Académique Documents
Professionnel Documents
Culture Documents
Les Pare-Feu LP Arssi
Les Pare-Feu LP Arssi
2021/2022
Université Abdelmalek Essaâdi
Faculté des Sciences
Tétouan
Les pare-feux
BENDAHMANE AHMED
Pourquoi un firewall?
2
Definition:
1
24/03/2022
Pourquoi un firewall?
2
Definition:
Programme, ou un matériel, chargé de vous protéger du monde extérieur en contrôlant tout
ce qui passe, et surtout tout ce qui ne doit pas passer entre internet et le réseau local.
Pourquoi un firewall?
2
Definition:
Programme, ou un matériel, chargé de vous protéger du monde extérieur en contrôlant tout
ce qui passe, et surtout tout ce qui ne doit pas passer entre internet et le réseau local.
2
24/03/2022
Pourquoi un firewall?
2
Definition:
Programme, ou un matériel, chargé de vous protéger du monde extérieur en contrôlant tout
ce qui passe, et surtout tout ce qui ne doit pas passer entre internet et le réseau local.
pourquoi un firewall?
Pourquoi un firewall?
2
Definition:
Programme, ou un matériel, chargé de vous protéger du monde extérieur en contrôlant tout
ce qui passe, et surtout tout ce qui ne doit pas passer entre internet et le réseau local.
pourquoi un firewall?
Contrôle: Gérer les connexions sortantes a partir du réseau local.
Sécurité: Protéger le réseau interne des intrusions venant de l’extérieur.
3
24/03/2022
4
24/03/2022
Un pare-feu permet donc de surveiller les données qui entrent et sortent d'un
ordinateur.
5
24/03/2022
(règle 2, action 2)
(règle 3, action 3)
etc.
(règle 2, action 2)
(règle 3, action 3)
etc.
Chaque fois qu'un paquet de données arrive, le firewall compare ce paquet à chaque
règle (dans l'ordre) jusqu'à en trouver une qui corresponde au paquet.
6
24/03/2022
(règle 2, action 2)
(règle 3, action 3)
etc.
Chaque fois qu'un paquet de données arrive, le firewall compare ce paquet à chaque
règle (dans l'ordre) jusqu'à en trouver une qui corresponde au paquet.
Il exécute alors l'action correspondante à la règle.
7
24/03/2022
8
24/03/2022
9
24/03/2022
10
24/03/2022
11
24/03/2022
12
24/03/2022
13
24/03/2022
14
24/03/2022
Firewall
7
Firewall
7
15
24/03/2022
Firewall
7
16
24/03/2022
17
24/03/2022
Firewall
fonctionnant au niveau le plus haut de la pile TCP/IP
Généralement basé sur des mécanisme de proxy
18
24/03/2022
Firewall
fonctionnant au niveau le plus haut de la pile TCP/IP
Généralement basé sur des mécanisme de proxy
Firewall
fonctionnant au niveau le plus haut de la pile TCP/IP
Généralement basé sur des mécanisme de proxy
19
24/03/2022
Firewall
fonctionnant au niveau le plus haut de la pile TCP/IP
Généralement basé sur des mécanisme de proxy
20
24/03/2022
21
24/03/2022
22
24/03/2022
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à
des services courants
23
24/03/2022
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à
des services courants
Les
ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au
Web.
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à
des services courants
Lesports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au
Web.
La plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les
communications selon le port utilisé.
24
24/03/2022
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à
des services courants
Les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au
Web.
La plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les
communications selon le port utilisé.
Il est généralement conseillé de bloquer tous les ports qui ne sont pas indispensables
(selon la politique de sécurité retenue).
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à
des services courants
Les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au
Web.
La plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les
communications selon le port utilisé.
Il est généralement conseillé de bloquer tous les ports qui ne sont pas indispensables
(selon la politique de sécurité retenue).
Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu
car il correspond au protocole Telnet.
25
24/03/2022
Les limites:
Le premier problème vient du fait que l'administrateur réseau est rapidement
contraint à autoriser un trop grand nombre d'accès, pour que le pare-feu offre
une réelle protection.
Les limites:
Le premier problème vient du fait que l'administrateur réseau est rapidement
contraint à autoriser un trop grand nombre d'accès, pour que le pare-feu offre
une réelle protection.
Exemple: pour autoriser les connexions à Internet à partir du réseau privé,
l'administrateur devra accepter toutes les connexions Tcp provenant de l'Internet
avec un port supérieur à 1024. Ce qui laisse beaucoup de choix à un éventuel
pirate.
26
24/03/2022
27
24/03/2022
28
24/03/2022
Le filtrage applicatif
16
29
24/03/2022
Le filtrage applicatif
17
Le filtrage applicatif
17
30
24/03/2022
Le filtrage applicatif
17
Le filtrage applicatif
17
31
24/03/2022
Le filtrage applicatif
17
DMZ
18
Définition:
Une zone démilitarisée (DMZ) est un sous-réseau se trouvant entre le réseau local et le
réseau extérieur.
32
24/03/2022
DMZ
18
Définition:
Une zone démilitarisée (DMZ) est un sous-réseau se trouvant entre le réseau local et le
réseau extérieur.
Propriétés :
Les connexions à la DMZ sont autorisées de n’importe où.
Les connexions à partir de la DMZ ne sont autorisées que vers l’extérieur.
DMZ
18
Définition:
Une zone démilitarisée (DMZ) est un sous-réseau se trouvant entre le réseau local et le
réseau extérieur.
Propriétés :
Les connexions à la DMZ sont autorisées de n’importe où.
Les connexions à partir de la DMZ ne sont autorisées que vers l’extérieur.
Intérêt :
Rendre des machines accessible à partir de l’extérieur
(possibilité de mettre en place des serveurs (DNS, SMTP, . . . ).
33
24/03/2022
DMZ
18
Définition:
Une zone démilitarisée (DMZ) est un sous-réseau se trouvant entre le réseau local et le
réseau extérieur.
Propriétés :
Les connexions à la DMZ sont autorisées de n’importe où.
Les connexions à partir de la DMZ ne sont autorisées que vers l’extérieur.
Intérêt :
Rendre des machines accessible à partir de l’extérieur
(possibilité de mettre en place des serveurs (DNS, SMTP, . . . ).
DMZ
19
34
24/03/2022
Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus.
35
24/03/2022
Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus.
Leurs interfaces ne possèdent pas d'adresse IP, et ne font que transférer les
paquets d'une interface a une autre en leur appliquant les règles prédéfinies.
Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus.
Leurs interfaces ne possèdent pas d'adresse IP, et ne font que transférer les
paquets d'une interface a une autre en leur appliquant les règles prédéfinies.
Cette absence est particulièrement utile, car cela signifie que le pare-feu est
36
24/03/2022
Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus.
Leurs interfaces ne possèdent pas d'adresse IP, et ne font que transférer les
paquets d'une interface a une autre en leur appliquant les règles prédéfinies.
Cette absence est particulièrement utile, car cela signifie que le pare-feu est
indétectable pour un hacker.
Quand une requête ARP est émise sur le câble réseau, le pare-feu ne répondra
jamais. Ses adresses Mac ne circuleront jamais sur le réseau, et comme il ne fait
que « transmettre » les paquets, il sera totalement invisible sur le réseau.
Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus.
Leurs interfaces ne possèdent pas d'adresse IP, et ne font que transférer les
paquets d'une interface a une autre en leur appliquant les règles prédéfinies.
Cette absence est particulièrement utile, car cela signifie que le pare-feu est
jamais. Ses adresses Mac ne circuleront jamais sur le réseau, et comme il ne fait
que « transmettre » les paquets, il sera totalement invisible sur le réseau.
Cela rend impossible toute attaque dirigée directement contre le pare-feu,
étant donné qu'aucun paquet ne sera traité par ce dernier comme étant sa
propre destination.
37
24/03/2022
Dans la plupart des cas, ces derniers ont une interface de configuration séparée. Un câble
vient se brancher sur une troisième interface, série ou même Ethernet, et qui ne doit être
utilisée que ponctuellement et dans un environnement sécurisé de préférence.
Ces pare-feux se trouvent typiquement sur les Switch.
Dans la plupart des cas, ces derniers ont une interface de configuration séparée. Un câble
vient se brancher sur une troisième interface, série ou même Ethernet, et qui ne doit être
utilisée que ponctuellement et dans un environnement sécurisé de préférence.
Ces pare-feux se trouvent typiquement sur les Switch.
Avantages:
Impossible de l'éviter (les paquets passeront par ses interfaces)
Peu coûteux
38
24/03/2022
Dans la plupart des cas, ces derniers ont une interface de configuration séparée. Un câble
vient se brancher sur une troisième interface, série ou même Ethernet, et qui ne doit être
utilisée que ponctuellement et dans un environnement sécurisé de préférence.
Ces pare-feux se trouvent typiquement sur les Switch.
Avantages:
Impossible de l'éviter (les paquets passeront par ses interfaces)
Peu coûteux
Inconvénients:
Possibilité de le contourner (il suffit de passer outre ses règles)
Les fonctionnalités présentes sont très basiques (filtrage sur adresse IP, port, le plus souvent
en Stateless).
39
24/03/2022
Avantages:
Intégré au matériel réseau.
Administration relativement simple.
Bon niveau de sécurité.
Inconvénients:
Dépendant du constructeur pour les mises à jour.
Souvent peu flexibles.
Présents à la fois dans les serveurs et les routeurs « faits maison », on peut
les classer en plusieurs catégories :
Les pare-feux personnels.
40
24/03/2022
Ils sont assez souvent commerciaux et ont pour but de sécuriser un ordinateur particulier, et
non pas un groupe d'ordinateurs.
Ils peuvent être contraignants et quelque fois très peu sécurisés.
Ils s'orientent plus vers la simplicité d'utilisation plutôt que vers l'exhaustivité, afin de rester
Ils sont assez souvent commerciaux et ont pour but de sécuriser un ordinateur particulier, et
non pas un groupe d'ordinateurs.
Ils peuvent être contraignants et quelque fois très peu sécurisés.
Ils s'orientent plus vers la simplicité d'utilisation plutôt que vers l'exhaustivité, afin de rester
accessible à l'utilisateur final.
Avantages:
Sécurité en bout de chaîne (le poste client)
Personnalisable assez facilement
Capable de contrôler quels logiciels vont se connecter sur Internet (ce que ne sait pas faire un
firewall séparé).
41
24/03/2022
Ils sont assez souvent commerciaux et ont pour but de sécuriser un ordinateur particulier, et
non pas un groupe d'ordinateurs.
Ils peuvent être contraignants et quelque fois très peu sécurisés.
Ils s'orientent plus vers la simplicité d'utilisation plutôt que vers l'exhaustivité, afin de rester
Tournant généralement sous linux, car cet OS offre une sécurité réseau plus élevée et un
contrôle plus adéquat,
ils ont généralement pour but d'avoir le même comportement que les pare-feux matériels des
routeurs, à ceci prêt qu'ils sont configurables à la main.
Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux.
Toute fonctionnalité des pare-feux de routeurs est potentiellement réalisable sur une telle
plateforme.
42
24/03/2022
Tournant généralement sous linux, car cet OS offre une sécurité réseau plus élevée et un
contrôle plus adéquat,
ils ont généralement pour but d'avoir le même comportement que les pare-feux matériels des
routeurs, à ceci prêt qu'ils sont configurables à la main.
Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux.
Toute fonctionnalité des pare-feux de routeurs est potentiellement réalisable sur une telle
plateforme.
Avantages.
Personnalisables
Tournant généralement sous linux, car cet OS offre une sécurité réseau plus élevée et un
contrôle plus adéquat,
ils ont généralement pour but d'avoir le même comportement que les pare-feux matériels des
routeurs, à ceci prêt qu'ils sont configurables à la main.
Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux.
Toute fonctionnalité des pare-feux de routeurs est potentiellement réalisable sur une telle
plateforme.
Avantages.
Personnalisables
Inconvénients.
Nécessite une administration système supplémentaire
Ces pare-feux logiciels ont néanmoins une grande faille : ils n'utilisent pas la couche bas réseau.
43
24/03/2022
f1
44
Diapositive 87
Les règles générales de sécurité à considérer pour les pare-feu sont les suivantes :
Tout accès externe au réseau d’entreprise est filtré en appliquant le principe suivant lequel
émises.
Tout trafic détruit par un filtre est stocké dans des journaux d’activité archivés à des fins
d’investigation de sécurité. De manière plus pratique, les règles de filtrage qui doivent
générer des journaux d’activité sont connues.
Les modifications des filtres sont décrites dans des procédures opérationnelles.
45