Rle :

Un pare-feu (appel aussi coupe-feu, garde-barri re ou firewal l en anglais),

est un systme
permettant de protger un ordinateur ou un rseau d'ordinateurs des intrusions
provenant d'un
rseau tiers (notamment internet ).

Fonctionnement d'un systme parefeu :

Un systme pare-feu contient un ensemble de rgles prdfinies permet tant
:
D'autoriser la connexion (allow) ;
De bloquer l a connexion (deny) ;
De rejeter l a demande de connexion sans avertir l 'metteur (drop).
L'ensemble de ces rgles permet de mettre en uvre une mthode de filtrage
dpendant de l a
politique de scurit adopte par l'entit. On distingue habituellement deux
types de politiques
de scurit permet tant :
Soit d'autoriser uniquement l es communications ayant t explicitement
autorises :
Soit d'empcher les changes qui ont t explicitement interdis.
La premire mthode est sans nul doute la plus sre, mais elle impose
toutefois une dfinition
prcise et contraignante des besoins en communication.
Le filtrage simple de paquets :
Un systme pare-feu fonctionne sur l e principe du filtrage simple de paquets
(en anglais
stateless packet filtering ). Il analyse les en-ttes de chaque paquet de
donnes (datagramme)
chang entre une machine du rseau interne et une machine extrieure. Ainsi
, les paquets de

donnes change entre une machine du rseau extrieur et une machine du

rseau interne
transitent par le pare-feu et possdent les en-ttes suivants,
systmatiquement analyss par le firewal l :
- adresse IP de l a machine mettrice ;
- adresse IP de l a machine rceptrice ;
- type de paquet (TCP, UDP, etc. ) ;
- numro de port (rappel : un port est un numro associ un service ou une
application rseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine
mettrice et
la machine cible, tandis que le type de paquet et le numro de port
donnent une indication
sur le type de service utilis. Le tableau ci-dessous donne des exemples de
rgles de pare-feu:

Rgle

Action

IP source

IP dest

Protocol

Accept

Accept

192.168.10.2
0
any

Accept

194.154.19
2.3
192.168.10
.3
Any

Deny

Any

192.168.10.0
/24
any

t cp

Port
source
any

Port
dest
25

t cp

any

80

t cp

any

80

any

any

any

Les ports reconnus (dont l e numro est compris entre 0 et 1023</ital>)

sont associs des
servi ces courant s (les port s 25 et 110 sont par exemple associs au courrier
lectronique, et le
port 80 au Web). La plupart des dispositifs pare-feu sont au minimum
configurs de manire
filtrer les communications selon le port utilis. Il est gnralement
conseill de bloquer tous
les ports qui ne sont pas indispensables (selon la politique de scurit
retenue). Le port 23 est

par exemple souvent bloqu par dfaut par les dispositifs pare-feu car il
correspond au
protocole Telnet , permettant d'muler un accs par terminal une machine
distante de manire
pouvoir excuter des commandes distance. Les donnes changes par
Telnet ne sont pas
chiffres, ce qui signifie qu'un individu est susceptible d'couter le rseau et
de voler les
ventuels mots de passe circulant en clair. Les administrateurs lui prfrent
gnralement le
protocole SSH, rput sr et fournissant les mmes fonctionnalits que Telnet
.
Le filtrage dynamique :
Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP
indpendamment les
uns des autres, ce qui correspond au niveau 3 du modle OSI . Or, la plupart
des connexions
reposent sur l e protocole TCP, qui gre la notion de session, afin d'assurer
le bon droulement
des changes. D'autre part , de nombreux servi ces (le FTP par exemple)
initient une connexion
sur un port statique, mais ouvrent dynamiquement (c'est --dire de manire
alatoire) un port
afin d'tablir une session entre la machine faisant office de serveur et la
machine cliente. Ainsi ,
il est impossible avec un filtrage simple de paquets de prvoir les port s
laisser passer ou
interdire . Pour y remdier, le systme de filtrage dynamique de paquets est
bas sur l'inspection
des couches 3 et 4 du modle OSI , permet tant d'effectuer un suivi des
transactions entre le
client et le serveur. Le terme anglo-saxon est stateful inspection ou
stateful packet
filtering ,

traduisez filtrage de paquet s avec tat . Un dispositif pare-feu de type

stateful inspection
est ainsi capable d'assurer un suivi des changes, c'est --dire de tenir
compte de l'tat des
anciens paquets pour appliquer les rgles de filtrage. De cette manire,
partir du moment o
une machine autorise initie une connexion une machine situe de l 'autre
ct du pare-feu;
l'ensemble des paquets transitant dans l e cadre de cette connexion seront
implicitement
accepts par le pare-feu. Si le filtrage dynamique est plus performant que le
filtrage de paquets
basique, il ne protge pas pour autant de l'exploitation des failles applicatives,
lies aux
vulnrabilits des applications. Or ces vulnrabilits reprsentent la part la
plus importante des
risques en terme de scurit.
Le filtrage applicatif :
Le filtrage applicatif permet de filtrer les communications application par
application. Le filtrage
applicatif opre donc au niveau 7 (couche application) du modle OSI ,
contrairement au filtrage
de paquets simple (niveau 4). Le filtrage applicatif suppose donc une
connaissance des
protocoles utiliss par chaque application. Le filtrage applicatif permet , comme
son nom
l 'indique, de filtrer les communications application par application. Le filtrage
applicatif suppose
donc une bonne connaissance des applications prsentes sur le rseau, et
notamment de la
manire dont elle structure les donnes changes (port s, etc. ). Un firewall
effectuant un
filtrage applicatif est appel gnralement passerelle applicative (ou
proxy ), car il sert de

relais entre deux rseaux en s'interposant et en effectuant une validation fine

du contenu des
paquets changs. Le proxy reprsente donc un intermdiaire entre les
machines du rseau
interne et le rseau externe, subissant les attaques leur place. De plus,
le filtrage applicatif
permet la destruction des en-ttes prcdant le message applicatif , ce qui
permet de fournir
un niveau de scurit supplmentaire. Il s'agit d'un dispositif performant ,
assurant une bonne
protection du rseau, pour peu qu'il soit correctement administr. En
contrepartie, une
analyse fine des donnes applicatives requiert une grande puissance de calcul
et se traduit
donc souvent par un ralentissement des communications, chaque paquet
devant tre finement
analys. Par ailleurs, le proxy doit ncessairement tre en mesure
d'interprter une vaste gamme
de protocoles et de connatre les failles affrentes pour tre efficace. Enfin,
un tel systme peut
potentiellement comporter une vulnrabilit dans la mesure o il interprte
les requtes qui
transitent par son biais. Ainsi , il est recommand de dissocier le pare-feu
(dynamique ou
non) du proxy, afin de limiter les risques de compromission.

Catgories de pare-feu
Les pare-feu sont un des plus vieux quipements de scurit informatique et, en tant que tels, ils
ont t soumis de nombreuses volutions. Suivant la gnration du pare-feu ou son rle prcis,
on peut les classer en diffrentes catgories.

Pare-feu sans tat (stateless firewall)

C'est le plus vieux dispositif de filtrage rseau, introduit sur les routeurs. Il regarde chaque paquet
indpendamment des autres et le compare une liste de rgles prconfigures.
Ces rgles peuvent avoir des noms trs diffrents en fonction du pare-feu :

ACL pour Access Control List (certains pare-feu Cisco),

politique ou policy (pare-feu Juniper/Netscreen),

filtres,

rgles ou rules,

etc.

La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des
machines tats des protocoles rseaux ne permet pas d'obtenir une finesse du filtrage trs
volue. Ces pare-feu ont donc tendance tomber en dsutude mais restent prsents sur
certains routeurs ou systmes d'exploitation.

Pare-feu tats (stateful firewall)

Certains protocoles dits tats comme TCP introduisent une notion de connexion. Les parefeu tats vrifient la conformit des paquets une connexion en cours. Cest--dire qu'ils
vrifient que chaque paquet d'une connexion est bien la suite du prcdent paquet et la rponse
un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les paquets ICMP qui servent
la signalisation des flux IP.
Enfin, si les ACL autorisent un paquet UDP caractris par un quadruplet (ip_src, port_src,
ip_dst, port_dst) passer, un tel pare-feu autorisera la rponse caractrise par un quadruplet
invers, sans avoir crire une ACL inverse. Ceci est fondamental pour le bon fonctionnement
de tous les protocoles fonds sur l'UDP, comme DNSpar exemple. Ce mcanisme apporte en
fiabilit puisqu'il est plus slectif quant la nature du trafic autoris. Cependant dans le cas
d'UDP, cette caractristique peut tre utilise pour tablir des connexions directes (P2P) entre
deux machines (comme le fait Skype par exemple).

Pare-feu applicatif
Dernire mouture de pare-feu, ils vrifient la complte conformit du paquet un protocole
attendu. Par exemple, ce type de pare-feu permet de vrifier que seul du protocole HTTP passe
par le port TCP 80. Ce traitement est trs gourmand en temps de calcul ds que le dbit devient
trs important. Il est justifi par le fait que de plus en plus de protocoles rseaux utilisent
un tunnel TCP afin de contourner le filtrage par ports.
Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains
protocoles comme le fameux FTP en mode passif changent entre le client et le serveur des
adresses IP ou des ports TCP/UDP. Ces protocoles sont dits contenu sale ou passant
difficilement les pare-feu car ils changent au niveau applicatif (FTP) des informations du
niveau IP (change d'adresses) ou du niveau TCP (change de ports). Ce qui transgresse le
principe de la sparation des couches rseaux. Pour cette raison, les protocoles contenu

sale passent difficilement voire pas du tout les rgles de NAT ...dynamiques, moins qu'une
inspection applicative ne soit faite sur ce protocole.
Chaque type de pare-feu sait inspecter un nombre limit d'applications. Chaque application est
gre par un module diffrent pour pouvoir les activer ou les dsactiver. La terminologie pour le
concept de module est diffrente pour chaque type de pare-feu : par exemple : Le protocole
HTTP permet d'accder en lecture sur un serveur par une commande GET, et en criture par une
commande PUT. Un pare-feu applicatif va tre en mesure d'analyser une connexion HTTP et de
n'autoriser les commandes PUT qu' un nombre restreint de machines.

Pare-feu identifiant
Un pare-feu ralise lidentification des connexions passant travers le filtre IP. L'administrateur
peut ainsi dfinir les rgles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC,
et ainsi suivre l'activit rseau par utilisateur.
Plusieurs mthodes diffrentes existent qui reposent sur des associations entre IP et utilisateurs
ralises par des moyens varis. On peut par exemple citer authpf(sous OpenBSD) qui
utilise ssh pour faire l'association. Une autre mthode est l'identification connexion par connexion
(sans avoir cette association IP=utilisateur et donc sans compromis sur la scurit), ralise par
exemple par la suite NuFW, qui permet d'identifier galement sur des machines multi-utilisateurs.
On pourra galement citer Cyberoam qui fournit un pare-feu entirement bas sur l'identit (en
ralit en ralisant des associations adresse MAC = utilisateur) ou Check Point avec l'option NAC
Blade qui permet de crer des rgles dynamiques base sur l'authentification Kerberos d'un
utilisateur, l'identit de son poste ainsi que son niveau de scurit (prsence d'antivirus,
de patchs particuliers).

Pare-feu personnel
Les pare-feu personnels, gnralement installs sur une machine de travail, agissent comme un
pare-feu tats. Bien souvent, ils vrifient aussi quel programme est l'origine des donnes. Le
but est de lutter contre les virus informatiques et les logiciels espions.

Portail captif
Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un rseau de
consultation afin de leur prsenter une page web spciale (par exemple : avertissement, charte
d'utilisation, demande d'authentification, etc.) avant de les laisser accder Internet. Ils sont
utiliss pour assurer la traabilit des connexions et/ou limiter l'utilisation abusive des moyens
d'accs. On les dploie essentiellement dans le cadre de rseaux de consultation Internet
mutualiss filaires ou Wi-Fi.