18 déc 2007

Comment fonctionnent les Firewalls (pare-feu)

Publié par at 16:14 Sous Article,Sécurité

Print This Post Print This Post

Si vous utilisez Internet depuis un certain temps, et particulièrement si vous utilisez le Web comme outil de travail, vous avez probablement entendu le mot Firewall (ou pare-feu). Par exemple, vous entendez souvent des personnes dirent : « je ne peux pas accéder à ce site parce qu’il est bloqué par le pare-feu. »

Si vous avez un raccordement à Internet à votre domicile ( un raccordement ADSL ou un modem câblé), vous avez pu entendre parler des Firewalls pour votre réseau personnel. Il s’avère qu’un petit réseau domestique à les mêmes fonctions qu’un grand réseau d’entreprise . Vous pouvez employer un pare-feu pour protéger votre réseau domestique à la maison contre les sites Web à risques et intrus potentiels.

Firewall

Fondamentalement, un pare-feu est une barrière pour maintenir certaines forces destructives hors de votre réseau. C’est pourquoi il est appelé « FIREWALL » ou « PARE-FEU ». Son mode de fonctionnement est semblable à un mur physique à l’épreuve du feu qui s’oppose à sa propagation d’un secteur à un autre. En lisant l’article ci-dessous, vous en apprendrez davantage sur leur fonctionnement et contre quels genres de menaces ils peuvent vous protéger.

Que font les pares-feu?

Un pare-feu est simplement un programme ou un dispositif câblé qui filtre l’information venant du raccordement Internet vers votre réseau privé ou système informatique. Si un paquet d’informations entrant est bloqué par les filtres, on ne lui permet pas traverser.

Si vous avez quelques connaissances sur le mode de fonctionnement des serveurs Web, alors vous connaissez la façon dont les données se déplacent dans le réseau Internet, et vous pouvez facilement voir comment un pare-feu aide à protéger les ordinateurs à l’intérieur d’une grande entreprise. Admettons que vous travaillez dans une entreprise de 500 employés. L’entreprise aura donc des centaines d’ordinateurs reliés ensemble en réseau. En outre, l’entreprise possèdera une ou plusieurs liaisons Internet par des lignes de type T1 ou T3. Sans pare-feu installé, ces centaines d’ordinateurs sont directement accessibles par n’importe qui sur Internet. Une personne, même sans grande expertise, peut sonder ces ordinateurs, essayer d’établir des liaisons de type FTP (protocole de transfert de fichiers) ou TELNET (TErminal NETwork ou TELecommunication NETwork, ou encore TELetype NETwork). Si un employé fait une erreur et laisse une faille de sécurité, les intrus peuvent accéder à la machine et exploiter cette faille.

Avec un pare-feu en place, le panorama est très différent. Une entreprise placera un pare-feu devant chaque raccordement à Internet (par exemple, à chaque ligne de l’entreprise). Le pare-feu peut être paramétrer pour mettre en application certaines règles de sécurité.

Par exemple, une des règles de sécurité à l’intérieur de l’entreprise pourrait être :

Parmi les 500 ordinateurs de cette entreprise, seulement un d’entre eux est autorisé à recevoir le trafic public de FTP. Autorisez les raccordements de FTP seulement à cet ordinateur et empêchez-les sur tous les autres.

Une entreprise peut installer des règles comme celle-ci pour des serveurs de FTP, serveurs de Web, serveurs de TELNET et ainsi de suite. En outre, l’entreprise peut paramétrer la manière dont les employés se connectent aux sites Web, si les fichiers ont la permission de quitter la société par le réseau et ainsi de suite. Un pare-feu donne à une entreprise un extraordinaire contrôle sur la manière dont les gens utilisent le réseau.

Les pare-feu emploient plusieurs méthodes pour commander le trafic circulant dans et hors du réseau :

  • Filtrage de paquet – les paquets (segments de morceaux des données) sont analysés par un ensemble de filtres. Des paquets qui passent les filtres sont envoyés au système de demande et tous les autres sont jetés.
  • Service de proxy – l’information Internet est récupéré par le pare-feu puis réexpédié au système de demande et vice versa .
  • Pare-feu à états (stateful firewall) – une nouvelle méthode qui n’examine pas le contenu de chaque paquet mais compare à la place certaines parties principales du paquet à une base de données d’informations de confiance. Les pare-feu à états vérifient la conformité des paquets à une connexion en cours. C’est-à-dire qu’ils vérifient que chaque paquet d’une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l’autre sens. Si la comparaison permet un recoupement raisonnable, l’information est transmise. Autrement elle est rejetée.

Paramétrage d’un pare-feu

Les Pares-feu sont paramétrables. Ceci signifie que vous pouvez ajouter ou enlever des filtres basés sur plusieurs conditions. Par exemple :

  • Adresses IP – A chaque machine connectée à Internet est assignée une adresse unique appelée une adresse IP. Les adresses IP sont des nombres de 32 bits, normalement exprimés comme quatre « octets » séparés par des points décimaux. Un adresse IP typique ressemble à ceci : 216.27.61.137. Par exemple, si un certaine adresse IP extérieure à l’entreprise consulte trop de dossiers sur un serveur, le Pare-feu peut bloquer tout le trafic venant ou destiné à cette adresse IP.
  • Noms de domaine – puisqu’il est difficile de se rappeler les nombres qui composent une adresse IP, et parce que les adresses IP peuvent parfois changer, tous les serveurs Internet ont également des noms lisibles pour l’homme, appelés « nom de domaine ». Par exemple, il est plus facile pour la plupart d’entre nous de se rappeler www.google.com que de se rappeler 216.27.61.137. Un pare-feu pourrait bloquer tout l’accès à certains noms de domaine, ou permettre seulement l’accès aux noms de domaines spécifiques.
  • Protocoles – Un protocole de communication est une spécification de plusieurs règles pour un type de communication particulier. Un protocole prédéfinit la manière dont «quelqu’un» qui veut communiquer avec un service s’entretient avec ce service. Ce « quelqu’un » peut être une personne, mais plus souvent c’est un programme machine comme un navigateur de Web, par exemple. Les protocoles sont souvent des textes décrivant simplement comment le client et le serveur doivent converser. Le HTTP, par exemple, est le protocole de communication du Web.

Quelques protocoles communs traités par les filtres de Pare-feu :

  • IP (Internet Protocol) – le circuit principal de livraison de l’information pour Internet
  • TCP (Transmission Control Protocol) – pour fragmenter en paquets et reconstituer l’information qui circule sur Internet
  • HTTP (Hyper-Text Transfer Protocol) – utilisé pour des Pages Web
  • FTP (File Transfer Protocol) – pour télécharger et transférer des fichiers
  • UDP (User Datagram Protocol) – utilisé pour l’information qui n’exige aucune réponse, telle que l’acoustique et la vidéo en streaming
  • ICMP (Internet Control Message Protocol) – employé par un router pour échanger l’information avec d’autres routers
  • SMTP (Simple Mail Transport Protocol -Email) – Utilisé pour transmettre de l’information basé sur du texte (E-mail)
  • SNMP (Simple Network Management Protocol) – utilisé pour collecter l’information système à partir d’un ordinateur à distance
  • TELNET – utiliser pour exécuter des commandes sur un ordinateur à distance

Une entreprise peut installer seulement une ou deux machines pour manipuler un protocole spécifique et interdire ce protocole relatif à toutes autres machines.

  • Ports – n’importe quel serveur rend ses services disponibles sur Internet en utilisant les ports numérotés, un pour chaque service est disponible sur le serveur (voir le principe de fonctionnement des serveurs Web). Par exemple, si un serveur est utilisé comme serveur Web (HTTP) et un serveur FTP, le serveur Web serait typiquement disponible sur le port 80, et le serveur FTP serait disponible sur le port 21. Une société peut bloquer l’accès du port 21 sur toutes les machines internes à l’entreprise.
  • Mots et expressions spécifiques – Ce peut être n’importe quel terme. Le Pare-feu reniflera (fouillera) chaque paquet d’information pour rechercher une concordance exacte avec le texte enregistré dans le filtre. Par exemple, vous pourriez demander au Pare-feu de bloquer n’importe quel paquet avec le mot « interdit aux moins de 18 ans ». La clef ici est que ce doit être une coïncidence exacte. Le filtre « interdit aux moins de 18 ans » n’attraperait pas « Classé X ». Mais vous pouvez inclure autant de mots, expressions et variations dont vous avez besoin.

Quelques systèmes d’exploitation sont livrés avec un Pare-feu incorporé. Sinon, un Pare-feu logiciel peut être installé sur l’ordinateur de votre domicile qui a un raccordement Internet. Cet ordinateur est considéré comme un passage obligé parce qu’il fournit le seul point d’accès entre votre réseau familial et Internet.

Avec un Pare-feu matériel, l’unité Pare-feu est elle-même le passage normal. Un bon exemple est un router Câble/DSL. Il a une carte Ethernet et un HUB intégrés. Les ordinateurs dans votre réseau domestique se relient au router, qui alternativement est relié au câble ou au modem DSL. Vous configurez le router par l’intermédiaire d’une interface Web auquel vous accédez par le navigateur sur votre ordinateur. Vous pouvez alors placer n’importe quels filtres ou information additionnelle.

Les Pares-feu matériel sont très efficaces et pas très chers. Des versions pour la maison qui incluent un router, un Pare-feu et un HUB Ethernet pour les raccordements à bande large peuvent être trouvées bien au-dessous de €100.

Contre quoi vous protègent-t’ils

Les personnes sans scrupules (Hackers) ont beaucoup de créativité qu’elles emploient pour accéder ou pour maltraiter les ordinateurs non protégés :

  • Remote login – Quelqu’un peut se relier à votre ordinateur et le commander sous une certaine forme. Ceci peut s’étendre de pouvoir regarder ou accéder à vos dossiers aux programmes réellement courants sur votre ordinateur.
  • Backdoors d’application – Quelques programmes ont des usages spéciaux qui prennent en compte l’accès à distance. D’autres contiennent des bogues qui fournissent un code secret, ou un accès caché, permettant un certain niveau de contrôle du programme.
  • Détournement de session SMTP – le SMTP est la méthode la plus commune pour envoyer les E-mail sur Internet. En accédant à une liste d’adresses E-mail, une personne peut envoyer des E-mail non sollicités (SPAM) à des milliers d’utilisateurs. Ceci est fait très souvent en réorientant les E-mail par le serveur de SMTP d’un centre serveur de confiance, rendant l’expéditeur réel du SPAM difficile à tracer.
  • Logiciel d’exploitation « bogué » – comme les applications, quelques logiciels d’exploitation ont des backdoors. D’autres ont des contrôles de sécurités insuffisants pour l’accès à distance ou des bogues dont un intrus expérimenté peut tirer profit.
  • Déni de Service – vous avez probablement entendu cette expression utilisée dans des rapports sur les attaques sur les serveur principaux du Web. Ce type d’attaque est presque impossible à parer. Ce qui se produit est que l’intrus envoie une demande de liaison au serveur. Quand le serveur répond avec une reconnaissance et essaye d’établir une session, il ne peut pas trouver le système qui a fait la demande. En inondant un serveur donné avec des demandes de session sans réponses, un intrus fait ralentir considérablement le serveur ou peut même le faire s’effondrer.
  • Bombes d’E-mail – une bombe d’E-mail est habituellement une attaque personnelle. Quelqu’un vous envoie les mêmes centaines ou milliers d’E-mail jusqu’à ce que votre système de E-mail ne puisse accepter plus de messages.
  • Macros – pour simplifier des procédures compliquées ou récurrentes, beaucoup d’applications vous permettent de créer des scripts de commandes que l’application peut utiliser. Ces scripts sont appelés macro. Les intrus ont tiré profit de ceci pour créer leurs propres macros qui, selon l’application, peuvent détruire vos données ou briser votre ordinateur.
  • Virus – la menace la plus connue est probablement celle des virus d’ordinateur. Un virus est un petit programme qui peut se copier sur d’autres ordinateurs. De cette façon qu’elle peut s’étendre rapidement d’un système à un autre. Les catégories de virus vont de messages inoffensifs à ceux qui peuvent effacer toutes vos données.
  • Spam – En général inoffensif mais toujours gênant, le Spam est l’équivalent électronique de l’imprimé publicitaire. Le Spam peut être cependant dangereux. Souvent il contient des liens Web. Ne cliquez pas sur ces derniers parce que vous pouvez accidentellement accepter un « cookie » qui peut fournir un backdoor à votre ordinateur.
  • Redirect Bomb – les intrus peuvent employer l’ICMP pour changer (réorienter) les chemins d’information en les envoyant à un router différent. C’est l’une des manières par laquelle une attaque de déni service est installé.
  • Source Routing – dans la plupart des cas, le chemin parcouru par un paquet sur Internet (ou tout autre réseau) est déterminé par les « Router » le long de ce chemin. Mais la source fournissant le paquet peut arbitrairement indiquer l’itinéraire que le paquet devrait emprunter. Les intrus tirent profit parfois de ceci pour que l’information semble venir d’une source de confiance ou même de l’intérieur du réseau ! La plupart des produits pares-feu neutralisent ce cheminement de source routing

Certaines des attaques dans la liste ci-dessus sont difficiles, si non impossible, à filtrer en utilisant un pare-feu. Quelques pare-feu offrent une protection anti-virus, mais cela vaut la peine d’installer un logiciel anti-virus sur chaque ordinateur. Et, quoique cela soit ennuyeux, certains Spam vont passer à travers le pare-feu lorsque vous ouvrez le logiciel de courrier.

Le niveau de la sécurité que vous établissez déterminera quelles menaces pourront être arrêtées par votre pare-feu. Le niveau le plus élevé de la sécurité serait de bloquer simplement tout, évidemment cela contredit l’objectif d’utiliser un raccordement Internet. Mais un principe de base commun est de tout bloquer, puis de commencer à choisir quels types de trafic sont autorisés. Vous pouvez également limiter le trafic qui traverse par le pare-feu de sorte que seulement certains types d’information, tels que le E-mail, puissent obtenir l’autorisation. C’est une bonne règle pour les entreprises qui ont un administrateur de réseau expérimenté qui comprend ce que sont les besoins et sait exactement quel trafic à laisser à travers. Pour la plupart d’entre nous, il vaut probablement mieux travailler avec les options par défaut fournis par le pare-feu à moins qu’il y ait une raison spécifique de les changer.

Une des meilleures choses d’un pare-feu d’un point de vue de sécurité est qu’il empêche les connections d’ordinateurs extérieurs à votre réseau privé. C’est un réel problème pour les entreprises, mais la plupart des réseaux domestiques ne seront pas probablement menacés de cette manière. Mais la mise en place d’un pare-feu permet d’avoir l’esprit tranquille.

Serveurs de Proxy et DMZ

Une fonction qui est souvent combinée avec un pare-feu est un proxy server. Le proxy server est employé pour permettre à d’ autres ordinateurs d’accéder aux sites Web . Quand un autre ordinateur demande une Page Web, elle est recherchée par le proxy server et puis envoyé à l’ordinateur qui la demande. L’effet de cette action est que l’ordinateur à distance accueillant la Page Web n’entre jamais en contact direct avec les ordinateurs de votre réseau domestique, autre que le proxy server.

Les serveurs de proxy peuvent améliorer l’efficacité du travail sur Internet. Si vous accédez à une page sur un site Web, il est caché (stocké) sur le proxy server. Ceci signifie que la prochaine fois que vous allez de nouveau sur cette page, il ne doit pas encore normalement charger le site Web. Au lieu de cela il charge instantanément celle stockée sur le proxy server.

Il y a des moments ou vous pouvez vouloir que les utilisateurs à distance aient accès aux objets sur votre réseau. Quelques exemples sont :

  • site Web
  • transactions en ligne
  • Transfert FTP et Téléchargement

Dans les cas comme ceci, vous pouvez créer un DMZ (zone démilitarisée). Bien que ceci fasse sérieux, c’est juste un secteur qui est en dehors du pare-feu. Pensez au DMZ comme la cour de votre maison. Elle vous appartient et vous pouvez y mettre quelque chose, mais vous n’y mettriez pas n’importe quoi, comme ce qui est correctement sécurisé à l’intérieur de la maison .

L’installation d’un DMZ est très facile. Si vous avez des ordinateurs multiples, vous pouvez choisir de placer simplement l’un des ordinateurs entre le raccordement Internet et le pare-feu. La majeure partie des pares-feu logiciel disponibles vous permettent d’indiquer un annuaire des ordinateurs de passage comme la DMZ.

Une fois que vous avez un pare-feu en place, vous devriez l’expertiser. Une bonne manière de faire ceci est aller à www.grc.com et d’essayer leurs test de sécurité gratuit Shields Up!. Vous obtiendrez un retour immédiat sur la sécurité de votre système.

Commentaires fermés sur Comment fonctionnent les Firewalls (pare-feu)

Les commentaires sont fermés pour le moment.