7.4.1 -
Les Firewalls :
Les firewalls (coupe-feu) constitue un type de sécurité par
réseau très efficace. Dans le bâtiment un coupe-feu est
conçu pour éviter qu’un incendie ne se répande
d’une partie de l’immeuble aux autres. En théorie un firewall
sert à la même chose : il empêche les attaques provenant
d’une zone non sure de se répandre à
l’intérieur du réseau interne. En pratique il ressemble plus
aux douves d’un château médiéval. Il répond aux
objectifs suivants :
- Il restreint l’accès à un point
précis ;
- Il empêche les agresseurs de s’approcher des autres
défenses ;
- Il restreint la sortie à un point précis.
Un
firewall est le plus souvent installé au point ou le réseau
interne est connecté à Internet mais il peut également
servir à protéger une ressource critique de l’entreprise des
attaques en provenance du réseau interne.
Tout le trafic provenant ou
partant du réseau interne passe ainsi à travers le firewall qui a
ainsi la possibilité de vérifier que le trafic est acceptable,
c'est-à-dire que celui-ci est conforme à la politique de
sécurité du site.
Le firewall se comporte comme un
séparateur, un limiteur et un analyseur de flux. Il s’agit la
plupart du temps d’un ensemble de composants matériels et
logiciels.
7.4.1.A - Les différents types de
firewall :
7.4.1.A.1 - Les Firewalls à filtrage de
paquets :
Ce type de firewalls travaille sur la composition même des paquets
réseaux (couche réseau du modèle OSI).Ces firewalls
analysent les paquets entrants/sortants suivant leur type, leurs adresses source
et destination ainsi que les ports utilisés. Travaillant directement sur
la couche IP, ces sont très peu gourmands en mémoire. Il est
à noter que s’ils sont totalement transparents pour les
utilisateurs il n'y a pas d'authentification possible des dits utilisateurs car
seule l’adresse IP source est connue du firewall. Les firewalls à
filtrage de paquets peuvent être soit stateless (pas de suivi des
connexions) ou stateful (suivi des connexions TCP/IP).
7.4.1.A.2 - Les Firewalls Proxy :
Les firewalls proxy (ou firewalls applicatifs) ont un mode de
fonctionnement différent des firewalls à filtrage de paquets.
Chaque requête traversant le firewall sera prise en compte par le firewall
qui se chargera d’aller chercher l’information. Ces firewalls
permettent l’authentification des utilisateurs mais nécessitent une
configuration spécifique sur chaque client. Il est à noter que ces
firewalls sont des gros consommateurs de ressources informatiques.
7.4.1.A.3 - Proxy «
SOCKS » :
Ce type de firewall ne travaille pas sur les flux applicatifs mais
rétablisse, à chaque connexion, la connexion vers
l'extérieur. Ce type de firewall est peu utilisé désormais.
Il est à noter que ces firewalls ne réalisent pas
d’authentification des utilisateurs même s’ils ont la
capacité d’enregistrer les coordonnées de l'utilisateur qui
a demandé la connexion.
7.4.1.B - Les possibilités d’un
firewall :
7.4.1.B.1 - Le firewall est au centre des
décisions de sécurité :
Le firewall se comporte comme un goulet d’étranglement et tout
le trafic entrant et sortant doit passer par ce point de contrôle. Le
firewall permet de concentrer les mesures de sécurité en un point
unique.
7.4.1.B.2 - Le firewall permet de renforcer le
règlement de sécurité :
Le firewall joue le rôle d’un agent de circulation pour
l’ensemble des flux. Il applique la politique de sécurité de
l’entreprise et ne permet qu’aux services
« approuvés » de traverser et uniquement dans le
cadre des règles qui leur ont été
affectées.
7.4.1.B.3 - Le firewall permet d’enregistrer
l’activité :
Le firewall constitue un bon lieu de collecte d’informations sur
l’utilisation des systèmes et du réseau. Le firewall, point
d’accès unique peut enregistrer ce qui se produit entre le
réseau protégé et l’extérieur.
7.4.1.C - Ce qu’un firewall ne peut pas
faire :
7.4.1.C.1 - La protection contre la menace
interne :
S’il est vrai qu’un firewall peut permettre de protéger
l’entreprise d’une attaque externe, les utilisateurs internes ayant
accès à une ressource non protégée peuvent voler ou
détruire des données sans jamais approcher du firewall.
C’est pourquoi toutes les ressources internes sensibles doivent faire
l’objet d’une protection par firewall !
7.4.1.C.2 - La protection contre des connexions ne
passant pas par le firewall :
Un firewall ne peut contrôler efficacement que le trafic qui passe
par lui : il ne peut systématiquement rien faire contre les
connexions qui lui échappe ! Il est fréquent de constater que
des utilisateurs « experts » ou des administrateurs mettent
en place leur propres « entrées de service » à
l’intérieur du réseau (mise en place de modem activés
en réception par exemple).
7.4.1.C.3 - La protection contre les menaces
nouvelles :
Un firewall est destiné à protéger le réseau de
l’entreprise contre des menaces connues. S’il est bien conçu,
il peut également protéger contre de nouvelles menaces (en
interdisant par exemple tous les services sauf ceux considérés
surs). Aucun firewall ne peut cependant défendre un site contre toutes
les nouvelles menaces qui apparaissent. Les agresseurs découvrent
régulièrement de nouvelles manières d’attaquer. La
mise en place d’un firewall doit impérativement s’accompagner
d’une politique de mise à jour régulière !
7.4.1.C.4 - La protection contre les
virus :
L’examen des flux traversant un firewall s’effectue surtout par
examen des adresses source et destination ainsi que des numéros de port
mais pas sur le détail des données. Même avec un filtrage de
paquets sophistiqués la protection contre les virus à l’aide
d’un firewall est difficilement réalisable : le nombre de
virus existants ainsi que le nombre de façons de se camoufler au sein des
données est trop important.
La détection d’un virus
par examens des paquets transitant au travers d’un firewall
demanderait :
- de savoir que le paquet fait partie d’un programme
exécutable ;
- de savoir à quoi le programme non infesté devrait
ressembler ;
- de savoir que le changement est du à un
virus.
Cette détection étant quasiment
impossible à réaliser (et non réalisé à ce
jour), la mise en place d’un firewall doit s’accompagner de la mise
en place d’anti-virus spécifiques à chacun des flux
traversant le firewall et pouvant servir de support à virus.