Introduction à la notion de firewall

Chaque ordinateur connecté à Internet (et d'une manière plus générale à n'importe quel réseau) est susceptible d'être victime d'une attaque d'un pirate informatique. Les pirates informatiques (généralement des hackers en culottes courtes cherchant à mettre en oeuvre des techniques d'intrusion trouvées sur Internet) scrutent le réseau (en envoyant des paquets de données de manière aléatoire) à la recherche d'une machine connectée, puis cherchent une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.

Cette menace est d'autant plus grande que la machine est connectée en permanence à Internet pour plusieurs raisons :

• La machine cible est susceptible d'être connectée sans pour autant être surveillée
• La machine cible est généralement connectée avec une plus large bande passante
• La machine cible ne change pas (ou peu) d'adresse IP

Ainsi, il est nécessaire, notamment pour les internautes ayant une connexion de type câble ou ADSL, de se protéger des intrusions réseaux en installant un système pare-feu.

Qu'est-ce qu'un pare-feu?

Un pare-feu (appelé aussi coupe-feu ou firewall en anglais), est un système permettant de protéger un ordinateur des intrusions provenant du réseau (ou bien protégeant un réseau local des attaques provenant d'Internet).

Un firewall peut éventuellement autoriser des communications de façon horaire (selon le jour ou l'heure par exemple).

D'autre part un firewall permet également de contrôler l'accès au réseau des applications installées sur la machine. En effet, les chevaux de Troie sont une sorte de virus ouvrant une brêche dans le système pour permettre une prise en main à distance de la machine par un pirate informatique. Le firewall permet d'une part de repérer les connexions suspectes de la machine, mais il permet également de les empêcher.

Le pare-feu est en réalité un système permettant de filtrer les paquets de données échangés avec le réseau.

Ainsi le système firewall est un système logiciel (parfois également matériel), constituant un intermédiaire entre le réseau local (ou la machine locale) et le "monde extérieur".
Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de firewall personnel.

Le fonctionnement d'un système firewall

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

• Soit d'autoriser uniquement les communications ayant été explicitement autorisées :

  "Tout ce qui n'est pas explicitement autorisé est interdit".

• Soit d'empêcher les échanges qui ont été explicitement interdits

Le choix de l'une ou l'autre de ces méthodes dépend de la politique de sécurité adoptée par l'entité désirant mettre en oeuvre un filtrage des communications. La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en communication.

Le filtrage de paquets

Un système pare-feu fonctionnant sur le principe du filtrage de paquets analyse les en-têtes des paquets (aussi appelés datagrammes) échangés entre deux machines. En effet les machines d'un réseau relié à Internet sont repérées par une adresse appelée adresse IP.

Ainsi, lorsqu'une machine de l'extérieur se connecte à une machine du réseau local, et vice-versa, les paquets de données passant par le firewall contiennent les en-têtes suivants, qui sont analysés par le firewall:

• L'adresse IP de la machine émettrice
• L'adresse IP de la machine réceptrice
• Le type de paquet (TCP, UDP, ...)
• Le numéro de port (rappel: un port est un numéro associé à un service ou une application réseau)

Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. Certains ports sont associés à des service courants (les ports 25 et 110 sont généralement associés au courrier électronique, et le port 80 au Web) et ne sont généralement pas bloqués. Toutefois, il est nécessaire de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue).

Un des ports les plus critiques est le port 23 car il correspond à l'utilitaire Telnet qui permet d'émuler un accès par terminal à une machine distante de manière à pouvoir exécuter des commandes saisies au clavier à distance...

Le filtrage applicatif

Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une connaissance de l'application, et notamment de la manière de laquelle elle structure les données échangées.

Un firewall effectuant un filtrage applicatif est appelé passerelle applicative car il permet de relayer des informations entre deux réseaux en effectuant un filtrage fin au niveau du contenu des paquets échangés.

Les limites des firewalls

Le fait d'installer un firewall n'est bien évidemment pas signe de sécurité absolue.

Les firewalls ne protègent en effet que des communications passant à travers eux. Ainsi, les accès au réseau extérieur non réalisés au travers du firewall sont autant de failles de sécurité. C'est par exemple le cas des connexions effectuées à l'aide d'un modem. D'autre part, le fait d'introduire des supports de stockage provenant de l'extérieur sur des machines internes au réseau peut être fort préjudiciable pour la sécurité de ce dernier.

La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité. D'autre part la mise en place d'un système pare-feu n'exempt pas de se tenir au courant des failles de sécurité et d'essayer de les minimiser...

Ce document issu de CommentCaMarche.net est soumis à la licence GNU FDL. Vous pouvez copier, modifier des copies de cette page tant que cette note apparaît clairement.