Contact:

Ankeo

5 rue des Peupliers
68170 Rixheim
+33 (0)3 89 66 03 85

email

Firewalls (pare-feux)

La multiplication des accès Internet permanents à hauts débits (cable, ADSL, BLR, etc.) et l'augmentation de la taille et de la complexité des réseaux internes augmente les risques encourus par votre système d'information. Ankeo vous accompagne dans la mise au point de l'architecture et le déploiement de firewalls sur mesure (filtrants et mandataires, basés sur des technologies libres ou non) afin de controler les flux entre votre réseau et Internet ou pour cloisonner vos réseaux. Par ce biais, votre intranet et vos informations restent protégés, les virus peuvent être bloqués et les accès de vos employés limités.

Un firewall (ou pare-feu ou garde-barrière) est un système destiné à séparer et protéger plusieurs réseaux ou segments de réseau, le plus souvent un réseau local de l'Internet.

firewall

Cette séparation/protection peut se faire selon 2 grands principes de fonctionnement:

Filtrage de paquets (packet filtering)

Cela consiste à contrôler les paquets passant à travers le firewall. Les trames réseau peuvent être acceptées, refusées ou redirigées en fonction de l'adresse d'origine, de l'adresse de destination, du type de service demandé (web, email, FTP, etc.) ou du protocole utilisé (TCP, UDP, ICMP, IPSec, etc.).

Ce filtrage peut aussi se faire avec inspection d'état (stateful inspection; connu également sous dynamic packet filtering, filtrage de paquets dynamique). Chaque fois qu'une connexion s'établit entre 2 ordinateurs, de nombreuses trames liées à cette connexion sont échangées. L'état de ces trames (i.e. leur enchaînement, leur contexte, leur relation entre elles et avec la connexion) peut être examiné et permettre, par exemple, de ne laisser entrer que les paquets envoyés en réponse à une requête déjà établie et non les paquets initialisant une connexion depuis l'extérieur.

Le filtrage de paquets (avec inspection d'état ou non) est généralement l'élément de base de tout firewall. Il va pouvoir être utilisé, notamment:
 - pour isoler les réseaux entre eux (en particulier l'intranet par rapport à Internet) et donc de les protéger des attaques et tentatives d'intrusion ;
 - pour limiter l'accès à certains réseaux, machines ou services sensibles ;
 - pour transférer ou rediriger des requêtes (d'un réseau à un autre, d'une machine à une autre, etc.) ;
 - pour partager éventuellement l'accès Internet entre tous les postes utilisateurs par translation d'adresse.

Avantages:
 - Le filtrage de paquets est performant (car il travaille au niveau de la couche réseau).
 - Il est transparent aux utilisateurs et aux applications.

Limitations:
 - L'élaboration des règles est assez difficile et nécessite une compréhension détaillée des services Internet et des protocoles réseau.
 - Il n'y a aucune analyse de contenu, l'acceptation (ou le refus) d'un paquet étant uniquement basée sur son enveloppe et son état. A titre d'exemple, il sera donc impossible de faire du filtrage antivirus par ce biais (à moins de rediriger les paquets sur une machine externe).

Filtrage applicatif

Ce filtrage se fait à l'aide d'un proxy (ou mandataire): il s'agit d'une application passerelle qui va recevoir les requêtes faites par les utilisateurs, va les examiner, les exécuter et renvoyer la réponse obtenue. A chaque niveau (réception, traitement, envoi réponse), des filtres et limitations peuvent être mis en place.

Un proxy va donc permettre (en utilisant des modules complémentaires le cas échéant) :
 - un filtrage par machine ou réseau (à partir de leur adresse) ;
 - un filtrage par utilisateur et mot de passe (authentification) ;
 - un filtrage par date et horaire ;
 - un filtrage par sites et mots clés (pour le web) ;
 - un filtrage antivirus.

Il permet donc un réglage très fin des règles de sécurité et d'accès au réseau protégé.

Par ailleurs, le proxy exécutant toutes les requêtes peut en conserver les réponses localement et son utilisation la plus simple est donc en tant que cache pour accélérer les accès Internet.

Avantages:
 - Il y a une analyse de contenu ce qui permet un filtrage et donc un contrôle complet des flux entrants/sortants pour les applications/services gérés par le proxy.
 - La procédure d'authentification peut être extrêmement poussée.
 - La modification des règles est souvent plus simple que pour la partie filtrage de paquets.

Limitations:
 - Le système peut être très gourmand en ressources en fonctions du volume et du type d'analyses et de filtrages demandés.
 - Le filtre est spécifique à chaque application/service (ou presque). Les services couramment gérés sont le web, le ftp et le mail.

[ Accueil | Sécurité | Open Source | Ressources ]