Pare-feu

Un article de Wikipédia, l'encyclopédie libre.

Un pare-feu est un élément du réseau informatique, logiciel et/ou matériel, qui a pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés ou interdits.

Un pare-feu est parfois appelé coupe-feu, garde-barrière ou encore firewall en anglais. Dans un contexte OTAN, un pare-feu est appelé Périphérique de protection en bordure (en anglais : Border Protection Device, ou BPD). Dans un environnement BSD, un pare-feu est aussi appelé packet filter.

Sommaire 1 Origine du terme 2 Fonctionnement général 3 Catégories de pare-feu 3.1 Pare-feu sans états (stateless firewall) 3.2 Pare-feu à états (stateful firewall) 3.3 Pare-feu applicatif 3.4 Pare-feu identifiant 3.5 Pare-feu personnel 4 Technologies utilisées 5 Implémentations connues 5.1 Versions libres 5.2 Distribution Linux 5.3 Versions propriétaires 5.3.1 Boîtiers pare-feu 5.3.2 Pare-feu personnels 5.3.3 Pare-feu applicatifs 5.3.4 Pare-feu identifiant 6 Annexes 6.1 Articles connexes 6.2 Liens externes

[modifier] Origine du terme

le terme peut avoir plusieurs origines ; Le « pare-feu » ou « coupe-feu » est au théâtre un mécanisme qui permet, une fois déclenché, d'éviter au feu de se propager de la salle vers la scène.

Le mot fait aussi référence aux allées pare-feux qui en forêt sont destinés à bloquer les incendies de forêt, ou dans le domaine de l'architecture aux portes coupe-feux.

L'usage du terme « pare-feu » en informatique est donc métaphorique : une porte empêchant les flammes de l'Internet de rentrer chez soi et/ou de « contaminer » un réseau informatique.

[modifier] Fonctionnement général

Le pare-feu était jusqu'il y a quelques années considéré comme une des pierres angulaires de la sécurité d'un réseau informatique. (Il perd en importance au fur et à mesure que les communications basculent sur HTTP sur SSL, court-circuitant tout filtrage.) Il permet d'appliquer une politique d'accès aux ressources réseau (serveurs).

Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent. Généralement, les zones de confiance incluent Internet (une zone dont la confiance est nulle), et au moins un réseau interne (une zone dont la confiance est plus importante).

Le but ultime est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents niveaux de confiance, grâce à l'application de la politique de sécurité et d'un modèle de connexion basé sur le principe du moindre privilège.

Le filtrage se fait selon divers critères. Les plus courants sont :

• l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.)
• les options contenues dans les données (fragmentation, validité, etc.)
• les données elles-mêmes (taille, correspondance à un motif, etc.)
• les utilisateurs pour les plus récents

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau en plusieurs zones de sécurité appelées zones démilitarisées ou DMZ. Ces zones sont séparées suivant le niveau de confiance qu'on leur porte.

Enfin, le pare-feu est également souvent extrémité de tunnel IPsec ou SSL. L'intégration du filtrage de flux et de la gestion du tunnel est en effet nécessaire pour pouvoir à la fois protéger le trafic en confidentialité et intégrité et filtrer ce qui passe dans le tunnel. C'est la cas notamment de plusieurs produits du commerce nommés dans la liste ci-dessous.

[modifier] Catégories de pare-feu

Les pare-feu sont le plus vieil équipement de sécurité et comme tel, ils ont été soumis à de nombreuses évolutions. Suivant la génération du pare-feu ou son rôle précis, on peut les classer en différentes catégories.

[modifier] Pare-feu sans états (stateless firewall)

C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs. Il regarde chaque paquet indépendamment des autres et le compare à une liste de règles préconfigurées.
Ces règles peuvent avoir des noms très différents en fonction du pare-feu :

• "ACL" pour Access Control List (certains pare-feu Cisco),
• politique ou policy (pare-feu Juniper/Netscreen),
• filtres,
• etc.

La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des machines à états des protocoles réseaux ne permet pas d'obtenir une finesse du filtrage très évoluée. Ces pare-feu ont donc tendance à tomber en désuétude mais restent présents sur certains routeurs ou systèmes d'exploitation.

[modifier] Pare-feu à états (stateful firewall)

Certains protocoles dits « à états » comme TCP introduisent une notion de connexion. Les pare-feu à états vérifient la conformité des paquets à une connexion en cours. C’est-à-dire qu'ils vérifient que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les paquets ICMP qui servent à la signalisation des flux IP.

Enfin, si les ACL autorisent un paquet UDP caractérisé par un quadruplet (ip_src, port_src, ip_dst, port_dst) à passer, un tel pare-feu autorisera la réponse caractérisée par un quadruplet inversé, sans avoir à écrire une ACL inverse. C'est fondamental pour le bon fonctionnement de tous les protocoles fondés sur l'UDP, comme DNS par exemple. Ce mécanisme apporte en fiabilité puisqu'il est plus sélectif quant à la nature du trafic autorisé. Cependant dans le cas d'UDP, cette caractéristique peut être utilisée pour établir des connexions directes (P2P) entre deux machines (comme le fait Skype par exemple).

[modifier] Pare-feu applicatif

Dernière mouture de pare-feu, ils vérifient la complète conformité du paquet à un protocole attendu. Par exemple, ce type de pare-feu permet de vérifier que seul du HTTP passe par le port TCP 80. Ce traitement est très gourmand en temps de calcul dès que le débit devient très important; il est justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP pour contourner le filtrage par ports.

Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles comme le fameux FTP en mode actif échangent entre le client et le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles sont dits "à contenu sale" ou "passant difficilement les pare-feu" car ils échangent au niveau applicatif (FTP) des informations du niveau IP (échange d'adresses) ou du niveau TCP (échange de ports). Ce qui transgresse le principe de la séparation des Couches réseaux. Pour cette raison, les protocoles "à contenu sale" passent difficilement voire pas du tout, les règles de NAT dynamiques, à moins qu'une inspection applicative ne soit faite sur ce protocole.

Chaque type de pare-feu sait inspecter un nombre limité d'applications. Chaque application est gérée par un module différent pour pouvoir les activer ou les désactiver. La terminologie pour le concept de module est différente pour chaque type pare-feu:

• Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur Linux Netfilter
• CBAC sur Cisco IOS
• Fixup puis inspect sur Cisco PIX
• ApplicationLayerGateway sur Proventia M,
• Predefined Services sur Juniper ScreenOS
• Deep Packet Inspection sur Check Point FireWall-1
• Deep Packet Inspection sur Qosmos
• Web Application Firewall sur BinarySEC

[modifier] Pare-feu identifiant

Un pare-feu identifiant réalise l’identification des connexions passant à travers le filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par IP, et suivre l'activité réseau par utilisateur. Plusieurs méthodes différentes existent qui reposent sur des associations entre IP et utilisateurs réalisées par des moyens variés. On peut par exemple citer authpf (sous OpenBSD) qui utilise ssh pour faire l'association. Une autre méthode est l'identification connexion par connexion (sans avoir cette association IP=utilisateur et donc sans compromis sur la sécurité), réalisée par exemple par la suite NuFW, qui permet d'identifier également sur des machines multi-utilisateurs.

[modifier] Pare-feu personnel

Les pare-feu personnels, généralement installés sur une machine de travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'origine des données. Le but est de lutter contre les virus informatiques et les logiciels espions.

[modifier] Technologies utilisées

Les firewalls récents embarquent de plus en plus de fonctionnalités, parmi lesquelles on peut citer :

• Filtrage sur adresses IP/Protocole,
• Inspection stateful et applicative,
• Intelligence artificielle pour détecter le trafic anormal,
• Filtrage applicatif
  • HTTP (restriction des URL accessibles),
  • Courriel (Anti-pourriel)
  • Logiciel antivirus, anti-logiciel malveillant
• Translation d'adresses,
• Tunnels IPsec, PPTP, L2TP,
• Identification des connexions,
• Serveurs de protocoles de connexion (telnet, SSH), de protocoles de transfert de fichier (SCP),
• Clients de protocoles de transfert de fichier (TFTP),
• Serveur Web pour offrir une interface de configuration agréable,
• Serveur mandataire (« proxy » en anglais),
• Système de détection d'intrusion (« IDS » en anglais)
• Système de prévention d'intrusion (« IPS » en anglais)

[modifier] Implémentations connues

[modifier] Versions libres

• Linux Netfilter/Iptables, pare-feu libre des noyaux Linux 2.4 et 2.6.
• Linux Ipchains, pare-feu libre du noyau Linux 2.2.
• Packet Filter ou PF, pare-feu libre de OpenBSD, importé depuis sur les autres BSD.
• IPFilter ou IPF, pare-feu libre de BSD et Solaris 10.
• Ipfirewall ou IPFW, pare-feu libre de FreeBSD.
• NuFW Pare-feu identifiant sous licence GPL pour la partie serveur et les clients Linux, FreeBSD et Mac OS. NuFW est basé sur Netfilter et en augmente les fonctionnalités.
• iSafer, pare-feu libre pour Windows.

[modifier] Distribution Linux

• SmoothWall : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en pare-feu dédié et complet.
• IPCop : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en pare-feu dédié et complet.
• Endian Firewall *, distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en pare-feu dédié et complet.
• Pfsense [1], distribution firewall open source très avancée basée sur FreeBSD et dérivée de m0n0wall qui utilise en autre OpenBSD packet Filter.

[modifier] Versions propriétaires

[modifier] Boîtiers pare-feu

• .vantronix
  • .vantronix Security Appliances
  • .vantronix Firewall XL1 a 3rd party firewall module for HP ProCurve 5300xl switches

• Arkoon Network Security
  • Appliances UTM FAST360, certifiées Critères communs niveau EAL2+

• Check Point
  • Check Point FireWall-1

• Cisco Systems
  • Cisco PIX, Cisco ASA et Cisco FWSM, boîtier pare-feu
  • Cisco VPN3000, boîtier pare-feu orienté RPV

• Elitecore Technologies
  • Cyberoam Séries CR et CCC, boîtiers de sécurité centralisée basés sur l'identité de l'utilisateur, certifiés niveau 5 Checkmarck avec pare-feu certifié ICSA

• Fortinet
  • Appliances UTM FortiGate, certifiées Critères communs niveau EAL4+, FIPS 140-2, multiple ICSA Labs Certifications dont SSL-TLS (VPN), IPSec, Network IPS, Antivirus, et Firewall

• INL
  • EdenWall, boîtier pare-feu basé sur NuFW, apportant l'authentification aux flux

• Juniper Networks
  • Juniper Screen OS, boîtier pare-feu

• NetASQ
  • Appliances UTM NetASQ, certifiées Critères Communs niveau EAL2+(fr))

• Nortel
  • Famille Nortel VPN Router
  • Famille Nortel Switched Firewall

• SonicWALL
  • SonicWALL, pare-feu professionnel UTM (Filtrage Applicatif, Passerelle Antivirus, IPS, Filtrage de Contenu, Antispams) avec Tunnel VPN IPSEC.

• Stonesoft
  • StoneGate, pare-feu professionnel commercial centralisé pour gérer ses grappes d'appliances Pare-feu VPN et NIDS

• WatchGuard
  • Firebox® X, gamme d'appliances de gestion unifiée des menaces (UTM ou Unified Threat Management)

• ZyXEL
  • ZyWALL, pare-feu professionnel UTM (Antivirus, filtrage applicatif, IDP, filtrage de contenu, antispam) avec Tunnel VPN IPSEC et SSL

[modifier] Pare-feu personnels

Des tests comparatifs (en) doivent être effectués régulièrement, car les pare-feu n'ont pas tous les mêmes performances et les menaces évoluent. Les notes varient de 0/20 pour le "pare-feu" de Windows XP-SP2, à 17/20 pour les meilleurs.

• Zone Alarm : le pare-feu personnel de ZoneLabs/Check Point
• NetBarrier : le pare-feu personnel pour Mac OS X d'Intego
• Look 'n' Stop Firewall
• Microsoft
  • Pare-feu de connexion Internet de Windows XP
  • Windows Firewall
  • Microsoft Internet Security and Acceleration Server, le pare-feu proxy-cache de Microsoft
• Jetico Personal Firewall
• Comodo Firewall (fr), freeware.
• Sunbelt Personal Firewall (ex Kerio)(fr), freeware.

[modifier] Pare-feu applicatifs

• Deny All, Web Application Firewall.
• BinarySEC Web Application Firewall (en), pare-feu basé sur de l'intelligence articifielle.
• Seclutions AirLock (en), pare-feu commercial.
• Microsoft Internet Security and Acceleration Server, le pare-feu proxy-cache de Microsoft
• l7-Filter, module netfilter, permettant d'effectuer un filtrage sur la couche application (Niveau 7 du modèle OSI)

[modifier] Pare-feu identifiant

• NuFW : Un pare-feu identifiant (authentifiant). Même si la partie serveur est sous licence GPL, le client Windows est sous licence propriétaire. Les clients pour OS libres sont sous licence GPL.

[modifier] Annexes

[modifier] Articles connexes

• Bastion (informatique)
• Sécurité informatique
• Zone démilitarisée

[modifier] Liens externes

• (fr) Comment ça marche, un pare-feu ?

• Portail de la sécurité informatique