04 – Les Pare-feu

- ACL

LISTES DE CONTRÔLE D'ACCÈS

Une liste de contrôle d’accès est une collection d’instructions ayant comme objectif de permettre ou d'interdire la commutation des paquets en fonction d’un certain
nombre de conditions ou de critères, tels que :
• Les adresses source et destination,
• Les protocoles de couches supérieures tel que UDP; et le numéro de port tel que 67,
• Des paramètres dynamiques basés sur le temps : 2 heures sur une période de 24 heures.

Les ACL opèrent selon un ordre séquentiel et logique, en évaluant les paquets à partir du début de la liste. Dès qu’une règle est appliquée, le reste de l’ACL est ignorée. Il
faut faire attention lors de la conception des ACL : tout trafic ne correspondant à aucune règle est rejeté.

Il existe 3 types de liste de contrôle d’accès. Elles sont :

• les ACLs standards,
• les ACLs étendues,
• les ACLs nommées.

Copyright - Tout droit réservé - OFPPT 59

04 – Les Pare-feu
- Les ACL standards

LISTES DE CONTRÔLE D'ACCÈS

Les ACLs standards utilisent des spécifications d’adresses simplifiées et autorisent ou refusent un ensemble de protocoles.
La syntaxe de ce type est :

access-list no de l’ACL (deny ou permit) (adresse de la source) (son masque générique)

Exemple 1 : Soit la syntaxe suivante :

A(config)# access-list 10 deny 192.168.100 0.0.0.255
Le numéro de la liste est 10 et on demande au routeur A d'interdire les paquets
provenant des clients du réseau 192.168.100.0 /24.
Les autres paquets des autres réseaux sont aussi interdites car une fois une règle est appliquée tout autre trafic est bloqué. A fin de permettre la commutation des autres
paquets il faut terminer la liste 10 par la syntaxe suivante :
A(config)# access-list 10 permit any
La deuxième étape est de placer la liste 10 à une interface du routeur A. Comme les ACL standards spécifient une adresse de source donc la meilleure stratégie est de les
placées au plus prés de leur destination. La syntaxe associée est donnée par le suivant :

A(config)# int IX
A(config-if)# ip access-group no de l’ACL (in ou out)

La liste no de l’ACL est placée à l'interface IX de A. On peut l'appliquer dans la direction in c'est à dire la direction entrante à l'interface ou out dans sa direction sortante.

Copyright - Tout droit réservé - OFPPT 60

04 – Les Pare-feu
- Les ACL étendues

LISTES DE CONTRÔLE D'ACCÈS

La syntaxe de l'ACL étendue est :
access-list no de l’ACL (deny ou permit) protocol (adresse d’origine masque générique) (adresse destination masque générique) opérateur
opérande ou argument
Selon le ACL étendue on doit spécifier les deux adresses celle de la source des paquets et celle de leur destination. Le protocole qu'on veut permettre ou bloquer
ainsi
qu'une opération d'ordre logique sur le protocole spécifié par la permission ou l'interdiction de la liste d'accès. La liste des opérateurs est :
Lt plus petit que,
Gt plus grand que,
Eq égal à,
Neq différent
de. Soit la syntaxe
suivante :
A(config)
#access-list 150
deny udp host
192.168.10.10
host
192.168.20.11
eq tftp
A(config)
#access-list 150
permit udp any
any

On traduit cette configuration par le suivant : Cette liste concerne le protocole UDP, la source est un hôte ayant une adresse IP 192.168.10.10 et on lui interdit
l'accès à l'adresse IP 192.168.20.11 qui est celle d'un serveur tftp. On sait que UDP est le protocole de couche supérieure qui supporte le service TFTP. La nouveauté ici
Copyright - Tout droit réservé - OFPPT 61
04 – Les Pare-feu
- Les ACL nommés

LISTES DE CONTRÔLE D'ACCÈS

Vous pouvez employer des listes d'accès IP nommée pour retirer des entrées d'une liste d'accès spécifique, ce qui permet de modifier une liste d'accès sans le détruire et
de pouvoir le reconfigurer. Les listes d'accés nommées sont utilisées lorsque :

- Vous souhaitez identifier une liste d'accès en utilisant un nom alphanumérique.

- Vous disposez de plus de 99 listes d'accès simples ou de plus de 100 listes d'accès étendues à configurer pour un protocole donné.

La syntaxe de ce type est :

A(config)# ip access-list standard nom de l’ACL

A(config-ext-nacl)# permit|deny …

Exemple :

A(config)# ip access-list extended filtrage

A(config-ext-nacl)# permit tcp any 192.168.0.0 0.255.255.255 lt 1024
A(config-ext-nacl)# deny udp any 192.168.0.0 0.255.255.255 eq 8080

Copyright - Tout droit réservé - OFPPT 62

04 – Les Pare-feu
- Parfeu

Parfeu
Un pare-feu surveille simplement le trafic entrant et sortant sur un appareil, en recherchant tout signe d’activité malveillante. S’il détecte quelque chose de
suspect, il le bloque instantanément pour l’empêcher d’atteindre sa destination.
C’est un gros système de filtration pour votre ordinateur ou votre serveur.

Lorsqu’ils ont été mis au point, les pare-feu étaient de très simples analyseurs de paquets qui autorisaient ou bloquaient le trafic entrant en fonction d’un
ensemble minimal de règles prédéfinies. Ils étaient très faciles à contourner.
De nos jours, ils ont évolué en des éléments de programmation complexes qui sont bien plus efficaces pour empêcher les tentatives d’intrusion et constituent
un élément de logiciel essentiel pour tous les appareils.

Copyright - Tout droit réservé - OFPPT 63

04 – Les Pare-feu
- Type de Parfeu

Le pare-feu sans état

• Le pare-feu sans état est le plus ancien dispositif de filtrage réseau. Il agit au niveau de la couche réseau et transport du modèle OSI, le standard de communication
entre les systèmes informatiques.

• Ce pare-feu inspecte chaque paquet et lui accorde le passage uniquement s’il répond à une liste de règles prédéterminées, qui se basent sur l’adresse IP source et
destinataire, le numéro de port source et destinataire, et les protocoles de couche 3 et 4.

• Le problème, c’est que la configuration des pare-feu sans état est complexe, et que ce dispositif ne permet pas d’obtenir une finesse de filtrage très évoluée.

• Il est donc en train de devenir obsolète, même s’il est encore utilisé sur certains systèmes d’exploitation et routeurs.

Copyright - Tout droit réservé - OFPPT 64

04 – Les Pare-feu
- Type de Parfeu

Le pare feu avec état

• Les pare-feu avec état sont plus exigeants que leurs prédécesseurs sans état : ils vérifient systématiquement la conformité des paquets à une connexion en
cours, en regardant si chaque paquet d’une connexion constitue bien la suite du précédent.

• Le pare-feu avec état a également de la mémoire : il garde une trace des sessions et des connexions, et réagit en cas d’anomalie. Contrairement à son
prédécesseur, il permet ainsi de se protéger de certaines attaques DoS.

Copyright - Tout droit réservé - OFPPT 65

04 – Les Pare-feu
- Type de Parfeu

Le pare-feu applicatif
• Le pare-feu applicatif appartient à la dernière génération de firewalls. Il fonctionne au niveau de la couche application : par exemple, chaque requête de
type http est filtrée par un processus proxy http. Le pare-feu rejette ainsi toutes les requêtes non conformes aux spécifications du protocole.

• Ce type de pare-feu est plus sûr que le pare-feu avec état, mais est très gourmand en temps de calcul dès que le débit est important. Dans les années à
venir, il devrait gagner en performance.

Copyright - Tout droit réservé - OFPPT 66

04 – Les Pare-feu
- Type de Parfeu

Le pare-feu identifiant
• Le pare-feu identifiant réalise des associations entre l’IP et les utilisateurs, et permet de suivre l’activité réseau par utilisateur.

• Les règles de filtrage sont ainsi définies en fonction de l’identification, et non des adresses IP.

• Selon les pare-feu, plusieurs méthodes différentes sont utilisées, dont l’identification par authpf, les pare-feu entièrement basés sur l’identité, ou la
création de règles dynamiques prenant en compte l’identité de l’utilisateur et de son poste, ainsi que son niveau de sécurité informatique.

Copyright - Tout droit réservé - OFPPT 67

04 – Les Pare-feu
- Type de Parfeu

Le PARE-FEU DE NOUVELLE GÉNÉRATION

• Un pare-feu de nouvelle génération (NGFW) est, comme Gartner le définit, un « pare-
feu d’inspection des paquets profonds qui va au-delà de l’inspection et du blocage des
ports et des protocoles pour ajouter l’inspection au niveau de l’application, la
prévention des intrusions et l’apport de renseignements de l’extérieur du pare-feu ».

• NGFWs sont en mesure d’empêcher les logiciels malveillants d’entrer dans un réseau,
quelque chose que les pare-feu traditionnels ne serait jamais en mesure d’atteindre. Ils
sont mieux équipés pour faire face aux menaces persistantes avancées (API).

• NGFWs peut être une option à faible coût pour les entreprises qui cherchent à améliorer
leur sécurité de base, car ils peuvent intégrer le travail des antivirus, pare-feu, et
d’autres applications de sécurité dans une solution. Les caractéristiques de ceci incluent
la sensibilisation d’application, les services d’inspection, aussi bien qu’un système de
protection et un outil de conscience qui bénéficient à l’offre à toutes les chances.

Copyright - Tout droit réservé - OFPPT 68

04 – Les Pare-feu
- Type de Parfeu

Le PARE-FEU DE NOUVELLE GÉNÉRATION

L’installation d’un pare-feu est une exigence pour toute entreprise.
Dans l’environnement d’aujourd’hui, avoir un pare-feu de nouvelle génération
est presque aussi important.
Les menaces qui pèsent sur les appareils personnels et les grands réseaux
changent chaque jour.
Avec la flexibilité d’un NGFW, il protège les appareils et les entreprises contre
un spectre beaucoup plus large d’intrusions. Bien que ces pares-feux ne soient
pas la bonne solution pour toutes les entreprises, les professionnels de la
sécurité devraient examiner attentivement les avantages que les NGFW
peuvent offrir, car ils ont un très grand avantage.

Copyright - Tout droit réservé - OFPPT 69

04 – Les Pare-feu
- Type de Parfeu

Le PARE-FEU DE NOUVELLE GÉNÉRATION

Un NGFW va encore plus loin dans le travail de protection du réseau avec des
fonctionnalités supplémentaires telles que :
Un système intégré de détection et de prévention des intrusions (IDS, IPS) - il agit contre
les menaces avant qu'elles n'accèdent au réseau.
Contrôle des applications - en fonction de la configuration définie, un NGFW empêchera les
applications d'être exécutées sur le réseau.
Filtre de contenu Web - les utilisateurs du réseau peuvent être protégés contre les sites
malveillants ou leur accès à certains contenus peut être restreint pendant les heures de
bureau, par exemple.
Protection antivirus - un NGFW a également la capacité de contrecarrer les attaques de
l'intérieur en arrêtant les paquets et les charges malveillants tout en garantissant que les
attaques entrantes sont arrêtées avant qu'elles n'entrent dans le réseau.
Défense basée sur la réputation – la distribution de logiciels malveillants devenant de plus
en plus sophistiquée, il est devenu nécessaire de changer la façon dont ils sont détectés ;
avec un NGFW, vous obtenez cette capacité de défense préventive

Copyright - Tout droit réservé - OFPPT 70

04 – Les Pare-feu
- Proxy

Serveur proxy
Un serveur proxy, appelé également serveur mandataire, est un serveur qui jouera le rôle
d'intermédiaire entre un client et un serveur distant. Par exemple, entre les ordinateurs connectés au
réseau local d'une entreprise et Internet (et ses milliards de sites).
Jouer le rôle d'intermédiaire entre deux hôtes, c'est-à-dire ? Dans quel but ? En se positionnant entre le
client source et le serveur cible, le serveur proxy va pouvoir réaliser plusieurs actions :
Filtrage, ce qui va permettre de bloquer certains sites ou certaines catégories de sites.
Cache, ce qui va permettre de mettre en cache les requêtes (exemple : page web) afin de les
retourner plus rapidement aux postes de travail.
Compression, ce qui va permettre de réduire le poids des pages au moment de retourner le
résultat aux clients.
Journalisation, toutes les requêtes reçues de la part des clients (postes de travail) seront
stockées dans des journaux (logs).
Anonymat, puisque votre poste de travail se cache derrière le proxy, le serveur Web verra
seulement le proxy.
Droits d'accès, puisque le proxy est un intermédiaire, il peut servir à positionner des droits
d'accès pour filtrer les accès, au-delà du filtrage Web.

Copyright - Tout droit réservé - OFPPT 71

04 – Les Pare-feu
- Proxy

Proxy et proxy transparent

En entreprise, il est très fréquent d'utiliser un serveur proxy et bien souvent il est là pour réaliser du
filtrage Web afin de sécuriser la navigation Internet des utilisateurs, notamment dans les établissements
scolaires. Par exemple, on va empêcher les utilisateurs d'accéder aux sites pornographiques.
Il y a deux manières d'intégrer un proxy :

Un proxy (classique) :
Le proxy doit être déclaré sur le poste client afin que ce dernier soit configuré de manière à passer par le
proxy lorsqu'une requête est envoyée, plutôt que de contacter directement l'hôte distant. Si le serveur
proxy n'est pas configuré sur le poste client, alors la requête sera envoyée directement au serveur
distant, comme si le serveur proxy n'existait pas.
Il y a plusieurs façons d'intégrer un serveur proxy dans une infrastructure. Cela peut être en DMZ,
comme ça les postes clients contactent le serveur proxy isolé, et c'est ce serveur qui se connecte à
Internet, et non les postes clients directement. Dans certains cas, la fonction de proxy est assurée
directement par le pare-feu et donc dans ce cas, il n'y a pas la notion de DMZ (voir second schéma).

Copyright - Tout droit réservé - OFPPT 72

04 – Les Pare-feu
- Proxy

Proxy et proxy transparent

Un proxy transparent (implicite) :

Lors de l'utilisation d'un proxy transparent, appelé aussi proxy implicite, le proxy ne doit pas être
configuré sur le poste et ce dernier l'utilisera sans s'en rendre compte, car le proxy sera utilisé comme
passerelle au niveau de la configuration du poste client. C'est la configuration idéale pour filtrer le trafic
émis par les postes clients.

Dans ce cas, la fonction de pare-feu et de serveur proxy transparent sont généralement regroupée sur
un même serveur/équipement. Même si l'on pourrait mettre le serveur proxy transparent sous le pare-
feu, et que les trames soient relayées entre le proxy et le pare-feu.

Copyright - Tout droit réservé - OFPPT 73

04 – Les Pare-feu
- Proxy

Proxy de mise en cache

Un proxy de mise en cache, appelé "proxy-cache", effectue la mise en cache des données sur son
disque local. Dans certains cas, on peut utiliser un proxy de mise en cache pour distribuer des mises à
jour de logiciels : le proxy va télécharger une fois la mise à jour sur Internet et la mettre en cache, et
ensuite il n'aura plus qu'à la distribuer aux postes clients directement, plutôt que chaque poste client se
connecte sur Internet pour télécharger la mise à jour. Par exemple, l'éditeur ESET propose une
fonctionnalité de mise en cache pour distribuer les mises à jour des signatures antivirus.
Il est à noter que cette mise en cache peut également être bénéfique dans le cadre de la navigation
Internet.

Copyright - Tout droit réservé - OFPPT 74

04 – Les Pare-feu
- Proxy

Proxy de mise en cache

Il n'y a pas de port associé obligatoirement aux serveurs proxy, car ce n'est pas un protocole en soi.
Malgré tout, il y a deux ports que l'on voit très souvent : 3128 et 8080. Pourquoi ? Tout simplement
parce que le port 3128 est utilisé par défaut par Squid, et la popularité de ce logiciel fait que l'on associe
souvent le port 3128 à la notion de proxy. Un autre numéro de port que l'on rencontre souvent est le
8080.
Néanmoins, rien ne vous empêche de monter un proxy et d'utiliser le port 80 comme port d'écoute.

en utilisant un serveur proxy il est possible d'être anonyme vis-à-vis du site que l'on visite, mais il faut
savoir que le proxy va garder une trace de toutes les requêtes que vous lui envoyez. Autrement dit, il
connaîtra tout votre historique de navigation. Pour être réellement anonyme sur Internet, la meilleure
méthode consiste à utiliser un VPN.

Copyright - Tout droit réservé - OFPPT 75

04 – Les Pare-feu
- Proxy

Contourner les restrictions avec un proxy

Grâce à un proxy, on va pouvoir contourner les restrictions, que ce soit les restrictions géographiques ou
les restrictions appliquées au sein d'un réseau local de votre entreprise (par un pare-feu, par exemple).
Prenons un exemple, vous avez besoin d'accéder au site "domaine.xyz" mais vous ne pouvez pas, car le
pare-feu en sortie de votre réseau bloque l'accès à ce site. Comme le montre le schéma ci-dessous, la
requête est bloquée par le pare-feu.

Pour contourner cette restriction, vous pouvez vous appuyer sur un proxy externe situé sur Internet. De
cette façon, votre PC va demander au proxy d'accéder au site "domaine.xyz" et le proxy va vous
retourner le résultat. La requête n'est pas bloquée, car vous contactez le proxy et non pas le site en
direct. On obtient le schéma suivant :

Attention, la requête n'est pas bloquée par le pare-feu si l'on passe par un proxy, mais cela dépend de la
configuration du pare-feu, et éventuellement du proxy :
Si le pare-feu effectue du filtrage DNS ou de site Web, il y a de fortes chances qu'il bloque une
liste de proxy connu pour être utilisé pour contourner les restrictions.
Si le proxy écoute sur un port particulier comme le 3128 ou le 8080 et que le pare-feu n'autorise
pas ces ports en sortie vers Internet, la connexion vers le proxy ne pourra pas aboutir.

Copyright - Tout droit réservé - OFPPT 76

04 – Les Pare-feu
- Proxy

configurer un proxy sur un poste de travail

Sur un poste client, il y a plusieurs manières de configurer un proxy. Tout d'abord, il faut savoir qu'un
proxy peut se configurer au niveau de chaque logiciel, sous réserve que le logiciel prenne en charge
l'utilisation d'un proxy.
Sous Windows, le fait de configurer un proxy dans les "Options Internet" de la machine va permettre
d'utiliser ce proxy dans d'autres logiciels qui vont venir se référer à cette configuration. Néanmoins,
certains logiciels comme Firefox intègrent leur propre gestion du proxy (même si par défaut il va
utiliser la configuration du système), ce qui peut permettre d'outrepasser la configuration du système.
Sur Windows 11, pour configurer un proxy, il faut cliquer sur "Paramètres", "Réseau et Internet" puis
"Proxy". Ensuite, il faudra cliquer sur "Configurer" au niveau de l'option "Utiliser un serveur proxy" et
il ne restera plus qu'à renseigner l'adresse du proxy.

Copyright - Tout droit réservé - OFPPT 77

04 – Les Pare-feu
- Proxy

configurer un proxy sur un poste de travail

Dans Firefox, au sein des options, il faut cliquer sur l'onglet "Général" à gauche et tout en bas, au niveau
de "Paramètres réseau", cliquer sur "Paramètres". La fenêtre "Paramètres de connexion" s'affiche et là
on peut définir plusieurs proxy.

comment configurer le proxy sur un parc informatique complet sans effectuer la configuration à la
main... Dans ce cas, vous avez plusieurs solutions :
Utiliser une GPO pour déployer les paramètres de configuration du proxy sur les postes (au
niveau de Windows ou des navigateurs)
Utiliser une GPO pour préciser l'emplacement d'un script d'auto-configuration du proxy
("proxy.pac") qui contient une fonction JavaScript "FindProxyForURL" dont l'objectif est
d'indiquer si, pour une URL précise, le navigateur doit accéder au site directement ou s'il doit
passer par le proxy. Le fichier doit porter l'extension "PAC" pour "Proxy Automatic Configuration".

Copyright - Tout droit réservé - OFPPT 78

04 – Les Pare-feu
- Proxy

Quels logiciels pour mettre en place un proxy

Pour mettre en place un serveur Proxy, il existe de nombreuses solutions. Certaines sont gratuites,
d'autres sont payantes.

Squid est un logiciel qui permet de monter un proxy (et même un reverse proxy) sous Linux, il est
performant et très célèbre. Il est toujours maintenu aujourd'hui et sa première version date de juillet
1996 ! Si vous montez un pare-feu avec PfSense, il est possible d'installer le paquet "Squid" pour
ajouter la fonctionnalité de proxy à son pare-feu. En complément, l'installation du paquet "Squid-
Guard" permettra d'effectuer du filtrage Web.

Au niveau des solutions payantes, il y a deux solutions assez connues : Olfeo et UCOPIA.

Copyright - Tout droit réservé - OFPPT 79