protégée peuvent voler ou détruire des données sans jamais approcher du firewall.
Il est donc conseillé de protéger toutes les ressources internes sensibles avec un firewall.

Rapport de TER de Amakou M’BATA, Olivier PERSENT 6


5.1 La protection contre les connexions ne passant pas par le firewall
Un firewall ne peut contrôler que le trafic qui passe par lui : il ne peut rien faire contre les connexions qui lui échappe !
Malheureusement, il est fréquent de constater que des utilisateurs ou des administrateurs mettent en place leur propres « entrées de
service » à l’intérieur du réseau (mise en place de modem activés en réception par exemple).
Ceci constitue une faille dans la protection d’un réseau, et ces connexions ne sont pas contrôlées par le firewall.

5.2 La protection contre les nouvelles menaces


Un firewall est destiné à protéger le réseau de l’entreprise contre des menaces connues. S’il est bien conçu, il peut également
protéger contre de nouvelles menaces (en interdisant par exemple tous les services sauf ceux considérés surs). Aucun firewall ne
peut cependant défendre un site contre toutes les nouvelles menaces qui apparaissent. Les agresseurs découvrent régulièrement de
nouvelles manières d’attaquer.
La mise en place d’un firewall doit impérativement s’accompagner d’une politique de mise à jour régulière !

5.3 La protection contre les virus


Un firewall ne joue pas le rôle d’un anti-virus.
L’examen des flux traversant un firewall s’effectue sur les adresses source et destination ainsi que des numéros de port mais pas
sur le détail des données.
Même avec un filtrage de paquets sophistiqué, la protection contre les virus à l’aide d’un firewall est difficilement réalisable : le
nombre de virus existants ainsi que le nombre de façons de se camoufler au sein des données est trop important.

La détection d’un virus par examens des paquets transitant au travers d’un firewall demanderait :
• de savoir que le paquet fait partie d’un programme exécutable ;
• de savoir à quoi le programme non infesté devrait ressembler ;
• de savoir que le changement est du à un virus.

Cette détection étant quasiment impossible à réaliser (et non réalisé à ce jour), la mise en place d’un firewall doit s’accompagner
de la mise en place d’anti-virus spécifiques à chacun des flux traversant le firewall et pouvant servir de support à virus.

Actuellement, de plus en plus de développeurs, associent leur anti-virus à leur firewall, comme par exemple « Bitdefender 10 »
ou « Windows OneCare » et bien d’autres encore.

6 Etude de marché et exemples de firewalls

6.1 Les firewalls matériels

●WAN Ports: 1 autosensing 10BASE-T/100BASE-


TX with auto MDI/X
●LAN Ports: 4 autosensing 10BASE-T/100BASE-TX
with auto MDI/X
●Protocols supported: Dynamic IP addressing, static IP
addressing, DHCP Server, NAT/PAT (with TCP and
3com : UDP), PPPoE, PAP, CHAP, UDP, IP, TCP, IPCP,
PPTP, and SNTP
- 3Com® OfficeConnect® VPN Firewall ●Security: Stateful packet inspection firewall, pre-configured
(référence 3CR870-95) Prix ~ 300€ filters for commonly used protocols, user-configurable filters for
UDP and TCP packets with specific port numbers
●VPN support: VPN initiation, termination and pass-
through for IPSec VPN termination and pass-through for
PPTP VPN termination for L2TP/IPSec.

Rapport de TER de Amakou M’BATA, Olivier PERSENT 7


●Routing: Static routing, RIP, DynDNS support, traffic - 3Com® OfficeConnect® Secure Router
shaping (référence 3CR860-95) Prix ~120€
●Web Filtering: Static web filtering

- 3Com® OfficeConnect® Cable/DSL


Router (référence 3CR858-91) Prix ~ 60€

●Ports LAN: 4 10BASE-T/100BASE-TX auto-


sensing
●Ports WAN: 1 port 10BASE-T/100BASE-TX auto-
●LAN ports: 4 autosensing 10BASE-T/100BASE-TX sensing
●WAN ports: 1 autosensing 10BASE-T/100BASE- ●Sécurité: Firewall Stateful Packet Inspection, filtres
TX préconfigurés pour les protocoles courants, filtres configurables
●Security: Hacker pattern detection firewall, virtual DMZ, pour les paquets UDP et TCP (avec affectation de ports
virtual-server capability, VPN pass-through spécifiques), serveur virtuel, zone DMZ virtuelle
●Protocols supported: PPPoE, PPTP, IP Routing, ●Support des VPN: Initiation, terminaison et pass-through
RIP1/2, NAT, PAT, PAP, CHAP, MS CHAP, pour VPN IPSec. Terminaison et passthrough VPN pour
UDP, TCP, IPCP, DHCP Server, and SNTP PPTP ; compatible MPPE avec clés de sessions sur 40 et
●Management: Web-based administrative interface permits 128 bits ; compatible avec les plans et standards de
remote management chiffrement IPSec, y compris IKE (Internet Key Exchange),
HAM (Hybrid Authentication Mode), ISAKMP/Oakley
- 3Com® OfficeConnect® ADSL Wireless DES et 3DES, plus authentification par clé secrète partagée
11g Firewall Router (référence ●Protocoles supportés: Adressage IP dynamique, adressage
3CRWDR100A-72) Prix ~ 80€ IP statique, serveur DHCP, PPPoE, PAP, CHAP,
UDP, IP, TCP, IPCP, PPTP, SNTP, NAT/PAT
(TCP et UDP)

Cisco :
●Nombre d'utilisateurs: Jusqu'à 253 utilisateurs - Cisco PIX Firewall 501 Prix ~ 380€
concurrents (128 utilisateurs sans fil)
●Ports: LAN: 4 ports 10/100BASE TX auto-sensing
(RJ-45) ; WAN: 1 port RJ-11
●Bande de fréquences utilisée: 2,4 - 2,4835 GHz
●Technologie sans fil: OFDM (Orthogonal Frequency
Division Multiplexing), DSSS (Direct Sequence Spread
Spectrum)
●Protocole d'accès: CSMA/CA
●Protocoles IP: Adressages IP dynamique et statique,
serveur DHCP, NAT/PAT (TCP et UDP),
PPTP/PPPoE, CHAP, IPCP, SNTP
●Sécurité: Firewall avec détection des routines de piratage
(Hacker Pattern Detection), consignation des événements, ●Processeur: 133 Mhz
désactivation de la diffusion du SSID, filtrage par URL ou ●RAM (MB): 16 Mo
mots clés, filtrage des adresses MAC, chiffrement WPA sur ●Mémoire Flash: 8 Mo
256 bits, chiffrement WEP par clé partagée sur 40/64 et ●Emplacements PCI: Aucun
128 bits, pass-through VPN (PPTP, L2TP, IPSec) ●Interfaces fixes (matérielles): Commutateur 10/100 à 4
●Routage: Statique, RIP v1 & v2 ports (internes), un port Ethernet 10Base-T (externe)
●Caractéristiques de la passerelle: Serveur DHCP, support ●Nombre maximal d'interfaces (matérielles et virtuelles) :
d'applications, support des serveurs virtuels, support des Commutateur 10/100 à 4 ports (internes), un port
zones DMZ virtuelles, proxy DNS dynamique, support Ethernet 10Base-T (externe)
Plug-and-Play ●Option carte VAC+ (VPN Accelerator Card+): Non
●Support de reprise: Non
●Dimensions: Ordinateur de bureau

Rapport de TER de Amakou M’BATA, Olivier PERSENT 8


- Cisco PIX Firewall 506E Prix ~ 780€ ●Nombre maximal d'interfaces (matérielles et virtuelles) :
Huit ports FE 10/100 ou GE ou 10 VLAN
●Option carte VAC+ (VPN Accelerator Card+): Oui,
intégrée sur certains modèles
●Support de reprise: Oui, sur les modèles UR/FO
seulement
●Dimensions: 2 RU

●Processeur: 300 Mhz - Cisco PIX Firewall 535 Prix ~ 20 000€


●RAM (MB): 32 Mo
●Mémoire Flash: 8 Mo
●Emplacements PCI: Aucun
●Interfaces fixes (matérielles): Deux ports Ethernet 10Base-
T
●Nombre maximal d'interfaces (matérielles et virtuelles) :
Deux ports Ethernet 10Base-T
●Option carte VAC+ (VPN Accelerator Card+): Non
●Support de reprise: Non
●Dimensions: Ordinateur de bureau
●Processeur: 1,0 Ghz
- Cisco PIX Firewall 515E Prix ~ 5 000€ ●RAM (MB): 512 ou 1 Go
●Mémoire Flash: 16 Mo
●Emplacements PCI: 9
●Interfaces fixes (matérielles): Aucune
●Nombre maximal d'interfaces (matérielles et virtuelles) :
Dix ports FE 10/100 ou GE ou 24 VLAN
●Option carte VAC+ (VPN Accelerator Card+): Oui,
intégrée sur certains modèles
●Support de reprise: Oui, sur les modèles UR/FO
seulement
●Dimensions: 3 RU
●Processeur: 433 Mhz
●RAM (MB): 32 ou 64 Mo - Cisco 1700 Série de routeur avec firewall
●Mémoire Flash: 16 Mo intégré Prix ~ 800 – 3 000€
●Emplacements PCI: 2
●Interfaces fixes (matérielles): Deux ports Fast Ethernet
10/100
●Nombre maximal d'interfaces (matérielles et virtuelles) :
Six ports Fast Ethernet (FE) 10/100 ou 8 VLAN
●Option carte VAC+ (VPN Accelerator Card+): Oui,
intégrée sur certains modèles
●Support de reprise: Oui, sur les modèles UR/FO
seulement
- Cisco 2600 Série de routeur avec firewall
●Dimensions: 1 unité de rack (RU)
intégré Prix ~ 600 – 4 000€
- Cisco PIX Firewall 525 Prix ~ 8 500€

- Cisco 3600 Série de routeur avec firewall


intégré Prix ~ 300 – 2 000€

●Processeur: 600 Mhz


●RAM (MB): 128 ou 256 Mo
●Mémoire Flash: 16 Mo
●Emplacements PCI: 3
●Interfaces fixes (matérielles): Deux ports Fast Ethernet
10/100
Rapport de TER de Amakou M’BATA, Olivier PERSENT 9
- Cisco 7000 Série de routeur avec firewall - DFL-200 (Pare-feu VPN pour TPE et
intégré Prix ~ 10 000 – 20 000€ SOHO) Prix ~ 220€

●Port DMZ pour connexion aux serveurs au contact


d'Internet
●1 port 10/100BASE-TX pour connexion modem
DSL/câble
D-Link : ●4 ports de commutation 10/100BASE-TX intégrés
Port console (RS-232)
●Jusqu'à 80 tunnels VPN IPSec (cryptage DES, 3DES
- DFL-1600 (Firewall VPN NETDEFEND
ou AES)
1600) Prix ~ 2 100€
●Modes client Aggressive/Main pour VPN
●Authentification des utilisateurs du VPN à l'aide d'un
serveur RADIUS ou d'une base de données interne (jusqu'à
50 utilisateurs)
●Débit : 50 Mbit/s (pare-feu), 10 Mbit/s (3DES)
●Inspection dynamique des paquets et prévention des
attaques de déni de service
●Filtres de contenu (blocage d'URL en fonction des mots-
clés, blocage de Java/ActiveX/cookie/proxy)
●Intégration de Microsoft Active Directory
Configuration Web et surveillance en temps réel
●MIB intégrées pour l'administration SNMP
●Firewall puissant et économique destiné aux moyennes
entreprises ou aux groupes de travail - DFL-2500 (Firewall VPN NETDEFEND
●Jusqu'à 300 utilisateurs réseau 2500) Prix ~ 4 000€
●6 ports Gigabit configurables par l'utilisateur
●Sécurité proactive du réseau assurée par le mécanisme
ZoneDefense
●Débit du firewall allant jusqu'à 320 Mbit/s (texte clair)
●Performances VPN allant jusqu'à 120 Mbit/s
(3DES/AES)
●Jusqu'à 1 200 tunnels VPN dédiés
●Gestion de la bande passante du trafic avec mise en forme
basée sur des règles
●Haute disponibilité (HA)
●Acheminement en fonction de règles (PBR)
●Protocole d'acheminement dynamique OSPF
●Connexions réseaux : 8 ports Gigabit configurables
●VLAN 802.1Q
●Fonction de tolérance de panne double WAN
●PPPoE/NAT/PAT/mode transparence
●Balance de charge du trafic sortant
●Application Layer Gateway (ALG)
●Mode client principal/agressif pour le VPN
●Détection des intrusions (IDS)
●VPN passthrough IPSec
●DES/3DES/AES/Blowfish/Twofish/CAST-128
●VPN tunneling IPSec
●Jusqu'à 400 000 sessions simultanées
●Protection firewall Stateful Packet Inspection (SPI)
●Capacité de gérer jusqu'à 2 500 règles
●Blocage des attaques de Denis de Service (DOS) et DDoS
●SNMP v1/v2c
●NAT (Network Address Translation)/NATP
●Configuration basée sur le Web
(Network Address Port Translation)
●NAT Application Level Gateway (ALG) supporté
●Fonction ALG H.323/SIP pour administration du trafic
VoIP

Rapport de TER de Amakou M’BATA, Olivier PERSENT 10


●Blocage des applications IM (messagerie instantanée) et ●Sécurité proactive du réseau assurée par le mécanisme
P2P ZoneDefense
●Supporte Serveur Virtuel, et balance de charge serveur ●Débit du firewall allant jusqu'à 120 Mbit/s (texte clair)
●Client/Serveur DHCP et contrôle parental ●Jusqu'à 300 tunnels VPN dédiés
●PPPoE supporté pour numérotation FAI ●Performances VPN allant jusqu'à 60 Mbit/s
●Filtrage du contenu, blocage par URL/domaine et contrôle (3DES/AES)
par mot clé ●Gestion de la bande passante du trafic avec mise en forme
●D-Link Switch Zone Defense basée sur des règles
●High Availability (connexion redondante avec un autre ●Haute disponibilité (HA), reprise du trafic WAN
DFL-2500) ●Acheminement en fonction de règles (PBR)
●Protocole SYSlog supporté ●Protocole d'acheminement dynamique OSPF
●VLAN 802.1Q
- DFL-700 (Pare-feu de sécurité réseau pour ●PPPoE/NAT/PAT/mode transparence
PME) Prix ~ 420€ ●Application Layer Gateway (ALG)
●Système de détection des intrusions (IDS) doté de plus de 1
500 schémas
●DES/3DES/AES/Blowfish/Twofish/CAST-128
●Jusqu'à 25 000 sessions simultanées
●Capacité de gérer jusqu'à 1 000 règles
●SNMP v1/v2c
●Configuration basée sur le Web

- DFL-M510 (Pare-feu pour la sécurité des


informations (ISG)) Prix ~ 760€

●1 port LAN 10/100Base-TX, 1 port DMZ 10/100


Base-TX, 1 port WAN 10/100 Base-TX pour connecter
un modem câble/DSL.
●PPTP, L2TP, VPN IPSec tunneling supportés.
●PPTP, L2TP, VPN IPSec pass-through supportés.
●Mode agressif/client principal pour VPN.
●Protection pare-feu SPI (Stateful Packet Inspection).
●Deni de Service (Dos) et blocage des attaques DDoS.
●Network Address Translation (NAT)/Network address
Port Translation.
●NAT Application Level Gateway (ALG) supportée. ●Pare-feu pour la sécurité des informations (ISG)
●Serveur/client DHCP et contrôle parental. ●1 port WAN 10/100Mbps
●Filtrage du contenu, blocage d'URL/de domaine et ●1 port LAN 10/100Mbps
contrôle de mot. ●Installation Plug-&-Play sans modifications sur le réseau
●Configuration via le Web et enregistrement en temps réel. existant
●Mode en ligne transparent, intégration facile aux autres
- DFL-800 (Firewall VPN NETDEFEND périphériques réseau
800) Prix ~ 560€ ●Assistant d’installation Java basé sur le web
●Gestion d’IM/d’applications P2P
●Prend en charge la plupart des MI/applications P2P
●Bloque les virus sur les IM/SPIM
●Empêche l’abus de MI/d’applications P2P

●Firewall puissant et économique destiné aux petites


entreprises ou aux groupes de travail
●Jusqu'à 150 utilisateurs réseau
●2 ports de réseau étendu 10/100 Mbits/s pour le partage
du volume du trafic
●7 ports de réseau local 10/100 Mbits/s
●Un port DMZ 10/100 Mbits/s
Rapport de TER de Amakou M’BATA, Olivier PERSENT 11
- F200 Prix ~ 2 700 – 4 900€

NETASQ :

- F25 Prix ~ 620€

●Perf. IPS-Firewall : 192 Mbits/s


●Perf. VPN : 32 Mbits/s (chiffrement AES)
●Nb. max. de connexions : 65000
●Nb. max. de tunnels VPN IPSec Gateway-Gateway :
●Perf. IPS-Firewall : 65 Mbit/s 1000
●Perf. VPN : 14 Mbits/s (chiffrement AES) ●Nb. max. de clients VPN SSL : Yes
●Nb. max. de connexions : 5000 ●Nb. max. de règles de filtrage : 2048
●Nb. max. de tunnels VPN IPSec Gateway-Gateway : ●Nb. max. d'interfaces routables : 4
100
●Nb. max. de règles de filtrage : 512 - F500 Prix ~ 8 000 – 10 000€
●Nb. max. d'interfaces routables : 5
●Switch 4 ports intégré : Oui

- F50 Prix ~ 1 100€

●Perf. IPS-Firewall : 450 Mbit/s


●Perf. VPN : 120 Mbits/s (chiffrement AES)
●Nb. max. de connexions : 200000
●Perf. IPS-Firewall : 100 Mbit/s ●Nb. max. de tunnels VPN IPSec Gateway-Gateway :
●Perf. VPN : 16 Mbits/s (chiffrement AES) 1000
●Nb. max. de connexions : 15000 ●Nb. max. de clients VPN SSL : 256
●Nb. max. de tunnels VPN IPSec Gateway-Gateway : ●Nb. max. de règles de filtrage : 4096
100 ●Nb. max. d'interfaces routables : 6
●Nb. max. de règles de filtrage : 512 ●Nb. max. d'interfaces Gigabit : 2
●Nb. max. d'interfaces routables : 3 ●Nb. max. d'interfaces Gigabit : 4
●Nb. max. de ports Ethernet : 3
- F800 Prix ~ 10 500 – 13 000€
- F60 Prix ~ 1 500€

●Perf. IPS-Firewall : 115 Mbit/s


●Perf. VPN : 18 Mbits/s (chiffrement AES) ●IPS-Firewall perf.: 800 Mbit/s
●Nb. max. de connexions : 15000 ●VPN perf.: 177 Mbits/s (chiffrement AES)
●Nb. max. de tunnels VPN IPSec Gateway-Gateway : ●Nb. max. de connexions : 400000
100 ●Nb. max. de tunnels VPN IPSec Gateway-Gateway :
●Nb. max. de règles de filtrage : 512 4000
●Nb. max. d'interfaces : 4 ●Nb. max. de clients VPN SSL : Oui
●Nb. max. d'interfaces Ethernet : 7 ●Nb. max. de règles de filtrage : 16384
●Nb. max. d'interfaces routables : 8
●Nb. max. d'interfaces Gigabit : 8

Rapport de TER de Amakou M’BATA, Olivier PERSENT 12


- F2000 Prix ~ 18 500€ ●Nb. max. de tunnels VPN IPSec Gateway-Gateway :
15000
●Nb. max. de clients VPN SSL : 1024
●Nb. max. de règles de filtrage : 16384
●Nb. max. d'interfaces routables : 24
●Nb. max. d'interfaces Gigabit : 24
●Support disques RAID Hot-Swap : Oui
●Alimentation redondante : Oui
●Support carte accélératrice : Oui
●Performances IPS-Firewall : 1,7 Gbit/s
●Performances VPN (chiffrement AES) : 197 Mbits/s
●Nb. max. de connexions : 800000
●Nb. max. de tunnels VPN IPSec Gateway-Gateway : ZyXEL :
3750
●Nb. max. de clients VPN SSL : Yes
●Nb. max. de règles de filtrage : 16384 - ZyWall P1 (Pare-feu matériel mobile)
●Nb. max. d'interfaces routables : 24 Prix ~ 120€
●Nb. de ports Gigabit : 12
●Nb. de ports Ethernet : 24
●Support disques RAID Hot-Swap : Oui
●Alimentation redondante : Oui
●Support carte accélératrice : Oui

- F2500 Prix ~ 29 700€

●Pare-feu matériel mobile


●1 tunnel VPN (seulement client)
●1 port LAN
●80 Mbps débit pare-feu

- ZyWALL 2 (Pare-feu pour bureaux à


domicile) Prix ~ 160€

●Performances IPS-Firewall : 2 Gbits/s


●Performances VPN (chiffrement AES) : 263 Mbits/s
●Nb. max. de connexions : 800000
●Nb. max. de tunnels VPN IPSec Gateway-Gateway : ●Pare-feu avec Virtual-Private-Network (IPSec)
3750 ●2,2 Mbps 3DES, 2 sessions VPN (max. 2 PCs)
●Nb. max. de clients VPN SSL : 512 ●Stateful Packet Inspection
●Nb. max. de règles de filtrage : 16384 ●Déni de service DoS
●Nb. max. d'interfaces routables : 24 ●Licence de filtrage de contenu Icard Silver
●Nb. d'interfaces Gigabit : 24 ●Switch 4 ports intégré (10/100 Mbps)
●Support disques RAID Hot-Swap : Oui
●Alimentation redondante : Oui - ZyWALL 5 (Pare-feu pour les petites
●Support carte accélératrice : Oui succursales et bureaux à domicile) Prix ~
350€
- F5500 Prix ~ 48 000€

●Pare-feu Stateful Packet Inspection


●10 tunnels IPSec VPN (DES/3DES/AES)
●authentification partenaire VPN avec certificat
●Perf. IPS-Firewall : 2,5 Gbit/s ●Switch 4 ports LAN/DMZ
●Perf. VPN : 332 Mbits/s (chiffrement AES) ●Slot pour carte à fonctions étendues
●Nb. max. de connexions : 1500000 ●Pare-feu transparent (mode bridge)
Rapport de TER de Amakou M’BATA, Olivier PERSENT 13
●Wireless ready (slot) - ZyWALL 1050 (Pare-feu pour entreprises.
●Gestion de la bande passante Stateful-Packet-Inspection-Firewall)
●Licence filtrage de contenu et Antispam Silver Prix ~ 4 000€
●Turbosuite silver

- ZyWALL 35 (Pare-feu SPI pour PME)


Prix ~ 600€

●Pare-feu Stateful Packet Inspection


●1000 tunnels IPSec VPN
●5 ports Gigabit
●Switch 4 ports DMZ
●Service IDP + Content Filtre (optionnel)
●Stateful Packet Inspection avec VPN
●Commutateur 4 ports LAN/DMZ - P-320W (Routeur pare-feu pour réseaux à
●Authentification des correspondants VPN par certificats domicile pour modems ADSL ou câble)
(PKI) Prix ~ 60€
●Administration à distance sécurisée (HTTPS/SSH)
●Fonctions back-up si la connexion Internet est coupée
●Répartition de charge
●Gestion de la bande passante
●Service de filtrage du contenu avec licence iCard CF Gold
●Service de filtrage AV/IDP avec Turbosuite Gold
●Service de filtrage du spam avec licence iCard Antispam
Gold

- ZyWALL 70 (Pare-feu pour PME, pare-feu


Stateful Packet Insp) Prix ~ 860€
●Point d'accès WLAN (802.11g / 54 Mbps)
●Pare-feu avec Stateful Packet Inspection
●Routeur avec VPN-pass-through
●Switch 4 ports
●OTIST "One Touch"-Security
●GUI Web polyglotte

- P-334 (Routeur pare-feu pour réseaux à


●Pare-feu pour un débit maximal de 100 Mbps domicile pour modems ADSL ou câble)
●Authentification individuelle Prix ~ 60€
●DMZ (zone démilitarisée), 4x10/100
●50 Mbps, 70 sessions VPN
●Stateful-Inspection / déni de service Dos
●Traffic-Redirect / Dial-Back-up
●Service de filtrage du contenu avec l'iCard Gold existant
●Gestion de la bande passante
●Support PKI
●HTTPS/SSH (Remote Mgmt.) ●Routeur pare-feu
●Switch 4 ports

Rapport de TER de Amakou M’BATA, Olivier PERSENT 14


6.2 Les firewalls logiciels payants
Kaspersky Internet Security 6 Prix ~ 70€

Kaspersky Internet Security est une solution complète


pour protéger un poste informatique des menaces
rencontrées sur le Web, qu’il s’agisse de virus, de spam,
d’attaques pirates ou de spyware. Le logiciel intègre, entre
autres un firewall, une surveillance en temps réel des données
(e-mail, trafic Internet et connexions réseaux), un bloqueur
de pop-up, un filtre antispam ainsi qu’une protection contre
le phishing.

BitDefender Internet Security 10 Prix ~ 80€


BitDefender Internet Security couvre l’ensemble des
besoins de sécurité d’une famille connectée à Internet. Il
fournit une protection essentielle contre les virus, spywares,
rootkits, spam, scams, tentatives de phishing, intrusions et
contenus web indésirables. BitDefender protège en
permanence toutes les voies d’accès possibles des virus et
codes malveillants (keyloggers, dialers, etc.) y compris via les
échanges peer to peer et messageries instantanées. Une des
nouveautés de cette version est l’implémentation du moteur
BHAVE (Behavioral Heuristic Analyzer in Virtual
Environments) qui émule un ordinateur dans l'ordinateur,
dans lequel sont exécutées des morceaux de logiciels à la
recherche d'un comportement potentiellement malveillant.
Outre ses nouveaux moteurs de détection et d’éradication
encore plus performants, Bitdefender dispose d’un firewall
avancé avec détection d'intrusion, mode invisible et
statistiques détaillées.

Un contrôle parental par utilisateur est disponible également, fonctionnant avec un système de liste noire/blanche pour les sites
Internet et un filtre dynamique avec 20 catégories, et d’un module permettant d’élaborer des plages horaires d’utilisation d’Internet.

McAfee Personal Firewall Plus v 2006 Prix ~ 60€

McAfee Personal Firewall Plus protège toute installation


informatique. L’application est en mesure de bloquer les
intrusions sur un ordinateur, mais également d’empêcher des
programmes malveillants d’envoyer des informations
confidentielles, sur les habitudes de navigation, par exemple.

Rapport de TER de Amakou M’BATA, Olivier PERSENT 15


ZoneAlarm PRO v 6.1 Prix ~ 40€

Outil essentiel pour les utilisateurs de lignes ADSL et de


modem câble car il fournit une protection solide contre les
voleurs, les vandales et les pirates du Net.
Un pare-feu dynamique pour le contrôle de l'accès vers
l’ordinateur et l'invisibilité du PC pour Internet et pour les
intrus potentiels.

Norton Personal Firewall v 2006 Prix ~ 25€

Norton Personal Firewall permet de contrôler ce qui


entre dans son ordinateur et ce qui en sort. Pare-feu puissant,
il constitue la première ligne de défense contre les pirates en
bloquant automatiquement les intrus identifiés et en
protégeant votre identité et vos données lorsque vous
naviguez sur Internet.
Il est conçu pour bloquer automatiquement les intrus et
les usurpateurs. Il dissimule votre ordinateur aux yeux des
pirates. Il détecte automatiquement la plupart des attaques,
surveille et régule l'ensemble du trafic Internet entrant et
sortant. Il vous permet d'autoriser ou non un programme à
se connecter à Internet et vous met à l'abri des attaques
connues exploitant les failles de sécurité des logiciels sans
correctifs.
Il empêche l'envoi d'informations confidentielles sans votre autorisation, bloque les bannières publicitaires et les popups pour
vous permettre de surfer plus rapidement.
Simple d'utilisation, il continue à vous protéger lorsque vous connectez votre ordinateur portable à un réseau différent. Il
comprend désormais un an de mises à jour de protection.

6.3 Les pare-feux logiciels gratuits (www.01net.com)


SoftPerfect Personal Firewall v 1.4.1

SoftPerfect Personal Firewall est un pare-feu conçu pour


protéger un PC des attaques via Internet ou venant d'un
réseau local. Il possède un système de filtrage de trafic
puissant, basé sur des règles que que l'utilisateur devra définir
au préalable. Un mode d'apprentissage est intégré afin
d'indiquer la marche à suivre lorsque le programme détecte
un paquet inconnu. C’est une aide qui permet de créer des
règles personnalisées très rapidement. SoftPerfect Personal
Firewall supporte par ailleurs la configuration de multiples
adaptateurs réseau. Ceci permet, par exemple, d'appliquer
une règle pour une seule connexion par modem ou bien
d'appliquer des règles séparées pour chaque interface de
système.
Filseclab Personal Firewall Professional Edition v 3.0

Filseclab Personal Firewall Professional Edition permet


de vous protéger contre les attaques les plus courantes,
comme les plus poussées. Laissez dehors les virus, chevaux
de troie, adwares, spywares, etc. Vous pouvez surveiller
l'activité de votre ordinateur en temps réel, créer des règles
de connexion à protéger par mot de passe, etc. Un double
niveau de sécurité vous est offert. De plus le programme
peut se mettre à jour directement depuis son interface.

PeerGuardian v 2.0 Bêta 6b

PeerGuardian est un outil destiné à protéger votre


ordinateur lorsqu'il est connecté à un réseau peer-to-peer. Le
logiciel est en mesure de bloquer des plages d'adresses IP. Il
est possible d'ajouter des listes, d'éditer celles qui sont
proposées avec l'application et de les mettre à jour
automatiquement.

Jetico Personal Firewall v 1.0

Jetico Personal Firewall est un outil de protection


indispensable lorsque vous naviguez sur Internet. Il vérifie
chacun des paquets transitant sur le réseau surveillé afin de
détecter l'activité éventuelle de programmes malicieux ou de
pirates tentant de s'introduire sur votre machine ! La
configuration des Firewall peut être ajustée manuellement
par vos soins, ou bien il est possible d'utiliser des règles de
sécurité prédéfinies. Jetico Personal Firewall propose
également des rapports et des journaux détaillés sur chacune
des connexions suivies.
Protowall v 1.42

Protowall est un programme fonctionnant en arrière-plan


dont le but est d'empêcher les intrusions malveillantes sur
votre ordinateur. L'ensemble des paquets entrant sur votre
ordinateur sont analysés par le logiciel puis comparés à une
liste de plusieurs milliers d'adresses IP et éventuellement
rejetés si l'ordinateur distant figure dans cette liste !

Primedius Firewall Lite v 1.6

Primedius Firewall prévient les intrusions, arrête les


communications non sollicitées par l'utilisateur depuis et vers
votre ordinateur. Le programme peut détecter, analyser et
afficher n'importe quelle entrée effectuée par Winsock.

AlertWall Personal Firewall v 1.2.1

AlertWall permet d'empêcher des internautes malveillants


de s'introduire sur votre ordinateur et de détruire vos
données. Le programme vous avertira si un programme tente
d'envoyer ou de recevoir des informations sur Internet. Vous
serez également prévenu de toute activité s'apparentant à des
chevaux de Troie présents sur votre ordinateur. AlertWall
vous demandera comment traiter chaque nouveau processus
tentant d'accéder à Internet.

Rapport de TER de Amakou M’BATA, Olivier PERSENT 18


6.4 Comparatif des différents pare-feux logiciels
Quelque soit le système d’exploitation qu’on utilise, il existe toujours des firewalls bon ou mauvais.
Vu la multitude de pare-feux logiciels existants, un test a été réalisé sur quelques uns d’entre eux (les plus répandus dans le
monde).
Plusieurs séries de tests ont été effectuées
- Advanced Process Termination (APT) v4.0 de DiamondCS - APT#1 à APT#12 sont les méthodes APT de terminaison
- Simple Process Termination (SPT) v1.0.0.1 de System Safety - APT#13 & APT#14 sont les crashs de noyau 1 & 2
- ProcX (PX) v1.0 de Firewall Leak Tester - APT#15 & APT#16 sont les méthodes de crash 1 & 2
- SDTRestore (SDT) v0.2 de SIG2 - APT#17 & APT#18 sont les méthodes de suspension 1 & 2

: Icône qui signifie que le firewall a bloqué efficacement la méthode de terminaison, et a peut être prévenu l’utilisateur.
: Icône qui signifie que quelque chose s’est mal passé, mais le système reste intègre. Rien ne rentre ou ne sort.
: Icône qui signifie que le firewall a été crashé et complètement désactivé. Il n’y a plus de contrôle d’entrée/sortie.

: Icône qui signifie que le firewall a bloqué efficacement au moins ¾ des méthodes de terminaison (Sans aucune croix rouge).
: Icône qui signifie que le firewall a bloqué moins de ¾ des méthodes de terminaison, mais qui ne peut être désactivé
complètement (Aucune croix rouge).
: Icône qui signifie que le firewall a été crashé et complètement désactivé par au moins une méthode de terminaison.
Capacité de résistance de certains pare-feux aux méthodes de terminaison

Firewall

Personal
Zone Alarm Zone Alarm Sunbelt Filseclab Private
KIS6 Outpost Look'n'Stop NIS Jetico Netveda Firewall Comodo
Pro Free Kerio Pro Firewall
Plus
4.0.964.6926 2007 2.0.0.10
Build 6.0.0.303 6.5.737.000 6.5.737.000 4.3.268.1 2.05p3 3.0.0.8686 5.0.8.11 3.61.0002 8.0.207 2.3.6.81
(582) 10.0.0.86 beta
APT#1

APT#2

APT#3

APT#4

APT#5

APT#6

APT#7

APT#8

APT#9

APT#10

APT#11

APT#12

APT#13

APT#14

APT#15

APT#16

APT#17

APT#18

SPT#1

SPT#2

SPT#3

SPT#4

SPT#5

SPT#6

SPT#7

SPT#8

SPT#9

SPT#10

SPT#11

SPT#12

SPT#13

SPT#14

SPT#15

SPT#16

PX#1

PX#2

PX#3

SDT

SCORE

Firewall

Rank 2 4 5 10 1 11 6 7 12 9 13 8 3

Rapport de TER de Amakou M’BATA, Olivier PERSENT 20


7 Conclusion
Nous avons pu voire dans le pages précédente qu’il existait un grande nombre de pare-feux et de différents types. Que l’on
choisisse, un pare-feu matériel, logiciel ou même encore bridge, qu’il soit gratuit ou payants, qu’il soit de type filtrage de paquet ou
de type proxy, l’essentiel est d’en choisir un qui satisfait un maximum de critère de sécurité. Internet n’étant plus à l’heure actuelle
un endroit où l’on peut naviguer sans risque comme il y a une dizaine d’année, il est nécessaire de se prémunir d’outils efficace pour
faire face à toute sorte de situation. Un pare-feu et un antivirus à jour sont les minimums requis d’un système sécurisé.

Tant qu’il restera toujours des personnes qui ne feront pas de mises à jour de leur système d’exploitation ou qui n’utiliseront pas
de logiciels de sécurité comme les anti-virus ou les pare-feux, il ne faut pas s’étonner du nombre d’attaques informatiques
croissantes qui font tant de ravage dans le monde.

Après des années d’évolution dans le monde de la sécurité, le meilleur pare-feu ou le meilleur anti-virus possible ne sert à rien si
il n’est pas configuré ou mis à jour régulièrement. Le problème est et sera toujours le manque d’éducation concernant la sécurité
informatique des néophytes.

Avoir un réseau ou un ordinateur à l’abri d’attaques n’est pas impossible. Il suffit de le vouloir, ou d’y mettre les moyens. La
sécurité informatique dans une entreprise est aussi importante que la sécurité dans une voiture.

8 Références bibliographiques
Internet : Bibliographie :
www.wikipedia.org Sécurité Internet - Stratégies et technologies (DUNOD)
www.commentcamarche.net Sécurité Informatique et réseaux (DUNOD)
www.01net.com
www.secuser.com
www.kaspersky.com/fr/
fr.mcafee.com
www.norton.com
www.zonelabs.com
www.bitdefender.fr
www.3com.com
www.firewallleaktester.com
www.dlink.com
www.cisco.com
www.netasq.com
www.zyxel.com

Rapport de TER de Amakou M’BATA, Olivier PERSENT 21

Vous aimerez peut-être aussi