Vous êtes sur la page 1sur 9

Un pare-feu1, ou firewall (de l'anglais), est un logicielet/ou un matriel, permettant de faire respecter lapolitique de scurit du rseau, celle-ci dfinissant

quels sont les types de communication autoriss sur cerseau informatique. Il mesure la prvention des applications et des paquets.
Sommaire
[masquer]

1 Terminologie 2 Origine du terme 3 Fonctionnement gnral 4 Catgories de pare-feu o 4.1 Pare-feu sans tat (stateless firewall) o 4.2 Pare-feu tats (stateful firewall) o 4.3 Pare-feu applicatif o 4.4 Pare-feu identifiant o 4.5 Pare-feu personnel o 4.6 Portail captif 5 Technologies utilises 6 Notes et rfrences 7 Voir aussi o 7.1 Articles connexes o 7.2 Liens externes

Terminologie

[modifier]

Un pare-feu est parfois appel coupe-feu, garde-barrire, barrire de scurit, ou encore firewall. Dans un environnement BSD, un pare-feu est aussi appel packet filter.

Origine du terme

[modifier]

Le terme peut avoir plusieurs origines : le pare-feu ou coupe-feu est au thtre un mcanisme qui permet, une fois dclench, d'viter au feu de se propager de la salle vers la scne. Le mot fait aussi rfrence aux alles pare-feux qui en fort sont destines bloquer lesincendies de fort, ou dans le domaine de l'architecture aux portes coupe-feux. L'usage du terme pare-feu en informatique est donc mtaphorique : une porte empchant les flammes de l'Internet de rentrer chez soi et/ou de contaminer un rseau informatique.

Fonctionnement gnral

[modifier]

Pare-feu passerelle entre LAN et WAN

Pare-feu routeur, avec une zone DMZ

Le pare-feu tait jusqu' ces dernires annes considr comme une des pierres angulaires de lascurit d'un

rseau informatique (il perd en importance au fur et mesure que les communications basculent vers le HTTP sur SSL, court-circuitant tout filtrage). Il permet d'appliquer une politique d'accs aux ressources rseau (serveurs). Il a pour principale tche de contrler le trafic entre diffrentes zones de confiance, en filtrant les flux de donnes qui y transitent. Gnralement, les zones de confiance incluent Internet (une zone dont la confiance est nulle) et au moins un rseau interne (une zone dont la confiance est plus importante). Le but est de fournir une connectivit contrle et matrise entre des zones de diffrents niveaux de confiance, grce l'application de la politique de scurit et d'un modle de connexion bas sur leprincipe du moindre privilge. Le filtrage se fait selon divers critres. Les plus courants sont :

l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface rseau, etc.) ; les options contenues dans les donnes (fragmentation, validit, etc.) ; les donnes elles-mmes (taille, correspondance un motif, etc.) ; les utilisateurs pour les plus rcents.

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le rseau en plusieurs zones de scurit

appeles zones dmilitarises ou DMZ. Ces zones sont spares suivant le niveau de confiance qu'on leur porte. Enfin, le pare-feu est galement souvent extrmit de tunnel IPsec ou SSL. L'intgration du filtrage de flux et de la gestion du tunnel est en effet ncessaire pour pouvoir la fois protger le trafic en confidentialit et intgrit et filtrer ce qui passe dans le tunnel. C'est le cas notamment de plusieurs produits du commerce nomms dans la liste cidessous.

Catgories de pare-feu

[modifier]

Les pare-feu sont un des plus vieux quipements de scurit et, en tant que tels, ils ont t soumis de nombreuses volutions. Suivant la gnration du pare-feu ou son rle prcis, on peut les classer en diffrentes catgories.

Pare-feu sans tat (stateless firewall)[modifier]


C'est le plus vieux dispositif de filtrage rseau, introduit sur les routeurs. Il regarde chaque paquet indpendamment des autres et le compare une liste de rgles prconfigures. Ces rgles peuvent avoir des noms trs diffrents en fonction du pare-feu :

ACL pour Access Control List (certains parefeu Cisco), politique ou policy (pare-feu Juniper/Netscreen),

filtres, rgles ou rules, etc.

La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des machines tats des protocoles rseaux ne permet pas d'obtenir une finesse du filtrage trs volue. Ces pare-feu ont donc tendance tomber en dsutude mais restent prsents sur certains routeurs ou systmes d'exploitation.

Pare-feu tats (stateful firewall)[modifier]


Certains protocoles dits tats comme TCP introduisent une notion de connexion. Les pare-feu tats vrifient la conformit des paquets une connexion en cours. Cest-dire qu'ils vrifient que chaque paquet d'une connexion est bien la suite du prcdent paquet et la rponse un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les paquets ICMP qui servent la signalisation des flux IP. Enfin, si les ACL autorisent un paquet UDP caractris par un quadruplet (ip_src, port_src, ip_dst, port_dst) passer, un tel pare-feu autorisera la rponse caractrise par un quadruplet invers, sans avoir crire une ACL inverse. Ceci est fondamental pour le bon fonctionnement de tous les protocoles fonds sur l'UDP, comme DNS par exemple. Ce mcanisme apporte en fiabilit puisqu'il est plus slectif quant la nature du trafic autoris. Cependant dans le cas d'UDP, cette caractristique peut tre utilise pour tablir

des connexions directes (P2P) entre deux machines (comme le fait Skype par exemple).

Pare-feu applicatif[modifier]
Dernire mouture de pare-feu, ils vrifient la complte conformit du paquet un protocole attendu. Par exemple, ce type de pare-feu permet de vrifier que seul du HTTP passe par le portTCP 80. Ce traitement est trs gourmand en temps de calcul ds que le dbit devient trs important. Il est justifi par le fait que de plus en plus de protocoles rseaux utilisent un tunnel TCP pour contourner le filtrage par ports. Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles comme le fameux FTP en mode passif changent entre le client et le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles sont dits contenu sale ou passant difficilement les pare-feu car ils changent au niveau applicatif (FTP) des informations du niveau IP (change d'adresses) ou du niveau TCP (change de ports). Ce qui transgresse le principe de la sparation des Couches rseaux. Pour cette raison, les protocoles contenu sale passent difficilement voire pas du tout les rgles de NAT dynamiques, moins qu'une inspection applicative ne soit faite sur ce protocole. Chaque type de pare-feu sait inspecter un nombre limit d'applications. Chaque application est gre par un module diffrent pour pouvoir les activer ou les dsactiver. La

terminologie pour le concept de module est diffrente pour chaque type de pare-feu :

Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur Linux Netfilter CBAC sur Cisco IOS Fixup puis inspect sur Cisco PIX ApplicationLayerGateway sur Proventia M, Predefined Services sur Juniper ScreenOS Stateful Inspection sur Check Point FireWall-1 Deep Packet Inspection sur Qosmos Web Application Firewall sur BinarySEC

Pare-feu identifiant[modifier]
Un pare-feu identifiant ralise lidentification des connexions passant travers le filtre IP. L'administrateur peut ainsi dfinir les rgles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC, et suivre l'activit rseau par utilisateur. Plusieurs mthodes diffrentes existent qui reposent sur des associations entre IP et utilisateurs ralises par des moyens varis. On peut par exemple citer authpf (sous OpenBSD) qui utilise ssh pour faire l'association. Une autre mthode est l'identification connexion par connexion (sans avoir cette association IP=utilisateur et donc sans compromis sur la scurit), ralise par exemple par la suite NuFW, qui permet d'identifier galement sur des machines multiutilisateurs.

On pourra galement citer Cyberoam qui fournit un pare-feu entirement bas sur l'identit (en ralit en ralisant des associations adresse MAC = utilisateur) ou Check Point avec l'option NAC Blade qui permet de crer des rgles dynamiques base sur l'authentification Kerberos d'un utilisateur, l'identit de son poste ainsi que son niveau de scurit (prsence d'antivirus, depatchs particuliers).

Pare-feu personnel[modifier]
Article dtaill : Pare-feu personnel.

Les pare-feu personnels, gnralement installs sur une machine de travail, agissent comme un pare-feu tats. Bien souvent, ils vrifient aussi quel programme est l'origine des donnes. Le but est de lutter contre les virus informatiques et les logiciels espions.

Portail captif[modifier]
Les portails captifs sont des pare-feu dont le but est d'intercepter les usagers d'un rseau de consultation afin de leur prsenter une page spciale (avertissement, charte, demande d'authentification, etc.) avant de les laisser accder Internet. Ils sont utiliss pour assurer la traabilit des connexions et/ou limiter l'utilisation abusive des moyens d'accs. On les dploie essentiellement dans le cadre de rseaux de consultation Internet mutualiss filaires ou WiFi.

Technologies utilises

[modifier]

Les pare-feu rcents embarquent de plus en plus de fonctionnalits, parmi lesquelles on peut citer :

Filtrage sur adresses IP / protocole, Inspection stateful2 et applicative, Intelligence artificielle pour dtecter le trafic anormal, Filtrage applicatif : HTTP (restriction des URL accessibles), Courriel (Anti-pourriel), Logiciel antivirus, anti-logiciel malveillant Traduction d'adresse rseau, Tunnels IPsec, PPTP, L2TP, Identification des connexions, Serveurs de protocoles de connexion (telnet, SSH), de protocoles de transfert de fichier (SCP), Clients de protocoles de transfert de fichier (TFTP), Serveur Web pour offrir une interface de configuration agrable, Serveur mandataire ( proxy en anglais), Systme de dtection d'intrusion ( IDS en anglais) Systme de prvention d'intrusion ( IPS en anglais)