Pare-feu
Un pare-feu est un élément du réseau informatique, logiciel et/ou matériel, qui a pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés ou interdits.
Recherche sur Google Images :
Source image : www.malekal.com Cette image est un résultat de recherche de Google Image. Elle est peut-être réduite par rapport à l'originale et/ou protégée par des droits d'auteur. |
Définitions :
- système informatique qui filtre les flux d'informations entre un réseau interne privé et un réseau externe (comme Internet) en vue de neutraliser les tentatives d'intrusions en provenance de l'extérieuret de maîtriser les accès vers l'extérieur. (source : agencentic)
- En bref Barrière de sécurité protégeant un réseau contre les accès non autorisés provenant de l'extérieur. Explication Un pare-feu (en anglais, firewall) est une sorte de garde-barrière, qui contrôle le trafic des données entre un réseau local et un réseau externe (p. ex.... (source : microsoft)
- C'est un élément du dispositif de l'ordinateur, qui sert à vérifier les flux d'informations échangés, protégeant ainsi l'accès à vos données, et en n'y donnant accès qu'à des sites de confiance. (source : bnpparibas)
Un pare-feu est un élément du réseau informatique, logiciel et/ou matériel, qui a pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés ou interdits.
Un pare-feu est quelquefois nommé coupe-feu, garde-barrière ou encore firewall en anglais. Dans un contexte OTAN, un pare-feu est nommé Périphérique de protection en bordure (en anglais : Border Protection Device, ou BPD). Dans un environnement BSD, un pare-feu est aussi nommé packet filter.
Origine du terme
Le terme peut avoir plusieurs origines : le «pare-feu» ou «coupe-feu» est au théâtre un mécanisme qui permet, une fois déclenché, d'éviter au feu de se propager de la salle vers la scène.
Le mot fait aussi référence aux allées pare-feux qui en forêt sont conçus pour bloquer les incendies de forêt, ou dans le domaine de l'architecture aux portes coupe-feux.
L'usage du terme «pare-feu» en informatique est par conséquent métaphorique : une porte empêchant les flammes de l'Internet de rentrer chez soi et/ou de «contaminer» un réseau informatique.
Fonctionnement général
Le pare-feu était jusqu'il y a quelques années reconnu comme une des pierres angulaires de la sécurité d'un réseau informatique. (Il perd en importance au fur et à mesure que les communications basculent sur HTTP sur SSL, court-circuitant tout filtrage. ) Il permet d'appliquer une politique d'accès aux ressources réseau (serveurs).
Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent. Le plus souvent, les zones de confiance incluent Internet (une zone dont la confiance est nulle), et au moins un réseau interne (une zone dont la confiance est plus importante).
L'objectif ultime est d'apporter une connectivité contrôlée et maîtrisée entre des zones de différents niveaux de confiance, grâce à l'application de la politique de sécurité et d'un modèle de connexion basé sur le principe du moindre privilège.
Le filtrage se fait selon divers critères. Les plus courants sont :
- l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc. ) ;
- les options contenues dans les données (fragmentation, validité, etc. ) ;
- les données elles-mêmes (taille, correspondance à un motif, etc. ) ;
- les utilisateurs pour les plus récents.
Un pare-feu fait fréquemment office de routeur et permet ainsi d'isoler le réseau en plusieurs zones de sécurité nommées zones démilitarisées ou DMZ. Ces zones sont scindées suivant le niveau de confiance qu'on leur porte.
Enfin, le pare-feu est aussi fréquemment extrémité de tunnel IPsec ou SSL. L'intégration du filtrage de flux et de la gestion du tunnel est en effet indispensable pour pouvoir à la fois protéger le trafic en confidentialité et intégrité et filtrer ce qui passe dans le tunnel. C'est le cas surtout de plusieurs produits du commerce appelés dans la liste ci-dessous.
Catégories de pare-feu
Les pare-feu sont un des plus vieux équipements de sécurité et , comme tel, ils ont été soumis à de nombreuses évolutions. Suivant la génération du pare-feu ou son rôle précis, on peut les classer en différentes catégories.
Pare-feu sans états (stateless firewall)
C'est le plus vieux système de filtrage réseau, introduit sur les routeurs. Il regarde chaque paquet indépendamment des autres et le compare à une liste de règles préconfigurées.
Ces règles peuvent avoir des noms particulièrement différents selon le pare-feu :
- «ACL» pour Access Control List (certains pare-feu Cisco),
- politique ou policy (pare-feu Juniper/Netscreen),
- filtres,
- Règles ou rules
- etc.
La configuration de ces systèmes est fréquemment complexe et l'absence de prise en compte des machines à états des protocoles réseaux ne permet pas d'obtenir une finesse du filtrage particulièrement évoluée. Ces pare-feu ont par conséquent tendance à tomber en désuétude mais restent présents sur certains routeurs ou dispositifs d'exploitation.
Pare-feu à états (stateful firewall)
Certains protocoles dits «à états» comme TCP introduisent une notion de connexion. Les pare-feu à états vérifient la conformité des paquets à une connexion en cours. C'est-à-dire qu'ils vérifient que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les paquets ICMP qui servent à la signalisation des flux IP.
Enfin, si les ACL autorisent un paquet UDP caractérisé par un quadruplet (ip_src, port_src, ip_dst, port_dst) à passer, un tel pare-feu autorisera la réponse caractérisée par un quadruplet inversé, sans avoir à écrire une ACL inverse. C'est essentiel pour le bon fonctionnement de l'ensemble des protocoles fondés sur l'UDP, comme DNS par exemple. Ce mécanisme apporte en fiabilité dans la mesure où il est plus sélectif quant à la nature du trafic autorisé. Cependant dans le cas d'UDP, cette caractéristique est parfois utilisée pour établir des connexions directes (P2P) entre deux machines (comme le fait Skype par exemple).
Pare-feu applicatif
Dernière mouture de pare-feu, ils vérifient la complète conformité du paquet à un protocole attendu. A titre d'exemple, ce type de pare-feu sert à vérifier que seul du HTTP passe par le port TCP 80. Ce traitement est particulièrement gourmand en temps de calcul dès que le débit devient particulièrement important; il est justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP pour contourner le filtrage par ports.
Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles comme le fameux FTP en mode actif échangent entre le client et le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles sont dits «à contenu sale» ou «passant difficilement les pare-feu» car ils échangent au niveau applicatif (FTP) des informations du niveau IP (échange d'adresses) ou du niveau TCP (échange de ports). Ce qui transgresse le principe de la séparation des Couches réseaux. Pour cette raison, les protocoles «à contenu sale» passent difficilement ou alors absolument pas, les règles de NAT dynamiques, à moins qu'une inspection applicative ne soit faite sur ce protocole.
Chaque type de pare-feu sait inspecter un nombre limité d'applications. Chaque application est gérée par un module différent pour pouvoir les activer ou les désactiver. Le vocabulaire pour le concept de module est différente pour chaque type pare-feu :
- Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur Linux Netfilter
- CBAC sur Cisco IOS
- Fixup puis inspect sur Cisco PIX
- ApplicationLayerGateway sur Proventia M,
- Predefined Services sur Juniper ScreenOS
- Deep Packet Inspection sur Check Point FireWall-1
- Deep Packet Inspection sur Qosmos
- Web Application Firewall sur BinarySEC
Pare-feu identifiant
Un pare-feu identifiant réalise l'identification des connexions passant à travers le filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC, et suivre l'activité réseau par utilisateur. Plusieurs méthodes différentes existent qui reposent sur des associations entre IP et utilisateurs réalisées par des moyens variés. On peut par exemple citer authpf (sous OpenBSD) qui utilise ssh pour faire l'association. Une autre méthode est l'identification connexion par connexion (sans avoir cette association IP=utilisateur et par conséquent sans compromis sur la sécurité), réalisée par exemple ensuite NuFW, qui permet d'identifier aussi sur des machines multi-utilisateurs.
On pourra aussi citer Cyberoam qui apporte un Pare-feu entièrement basé sur l'identité (en réalité en réalisant des associations adresse MAC = utilisateur).
Pare-feu personnel
Les pare-feu personnels, le plus souvent installés sur une machine de travail, agissent comme un pare-feu à états. Fréquemment, ils vérifient aussi quel programme est à l'origine des données. L'objectif est de lutter contre les virus informatiques et les logiciels espions.
Portails captifs
Les portails captifs sont des pare-feu dont l'objectif est d'effectuer une vérification de l'identité de l'utilisateur avant de le laisser accéder à internet. Cette vérification est sommaire et les méthodes de contournements sont nombreuses. Cependant, ces solutions sont utiles dans la mesure où elles permettent de limiter les utilisations abusives des moyens d'accès. C'est par exemple le cas des points d'accès Wi-Fi qui sont fréquemment protégés par ce genre de solution.
Technologies utilisées
Les pare-feu récents embarquent de plus en plus de fonctionnalités, parmi lesquelles on peut citer :
- Filtrage sur adresses IP/Protocole,
- Inspection stateful et applicative,
- Intelligence artificielle pour détecter le trafic anormal,
- Filtrage applicatif
- HTTP (restriction des URL accessibles),
- Courriel (Anti-pourriel)
- Logiciel antivirus, anti-logiciel malveillant
- Translation d'adresses,
- Tunnels IPsec, PPTP, L2TP,
- Identification des connexions,
- Serveurs de protocoles de connexion (telnet, SSH), de protocoles de transfert de fichier (SCP),
- Clients de protocoles de transfert de fichier (TFTP),
- Serveur Web pour offrir une interface de configuration agréable,
- Serveur mandataire («proxy» en anglais),
- Dispositif de détection d'intrusion («IDS» en anglais)
- Dispositif de prévention d'intrusion («IPS» en anglais)
- (fr) Comment ça marche, un pare-feu ?
Recherche sur Amazone (livres) : |
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 23/03/2009.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.