Firewall

Un pare-feu (firewall en anglais), est un système physique (matériel) ou logique (logiciel) servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données. Il s'agit donc d'une machine comportant au minimum deux interfaces réseau :

* une interface pour le réseau à protéger (réseau interne)
* une interface pour le réseau externe

Le pare-feu représente ainsi généralement dans les entreprises un dispositif à l'entrée du réseau qui permet de protéger le réseau interne d'éventuelles intrusions en provenance des réseaux externes (souvent internet).

Les pare-feux sont utilisés principalement dans 4 buts :

Maintenir des personnes dehors

En effet, pour se protéger des malveillances "externes", les FireWalls permettent d'écarter divers intrus comme :

* les curieux qui génèrent du trafic, qui font plus de peur que de mal, mais qui quelquefois finissent par coûter cher
* les vandales, ceux qui veulent embêter pour embêter, (saturation de liaisons, saturation de CPU, corruption de données, mascarade d'identité...)
* les espions (problème de confidentialité de l'information)

Maintenir des personnes à l'intérieur

Les pare-feux ont également pour objectif d'éviter la fuite d’information non contrôlée vers l’extérieur.

Contrôler les flux

Tous les flux du trafic entre le réseau interne et externe doivent être surveillés. Cela permet par exemple d'avoir une vue de la consommation Internet des différents utilisateurs internes et de bloquer l'accès à certains sites contenant des informations illégales. Les garde-barrières effectuant un filtrage applicatif (notion expliquée dans le partie suivante) peuvent effectuer des vérifications sur les e-mail reçus et donc interdire les spams. Enfin, un firewall permet un audit de façon "centrale" du trafic pour aider à prévoir les évolutions du réseau.

Faciliter l’administration du réseau

Sans Firewall, chaque machine du réseau est potentiellement exposée aux attaques d’autres machines d’Internet. Les Firewall simplifient la gestion de la sécurité et donc l'administration du réseau car ils centralisent les attaques potentielles au niveau du Firewall plutôt que sur le réseau tout entier.

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

* Soit d'autoriser uniquement les communications ayant été explicitement autorisées.
* Soit d'empêcher les échanges qui ont été explicitement interdits.

Le choix de l'une ou l'autre de ces méthodes dépend de la politique de sécurité adoptée par l'entité désirant mettre en oeuvre un filtrage des communications. La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en terme de communication.

Il existe deux types de filtrage pour un firewall : le filtrage de paquets et le filtrage applicatif.

Le filtrage de paquets

Le fonctionnement des systèmes pare-feu est basé sur le principe du filtrage de paquets IP, c'est-à-dire sur l'analyse des en-têtes des paquets IP échangés entre deux machines.

Ainsi, lorsqu'une machine de l'extérieur se connecte à une machine du réseau local, et vice-versa, les paquets de données passant par le firewall contiennent les en-têtes suivants, qui sont analysés par le firewall :

* L'adresse IP de la machine émettrice
* L'adresse IP de la machine réceptrice
* Le type de paquet (TCP, UDP, ...)
* Le numéro de port (rappel : un port est un numéro associé à un service ou une application réseau)

Lorsque le filtrage est basé sur les adresses IP, on parle de filtrage par adresse (adress filtering), tandis que le terme de filtrage par protocole (protocol filtering) est utilisé lorsque le type de paquets et le port sont analysés.

Certains ports sont associés à des service courants (les ports 25 et 110 sont généralement associés au courrier électronique, et le port 80 au Web) et ne sont généralement pas bloqués. Toutefois, il est recommandé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue).

Notons que les firewalls filtrants n’effectuent aucun contrôle d’authentification, les utilisateurs ne sont identifiés que par leurs adresses IP, ce qui peut être problématique si l’on utilise du DHCP et que l’on filtre par adresse IP. Contrairement aux proxys, les firewalls filtrants sont transparents pour les utilisateurs, ceux-ci n’ont pas à configurer leurs applications pour accéder à Internet.

En résumé, le filtrage de paquets présente des avantages en terme de :

* gain de temps pour la mise en place
* coût généralement faible
* performances assez bonnes
* transparence aux utilisateurs et aux applications

Cependant, le besoin croissant de sécurité et de contrôle du contenu informationnel des échanges met en évidence les limites de ce type de firewall :

* L’élaboration de règles de filtrage peut être une opération pénible à partir du moment où l’administrateur réseau doit avoir une compréhension détaillée des différents services Internet et du format des en-têtes des paquets. Si des règles complexes de filtrage doivent être mises en place, c’est un processus long, lourd et difficile à faire évoluer et à comprendre. De plus, une mauvaise configuration peut conduire le site à rester vulnérable à certaines attaques.

* Le firewall filtre de paquets ne protège pas contre les applications du type Cheval de Troie car il n’analyse pas le contenu des paquets. Il est donc possible de tenter une attaque par tunneling de protocole, c’est à dire passer par les protocoles autorisés pour en atteindre d’autres interdits.

* Plus le nombre de règles à appliquer est grand, plus les performances du firewall diminuent, diminuant d’autant les performances de tout le système. On doit alors faire ici un choix parfois crucial entre performance et sécurité.

* Le firewall filtrant n’est pas capable de comprendre le contexte du service qu’il rend : il ne peut par exemple pas bloquer l’importation de mail concernant certains sujets

Le filtrage applicatif

Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application, ce qui signifie qu'il travaille au niveau de la couche 7 du modèle OSI. Le filtrage applicatif suppose donc une connaissance de l'application, et notamment de la manière utilisée pour structurer les données échangées. Un firewall effectuant un filtrage applicatif est appelé passerelle applicative car il permet de relayer des informations entre deux réseaux en effectuant un filtrage fin au niveau du contenu des paquets échangés. Il s'agit donc d'un dispositif performant assurant une bonne protection du réseau, pour peu qu'il soit correctement administré.

Avec ce type de filtres, les politiques de sécurité sont plus flexibles et efficaces car toutes les informations contenues dans les paquets peuvent être utilisées pour écrire les règles servant à déterminer les paquets bloqués par le filtre.

Les avantages des Firewalls filtrant au niveau application sont les suivants :

* Les filtres au niveau application donnent à l’administrateur un contrôle complet sur chaque service par la restriction sur les commandes utilisables et sur l’accès aux hôtes internes par ces services.

* Les filtres au niveau application permettent l’installation de procédures d’authentification extrêmement poussées.

* Les règles d’un firewall filtrant au niveau application sont bien plus faciles à configurer et à tester que pour un firewall filtre de paquets.

En contrepartie, les limitations des filtres au niveau application sont :

* Les filtres au niveau application augmentent considérablement le coût du firewall, ce coût étant principalement lié à celui de la plate-forme matérielle de la passerelle, des services proxy et du temps et des connaissances requises pour configurer cette passerelle.

* Les filtres au niveau application ont tendance à réduire la qualité du service offert aux utilisateurs tout en diminuant la transparence du système.

* Une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications.