Passer au contenu

Coupe-feu : premier rempart du LAN

Dispositif constituant un sas de protection entre un LAN et un autre réseau, le coupe-feu a pour fonction de filtrer le trafic qui passe à travers les routeurs. Il permet à l’administrateur de limiter les tentatives d’intrusion, mais sans y remédier totalement.

Communiquer, c’est bien ; le faire en toute sécurité, c’est mieux. Émission et réception d’e-mails, échange de données, commerce électronique, autant d’activités qui, certes, apportent de nouvelles richesses, mais véhiculent aussi leur lot de dangers, qui vont de l’attaque virale au véritable pillage en ligne des données stratégiques de l’entreprise.

Cerbère et gendarme du réseau local

La démocratisation des technologies hauts débits (liaisons spécialisées, câble et xDSL) permet de rester constamment connecté, ce qui signifie également que le réseau est en permanence vulnérable aux agressions.Pour s’en protéger, la solution la plus adaptée consiste à filtrer les données entrantes et sortantes. Cette tâche est habituellement confiée au coupe-feu (ou firewall).Chaque ordinateur d’un réseau local relié à Internet est doté d’une adresse IP qui autorise son identification sur le réseau. Elle est composée d’une série de douze chiffres décimaux codés en binaire. Chaque adresse est unique et propre à une machine. Seul l’en-tête IP d’une trame peut laisser des traces lors de son passage.Le filtrage IP est destiné à interdire l’accès non autorisé au réseau et à tester le comportement du système de sécurité. Cependant, plusieurs facteurs compliquent le système de filtrage des paquets. C’est le cas de l’accès asymétrique (connexions de sortie plus étendues que connexions d’entrée), mais également des ” privilèges ” accordés à certains groupes d’utilisateurs du réseau intérieur ou extérieur et des caractéristiques des différents protocoles et services (pour lesquels le filtrage est mis en place).

Compléter la protection par une zone démilitarisée

Un coupe-feu totalement fiable refuserait tout accès aux PC connectés au réseau local (LAN). Mais ce n’est pas toujours possible, par exemple si l’on désire configurer des serveurs mails ou FTP pour qu’ils puissent accéder à l’extérieur. Il existe deux étapes pour ouvrir le réseau tout en conservant sa sécurité : d’abord, on instaure une zone démilitarisée (DMZ) et ensuite, on utilise le filtrage. Une DMZ est un lien entre la connexion Internet et le réseau local, où le trafic passe entre un ou deux coupe-feu. En général, elle nécessite sa propre connexion au réseau pour y adjoindre les serveurs.Les produits présentés ici n’intègrent pas le troisième port nécessaire à la DMZ, mais certains, comme le Linksys EtherFast Cable-DSL Router, le WatchGuard Soho et le WebRamp 700s, sont équipés de filtres. Ils permettent de définir les ports et les adresses qui doivent être accessibles.Certains techniciens préconisent de sécuriser le système en utilisant des ports non standards. Ainsi, si les données HTTP passent généralement par le port 80, on pourra changer pour le port 81, mais cela se révèle peu efficace.Les coupe-feu ne sont pas des routeurs au sens premier du terme. Il faut donc disposer de sa propre connexion à Internet. Il s’agit d’interfaces entre la connexion et le réseau de l’entreprise. Bien que certains des produits, tel le Linksys EtherFast, fonctionnent avec la technologie DSL et les modems-câble, ils assurent également leurs fonctions avec une connexion RNIS ou un routeur téléphonique. Tous ces produits proposent au moins 1 port WAN pour la connexion au routeur Internet et 1 port LAN pour la connexion au réseau local. Des produits comme le WatchGuard Soho et le SonicWall Soho fournissent également un concentrateur Ethernet à 10 Mo/s avec quatre entrées. Le Linksys EtherFast est vendu avec un hub 10-100 à 4 entrées. Le D-Link, le NetGear RT311 Gateway Router et le WebRamp, en revanche, sont proposés sans concentrateur, ce qui signifie que l’on doit en faire l’acquisition.

La facilité de déploiement, un paramètre à ne pas négliger

Dans le cadre d’une installation rapide, les options de configuration par défaut sont à utiliser en priorité, bien que l’on puisse ouvrir ou fermer des ports spécifiques et activer des filtres sur certaines adresses IP. Tous ces coupe-feu sont configurés par défaut en NAT (Network address translation) et, à l’exception du DI-701, sont réglés pour empêcher certaines des attaques DoS (Deny of service), comme les SYN Flood, le Ping of death et l’IP Spoofing (usurpation d’adresses IP).Le SonicWall fait également reposer sa protection sur la translation d’adresses, mais y ajoute de nombreuses options pour désactiver les attaques DoS, ainsi que le filtrage des adresses et des ports.Tous les produits intègrent un client et un serveur DHCP (Dynamic host configuration protocol). Ils permettent de connecter facilement un PC au firewall et de lui attribuer une adresse IP sans difficulté.Un produit conçu pour une PME doit être facile à installer et à configurer. Les modèles présentés dans le tableau sont simples à déployer.À l’exception des coupe-feu RT311 et DI-701, tous les autres produits intègrent un serveur Web qui contribue à une installation et à une configuration simplifiées en utilisant un navigateur classique. Le RT311 et le DI-701 disposent, néanmoins, d’une interface graphique intuitive sous Windows.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Henri Gillarès-Calliat