Vous êtes sur la page 1sur 7

Introduction

Un pare-feu est un logiciel et/ou un matériel permettant de faire respecter la politique de


sécurité du réseau, celle-ci définissant quels sont les types de communications autorisés sur ce
réseau informatique. Il surveille et contrôle les applications et les flux de données. Il existe
différents types de pare-feu.
L’objectif de ce travail c’est de réaliser une étude comparative de 5 pare-feu, plus précisément
sur le Pfsence, Fortinet, Sohos et MX.

Pfsence :
PfSense est une distribution open source basée sur le système d’exploitation FreeBSD. C’est
un système d’exploitation de type serveur, c’est-à-dire qu’il peut être utilisé en tant que
routeur et firewall.
Le projet pfsense, est basé sur un fork de m0n0wall réalisé en 2004 par Chris Buechler et
Scott Ullrich10. La version 1.0 a été lancée le 4 octobre 2006. La version 2.0 finale est arrivée
fin décembre 2011.
Il est généralement utilisé pour répondre aux besoins du pare-feu avec sa fonction de pare-feu
a état, aussi du routage et du serveur VPN. Il comporte l'équivalent libre des outils et services
utilisés habituellement sur des routeurs professionnels propriétaires.

Caractéristique

Pfsense est une plate-forme parmi les plus fiables et est conçus pour fournir les plus hauts
niveaux de performance, de stabilité et de confiance. Il comporte beaucoup de fonctionnalité,
ce qui le rende un peu compliqué. Elle est largement déployée pour répondre aux besoins de
mise en réseau sécurisée, notamment :
 Filtrage par source et destination IP, protocole IP, source et port de destination pour le
trafic TCP et UDP
 Limiter les connexions simultanées selon la règle
 Superviser son équipement
 Cree des access VPN
 Translation d’adresse
 Dynamic DNS
 Portail captif
 pfSense comprend à la fois les fonctionnalités de serveur DHCP et de relais DHCP.
 Load Balancing/ Repartition de charge 
 Option pour enregistrer ou pas le trafic correspondant à chaque règle
 Mise en forme du trafic
 Appareil UTM
 IDS / IPS
 Filtrage de contenu Web
 Gestion de plugin (Avahi(Zeroconf), FreeRADIUS, haproxy, Iperf, Squid, squidGuard,
Nmapshort, Varnish, Zabbix )

Fonctionnement

Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre
ensuite à distance depuis l'interface web et gère nativement les VLAN (802.1q).

Comme sur les distributions Linux, pfSense intègre aussi un gestionnaire de paquets pour
installer des fonctionnalités supplémentaires, comme un proxy, serveur VoIP…
pfSense peut fonctionner sur du matériel de serveur ou domestique, sur des solutions
embarquées, sans toutefois demander beaucoup de ressources ni de matériel puissant.
La plate-forme doit être x86 ou x64, mais d'autres architectures pourraient être supportées à
l'avenir.
pfsense peut être téléchargé en différentes versions selon le type d'utilisation et d'installation
(avec un moniteur et un clavier, ou par liaison série).
Le support IPv6 est présent

Avantage

 Assure la disponibilité (Base FreeBSD, load balancing, etc...).


 Sa confidentialité (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, etc...)
 Ses possibilités de suivi et audits.
 Sa mise à jour (système upgradable, packages visibles et téléchargeables directement
depuis l’interface d’administration web, etc…).
 Simplicité d’administration, d’installation.
 Autonomie complète.
 Portail sécurisé avec fonctions de firewall sous une distribution libre et simple
d’utilisation pour des personnes initiées aux problématiques réseaux.
En gros, on peut dire que Pfsense offre des avantages importants en termes de filtrage des flux
Internet et peut permettre de répondre efficacement à la plupart des problèmes de sécurité et
de filtrage des flux Internet. Et surtout la nouvelle technologie qu’il offre à travers Snort, il
peut arriver à faire le filtrage Web ainsi que le filtrage de contenu.
Inconvénient
 La configuration de Pfsence nécessite forcement un ingénieur dans le domaine
 Il faut du matériel parfaitement compatible avec FreeBSD notamment la carte réseau
 L’ergonomie qui peut toujours être améliorée, car comportant beaucoup de menus.

Pare-feu FortiGate
Présentée comme la gamme phare des plateformes de sécurité réseaux de la marque Fortinet,
FortiGate déploie un environnement de sécurité qui s’adresse aux entreprises quelques soit
leurs profils. C’est une excellente solution pour les sites distants. Et pour garantir une sécurité
totale, les plateformes FortiGate bénéficient d’un système d'exploitation intuitif appeler
FortiOS. Utilisant la fonction NGFW, il est possible d’identifier et de contrôler les
applications sur le réseau et de valider l’identité des utilisateurs.
Il permet aussi d’accroître le niveau de sécurité dans toute organisation possédant un réseau
informatique. Son rôle principal est de bloquer les accès non autorisés, rôle qui se complexifie
avec le temps et l’apparition de nouvelles menaces et techniques d’évasions ainsi que
l’augmentation du volume de données et de la diversité des moyens d’accès.
Il existe diffèrent modèle et n’ont pas toutes les mêmes fonctionnalités, en particulier les
modèles d’entrée de gamme (modèles 30 à 90). Un certain nombre de fonctionnalités de ces
modèles ne sont disponibles que dans la CLI ou Command-line interface (en français,
interface en ligne de commande).

Caractéristique
Le pare-feu FortiGate est un pare-feu de dernière génération. Il utilise des processeurs de
sécurité spécialement conçus et les services de sécurité spécialisés dans l'analyse des menaces,
pour offrir une protection de premier ordre et des performances élevées, notamment du trafic
chiffré. FortiGate réduit la complexité avec la visibilité automatisée dans les applications, les
utilisateurs et le réseau, et fournit des évaluations de sécurité pour adopter les meilleures
pratiques de sécurité.
Fonctionnement
Pour pouvoir administrer FortiGate, il faudrait se connecter à l’interface graphique à l'aide
d'un navigateur Web, mais au préalable une interface doit être configurée pour permettre un
accès administratif via HTTPS et HTTP. Par défaut, une interface permettant l'accès HTTPS
avec l'adresse IP 192.168.1.99 a déjà été configurée dans le Box.
Pour y accéder, on insert dans l’URL WEB https://192.168.1.99 et se connecter  à l’aide d’un
login sans mot de passe. 
L’environnement de FortiGate en interface graphique ce présente comme ci-dessous (voir
image)

Ce schéma représente une interface d’administration de Fortigate 40 C, il en existe plusieurs modèle.


IV.1.2.1 Fonctionnalité
Toutes les fonctions de sécurité et réseau son gérer par le FortiOS.
 Routage statique

 Routage de politique

 Reniflage de paquets et de réseaux

 Routage dynamique (RIPv6, BGP4 + et OSPFv3)

 VPN IPsec
 DNS

 DHCP

 VPN SSL

 Adressage d'interface réseau

 Protection des profils de sécurité

 Routage des listes d'accès et des listes de préfixes

 NAT / Route et mode transparent

 NAT 64 et NAT 66

 Tunnel IPv6 sur IPv4 et IPv4 sur IPv6

 Enregistrement et rapport

 Politiques de sécurité

 SNMP

 Authentification

 IP virtuels et groupes

 IPv6 sur SCTP

 Dépannage spécifique à IPv6, tel que ping6

Les fonctionnalités incluent :

o La protection contre les menaces hautes performances et les performances


d'inspection SSL : elle protège l'entreprise contre les attaques de logiciels
malveillants dissimulées dans le trafic crypté.

o L'évaluation continue des risques via des fonctions de flux de travail et d'audit
automatisées : aide les entreprises à protéger leurs réseaux avec moins de membres du
personnel de sécurité. Ils veillent également à ce que les entreprises répondent aux
exigences de sécurité et de conformité réglementaire.
o La console de gestion : fournit une automatisation et une visibilité complètes du réseau.
o La gestion de la sécurité de classe entreprise : permet aux entreprises de gérer toutes les
ressources de sécurité avec un seul volet .
o La protection des applications critiques : fournit une segmentation hautement évolutive
et une latence ultra faible pour protéger les segments de réseau.
o La gestion unifier dans le cloud : offre une Visibilité complète , permet à FortiGate de
gérer la fonction SD-WAN, les fonctionnalités UTM, les déploiements FortiSwitch et
FortiAP pour étendre les fonctionnalités et fournit des analyses riches et des rapports
exploitables

Les avantages du pare-feu FortiGate


 Format physique (sous forme de serveur) ou format virtualisé (machine virtuelle)
 Déploiement personnalisé
 Pare-feu nouvelle génération NGFW
 Maitrise des couts
 Inspecte les flux chiffrés pour déjouer les attaques sophi
 Peu fonctionner sans licence
 Dispose d’une licence cloud gratuite juste limiter en terme de fonctionnalité

IV.1.2.2 FortiGate et QOS


 FortiGate prend en charge la qualité de service en utilisant :
 La régulation du trafic,
 La mise en forme du trafic,
 La mise en file d'attente.
La fonction de qualité de service (QoS) permet de gérer le niveau de service et la préférence
donnée aux différents types et sources de trafic traversant le pare-feu afin que le trafic
important pour les services et les fonctions se connectant via le pare-feu soit traité. C’est
nécessaire pour assurer le niveau de qualité requis. 
Un pare-feu de nouvelle génération est un système de sécurité réseau matériel ou logiciel,
capable de détecter et de bloquer les attaques sophistiquées en appliquant des règles de
sécurité au niveau applicatif, ainsi qu’à celui du port ou de protocole de communication.

Les pare-feu de nouvelle génération embarquent trois actifs clés : des capacités de pare-feu
d’entreprise, un système de prévention d’intrusion (IPS), et le contrôle applicatif. Les pare-feu
de première génération avaient introduit le filtrage dynamique de paquets (stateful
inspection). Ceux de nouvelle génération enrichissent d’éléments de contexte supplémentaires
le processus de prise de décision en intégrant la capacité de comprendre les détails du trafic
Web passant au travers du pare-feu pour bloquer le trafic susceptible de relever de
l’exploitation de vulnérabilités.
Les pare-feu de nouvelle génération combinent les capacités des pare-feu traditionnels –
filtrage de paquets, translation d’adresse (NAT), blocage d’URL et VPN – avec des
fonctionnalités de gestion de la qualité de service (QoS), et des caractéristiques généralement
absentes des pare-feu. Cela recouvre notamment la prévention d’intrusion, l’inspection SSL et
SSH, l’inspection de paquets en profondeur (DPI), la détection de logiciels malveillants basée
sur la réputation, ou encore la conscience des applications. Les fonctionnalités spécifiques aux
applications sont conçues pour protéger contre des attaques de plus en plus nombreuses visant
les couches 4 à 7 du modèle OSI.

Vous aimerez peut-être aussi