S'abonner :  Newsletters    Magazines

écrire à l'auteur imprimer
envoyer par mail
Cet article est extrait de : Décision Informatique

Seul hebdomadaire généraliste qui aide concrètement au choix et à la mise en œuvre opérationnelle, grâce à une information pragmatique et concrète.

 Découvrez le magazine
 Contactez la rédaction
 Abonnez vous
[ L’ESSENTIEL DES TECHNOS ]
Coupe-feu : isoler et protéger les réseaux
Coupe-feu : également appelé pare-feu ou firewall. Dispositif physique et logique où sont filtrées les connexions transitant entre réseaux internes et externes sur la base des informations contenues dans les couches 3, 4 et 7 du modèle OSI.

Fabrice Alessi , Décision Micro, le 24/07/2002 à 08h00
Créé pour fournir un langage commun aux postes connectés sur le réseau, IP n'a pas été pensé en terme de sécurité. Avec l'extension des postes présents sur les réseaux, il a vite fallu trouver un moyen de les protéger contre les attaques extérieures de toutes sortes, et de contrôler le trafic sortant, rôle du coupe-feu.

Utilisation : contrôler les flux

 Le fonctionnement du coupe-feu consiste à analyser les connexions entrantes et sortantes d'un réseau local afin de bloquer ou d'autoriser leur transit selon des critères définis par l'administrateur. Une entreprise peut ainsi décider d'une politique de sécurité qui vise à limiter les accès de ses utilisateurs aux seuls services HTTP (web) ou SMTP (messagerie) en fonction de l'adresse IP de la machine source. La même entreprise peut tout aussi bien interdire les téléchargements de fichiers (logiciels, audio et vidéo) en mode FTP sur ses serveurs pour éviter les attaques, ou plus prosaïquement pour contrôler la bande passante de l'entreprise.

Principe de fonctionnement : du routeur au coupe-feu

 Historiquement, le filtrage de paquets IP, simple ou par paquets, fondé sur l'analyse des trames IP, était assuré par les routeurs. L'idée est d'inspecter l'en-tête des paquets pour en connaître les adresses IP sources et cibles (niveau 3) ou d'analyser les éléments de la couche de transport (niveau 4) d'un paquet afin de connaître les ports sources et cibles (HTTP, sur le port 8080, etc.). Et, sur la base d'une liste d'accès emportant les adresses autorisées ou non, accepter la requête ou pas. Cet équipement montre vite ses limites pour filtrer des paquets IP sollicitant un service avec un port dynamique. C'est le cas de FTP, par exemple, qui utilise le port 21 pour traiter les requêtes mais qui en utilise un autre, choisi aléatoirement, pour télécharger les fichiers. De ce point de vue, le filtrage dynamique de paquets, ou stateful inspection, breveté par l'israélien Check Point, marque une avancée. En effet, le filtre des paquets s'effectue sur la base des informations contenues dans la couche 3, mais plus finement, dans la couche 4 du modèle OSI. Ce mode de filtrage crée aussi un historique des sessions en cours. Il peut ainsi continuer à laisser passer une transaction initiée à la base sur un port autorisé, même si elle se poursuit ensuite sur un numéro de port interdit par l'administrateur. Cet historique des sessions garantit aussi de bonnes performances puisque la session, autorisée une fois pour toutes, est considérée comme sûre après vérification de sa conformité aux règles de sécurité. Reste que le filtrage dynamique ne s'applique pas au niveau applicatif (niveau 7). Or, nombre d'attaques menées contre un réseau jouent sur les failles apparues dans les applications comme les serveurs de messageries SMTP ou web HTTP. Dans ce cas, on utilisera un coupe-feu de type proxy, bien plus efficace. Lorsqu'ils reçoivent un paquet IP à l'intérieur du LAN, ces coupe-feu le décomposent puis le recomposent avant de l'envoyer vers sa destination, ce qui leur permet entre autres de masquer les adresses IP des postes du réseau local. Lors de cette opération, le proxy effectue un filtrage allant jusqu'au niveau 7. Ce filtrage peut s'étendre au contrôle des commandes, de la taille des paquets ou encore de la présence d'une pièce jointe. Reste que ce mode de filtrage pèche par sa lenteur.

Acteurs : logiciels et boîtiers se partagent le marché

 À l'heure actuelle, les coupe-feu sont commercialisés sous la forme de logiciels serveurs (Guardian Pro de Netguard, ISA Server de Microsoft, etc.) ou de boîtiers spécialisés (Side Winder de Secure Computing, Barricade de Privado, etc.), qui ont l'avantage d'être prêts à l'emploi et faciles à déployer. Il existe de nombreux acteurs sur le marché des coupe-feu tels que Check Point Software, Cisco, ou encore NetScreen. En 2001, ce marché a généré un chiffre d'affaires de 1,7 milliard d'euros selon Infonetics Research.

Avenir : vers plus de fonctions

 L'intégration aidant, les coupe-feu deviennent les machines à tout faire des réseaux locaux. Rien d'étonnant. Tous les flux transitent par ce point nodal. Les fabricants n'hésitent pas à leur adjoindre des fonctions de RPV, d'IDS, de gestion de la bande passante ou de serveurs d'authentification forte et autres antivirus. Le plus souvent, ces adjonctions se font par des partenariats avec des fournisseurs tiers, pour multiplier les circuits de vente et les prescripteurs.

Dates clés

1988 : premier ver

La Nasa rapporte la première attaque de ses machines. Le ver Morris incite les fondateurs d'Internet à protéger les réseaux LAN des intrus.

1990 : apparition du coupe-feu

Le premier coupe-feu, en fait un routeur, apparaît pour séparer deux LAN à l'université du MIT.

1991 : invention du proxy

DEC invente et commercialise le premier proxy, le DEC SEAL. Il le vend à une industrie chimique. La même année, les Bell Labs expérimentent un nouveau coupe-feu : le Raptor.

Oct. 1993 : premier code livré

Le Trusted Information System fournit à la communauté Internet le code source du Firewall Toolkit. Il sera à la base du fameux coupe-feu Gauntlet utilisé par les administrations américaines.

1994 : Check Point arrive

L'éditeur israélien livre le Firewall-1, un coupe-feu simple à administrer grâce à une interface graphique. Ce modèle s'arrogera vite une place de choix au sein des entreprises et reste à ce jour un des coupe-feu de référence.

1995 : premier coupe-feu avec RPV

Check Point livre une version de son Firewall-1 intégrant le module de RPV baptisé " encryption module ".


Pour en savoir plus

Un site didactique sur le fonctionnement des coupe-feu : www.commentcamarche.net/internet/firewall.php3

Plusieurs livres blancs sur les coupe-feu : www.business2.com/webguide/0,1660,69641,FF.html



Le coupe-feu isole le LAN du WAN
Si la première fonction du coupe-feu est de filtrer les connexions entrantes et sortantes, il sert aussi à créer une zone isolée, dite démilitarisée, pour les applications mises à la disposition d'un plus large public (serveur web, de messagerie, etc.).


> Logiciel : Avira Antivir Premium Security Suite
Une référence pour protéger son ordinateur.

publicité
> La Compil :
Un tarif exceptionnel pour plus de 300 logiciels : vacances et rentrée...

classement FAI
Retrouvez chaque semaine le classement des fournisseurs d'accès avec ip-label 1 Orange 2 Free 3 Bouygues Telecom > Plus de détails
offres d'emploi
plus d'offres d'emploi
Service Kiosque :
Préservez la nature en téléchargeant vos magazines en illimité !

Service 01net
Newsletters 01net
abonnez vous gratuitement !
Actus
Voir le dernier numéro
Entreprise
Voir le dernier numéro
  
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Tous droits réservés © 1999 - 2009 Internext - 01net.