Université Abou Bakr Belkaid

Faculté des sciences / Département d’Informatique

Sécurité Informatique
Chapitre 4

Les Pare-feux
(Firewall)

Présenté par Mme Labraoui N.

Master 1 Réseaux et systèmes distribués
2023-2024
Pare-feux (‘firewalls’):
Architecture de base
 Pare-feux (‘firewalls’):
Définitions de base
 Firewall: en anglais un mur qui empêche la
propagation d’un incendie dans un bâtiment =>
français Parefeu

 Parefeu: est un système permettant de filtrer les

paquets de données échangés avec le réseau, il s’agit
ainsi d’une passerelle filtrante comportant au
minimum les interfaces réseau suivante :
 une interface pour le réseau à protéger (réseau interne)
 une interface pour le réseau externe.
Firewall logiciel / Firewall
matériel
Firewall et couche OSI
Ce que peut (ou ne peut) faire
Définir un politique de sécurité
1) Interdire tout par défaut
 Politiques de sécurité :
2) Autoriser tout par défaut
 Outils dans les pare-feux :
Les outils dans les pare-feux:
1. Filtres de paquets et de segments
2. Filtre applicatifs (proxy)
3. Hôte à double réseau
4. Bastions
5. Zone démilitarisée (DMZ)
Outils de pare-feux: filtrage de
paquets et de segment
 Architecture de pare-feu avec
routeur filtrant (‘screening router’)
 Outils dans les pare-feux :
2) Filtre applicatif (‘proxy’) (serveur
mandataire)
 Permet de rajouter des filtres sur les données propres
aux applications
 Par exemple : Nom d’utilisateur, adresse web ....
 On parle aussi de proxy applicatifs : Un proxy par
application à filtrer
 Outils dans les pare-feux :
2) Filtre applicatif (‘proxy’) (serveur
mandataire)
 Les proxys s’exécutent sur une machine dédiée située en générale dans
une zone particulière à l’entrée de l’Internet appelée zone démilitarisée
(DMZ)

 Règles de filtrage plus simple:

 Sur Routeur R1: filtre autorisation seulement Intranet <-> Passerelle
 Sur Routeur R2: filtre autorisation seulement Passerelle <-> Internet
 La machine sur laquelle tourne la passerelle peut héberger aussi des
serveurs accessibles de l’extérieur
 Exemple de Proxys
 Squid (open source) : web
 Privoxy : suppression des publicités, filtrage suivant le
contenu des pages ... (en plus de Squid)
 SSH Proxy (open source): dédié exclusivement à ssh –
Il existe des proxys publiques
 Proxy.free.fr (client du réseau Free)
 JanusVM: navigation anonyme et sécurisé
 JAP (Java Anon Proxy) (Open source)

 Intérêt: anonymat de la connexion, chiffrement, cache

...
Outils dans les pare-feux :
3) Hôte à double réseau
Architecture:hôte à double
réseau
Outils dans les pare-feux :
4) Bastion
Architecture de pare-feu avec
routeur filtrant et bastion
 Outils dans les pare-feux :Zone
Démilitarisée (DMZ): Réseau exposé
 Lorsque certaines machines du réseau interne ont
besoin d'être accessible de l'extérieur (comme c'est le
cas par exemple pour un serveur web, un serveur de
messagerie, un serveur FTP public, ...)
 il est souvent nécessaire de créer une nouvelle
interface vers un réseau à part, accessible aussi bien
du réseau interne que de l'extérieur, sans pour autant
risquer de compromettre la sécurité de l'entreprise. On
parle ainsi de zone démilitarisé (zone tampon)
 DMZ: DeMilitarized Zone, pour désigner cette
zone isolée hébergeant des applications mises à
disposition du public.
Zone Démilitarisée (DMZ)
Architecture DMZ
(1)
Architecture DMZ
(2)
Architecture de pare-feu avec
routeurs, bastions et DMZ
En association avec le pare-feu
:6) Traducteur d’adresses NAT
 Pare-feux
Filtrage des paquets et
des segments
 datagramme
IP avec un segment TCP
 Rappel sur TCP
 Seul le 1er paquet d’ouverture de connexion TCP
comporte le flag ACK à zéro

 On ne laisse passer de l’extérieur vers l’Intranet que les

paquets avec ACK=1
Zones importantes pour les
pare-feux (1)
Zones importantes pour les
pare-feux (2)
 Filtrage sur ouverture de
connexion TCP
 Filtre sur la valeur du flag ACK

 Seuls les paquets portant le flag ACK à 1 peuvent rentrer

dans l’Intranet, donc les demandes de connexions TCP ne
peuvent pas rentrer
 Filtrage impossible pour UDP et d’autres protocoles
 On peut préciser le protocole dans la règle de filtrage
 Filtrage multiple
 Autoriser l’accès depuis l’extérieur sur serveur WEB de
l’Intranet (sur 192.0.0.1)
 Autoriser toute sortie vers un serveur web à l’extérieur
Sémantique du filtrage des paquets
: Trois notions de direction (1)
Sémantique du filtrage des paquets
: Trois notions de direction (2)
Les trois étapes du filtrage :
Etape 1 : Spécification abstraite
 Les trois étapes du filtrage :
Etape 2: Etablir des règles précises
 Les trois étapes du filtrage :
Etape 3 : Configurer un outil précis
Exemple : iptable et filtrage
Exemple iptable et filtrage
Iptables et suivi des connexions
Iptables et suivi des connexions
Outils de diagnostic
Avantages des filtres de paquets
Inconvénients des
filtres de paquets