Les Pare-Feu LP Arssi

24/03/2022
2021/2022
Université Abdelmalek Essaâdi
Faculté des Sciences
Tétouan
Les pare-feux
BENDAHMANE AHMED
Pourquoi un firewall?
2
Definition:
1
24/03/2022
2
Definition:
Programme, ou un matériel, chargé de vous protéger du monde extérieur en contrôlant tout
ce qui passe, et surtout tout ce qui ne doit pas passer entre internet et le réseau local.
2
Definition:
2
24/03/2022
2
Definition:
pourquoi un firewall?
2
Definition:
pourquoi un firewall?
Contrôle: Gérer les connexions sortantes a partir du réseau local.
Sécurité: Protéger le réseau interne des intrusions venant de l’extérieur.
Vigilance: Surveiller/tracer le trafic entre le réseau local et internet.
3
24/03/2022
Comment le pare-feu fonctionne-t-il ?

3
Suivant des règles de filtrage prédéfinies ou configurées par l'utilisateur, un

pare-feu permet d'autoriser ou de bloquer :

3

Une ou des adresses IP spécifiques,
Des types de protocoles (TCP ou UDP),
Des numéros de ports associés à un service ou à une application (par exemple :

le port 80 est utilisé pour la navigation Web),
Des applications installées sur l'ordinateur.
4
24/03/2022

3

Une ou des adresses IP spécifiques,
Des types de protocoles (TCP ou UDP),
Des numéros de ports associés à un service ou à une application (par exemple :

le port 80 est utilisé pour la navigation Web),
Des applications installées sur l'ordinateur.
Un pare-feu permet donc de surveiller les données qui entrent et sortent d'un
ordinateur.

4
Un firewall, c'est une liste ordonnée de la forme:
5
24/03/2022

4

(règle 1, action 1)
etc.

4

etc.
Chaque fois qu'un paquet de données arrive, le firewall compare ce paquet à chaque
règle (dans l'ordre) jusqu'à en trouver une qui corresponde au paquet.
6
24/03/2022

4

etc.
Chaque fois qu'un paquet de données arrive, le firewall compare ce paquet à chaque
règle (dans l'ordre) jusqu'à en trouver une qui corresponde au paquet.
Il exécute alors l'action correspondante à la règle.

5
7
24/03/2022

5
Les règles peuvent être:

5

adresse destination du paquet,
8
24/03/2022

5

adresse source,

5

adresse source,
port destination,
9
24/03/2022

5

adresse source,
port destination,
port source,

5

adresse source,
port destination,
port source,
date,
10
24/03/2022

5

adresse source,
port destination,
port source,
date,
heure, etc.

5

adresse source,
port destination,
port source,
date,
heure, etc.
Les actions peuvent être:
11
24/03/2022

5

adresse source,
port destination,
port source,
date,
heure, etc.

refuser le paquet,

5

adresse source,
port destination,
port source,
date,
heure, etc.

refuser le paquet,
ignorer le paquet,
12
24/03/2022

5

adresse source,
port destination,
port source,
date,
heure, etc.

refuser le paquet,
ignorer le paquet,
accepter le paquet,

5

adresse source,
port destination,
port source,
date,
heure, etc.

refuser le paquet,
ignorer le paquet,
accepter le paquet,
transmettre le paquet sur un autre réseau,
13
24/03/2022

5

adresse source,
port destination,
port source,
date,
heure, etc.

refuser le paquet,
ignorer le paquet,
accepter le paquet,
transmettre le paquet sur un autre réseau,
modifier les entêtes du paquet...

6
Un système pare-feu contient un ensemble de règles prédéfinies permettant :

D'autoriser la connexion (allow) ;
De bloquer la connexion (deny) ;
De rejeter la demande de connexion sans avertir l'émetteur (drop).
14
24/03/2022
Firewall
7
La plupart des firewalls travaillent au niveau des couches 4 (TCP, UDP...), 3

(IP...) et 2 (Ethernet...).
Ils
ne comprennent rien aux protocoles au-dessus (ils sont incapables de filtrer HTTP,
SMTP, POP3...).
Firewall
7

Ils
SMTP, POP3...).
Certains firewalls sont capables de travailler au niveau de la couche 7

(applicative).
15
24/03/2022
Firewall
7

Ils
SMTP, POP3...).
Certains firewalls sont capables de travailler au niveau de la couche 7

(applicative).
Ils sont généralement plus lents, plus lourds et plus complexes à configurer mais
permettent de filtrer certains protocoles comme HTTP, SMTP, POP3, FTP,...
Par exemple, c'est utile pour bloquer le téléchargement de virus, interdire certains sites,
filtrer les cookies...
Différents types de firewalls

8
Pare-feu niveau réseau: (iptables, paquet filter, . . . )
16
24/03/2022

8

Firewall fonctionnant à un niveau bas de la pile TCP/IP
Basé sur le filtrage des paquets
Possibilité (si mécanisme disponible) de filtrer les paquets suivant l’état de la connexion

8

Intérêt : Transparence pour les utilisateurs du réseau
17
24/03/2022

8


Pare-feu au niveau applicatif: (inetd, xinetd, . . . )

8


Firewall
fonctionnant au niveau le plus haut de la pile TCP/IP
Généralement basé sur des mécanisme de proxy
18
24/03/2022

8


Firewall
Intérêt : Possibilité d’interpréter le contenu du trafic

8


Firewall

Pare-feu des applications: (/etc/ftpaccess pour ftp, . . . )
19
24/03/2022

8


Firewall

Pare-feu des applications: (/etc/ftpaccess pour ftp, . . . )
Restrictions au niveau des différentes applications
Les différents types de filtrages.

9
Le filtrage simple de paquet (Stateless).

Le filtrage de paquet avec état (Stateful).
Le filtrage applicatif (ou pare-feu de type proxy ou proxying

applicatif).
20
24/03/2022

10
Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en

anglais « stateless packet filtering »):

10

Il analyse les en-têtes de chaque paquet de données (datagramme) échangé
entre une machine du réseau interne et une machine extérieure.
21
24/03/2022

10

les paquets de données échangée entre une machine du réseau extérieur et une
machine du réseau interne transitent par le pare-feu et possèdent les en-têtes
suivants, systématiquement analysés par le firewall :

10

les paquets de données échangée entre une machine du réseau extérieur et une
machine du réseau interne transitent par le pare-feu et possèdent les en-têtes
suivants, systématiquement analysés par le firewall :
adresse IP de la machine émettrice ;
adresse IP de la machine réceptrice ;
type de paquet (TCP, UDP, etc.) ;
numéro de port (un port est un numéro associé à un service ou une application réseau).
22
24/03/2022

11
Les adresses IP contenues dans les paquets permettent d'identifier la machine

émettrice et la machine cible.
Le type de paquet et le numéro de port donnent une indication sur le type de
service utilisé.
Le tableau ci-dessous donne des exemples de règles de pare-feu :
Règle Action IP source IP dest Protocol Port source Port dest
1 Accept 192.168.10.20 194.154.192.3 tcp any 25
2 Accept any 192.168.10.3 tcp any 80
3 Accept 192.168.10.0/24 any tcp any 80
4 Deny any any any any any

12
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à
des services courants
23
24/03/2022

12
Les
ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au
Web.

12
Lesports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au
Web.
La plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les
communications selon le port utilisé.
24
24/03/2022

12
Les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au
Web.
Il est généralement conseillé de bloquer tous les ports qui ne sont pas indispensables
(selon la politique de sécurité retenue).

12
Les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au
Web.
Il est généralement conseillé de bloquer tous les ports qui ne sont pas indispensables
(selon la politique de sécurité retenue).
Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu
car il correspond au protocole Telnet.
25
24/03/2022

13
Les limites:
Le premier problème vient du fait que l'administrateur réseau est rapidement
contraint à autoriser un trop grand nombre d'accès, pour que le pare-feu offre
une réelle protection.

13
Les limites:
Le premier problème vient du fait que l'administrateur réseau est rapidement
contraint à autoriser un trop grand nombre d'accès, pour que le pare-feu offre
une réelle protection.
Exemple: pour autoriser les connexions à Internet à partir du réseau privé,
l'administrateur devra accepter toutes les connexions Tcp provenant de l'Internet
avec un port supérieur à 1024. Ce qui laisse beaucoup de choix à un éventuel
pirate.
26
24/03/2022
Le filtrage de paquet avec état (Stateful)

14
Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP

indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle OSI.

14

de nombreux services (le FTP par exemple) initient une connexion sur un port statique,
mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin
d'établir une session entre la machine faisant office de serveur et la machine cliente.
27
24/03/2022

14


Problème: il est impossible avec un filtrage simple de paquets de prévoir les ports à
laisser passer ou à interdire.

14

Problème: il est impossible avec un filtrage simple de paquets de prévoir les ports à
laisser passer ou à interdire.
Pour y remédier, le système de filtrage dynamique de paquets est basé sur
l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des
transactions entre le client et le serveur et donc d'assurer la bonne circulation des
données de la session en cours.
28
24/03/2022

15
L'amélioration par rapport au filtrage simple, est la conservation de la trace

des sessions et des connexions dans des tables d'états internes au pare-feu.
Le pare-feu prend alors ses décisions en fonction des états de connexions, et
peut réagir dans le cas de situations protocolaires anormales.
Ce filtrage ne protège pas pour autant de l'exploitation des failles
applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités
représentent la part la plus importante des risques en terme de sécurité.
Une fois que l'accès à un service a été autorisé, il n'y a aucun contrôle effectué
sur les requêtes et réponses des clients et serveurs. Un serveur Http pourra
donc être attaqué
Le filtrage applicatif
16
Le filtrage applicatif permet de filtrer les communications application par

application.
Le filtrage applicatif opère au niveau 7 (couche application) du modèle OSI.
Le filtrage applicatif suppose donc une connaissance des protocoles utilisés
par chaque application.
29
24/03/2022
17
Un firewall effectuant un filtrage applicatif est appelé généralement «passerelle

applicative» (ou « proxy »).
17

Il
sert de relais entre deux réseaux en s'interposant et en effectuant une validation fine du contenu
des paquets échangés.
30
24/03/2022
17

Ilsert de relais entre deux réseaux en s'interposant et en effectuant une validation fine du contenu
Le proxy représente un intermédiaire entre les machines du réseau interne et le réseau externe,
subissant les attaques à leur place.
17

le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et de
connaître les failles afférentes pour être efficace.
31
24/03/2022
17

le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et de
connaître les failles afférentes pour être efficace.
Une analyse fine des données applicatives requiert une grande puissance de calcul et se
traduit donc souvent par un ralentissement des communications, chaque paquet devant être
finement analysé.
DMZ
18
Définition:
Une zone démilitarisée (DMZ) est un sous-réseau se trouvant entre le réseau local et le
réseau extérieur.
32
24/03/2022
DMZ
18
Définition:
réseau extérieur.
Propriétés :
Les connexions à la DMZ sont autorisées de n’importe où.
Les connexions à partir de la DMZ ne sont autorisées que vers l’extérieur.
DMZ
18
Définition:
réseau extérieur.
Propriétés :
Intérêt :
Rendre des machines accessible à partir de l’extérieur
(possibilité de mettre en place des serveurs (DNS, SMTP, . . . ).
33
24/03/2022
DMZ
18
Définition:
réseau extérieur.
Propriétés :
Intérêt :
Rendre des machines accessible à partir de l’extérieur
(possibilité de mettre en place des serveurs (DNS, SMTP, . . . ).
DMZ
19
La politique de sécurité mise en œuvre sur la DMZ est généralement la

suivante :
Trafic du réseau externe vers la DMZ autorisé ;
Trafic du réseau externe vers le réseau interne interdit ;
Trafic du réseau interne vers la DMZ autorisé ;
Trafic du réseau interne vers le réseau externe autorisé ;
Trafic de la DMZ vers le réseau interne interdit ;
Trafic de la DMZ vers le réseau externe refusé.
34
24/03/2022
Les différents Catégories de pare-feux.

20
Les pare-feux bridge

Les pare-feux matériels.
Les pare-feux logiciels.

21
Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus.
35
24/03/2022

21
Leurs interfaces ne possèdent pas d'adresse IP, et ne font que transférer les
paquets d'une interface a une autre en leur appliquant les règles prédéfinies.

21
Cette absence est particulièrement utile, car cela signifie que le pare-feu est
indétectable pour un hacker.
36
24/03/2022

21
Quand une requête ARP est émise sur le câble réseau, le pare-feu ne répondra
jamais. Ses adresses Mac ne circuleront jamais sur le réseau, et comme il ne fait
que « transmettre » les paquets, il sera totalement invisible sur le réseau.

21

Quand une requête ARP est émise sur le câble réseau, le pare-feu ne répondra
jamais. Ses adresses Mac ne circuleront jamais sur le réseau, et comme il ne fait
que « transmettre » les paquets, il sera totalement invisible sur le réseau.
Cela rend impossible toute attaque dirigée directement contre le pare-feu,
étant donné qu'aucun paquet ne sera traité par ce dernier comme étant sa
propre destination.
37
24/03/2022

22
Dans la plupart des cas, ces derniers ont une interface de configuration séparée. Un câble
vient se brancher sur une troisième interface, série ou même Ethernet, et qui ne doit être
utilisée que ponctuellement et dans un environnement sécurisé de préférence.
Ces pare-feux se trouvent typiquement sur les Switch.

22
Avantages:
Impossible de l'éviter (les paquets passeront par ses interfaces)
Peu coûteux
38
24/03/2022

22
Avantages:
Impossible de l'éviter (les paquets passeront par ses interfaces)
Peu coûteux
Inconvénients:
Possibilité de le contourner (il suffit de passer outre ses règles)
Configuration souvent contraignante
Les fonctionnalités présentes sont très basiques (filtrage sur adresse IP, port, le plus souvent
en Stateless).
Les pare-feux matériels

23
Ils sont sous la forme de boîtiers compacts.

En réalité, se sont de simples ordinateurs possédant leur propre système
d'exploitation et leur propre logiciel firewall.

Mais ils n'ont rien de différent d'un simple firewall installé sur un ordinateur.
39
24/03/2022
Les pare-feux matériels

24
Avantages:
Intégré au matériel réseau.
Administration relativement simple.
Bon niveau de sécurité.
Inconvénients:
Dépendant du constructeur pour les mises à jour.
Souvent peu flexibles.
Les pare-feux logiciels.

25
Présents à la fois dans les serveurs et les routeurs « faits maison », on peut
les classer en plusieurs catégories :
Les pare-feux personnels.
Les pare-feux plus « sérieux ».
40
24/03/2022
Les pare-feux personnels

26
Ils sont assez souvent commerciaux et ont pour but de sécuriser un ordinateur particulier, et
non pas un groupe d'ordinateurs.
Ils peuvent être contraignants et quelque fois très peu sécurisés.
Ils s'orientent plus vers la simplicité d'utilisation plutôt que vers l'exhaustivité, afin de rester
accessible à l'utilisateur final.

26
Avantages:
Sécurité en bout de chaîne (le poste client)
Personnalisable assez facilement
Capable de contrôler quels logiciels vont se connecter sur Internet (ce que ne sait pas faire un
firewall séparé).
41
24/03/2022

26

Avantages:
Sécurité en bout de chaîne (le poste client)
Personnalisable assez facilement
Capable de contrôler quels logiciels vont se connecter sur Internet (ce que ne sait pas faire un
firewall séparé).
Inconvénients:
Facilement contournable
Difficiles a départager de par leur nombre énorme.

27
Tournant généralement sous linux, car cet OS offre une sécurité réseau plus élevée et un
contrôle plus adéquat,
ils ont généralement pour but d'avoir le même comportement que les pare-feux matériels des
routeurs, à ceci prêt qu'ils sont configurables à la main.
Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux.
Toute fonctionnalité des pare-feux de routeurs est potentiellement réalisable sur une telle
plateforme.
42
24/03/2022

27
plateforme.
Avantages.
Personnalisables
Niveau de sécurité très bon

27
plateforme.
Avantages.
Personnalisables
Niveau de sécurité très bon
Inconvénients.
Nécessite une administration système supplémentaire
Ces pare-feux logiciels ont néanmoins une grande faille : ils n'utilisent pas la couche bas réseau.
43
24/03/2022
f1

28
Si un hacker parvient à s'introduire sur l'ordinateur, il pourra facilement désactiver le

firewall. (C'est beaucoup plus difficile quand le firewall est un ordinateur séparé)
Comme il fonctionne en même que les autres logiciels, il ralentit légèrement l'ordinateur.

28

Parmi les firewalls "personnels" :
Kerio Personal Firewall,

Sygate Personal Firewall,
ZoneAlarm,
Agnitum Outpost, Look'n Stop,...
44
Diapositive 87
f1 Il suffit donc de passer outre le noyau en ce qui concerne la

récupération de ces paquets, en utilisant une librairie spéciale,
pour récupérer les paquets qui auraient été normalement «
droppés » par le pare-feu. Néanmoins, cette faille induit de
s'introduire sur l'ordinateur en question pour y faire des
modifications... chose qui induit déjà une intrusion dans le
réseau, ou une prise de contrôle physique de l'ordinateur, ce
qui est déjà Synonyme d'inefficacité de la part du pare-feu.
flt; 19/03/2015
24/03/2022

28

Parmi les firewalls "personnels" :
Kerio Personal Firewall,

Sygate Personal Firewall,
ZoneAlarm,
Agnitum Outpost, Look'n Stop,...
On peut parfaitement imaginer d'avoir les 2 types de firewalls en même temps : un

firewall séparé pour protéger le réseau, et un firewall personnel pour protéger chaque
ordinateur.
Règles de sécurité des pare-feu

29
Les règles générales de sécurité à considérer pour les pare-feu sont les suivantes :
Tout accès externe au réseau d’entreprise est filtré en appliquant le principe suivant lequel
« tout ce qui n’est pas autorisé est interdit ».

Le niveau de profondeur du filtrage - couches OSI réseau (3), transport (4) et application
(7) - est décidé en fonction des besoins de sécurité. Le contrôle le plus fin s’effectue au
niveau applicatif.
Tout filtre détruit le trafic non autorisé sans donner de réponse aux requêtes préalablement
émises.
Tout trafic détruit par un filtre est stocké dans des journaux d’activité archivés à des fins
d’investigation de sécurité. De manière plus pratique, les règles de filtrage qui doivent
générer des journaux d’activité sont connues.
Les modifications des filtres sont décrites dans des procédures opérationnelles.
Les journaux d’activité font l’objet d’une analyse régulière.
45

Les Pare-Feu LP Arssi

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Les Pare-Feu LP Arssi

Transféré par

Droits d'auteur :

Formats disponibles

24/03/2022

Vigilance: Surveiller/tracer le trafic entre le réseau local et internet.

Comment le pare-feu fonctionne-t-il ?

Suivant des règles de filtrage prédéfinies ou configurées par l'utilisateur, un

Comment le pare-feu fonctionne-t-il ?

Suivant des règles de filtrage prédéfinies ou configurées par l'utilisateur, un

Des types de protocoles (TCP ou UDP),

Des numéros de ports associés à un service ou à une application (par exemple :

Comment le pare-feu fonctionne-t-il ?

Suivant des règles de filtrage prédéfinies ou configurées par l'utilisateur, un

Des types de protocoles (TCP ou UDP),

Des numéros de ports associés à un service ou à une application (par exemple :

Comment le pare-feu fonctionne-t-il ?

Un firewall, c'est une liste ordonnée de la forme:

Comment le pare-feu fonctionne-t-il ?

Un firewall, c'est une liste ordonnée de la forme:

Comment le pare-feu fonctionne-t-il ?

Un firewall, c'est une liste ordonnée de la forme:

Comment le pare-feu fonctionne-t-il ?

Un firewall, c'est une liste ordonnée de la forme:

Comment le pare-feu fonctionne-t-il ?

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Les actions peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Les actions peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Les actions peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Les actions peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Les actions peuvent être:

Comment le pare-feu fonctionne-t-il ?

Les règles peuvent être:

Les actions peuvent être:

Comment le pare-feu fonctionne-t-il ?

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

De bloquer la connexion (deny) ;

De rejeter la demande de connexion sans avertir l'émetteur (drop).

La plupart des firewalls travaillent au niveau des couches 4 (TCP, UDP...), 3

La plupart des firewalls travaillent au niveau des couches 4 (TCP, UDP...), 3

Certains firewalls sont capables de travailler au niveau de la couche 7

La plupart des firewalls travaillent au niveau des couches 4 (TCP, UDP...), 3

Certains firewalls sont capables de travailler au niveau de la couche 7

Différents types de firewalls