Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

Solution de sécurisation du point d'accès Internet : le Firewall


1 - Principes


Derrière le mot "Garde Barrière" / Pare-feu (dans la suite désigné par GB) se cache plutôt un concept qu'un matériel ou un logiciel.
Nous dirons qu'un GB peut être généralement constitué de plusieurs éléments parmi lesquels on distinguera :


Le rôle d'un environnement GB est d'assurer un certain niveau de protection du réseau interne, tout en permettant de travailler sans trop de contraintes.

2 - Le pourquoi (les raisons) d'un garde barrière ?


Plusieurs raisons parmi lesquelles :

Par conséquent, l'investissement (minimum) dans une solution intelligente peut s'avérer rentable pour la suite.


3 - Les fonctionnalités d'un coupe-feu


Les coupe feu ont su s'adapter aux besoins de sécurité liés au raccordement des réseaux d'entreprises à Internet. Outre le contrôle d'accès, les fonctions de confidentialité et d'intégrité des données sont désormais intégrées dans les solutions. En effet, de simple gestionnaires d'adresses autorisées, les coupe-feu on évolué vers :

3.1 - Contrôler les accès :


Le contrôle d'accès permet non seulement d'accepter ou de rejeter des demandes de connexions transitant par le coupe feu, mais aussi d'examiner la nature du trafic et de valider son contenu, grâce aux mécanismes de filtrages. On distingue deux types de filtrages : le filtrage statique et le filtrage dynamique.

Le filtrage statique (ou de paquets) est une des premières solutions coupe-feu mise en oeuvre sur Internet. Ce système inspecte les paquets IP (en-tête et données) de la couche réseau afin d'en extraire le quadruplet (adresse source, port source, adresse destination, port destination), qui identifie la session en cours. Cette solution permet de déterminer la nature du service demandé et de définir si le paquet IP doit être accepté ou rejeté. Le principal intérêt du filtrage statique réside dans sa transparence vis-à-vis des postes utilisateurs, ainsi que dans la vitesse des traitements.

La configuration d'un filtre s'effectue généralement au travers de liste de contrôle d'accès (Access Control List ou ACL), constitué par la mise bout à bout des différentes règles à suivre. Cette liste est lue séquentiellement jusqu'à la dernière règle applicable qui est retenue. Par exemple, une première règle indique que toutes les machines peuvent se connecter au serveur Web sur le port 80, et la suivante autorise le serveur Web à répondre à tous les clients du service (sur un port supérieur à 1024). Ces règles permettent à toutes les machines d'accéder au Web, sans pour autant bloquer les connexions ou autres applications. Il convient de rajouter en fin de liste une règle spécifiant que toute communication est interdite sur l'ensemble des services et des machines qu'elle soit en entrée ou en sortie du réseau protégé. Le principe consiste en fait à interdire tout ce qui n'est pas explicitement autorisé.

Cet exemple est celui d'un service reposant sur TCP, un protocole destiné à établir des circuits virtuel. La différenciation entre appel entrant et appel sortant repose sur une information de l'en-tête (le bit ACK) qui caractérise une connexion établie. Ce type de distinction n'existe pas pour le protocole de datagramme UDP ; différencier un paquet valide d'une tentative d'attaque sur le service s'avère donc irréalisable. Cette problématique se retrouve également avec certaines applications qui répondent aux requêtes des clients sur les ports alloués dynamiquement. C'est le cas, notamment, de FTP (un circuit pour les commandes et un pour les données) ou RPC (Remote Procedure Call) qui utilisent un service distinct pour répondre aux demandes de localisation.

Il est généralement impossible de gérer de façon satisfaisante ce type de protocole sans ouvrir l'accès à un plus grand nombre de ports, et donc de rendre le réseau plus vulnérable.

Le filtrage dynamique reprend le principe de travail du filtrage statique au niveau de la couche réseau, ainsi que la transparence de sa mise en place. En revanche, son efficacité s'étend à la quasi totalité des protocoles couramment utilisés (TCP, UDP, RPC), grâce à l'implémentation de tables d'état pour chaque connexion établie. Les performances de traitement des paquets s'améliorent en raison d'une identification rapide des paquets correspondants à une session déjà autorisée. Pour gérer l'absence de circuit UDP et l'allocation dynamique de port implantés par service, le filtrage dynamique examine en détail les informations jusqu'à la couche applicative. Il interprète ainsi les particularités liées à l'application, et crée dynamiquement les règles pour la durée de la session, facilitant le passage du paquet IP entre les deux machines autorisées. Il est également possible de contrôler le sens des transferts pour FTP (put ou get), ainsi que le mode de connexion HTTP (post ou get).

3.2 - Isoler le réseau et authentifier les utilisateurs :


Les besoins de contrôle portent de plus en plus sur la nature même des données échangées. Les relais applicatifs s'interposent entre les clients et les applications pour une surveillance spécifique.

Le principe des relais applicatifs consiste à ce que le relais apparaisse pour le client comme le serveur légitime ; il contrôle et relaie alors toutes les requêtes vers le serveur demandé, puis transmet les réponses au client initial. Ce mécanisme agit donc à la fois comme client et comme serveur. Cela implique qu'un relais ait été développé pour chaque application (messagerie, serveur web, téléchargement etc.).

Les relais applicatifs permettent d'isoler le réseau de l'extérieur, avec les serveurs applicatifs aucun flux d'information ne circule en direct entre le réseau protégé et les autres réseaux. Toutes les données sont obligatoirement acheminées vers le relais, qui décide quelle action mener.

Les relais applicatifs permettent de vérifier l'intégrité des données et authentifier les échanges. Les possibilités offertes par ce mécanisme vont bien au-delà du contrôle d'accès de la base. En effet, le positionnement au niveau applicatif autorise le relais à vérifier l'intégrité des données et à examiner les particularités de l'application. En outre, sa proximité avec l'interface utilisateur facilite la mise en oeuvre d'authentification.

Une autre fonctionnalité des coupe feu réside dans l'authentification des utilisateurs. L'authentification demeure indispensable pour effectuer un contrôle d'accès fiable portant sur l'identité des usagers des services. Le mécanisme le plus couramment employé consiste à associer un mot de passe à l'identifiant d'une personne. Toutefois, dans les communications réseaux, ce mot de passe est souvent envoyé en clair. Sur un réseau public comme Internet cette situation n'est pas acceptable. Pour y remédier, les coupe-feu proposent des solutions basées sur le chiffrement. Les techniques de chiffrement seront développées dans le paragraphe ci-dessous.

3.3 - Chiffrer les données pour relier les réseaux via Internet :


Les réseaux privés virtuels utilisent Internet pour interconnecter de façon sûre les différents réseaux des filiales et partenaires d'une entreprise. Les moyens de chiffrement sont la base des mécanismes mis en oeuvre par les coupe-feu (Firewall).

Pour pallier le manque de confidentialité sur Internet et sécuriser les échanges, des solutions poste à poste telles que le protocole SSL (couche transport) ou les GPSS-API (couche application) oint été développées. Basées sur des principes de chiffrement, elles assurent la confidentialité et l'intégrité des échanges client-serveur. Grâce à Internet, les sociétés peuvent interconnecter leurs différents sites, et fournir à leurs employés en déplacement un accès contrôlé à moindre coût. C'est pourquoi les coupe-feu (tunnel chiffrant établie entre les deux sites d'une société), ou entre client et coupe-feu.

Diverses solutions de chiffrement émergent, mais qui ne sont pas inter-opérables entre eux. Le groupe IPSEC (IP-SECURE), mis en place par l'IETF (Internet Engineering Task Force), travaille donc à une standardisation de ses mécanismes. Chargé de soumettre des solutions de sécurité pour le protocole IP, IPSEC a développé la norme ESP (Encapulsating Security Payload) qui propose deux alternatives offrant confidentialité et intégrité des données.

La première chiffre le datagramme IP dans son intégralité. Cette technique, qui intervient au niveau des passerelles d'interconnexion, permet alors de masquer les adresses IP, et la nature des flux entre des machines communiquant à travers le tunnel ainsi crée.

La seconde alternative, destinée à préserver les performances de routage, ne chiffre que les en-tête de la couche transport (TCP/UDP), préservant ainsi les en-tête IP.

Ces technologies reposent sur des méthodes de chiffrement, les quelles nécessitent algorithmes employés, ainsi que la négociation de clés de session entre les deux parties communicantes.

Auditer son firewall



Nous l'avons vu, le firewall est la pierre angulaire de la sécurité de votre réseau. Son rôle est crutial. Alors, nous conseillons de faire auditer votre point d'accès Internet régulièrement, une fois par an par exemple.

Le Firewall SecuriteInfo.com


SecuriteInfo.com a développé sa propre solution de sécurité dotée, entre autre, d'un firewall.
Cet équipement permet une sécurisation optimale du point d'accès internet et est composée de différents modules.



Mustapha Benjada

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités.
Twitter SecuriteInfo.com
Facebook SecuriteInfo.com
BOINC calcul scientifique
© 2004-2016 - Tous droits réservés - SecuriteInfo.com