Introduction

Objectifs
Bonjour, après avoir fini les apprentissages de la semaine vous comprendrez les raisons de l’apparition
des outils de filtrage ainsi que le service que l’on en attend.

Vous connaitrez également le vocabulaire principal utilisé dans les outils de filtrage ainsi que le format
général des politiques utilisées par ces outils.

Enfin vous connaitrez les grandes catégories d’outils existants et comprendrez pourquoi elles
n’apportent pas le même bénéfice en termes de sécurité.

Historique
Les premiers pare-feux datent de la fin des années 80. A cette époque l’interconnexion des réseaux au
travers d’un réseau ouvert, l’Internet met en évidence la faiblesse des systèmes connectés. Les
systèmes d’exploitation populaires à l’époque, tels que Windows ou DOS ainsi que les applications ne
prenaient pas en compte les problématiques de sécurité.

Faute de pouvoir les améliorer rapidement et à un coût raisonnable on choisit de limiter l’accessibilité
du réseau en installant des équipements intermédiaires, les pare-feux.
Un peu à la manière d’un château fort protégeant ses occupants, ceux-ci créent une frontière
permettant le contrôle des communications entre les équipements protégés situés à l’intérieur du
périmètre de sécurité et le reste du monde. Bien sur on attend des pare-feux qu’ils soient plus
résistants en termes de sécurité qu’un autre équipement. Cette résistance peut être acquise par
différentes méthodes ; contrôle d’accès physique, limitation des fonctionnalités et des utilisateurs,
utilisation de méthodes de développement sécurisées,

Types de pare-feux

Les pare-feux ont évolué au fil du temps. Leurs fonctions se sont enrichies et ont été intégrées à une
grande variété d’équipements réseaux (commutateurs, PCs, routeurs, serveurs, …). De ce fait nous
parlerons par la suite d’équipements de filtrage, ce terme désignant tous les équipements intégrant
une certaine capacité de contrôle des communications en fonction d’une politique de sécurité.
Il existe aujourd’hui des dizaines de milliers de produits implémentant des fonctions de filtrage. Il est
évidemment impossible de décrire l’intégralité des fonctions qu’ils implémentent. Nous allons donc,
dans un premier temps décrire des caractéristiques assez grossières telles que le niveau protocolaire
ou l’action par défaut qui permettent de classer les outils existants. Nous utiliserons ensuite cette
classification dans le reste de la semaine.

Le contrôle réalisé par les équipements de filtrage au niveau du périmètre de sécurité consiste
typiquement à comparer les communications avec une politique de filtrage définissant celles
autorisées et celles interdites.

Niveau Protocolaire
Ces communications peuvent être contrôlées à plusieurs niveaux protocolaires suivant le type
d’équipement de filtrage considéré. Les filtres au niveau de la couche liaison utilisent les adresses
MAC, l’identifiant de protocole ou l’étiquette de VLAN pour prendre une décision. On trouve
principalement ce type de filtres dans les commutateurs.

Les filtres de niveau réseau que l’on trouve dans les routeurs utilisent les champs des en-têtes de
niveau IP et de niveau transport tels que les adresses IP ou les numéros de ports TCP/UDP.

Les filtres de niveau circuit utilisent en complément de ces informations, des informations sur les
paquets ayant circulés dans le passé afin de vérifier que les communications sont conformes aux règles
des protocoles de niveau transport. On trouve ce type de filtre dans les routeurs, proxies et pare-feux
spécialisés.

Enfin les filtres de niveau application sont les plus divers. Ils utilisent les champs applicatifs afin de
prendre des décisions. On peut les trouver dans des routeurs évolués, serveurs, proxies et pare-feux
spécialisés. Comme on peut le voir, certains équipements implémentent des fonctions de filtrage à
plusieurs niveaux.
Politique de filtrage
Par la suite nous verrons un assez grand nombre d’outils de filtrage. Chacun possède son langage de
configuration.

Malgré de nombreuses tentatives aucun langage standardisé ne s’est véritablement imposé. Nous
utiliserons donc une représentation ad-hoc souvent utilisée dans les ouvrages portant sur le filtrage
pour les politiques utilisant le concept de règles.

Dans celle-ci on suppose que la politique est exprimée sous la forme d’un tableau dans lequel chaque
ligne représente une règle.

Chaque colonne du tableau à l’exception de la dernière correspond à un type de condition pouvant

correspondre à un champ des unités de données traitées par le filtre ou à la façon dont cette unité de
donnée est traitée (reçue, émise, …).

Enfin la dernière colonne indique l’action ou les actions à appliquer si l’ensemble des conditions
associées à une ligne sont vraies pour une unité de donnée.

On suppose par ailleurs que lors de la comparaison les règles sont examinées du haut en bas ce qui
implique que les règles du haut du tableau sont plus prioritaires que celles du bas.

Exemple de politique
Par exemple la politique que nous voyons ici exprime deux règles. La règle R1 s’applique aux paquets IP
dont l’adresse source IP est 192.168.1.1, l’adresse de destination fait partie du réseau 192.168.2.0/24
et la valeur du champ protocole de l’en-tête IP correspond à TCP. Ces paquets sont autorisés à
traverser le filtre. La règle R2 s’applique aux paquets dont l’adresse IP source est 192.168.1.1, l’adresse
de destination peut prendre n’importe quelle valeur et la valeur du champ protocole de l’en-tête IP
correspond à TCP. Ces paquets ne sont pas autorisés à traverser le filtre.
On peut facilement constater que si les deux règles étaient ici interverties, R1 ne s’appliquerait jamais.
L’ordre des règles est donc particulièrement important.

Action par défaut

Lors de l’utilisation d’une politique de filtrage, un outil peut se trouver confronté à la situation où
aucune règle ne correspond au contenu de l’unité de donnée. Une action par défaut est alors
appliquée. Les actions les plus courantes sont l’autorisation et l’interdiction.

L’action par défaut a une certaine influence sur la façon dont la politique va être construite. Ainsi
lorsque l’action par défaut est l’autorisation, on parle de modèle négatif et la majeure partie des règles
vont décrire des interdictions. On cherche au travers de celles-ci à bloquer les communications
considérées comme malveillantes. Ceci suppose de connaître à priori toutes celles-ci et de pouvoir les
décrire sous la forme d’une politique de filtrage.

Dans le cas d’une action par défaut d’interdiction, on parle de modèle positif et la majeure partie des
règles va décrire des autorisations. Par celles-ci on cherche typiquement à laisser passer les
communications légitimes. Ceci suppose de connaître les besoins en termes de communication des
applications des utilisateurs du réseau et de pouvoir les décrire sous la forme d’une politique de
filtrage.

Surface d’attaque
Quel que soit le type de politique à mettre en œuvre, il n’est typiquement pas possible au travers du
système de filtrage de décrire les communications à bloquer ou à autoriser avec une précision parfaite
du fait de limites des outils utilisés. A cette problématique se combine le fait que l’être humain étant
faillible, il est également possible que les règles définies soient trop ou pas assez restrictives par
rapport à l’objectif recherché. Enfin l’ensemble des attaques existantes n’est typiquement pas connu
par les personnes définissant une politique. Ces phénomènes vont amener la politique soit à bloquer
des communications sans danger, soit à laisser passer du trafic malveillant selon l’action par défaut
associée à la politique.

L’ensemble des communications qui peuvent circuler au travers du périmètre de sécurité est appelé
surface d’attaque. Plus la surface d’attaque est grande, plus un attaquant potentiel a la capacité de
faire circuler des communications malveillantes permettant de compromettre des applications,
services ou équipements à l’intérieur du périmètre de sécurité.

Comparaison des types de politiques

La mise en œuvre de la politique de filtrage doit tenter dans le modèle négatif de bloquer le plus petit
sur-ensemble de communications recouvrant les communications malicieuses afin de ne pas perturber
des communications légitimes. Par ailleurs les communications malveillantes représentant une petite
proportion de toutes les communications possibles, la surface bloquée est typiquement faible.
Dans le modèle positif l’objectif est de limiter les communications autorisées au minimum nécessaire.

De ce fait la surface d’attaque est typiquement plus grande pour les politiques utilisant le modèle
négatif. Les politiques utilisant le modèle positif sont donc généralement considérées comme plus
protectrices.

On peut se demander alors pour quelles raisons on pourrait avoir envie d’utiliser le modèle négatif. Il y
en a plusieurs : On peut désirer laisser aux utilisateurs un maximum de liberté, un opérateur réseau
vis-à-vis de ses clients, ou dans un environnement de laboratoire où des expérimentations doivent être
réalisées. On peut également avoir envie d’utiliser ce type de politique en complément du modèle
positif.