Académique Documents
Professionnel Documents
Culture Documents
Rgle
Action
IP source
IP dest
Protocol
Accept
Accept
192.168.10.2
0
any
Accept
194.154.19
2.3
192.168.10
.3
Any
Deny
Any
192.168.10.0
/24
any
t cp
Port
source
any
Port
dest
25
t cp
any
80
t cp
any
80
any
any
any
par exemple souvent bloqu par dfaut par les dispositifs pare-feu car il
correspond au
protocole Telnet , permettant d'muler un accs par terminal une machine
distante de manire
pouvoir excuter des commandes distance. Les donnes changes par
Telnet ne sont pas
chiffres, ce qui signifie qu'un individu est susceptible d'couter le rseau et
de voler les
ventuels mots de passe circulant en clair. Les administrateurs lui prfrent
gnralement le
protocole SSH, rput sr et fournissant les mmes fonctionnalits que Telnet
.
Le filtrage dynamique :
Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP
indpendamment les
uns des autres, ce qui correspond au niveau 3 du modle OSI . Or, la plupart
des connexions
reposent sur l e protocole TCP, qui gre la notion de session, afin d'assurer
le bon droulement
des changes. D'autre part , de nombreux servi ces (le FTP par exemple)
initient une connexion
sur un port statique, mais ouvrent dynamiquement (c'est --dire de manire
alatoire) un port
afin d'tablir une session entre la machine faisant office de serveur et la
machine cliente. Ainsi ,
il est impossible avec un filtrage simple de paquets de prvoir les port s
laisser passer ou
interdire . Pour y remdier, le systme de filtrage dynamique de paquets est
bas sur l'inspection
des couches 3 et 4 du modle OSI , permet tant d'effectuer un suivi des
transactions entre le
client et le serveur. Le terme anglo-saxon est stateful inspection ou
stateful packet
filtering ,
Catgories de pare-feu
Les pare-feu sont un des plus vieux quipements de scurit informatique et, en tant que tels, ils
ont t soumis de nombreuses volutions. Suivant la gnration du pare-feu ou son rle prcis,
on peut les classer en diffrentes catgories.
filtres,
rgles ou rules,
etc.
La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des
machines tats des protocoles rseaux ne permet pas d'obtenir une finesse du filtrage trs
volue. Ces pare-feu ont donc tendance tomber en dsutude mais restent prsents sur
certains routeurs ou systmes d'exploitation.
Pare-feu applicatif
Dernire mouture de pare-feu, ils vrifient la complte conformit du paquet un protocole
attendu. Par exemple, ce type de pare-feu permet de vrifier que seul du protocole HTTP passe
par le port TCP 80. Ce traitement est trs gourmand en temps de calcul ds que le dbit devient
trs important. Il est justifi par le fait que de plus en plus de protocoles rseaux utilisent
un tunnel TCP afin de contourner le filtrage par ports.
Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains
protocoles comme le fameux FTP en mode passif changent entre le client et le serveur des
adresses IP ou des ports TCP/UDP. Ces protocoles sont dits contenu sale ou passant
difficilement les pare-feu car ils changent au niveau applicatif (FTP) des informations du
niveau IP (change d'adresses) ou du niveau TCP (change de ports). Ce qui transgresse le
principe de la sparation des couches rseaux. Pour cette raison, les protocoles contenu
sale passent difficilement voire pas du tout les rgles de NAT ...dynamiques, moins qu'une
inspection applicative ne soit faite sur ce protocole.
Chaque type de pare-feu sait inspecter un nombre limit d'applications. Chaque application est
gre par un module diffrent pour pouvoir les activer ou les dsactiver. La terminologie pour le
concept de module est diffrente pour chaque type de pare-feu : par exemple : Le protocole
HTTP permet d'accder en lecture sur un serveur par une commande GET, et en criture par une
commande PUT. Un pare-feu applicatif va tre en mesure d'analyser une connexion HTTP et de
n'autoriser les commandes PUT qu' un nombre restreint de machines.
Pare-feu identifiant
Un pare-feu ralise lidentification des connexions passant travers le filtre IP. L'administrateur
peut ainsi dfinir les rgles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC,
et ainsi suivre l'activit rseau par utilisateur.
Plusieurs mthodes diffrentes existent qui reposent sur des associations entre IP et utilisateurs
ralises par des moyens varis. On peut par exemple citer authpf(sous OpenBSD) qui
utilise ssh pour faire l'association. Une autre mthode est l'identification connexion par connexion
(sans avoir cette association IP=utilisateur et donc sans compromis sur la scurit), ralise par
exemple par la suite NuFW, qui permet d'identifier galement sur des machines multi-utilisateurs.
On pourra galement citer Cyberoam qui fournit un pare-feu entirement bas sur l'identit (en
ralit en ralisant des associations adresse MAC = utilisateur) ou Check Point avec l'option NAC
Blade qui permet de crer des rgles dynamiques base sur l'authentification Kerberos d'un
utilisateur, l'identit de son poste ainsi que son niveau de scurit (prsence d'antivirus,
de patchs particuliers).
Pare-feu personnel
Les pare-feu personnels, gnralement installs sur une machine de travail, agissent comme un
pare-feu tats. Bien souvent, ils vrifient aussi quel programme est l'origine des donnes. Le
but est de lutter contre les virus informatiques et les logiciels espions.
Portail captif
Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un rseau de
consultation afin de leur prsenter une page web spciale (par exemple : avertissement, charte
d'utilisation, demande d'authentification, etc.) avant de les laisser accder Internet. Ils sont
utiliss pour assurer la traabilit des connexions et/ou limiter l'utilisation abusive des moyens
d'accs. On les dploie essentiellement dans le cadre de rseaux de consultation Internet
mutualiss filaires ou Wi-Fi.