Institut Supérieur des Etudes ‫المعهد العالي للدّراسات التّـكنولوجيّة‬

Technologiques de Kasserine ‫بالقصرين‬

Département Informatique

Chapitre -4-
Le pare-feu

Nabila Rabhi

Année Universitaire: 2023-2024

Définition d’un pare-feu (1)

« Programme, ou un matériel, chargé de nous protéger du monde extérieur en

contrôlant tout ce qui passe, et surtout tout ce qui ne doit pas passer entre
internet et le réseau local »

• Le système firewall (appelé aussi coupe-feu, garde-barrière ou firewall en anglais),

est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant
un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs
réseaux externes
• Un coupe-feu permet de couper l’accès à un réseau local. C’est le seul point
d’accès à un réseau local à partir de l’extérieur.
• Un pare-feu est un logiciel et/ou un matériel, permettant de faire respecter
la politique de sécurité du réseau, celle-ci définissant quels sont les types de
communication autorisés sur ce réseau informatique.

2
Définition d’un pare-feu (2)

Un pare-feu est un système permettant de protéger un ordinateur ou un réseau

d'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet). Le
pare-feu est un système permettant de filtrer les paquets de données échangés
avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les
interfaces réseau suivante :
✓une interface pour le réseau à protéger (réseau interne) ;
✓une interface pour le réseau externe.

Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec
n'importe quel système pourvu que :
✓La machine soit suffisamment puissante pour traiter le trafic ;

3
Définition d’un pare-feu (3)

Pourquoi un firewall?

→ Contrôle : Gérer les connexions sortantes a partir du réseau local.

→ Sécurité : Protéger le réseau interne des intrusions venant de l’extérieur.
→ Vigilance : Surveiller/tracer le trafic entre le réseau local et internet.

4
Définition d’un pare-feu (4)

5
 Définition d’un pare-feu (5)
Un pare-feu (Firewall)
➢ La techniques employée: le contrôle d’accès qui est basé sur :

a) Notion de guichet : restriction de passage en un point précis et contrôle des requêtes.

b) Notion d’éloignement : empêcher un attaquant d’entrer dans un réseau protégé ou même

de s’approcher de trop prés de machines sensibles.

c) Notion de confinement : empêcher les utilisateurs internes de sortir du domaine protégé

sauf par un point précis.

6
Types de firewalls

Types de firewalls :
➢Pare-feu au niveau réseau (couche 3)
➢Pare-feu au niveau applicatif (couche 7)

1) Pare-feu niveau réseau. (iptables, paquet filter, . . . )

• Firewall fonctionnant à un niveau bas de la pile TCP/IP
• Basé sur le filtrage des paquets
→ Intérêt : Transparence pour les utilisateurs du réseau
2) Pare-feu au niveau applicatif
• Firewall fonctionnant au niveau le plus haut de la pile TCP/IP
• Généralement basé sur des mécanisme de proxy
Intérêt : Possibilité d’interpréter le contenu du trafic

7
 Types de firewalls
1- Pare-feu niveau réseau:
1.1 Pare-feu sans états (Stateless)

▪ Intervient sur les couches réseau et transport.

▪ Les plus anciens mais surtout les plus basiques qui existent. Ils font un contrôle de
chaque paquets indépendamment des autres en se basant sur les règles prédéfinies
par l'administrateur (généralement appelées ACL, Access Control Lists).

▪ Les règles de filtrages s'appliquent par rapport à une plage d’adresses IP sources ou
destination, mais aussi par rapport à un port source ou destination.
Les limites:

▪ Obligation d'ouvrir les ports > 1024 pour les connexions vers l'extérieur

▪ Les règles de filtrage de ces firewalls sont basées que sur des adresses IP
(risque de pirater ces règles) 88
 Types de firewalls

1.2 Pare-feu à états (stateful)

▪ Il est basé sur le principe stateful inspection: Il garde alors en mémoire les différents
attributs de chaque connexions (en amont et en aval).

▪ Ainsi il traite les paquets suivant les règles administrateur et aussi suivant l’état de la
session (Exemple :NEW, ESTABLISHED, RELATED, INVALID)

Les limites:

▪ Ne protège pas contre l'exploitation des failles applicatives,

99
 Types de firewalls
2- Pare-feu applicatif
▪ Fonctionne sur la couche 7 du modèle OSI

▪ Aussi nommé pare-feu de type proxy ou passerelle applicative

▪ Le firewall connaisse l'ensemble des protocoles utilisés par chaque application ; une
application dédiée pour chaque protocole exemple : un processus proxy HTTP

Les avantages:

▪ Permet d'effectuer une analyse beaucoup plus fine des informations

Les limites:

▪ Nécessité de connaître toutes les règles des protocoles qu‘on doit filtrer.

▪ Le firewall est très gourmand en ressource

10
10
Les outils dans les firewalls

1. Filtre de paquets et de segments

➢ Concerne le trafic échangé aux niveaux IP (paquets) et TCP/UDP (segments).

➢ Pour des raisons de sécurité il est souvent utile, voire indispensable d'effectuer
un filtrage au niveau des paquets IP qui transitent à travers un routeur. Ainsi, les
paquets de données échangés entre une machine du réseau extérieur et une
machine du réseau interne transitent par le pare-feu et possèdent des en-têtes
qui sont systématiquement analysés par le firewall :
✓adresse IP de la machine émettrice ;
✓adresse IP de la machine réceptrice ;
✓type de paquet (TCP, UDP, etc.) ;
➢ Ensemble de règles autorisant ou refusant un transfert combinant la plupart des
informations disponibles dans les messages : adresses sources destination…

11
Les outils dans les firewalls

1. Filtre de paquets et de segments

• Le filtrage s'effectue en analysant ces champs des paquets (provenant d’une

source/ un destinataire) qui transitent à travers le routeur. En général les règles de
filtrage sont analysées de manière séquentielle, dès qu'une règle correspond au
paquet analysé, elle est appliquée.
• Le filtrage des paquets peut être configuré par une politique qui détermine quels
paquets seront bloqués ou autorisés.
• Définition d’une politique de sécurité à capacités.

Avantages : solution peu coûteuse et simple agissant sur tous les types de
communications.
Les limites :
▪ Des règles de filtrage correctes et bien adaptées aux besoins peuvent être
difficiles à établir.
▪ Concerne que les niveaux 4 et 3

12
 Les outils dans les firewalls

1. Filtre de paquets et de segments

Exemple : Routeur filtrants (screening router)

13
Les outils dans les firewalls

2. Filtre applicatif (‘proxy’)

▪ Proxy de sécurité : analyse du trafic échangé au niveau application (niveau 7) pour

appliquer une politique de sécurité spécifique de chaque application.

▪ Un serveur proxy est nécessaire pour chaque protocole d’application SMTP, FTP,
HTTP, ... Parce qu’il faut interpréter les messages de façon différente pour chaque
application.

▪ Contrôle des droits : implique que chaque usager soit authentifié.

Avantages :

▪ On peut intervenir de manière fine sur chaque zone des charges utiles transportées
au niveau applicatif..

Les limites :
14
▪ Une solution coûteuse car il faut définir des droits complexes.
 Les outils dans les firewalls

3. Hôte à double réseau (DUAL HOMED HOST)

▪ Hôte qui possède au moins deux interfaces réseaux (qui interconnecte au moins deux
réseaux).

▪ Propriété: Si un hôte connecte deux sous réseaux, Et s’il n’est pas configuré en routeur.

→Il est impossible à un paquet de passer d’un réseau à l’autre sans être traité au niveau
applicatif.

→C’est un proxy incontournable.

1515
Les outils dans les firewalls

5. Zone démilitarisée (réseau exposé)

✓ En informatique, une zone démilitarisée est un sous-réseau séparé

du réseau local et isolé de celui-ci et d'Internet par un pare-feu. Ce sous-
réseau contient les machines étant susceptibles d'être accédées depuis
Internet.
✓ Dans certains sites, on place les serveurs liés aux services Internet dans
une « zone démilitarisée » (DMZ), les accès en provenance d’Internet ne
peuvent voir que ces machines et les utilisateurs de l’entreprise doivent
passer par les machines de la DMZ pour accéder à Internet. Et les services
susceptibles d'être accédés depuis Internet seront situés en DMZ (HTTP,
DNS, SMTP, FTP…)
✓ En cas de compromission d'un des services dans la DMZ, le pirate n'aura
accès qu'aux machines de la DMZ et non au réseau local.
▪ La zone démilitarisée est plus ouverte sur le réseau externe que le réseau
interne. Elle dessert les systèmes exposés à l’extérieur : principalement les
bastions 16
 Les outils dans les firewalls
5. Zone démilitarisée (réseau exposé)
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de
l'extérieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il
est souvent nécessaire de créer une nouvelle interface vers un réseau à part,
accessible aussi bien du réseau interne que de l'extérieur, sans pour autant
risquer de compromettre la sécurité de l'entreprise. On parle ainsi de « zone
démilitarisé » (notée DMZ pour DeMilitarized Zone) pour désigner cette zone
isolée hébergeant des applications mises à disposition du public. La DMZ fait ainsi
office de « zone tampon » entre le réseau à protéger et le réseau hostile.

17
Les outils dans les firewalls

5. Zone démilitarisée (réseau exposé)

18
Les outils dans les firewalls

6. Traducteur d’adresses NAT

La plupart des pare-feu implémentent le Network Address Translation (NAT)

(« translation d'adresse réseau ») pour permettre à plusieurs machines de partager une
seule adresse IP publique. En fait, il fait la correspondance des adresses IP internes non
uniques et souvent non routables d'un intranet à un ensemble d'adresses externes
uniques et routables. Ce mécanisme permet notamment de faire correspondre une
seule adresse externe publique visible sur Internet à toutes les adresses d'un réseau
privé. Solution introduite pour économiser des adresses IP V4.

19
Fonctionnement

Le Filtrage des paquets

Un coupe-feu permet d’arrête ou retirer une partie de la circulation sur un

réseau.

Il est habituellement placé sur la connexion entre le réseau local et

l’Internet. Le trafic de réseau doit donc passer par celui-ci pour relier le
réseau local à l’Internet.

La manière la plus simple d’utiliser un coupe-feu consiste à lui demander

de couper toute communication qui tente de se connecter à une machine
qu’on ne veut pas voir communiquer avec l’extérieur.

20
 Fonctionnement

Le Filtrage des paquets

1. Notion de direction
▪ La direction de filtrage est associée au réseau à protéger.
Direction sortante

Direction entrante

Les règles de filtrage ne sont pas symétriques : on donne des droits à un hôte
interne vers l’extérieur et on refuse ces droits de l’extérieur vers l’intérieur.
24
21
 Fonctionnement
Le Filtrage des paquets
1. Notion de direction
▪ Position du filtrage dans un routeur filtrant selon l’interface.

Routeur filtrant
Paquet entrant Paquet entrant
Paquet sortant Paquet sortant

Paquet entrant / Paquet sortant

22
22
 Fonctionnement
Le Filtrage des paquets
1. Notion de direction
▪ La direction de filtrage selon le sens de connexion.

o La direction concerne des connexions TCP ou des services applicatifs (client/serveur).

o Règles concernant des services entrants / des services sortants

Introduction dans certains filtres d’une sémantique de sens dans l’expression des
règles de filtrage (paquet entrant/sortant)

23
23
 Fonctionnement
Le Filtrage des paquets
2. Les étapes de filtrage
a) Etape 1: La spécification abstraite.
▪ Définir abstraitement la politique de sécurité :
Définir ce qui est autorisé et ce qui est interdit
o Choisir une politique d’ensemble:
Solution 1: Tout ce qui n’est pas explicitement autorisé est interdit.
Solution 2 :Tout ce qui n’est pas explicitement interdit est autorisé.

24
24
 Fonctionnement
Enoncer des règles:
Un système pare-feu contient un ensemble de règles prédéfinies :
Les règles de filtrage qui déterminent le devenir des paquets grâce à une police qui
peut être : ACCEPT, REJECT, DENY, MASQ.
Les règles sont groupées en chaînes qui peuvent être celles de base : input,
forward, output ou d’autres définies par l’utilisateur. Les règles de filtrage du pare
feu doivent être les plus simples et donc les plus compréhensibles possible afin
d’éviter toute erreur de la part de l’administrateur.

Ces règles permettant :

•D'autoriser la connexion (accept) ;
•De bloquer la connexion (deny) ;
•De rejeter la demande de connexion sans avertir l'émetteur (drop).

25
 Fonctionnement
Les polices de base :
ACCEPT : le paquet est accepté
REJECT : le paquet est rejeté avec envoi d’un message d’explication ICMP
DROP : le paquet est rejeté en mode silencieux

Par défaut, il n’y a aucun filtrage, c’est-`a-dire que toutes les trames sont acceptées,
reroutées et envoyées.
On peut filtrer finement, soit par l’adresse IP, soit par le port, mais il serait
beaucoup trop long de donner une liste exhaustive de tout ce qui existe. Une
première étape est de choisir ce qui est appelé la politique de filtrage :
– Si on rejette peu d’éléments, le mieux est de commencer
par tout accepter, puis d’indiquer individuellement ce que
l’on n’accepte pas.
– Si on est très précautionneux et que l’on rejette beaucoup,
le mieux est de commencer par tout rejeter, puis d’indiquer
individuellement ce que l’on accepte.
26
Fonctionnement

Les paquets entrants dans le pare-feu arrivent automatiquement dans la

chaîne input. Ceux qui sont émis par le pare-feu, passent dans la chaîne
output. Et ceux qui sont retransmis passent par la chaîne forward.
Un paquet qui entre dans une chaîne teste toutes les règles de la chaîne
jusqu’à en trouver une qui lui corresponde. Et il obéit à la police spécifiée
par la règle trouvée.

Si aucune règle s’appliquant au paquet n’a été trouvée, alors c’est la police
par défaut de la chaîne qui est utilisée pour savoir que faire de ce paquet.
Il est donc important, avant de créer les règles, de définir la police par
défaut d’une chaîne.
Par sécurité, on applique REJECT en entrée (input) et en sortie (output) et
DROP en redirection (forward).

27
 Fonctionnement

Le filtrage permet de limiter le trafic au services utiles.

Plusieurs types de filtrage:

➢Filtrage par : IP source ou destination

➢Filtrage par : Protocoles (TCP, UDP, ICMP,…etc)
➢Filtrage par : Drapeaux spéciaux du paquet TCP
➢Filtres Applicatifs (proxy HTTP, FTP, SMTP,…etc)

Exemples

- Autoriser un hôte interne à recevoir du courrier électronique de toute provenance

parce que c’est un serveur de courrier smtp.

- Interdire à un hôte externe précis d’envoyer du courrier SMTP à un serveur de

courrier interne parce qu'il est en liste noire.

28
 Fonctionnement
Le Filtrage des paquets
2. Les étapes de filtrage
b) Etape 2: Etablir des règles précises.
▪ Traduire la politique de sécurité en des règles précises concernant des
communications IP :
Règle interdisant tout par défaut

Règle autorisant la réception du courrier par un serveur

Règle interdisant l’émission par un serveur de courrier suspect

29
29
 Fonctionnement
Le Filtrage des paquets
2. Les étapes de filtrage
c) Etape 3: Configurer un outil précis
▪ Rentrer les règles dans un pare-feu réel en utilisant la syntaxe et la sémantique
de l’interface de l’outil.

o Sémantique la plus fréquente : exploitation des règles dans l’ordre.

o La première règle satisfaite provoque l’autorisation de la transmission ou la

destruction du datagramme.

o En fait un pare-feu interprète un programme qui est une suite d’instruction de format:
si (condition sur datagramme) alors action (autoriser/interdire).

▪ Transformer les règles dans la syntaxe du pare-feu disponible

Exemple :Syntaxe de règle avec le pare-feu LINUX (iptables) 30

30
Fonctionnement

Syntaxe : Pour choisir la politique de filtrage, on utilise la commande :

# iptables -P chain policy
Où « chain » est le nom d’une chaîne (input, output, forward) et « policy » est l’une
des deux valeurs ACCEPT (pour tout accepter sauf ce qui sera explicitement rejeté) ou
DROP (pour tout rejeter sauf ce qui sera explicitement accepté). (P: affectation d’une
police)
Exemple: la politique de filtrage « interdire tout »

# iptables –P INPUT DROP

# iptables –P OUTPUT DROP
# iptables –P FORWARD DROP

31
 Avantages et inconvéneints de filtrage des paquets

Avantages de filtrage des paquets

▪ Un filtre de paquets peut protéger en un seul dispositif tout un réseau
d’entreprise.

▪ La mise en place du filtre peut être réalisée par l’équipe système

indépendamment des usagers qui gèrent les postes clients ou serveurs.

▪ Les filtres de paquets sont très répandus dans tous les routeurs sous
forme de logiciels filtres.

32
 Avantages et inconvéneints de filtrage des paquets

Inconvénients de filtrage des paquets

▪ Le filtrage de paquets pose des problèmes de mise en œuvre.
- Règles difficiles à définir.
- Règles difficiles à assembler en une suite cohérente.
- Fonctionnalités des filtres dont on dispose spécifiques ou incomplètes ou difficiles à
comprendre.

33
• Chaînes
– création N
– vidage F
– suppression X
– affectation d’une police P
– affichage L
• Règles
– ajout en fin de liste A
– suppression D
– remplacement R

34
Règles de filtrage:

1) Filtrage généraux

Syntaxe : Un filtrage général permet d’accepter (ou de rejeter) :

– Tous les paquets d’une interface réseau donnée (en entrée ou en sortie) :
# iptables -A chain -i interface [jump]
# iptables -A chain -o interface [jump]
Où -i (interface in) -o (interface out). Pour la première règle, la chaîne ne
peut être que INPUT, FORWARD et pour la seconde que OUTPUT,
FORWARD.
– Une adresse IP source ou destination donnée :
# iptables -A chain -s interface [jump]
# iptables -A chain -d interface [jump]
Où -s (source) -d (destination).
– Un protocole donné :
# iptables -A chain -p protocol [jump]
35
• Exemple:
Question
Accepter les paquets TCP venant sur l’interface eth2 et destinée au pare-
feu, qui a l’adresse IP 172.16.42.1 ?
Réponse :
# iptables -A INPUT -i eth2 -d 172.16.42.1 -p TCP -j ACCEPT

36
2) Filtrage TCP
Syntaxe : Un filtrage TCP permet d’accepter (ou de rejeter) :
✓ Suivant le port source ou destination
# iptables -A chain -p tcp --sport port [jump]
# iptables -A chain -p tcp --dport port [jump]]
Où –p désigne le type de protocole et –sport le port source et –dport le port
destination.
• Exemple: Autoriser seulement l’envoi de courriers électronique
# iptables -A INPUT -p tcp --sport 25 -j ACCEPT
# iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT

37
3) Filtrage UDP

Syntaxe : Un filtrage UDP permet d’accepter (ou de rejeter) suivant le port source
ou le port de destination :
# iptables -A chain -p udp --sport port [jump]
# iptables -A chain -p udp --dport port [jump]

38