Parefeux
Introduction a la notion de firewall
Definition d'un Firewall:
Un firewall ou pare-feu est un dispositif physique (materiel) ou logique (logiciel) servant de systeme de protection pour les ordinateurs domestiques. Il peut egalement servir d'interface entre un ou plusieurs reseaux d’entreprise afin de controler et eventuellement bloquer la circulation des donnees en analysant les informations contenues dans les flux de donnees (cloisonnement reseau).
Chaque ordinateur connecte a internet (et d'une maniere plus generale a n'importe quel reseau informatique) est susceptible d'etre victime d'une attaque d'un pirate informatique. La methodologie generalement employee par les pirates informatiques consiste a scruter le reseau (en envoyant des paquets de donnees de maniere aleatoire) a la recherche d'une machine connectee, puis a chercher une faille de securite afin de l'exploiter et d'acceder aux donnees s'y trouvant.
Cette menace est d'autant plus grande que la machine est connectee en permanence a internet pour plusieurs raisons :
La machine cible est susceptible d'etre connectee sans pour autant etre surveillee ;
La machine cible est generalement connectee avec une plus large bande passante ;
La machine cible ne change pas (ou peu) d'adresse IP.
Ainsi, il est necessaire, autant pour les reseaux d'entreprises que pour les internautes possedant une connexion de type cable ou ADSL, de se proteger des intrusions reseaux en installant un dispositif de protection.
Qu'est-ce qu'un pare-feu?
Un pare-feu (appele aussi coupe-feu, garde-barriere ou firewall en anglais), est un systeme permettant de proteger un ordinateur ou un reseau d'ordinateurs des intrusions provenant d'un reseau tiers (notamment internet). Le pare-feu est un systeme permettant de filtrer les paquets de donnees echanges avec le reseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces reseau suivante :
une interface pour le reseau a proteger (reseau interne)
une interface pour le reseau externe
Le systeme firewall est un systeme logiciel, reposant parfois sur un materiel reseau dedie, constituant un intermediaire entre le reseau local (ou la machine locale) et un ou plusieurs reseaux externes. Il est possible de mettre un systeme pare-feu sur n'importe quelle machine et avec n'importe quel systeme pourvu que :
La machine soit suffisamment puissante pour traiter le traffic ;
Le systeme soit securise ;
Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.
Dans le cas ou le systeme pare-feu est fourni dans une boite noire « cle en main », on utilise le terme d'« appliance ».
Fonctionnement d'un systeme pare-feu:
Un systeme pare-feu contient un ensemble de regles predefinies permettant :
D'autoriser la connexion (allow)
De bloquer la connexion (deny)
De rejeter la demande de connexion sans avertir l'emetteur (drop).
L'ensemble de ces regles permet de mettre en oeuvre une methode de filtrage dependant de la politique de securite adoptee par l'entite. On distingue habituellement deux types de politiques de securite permettant : soit d'autoriser uniquement les communications ayant ete explicitement autorisees : "Tout ce qui n'est pas explicitement autorise est interdit". soit d'empecher les echanges qui ont ete explicitement interdits.
La premiere methode est sans nul doute la plus sure, mais elle impose toutefois une definition precise et contraignante des besoins en communication.
Le filtrage simple de paquets:
Un systeme pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packet filtering »). Il analyse les en-tetes de chaque paquet de donnees (datagramme) echange entre une machine du reseau interne et une machine exterieure.
Ainsi, les paquets de donnees echangee entre une machine du reseau exterieur et une machine du reseau interne transitent par le pare-feu et possedent les en-tetes suivants, systematiquement analyses par le firewall :
adresse IP de la machine emettrice ;
adresse IP de la machine receptrice ;
type de paquet (TCP, UDP, etc.) ;
numero de port (rappel: un port est un numero associe a un service ou une application reseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine emettrice et la machine cible, tandis que le type de paquet et le numero de port donnent une indication sur le type de service utilise.
Les ports reconnus (dont le numero est compris entre 0 et 1023) sont associes a des services courants (les ports 25 et 110 sont par exemple associes au courrier electronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configures de maniere a filtrer les communications selon le port utilise. Il est generalement conseille de bloquer tous les ports qui ne sont pas indispensables (selon la politique de securite retenue).
Le port 23 est par exemple souvent bloque par defaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d'emuler un acces par terminal a une machine distante de maniere a pouvoir executer des commandes a distance. Les donnees echangees par Telnet ne sont pas chiffrees, ce qui signifie qu'un individu est susceptible d'ecouter le reseau et de voler les eventuels mots de passe circulant en clair. Les administrateurs lui preferent generalement le protocole SSH, repute sur et fournissant les memes fonctionnalites que Telnet.
Le filtrage dynamique:
Le filtrage simple de paquets ne s'attache qu'a examiner les paquets IP independamment les uns des autres, ce qui correspond au niveau 3 du modele OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gere la notion de session, afin d'assurer le bon deroulement des echanges. D'autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-a-dire de maniere aleatoire) un port afin d'etablir une session entre la machine faisant office de serveur et la machine cliente.
Ainsi, il est impossible avec un filtrage simple de paquets de prevoir les ports a laisser passer ou a interdire. Pour y remedier, le systeme de filtrage dynamique de paquets est base sur l'inspection des couches 3 et 4 du modele OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est « stateful inspection » ou « stateful packet filtering », traduisez « filtrage de paquets avec etat ».
Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des echanges, c'est-a-dire de tenir compte de l'etat des anciens paquets pour appliquer les regles de filtrage. De cette maniere, a partir du moment ou une machine autorisee initie une connexion a une machine situe de l'autre cote du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptes par le pare-feu.
Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protege pas pour autant de l'exploitation des failles applicatives, liees aux vulnerabilites des applications. Or ces vulnerabilites representent la part la plus importante des risques en terme de securite.
Le filtrage applicatif:
Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opere donc au niveau 7 (couche application) du modele OSI, contrairement au filtrage de paquets simple (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utilises par chaque application.
Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une bonne connaissance des applications presentes sur le reseau, et notamment de la maniere dont elle structure les donnees echangees (ports, etc.).
Un firewall effectuant un filtrage applicatif est appele generalement « passerelle applicative » (ou « proxy »), car il sert de relais entre deux reseaux en s'interposant et en effectuant une validation fine du contenu des paquets echanges. Le proxy represente donc un intermediaire entre les machines du reseau interne et le reseau externe, subissant les attaques a leur place. De plus, le filtrage applicatif permet la destruction des en-tetes precedant le message applicatif, ce qui permet de fournir un niveau de securite supplementaire.
Il s'agit d'un dispositif performant, assurant une bonne protection du reseau, pour peu qu'il soit correctement administre. En contrepartie, une analyse fine des donnees applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant etre finement analyse.
Par ailleurs, le proxy doit necessairement etre en mesure d'interpreter une vaste gamme de protocoles et de connaitre les failles afferentes pour etre efficace.
Enfin, un tel systeme peut potentiellement comporter une vulnerabilite dans la mesure ou il interprete les requetes qui transitent par son biais. Ainsi, il est recommande de dissocier le pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.
Notion de pare-feu personnel:
Dans le cas ou la zone protegee se limite a l'ordinateur sur lequel le firewall est installe on parle de firewall personnel (pare-feu personnel).
Ainsi, un firewall personnel permet de controler l'acces au reseau des applications installees sur la machine, et notamment empecher les attaques du type cheval de Troie, c'est-a-dire des programmes nuisibles ouvrant une breche dans le systeme afin de permettre une prise en main a distance de la machine par un pirate informatique. Le firewall personnel permet en effet de reperer et d'empecher l'ouverture non sollicitee de la part d'applications non autorisees a se connecter.
Les limites des firewalls:
Un systeme pare-feu n'offre bien evidemment pas une securite absolue, bien au contraire. Les firewalls n'offrent une protection que dans la mesure ou l'ensemble des communications vers l'exterieur passe systematiquement par leur intermediaire et qu'ils sont correctement configures. Ainsi, les acces au reseau exterieur par contournement du firewall sont autant de failles de securite. C'est notamment le cas des connexions effectuees a partir du reseau interne a l'aide d'un modem ou de tout moyen de connexion echappant au controle du pare-feu.
De la meme maniere, l'introduction de supports de stockage provenant de l'exterieur sur des machines internes au reseau ou bien d'ordinateurs portables peut porter fortement prejudice a la politique de securite globale.
Enfin, afin de garantir un niveau de protection maximal, il est necessaire d'administrer le pare-feu et notamment de surveiller son journal d'activite afin d'etre en mesure de detecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommande d'effectuer une veille de securite (en s'abonnant aux alertes de securite des CERT par exemple) afin de modifier le parametrage de son dispositif en fonction de la publication des alertes.
La mise en place d'un firewall doit donc se faire en accord avec une veritable politique de securite. |
