Vous êtes sur la page 1sur 21

Master Professionnel dInformatique

Cours de Services Rseaux Chap 4 : Les Firewall Pare-feux 1re partie Principes fondamentaux

I. NIANG

SOMMAIRE
4.1 Introduction Rle des pare-feux Types de protection 4.2 les diffrents types de filtrage 4.3 les diffrents types de Pare-feux 4.4 Les architectures de Pare-feux

I. . Niang , Cours Services rseaux Parefeux

4.1 Introduction
Pourquoi un Pare-feux?
lment permettant de trier parmi les flux rseaux en bloquant certains et autorisant d'autres. Un Pare-feux (Firewall) est un systme qui filtre les change Diffrents types de Firewalls:
Firewalls personnels
Protge la machine sur laquelle il est install.

Firewalls (tout court)


Effectue du routage inter-zones tout en appliquant des rgles de filtrage. En gnral se place en coupure entre le rseau del'entreprise et Internet.
I. . Niang , Cours Services rseaux Parefeux

4.1 Introduction
Diffrents types de Firewalls:
Les pare-feux qui isolent deux rseaux. Leur rle est de restreindre les accs provenant de lextrieur (par exemple dInternt vers notre LAN). Ils peuvent aussi interdire des changes issus de lintrieur (du LAN vers Internet) Les pare-feux qui isolent les applications du rseau. Ces pare-feux sont locaux un poste de travail ou un serveur. Ils interdisent soit des connexions provenant du rseau soit des changes issus des applications locales
I. . Niang , Cours Services rseaux Parefeux

4.1 Introduction
Rle des Pare-feux
Filtrage en entre : Les pare-feux examinent tous les paquets en
entrants, choisissant de les accepter ou de les bloquer selon leur nature. On appelle cette fonction filtrage en entre.

Filtrage en sortie : Le filtrage en sortie sapplique aux paquets


circulant de lintrieur du rseau vers lextrieur du rseau. Cette mesure de protection permet notamment dempcher les connexions non autorises des serveurs externes.
Exemple : Considrons un site web d'adresse 10.0.0.1 auquel nous voulons autoriser l'accs: autoriser le trafic venant de n'importe o vers 10.0.0.1 en tcp sur le port 80 rejeter tout le reste
I. . Niang , Cours Services rseaux Parefeux

4.1 Introduction Les types de protections


Inspections des paquets Les paquets entrants sont gnralement dots dun en-tte IP suivi dun en-tte TCP, UDP ou ICMP. Linspection des paquets porte principalement sur le contenu de ces champs den-tte. Inspections dapplications Les pare-feux inspectent le contenu des champs de donnes TCP et UDP laide de logiciels appels relais applicatifs ou proxy.

I. . Niang , Cours Services rseaux Parefeux

4.1 Introduction
Les types de protections
Translation dadresse rseau
Elle consiste utiliser un systme de translation dadresses rseau, qui modifie les adresses IP dorigine des paquets entrant avant leur sortie.

Protection contre les attaques par saturation


Dtection de rafales de segment SYN

I. . Niang , Cours Services rseaux Parefeux

4.2 Les diffrents types de filtrage


Le Filtrage Statique
Se caractrisent par deux aspects : Examen dun nombre de champs des paquets entrants, en loccurrence les en-ttes IP, TCP, UDP et ICMP, mais absence danalyse du message applicatif contenu dans le champ de donnes Prise en compte des paquets un par un Ce dernier point pose problme dans le sen o les paquets font normalement partie de flux de communication, au sein desquels ils remplissent une fonction prcise. Or, il est possible de tirer parti de cette information pour lidentification de nombreux paquet dattaque. Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP indpendamment les uns des autres, ce qui correspond au niveau 3 du modle OSI. . Niang , Cours Services rseaux PareI.
feux

4.2 Les diffrents types de filtrage


Le Filtrage dynamique
Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP indpendamment les uns des autres, ce qui correspond au niveau 3 du modle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gre la notion de session, afin d'assurer le bon droulement des changes. D'autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est--dire de manire alatoire) un port afin d'tablir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible avec un filtrage simple de paquets de prvoir les ports laisser passer ou interdire. Pour y remdier, le systme de filtrage dynamique de paquets est bas sur l'inspection des couches 3 et 4 du modle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur.
I. . Niang , Cours Services rseaux Parefeux

4.2 Les diffrents types de filtrage


Le filtrage simple de paquet (Stateless)
Un firewall stateless ne sait pas si un paquet appartient une connexion dj tablie. Pour un flux TCP, la solution consiste analyser les champs TCP SYN et ACK. Pour chaque flux autoris il faut explicitement autoriser les paquets entrant et sortant. Incomplet en terme de scurit, en particulier ne sait pas grer les flux UDP, ICMP et complexe

I. . Niang , Cours Services rseaux Parefeux

10

4.2 Les diffrents types de filtrage


Le filtrage de paquet avec tat (Stateful)
Un firewall statefull connat l'tat de chaque connexion. L'amlioration par rapport au filtrage simple, est la conservation de la trace des sessions et des connexions dans des tables d'tats internes au pare-feu. Le pare-feu prend alors ses dcisions en fonction des tats de connexions, et peut ragir dans le cas de situations protocolaires anormales. Ce filtrage permet aussi de se protger face certains types d'attaques DoS.

I. . Niang , Cours Services rseaux Parefeux

11

4.2 Les diffrents types de filtrage


Firewall stateless: les routeurs d'entre de gamme certains firewalls tout en un aux particuliers ipchains (firewall des linux 2.2. Firewall statefull: netfilter (firewall des linux 2.4 tous les firewalls modernes.

I. . Niang , Cours Services rseaux Parefeux

12

4.2 Les diffrents types de filtrage


Le filtrage applicatif
Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opre donc au niveau 7 (couche application) du modle OSI, contrairement au filtrage de paquets simple (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utiliss par chaque application. Un firewall effectuant un filtrage applicatif est appel gnralement passerelle applicative (ou proxy ), car il sert de relais entre deux rseaux en s'interposant et en effectuant une validation fine du contenu des paquets changs. Le proxy reprsente donc un intermdiaire entre les machines du rseau interne et le rseau externe, subissant les attaques leur place. De plus, le filtrage applicatif permet la destruction des en-ttes prcdant le message applicatif, ce qui permet de fournir un niveau de scurit supplmentaire.

I. . Niang , Cours Services rseaux Parefeux

13

4.3 Les diffrents types de Pare-feux


Les pare-feux bridge
Leurs interfaces ne possdent pas d'adresse IP, et ne font que transfrer les paquets d'une interface a une autre en leur appliquant les rgles prdfinies. Cette absence est particulirement utile, car cela signifie que le pare-feu est indtectable pour un hacker lambda. Avantages Impossible de l'viter (les paquets passeront par ses interfaces) Peu coteux Inconvnients Possibilit de le contourner (il suffit de passer outre ses rgles) Configuration souvent contraignante Les fonctionnalits prsentes sont trs basiques (filtrage sur adresse IP, port, le plus souvent en Stateless).
I. . Niang , Cours Services rseaux Parefeux

14

4.3 Les diffrents types de Pare-feux


Les pare-feux matriels
Ils se trouvent souvent sur des routeurs achets dans le commerce par de grands constructeurs comme Cisco ou Nortel. Intgrs directement dans la machine, ils font office de boite noire , et ont une intgration parfaite avec le matriel. Leur configuration est souvent relativement ardue, mais leur avantage est que leur interaction avec les autres fonctionnalits du routeur est simplifie de par leur prsence sur le mme quipement rseau. Souvent relativement peu flexibles en terme de configuration, ils sont aussi peu vulnrables aux attaques, car prsent dans la boite noire qu'est le routeur. Avantages Intgr au matriel rseau. Administration relativement simple. Bon niveau de scurit. Inconvnients Dpendant du constructeur pour les mises jour. Souvent peu flexibles Cot prohibitif
I. . Niang , Cours Services rseaux Parefeux

15

4.3 Les diffrents types de Pare-feux


Les pare-feux logiciels
Les pare-feux personnels : Ils sont assez souvent commerciaux et ont pour but de scuriser un ordinateur particulier, et non pas un groupe d'ordinateurs. Souvent payants, ils peuvent tre contraignants et quelque fois trs peu scuriss. En effet, ils s'orientent plus vers la simplicit d'utilisation plutt que vers l'exhaustivit, afin de rester accessible l'utilisateur final. Avantages Scurit en bout de chane (le poste client) Personnalisable assez facilement Inconvnients Facilement contournable Difficiles a dpartager de par leur nombre norme.
I. . Niang , Cours Services rseaux Parefeux

16

4.3 Les diffrents types de Pare-feux


Les pare-feux logiciels
Les serveurs pare-feux : Tournant gnralement sous linux, car cet OS offre une scurit rseau plus leve et un contrle plus adquat, ils ont gnralement pour but d'avoir le mme comportement que les pare-feux matriels des routeurs, ceci prt qu'ils sont configurables la main. Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute fonctionnalit des parefeux de routeurs est potentiellement ralisable sur une telle plateforme. Avantages Personnalisables Niveau de scurit trs bon Inconvnients Ncessite une administration systme supplmentaire Ces pare-feux logiciels ont nanmoins une grande faille : ils n'utilisent pas la couche bas rseau. Il suffit donc de passer outre le noyau en ce qui concerne la rcupration de ces paquets, en utilisant une librairie spciale, pour rcuprer les paquets qui auraient t normalement dropps par le pare-feu.
I. . Niang , Cours Services rseaux Parefeux

17

4.4 Architectures de Pare-feux


Quelques dfinitions : Routeur filtrant, Proxy, Rempart, DMZ Architecture de pare-feu avec routeur filtrant (screening router) Architecture de pare-feu avec routeur filtrant et bastion Architecture de pare-feu avec routeurs, bastions et DMZ
I. . Niang , Cours Services rseaux Parefeux

18

4.4 Architectures de Pare-feux


Architecture de pare-feu avec routeur filtrant (screening router)

I. . Niang , Cours Services rseaux Parefeux

19

4.4 Architectures de Pare-feux


Architecture de pare-feu avec routeur filtrant et bastion

I. . Niang , Cours Services rseaux Parefeux

20

4.4 Architectures de Pare-feux


Architecture de pare-feu avec routeurs, bastions et DMZ

I. . Niang , Cours Services rseaux Parefeux

21

Vous aimerez peut-être aussi