Firewall : définition et fonctionnement

Si vous vous intéressez un tant soit peu à la sécurité informatique, vous avez probablement entendu parler des firewall ou pare-feu en français.

Vous ne savez pas exactement à quoi cela sert et comment un firewall fonctionne globalement.

Dans cet article, vous trouverez une définition et explication avec quelques exemples de pare-feu.
Le but est de vous faire comprendre à quoi servent les pare-feu.

Firewall : définition et fonctionnement

Définition

Un firewall ou pare-feu est un logiciel ou équipement réseau souvent placé entre deux réseaux pour filtrer les connexions entre ces derniers.
Le pare-feu autorise ou refuse les connexions légitimes des connexions non légitimes.

Un Firewall sous la forme de boitier
Un Firewall sous la forme de boitier

Ces autorisations d’accès peuvent se faire à partir de règles établies par l’administrateur ou de manière automatique selon par exemple le contenu des paquets réseaux qui transitent.

Firewall ou Pare-feu
Firewall ou Pare-feu

Avec un firewall, vous pouvez potentiellement bloquer le trafic malveillant provenant d’une attaque ou le trafic sortant provenant d’un malware.
Vous pouvez aussi protéger l’accès à des services.
Par exemple, vous possédez un serveur Windows accessibles par internet en RDP, vous pouvez filtrer l’accès à ce service sur des adresses IP spécifiques

Les générations de firewall

Les firewall apparaissent dans les années 80 mais il faudra attendre les années 90 pour voir les premières solutions.
Plusieurs générations de pare-feu se succèdent par la suite, toujours plus perfectionnés.

La première génération filtre le contenu que sur les ports de connexion.
Ainsi, si vous possédez un site WEB qui tourne sur le port 80 (HTTP), vous devez autoriser les accès sur ce port.
Toutefois si un malware écoute sur ce port, la connexion sera autorisée.

La seconde génération utilise le niveau 4 du modèle OSI, c’est à dire le mode de transport.
Ainsi, cela permet de créer des règles sur le statut de connexion : nouvelle connexion, connexion déjà établie.
Cela permet d’affiner les règles même si ces dernières restent assez limitées.

Puis la dernière génération de pare-feu peut comprendre et lire les protocoles applicatifs. Ainsi par exemple, un pare-feu sait si un paquet concerne une application FTP ou HTTP.
Cela permet notamment de créer des pare-feu hybrides comme les WAF (Web Application Firewall).
Enfin les boitiers firewall embarquent des antivirus ainsi que des IDS (Intrusion Detection System pour système de détection d’intrusion) capable d’analyser les paquets.
Des signatures peuvent être intégrées afin de bloquer des paquets selon leurs contenues afin de bloquer certaines attaques.
Les IDS peuvent par exemple bloquer un protocole spécifique par exemple du P2P Bittorrent.

Les règles de pare-feu

Les pare-feux possèdent des fonctions similaires.
En général, on y trouve les règles qui seront appliquées par le pare-feu, celle-ci comporte :

Les pare-feux possèdent des fonctions similaires.
En général, on trouve les règles qui seront appliquées par le pare-feu.
Ainsi lorsqu’un paquet est reçu ou part d’une interface réseaux contrôlées par par le firewall, ce dernier applique les règles.

Celle-ci comporte généralement les données suivantes :

  • Une source (adresse IP ou Hôte) et un port source
  • Éventuellement si IPv4 ou IPv6
  • Destination du même acabit que la source
  • Le protocole de transport (TCP, UDMP, ICMP, etc)
  • Enfin parfois on trouve le statut de la connexion (nouvelle, établie)
Les autorisations et blocages d'un pare-feu
Les autorisations et blocages d’un pare-feu

Le firewall exécute alors les règles dans l’ordre, donc il est important de les ranger ces dernières dans le bon ordre.
Par exemple, vous pouvez autoriser des connexion provenant de certaines adresses IP en source vers un port particulier puis faire une règle qui interdit toutes les connexions sur ce port.

Exemple de règles de pare-feu
Exemple de règles de pare-feu

Autres fonctionnalités

Les fonctionnalités du pare-feu sont généralement différents selon le type de pare-feu (matériel, logiciel pare-feu Windows, etc).

On trouve aussi une tableau de bord avec des statistiques de connexions et les journaux qui permettent de connaître les connexions bloquées ou autorisées par le firewall.

Les journaux des connexions IPtables d'une machine en Linux
Les journaux des connexions IPtables d’une machine en Linux

Enfin il y a bien entendu des spécificités, par exemple, les pare-feux de Windows peuvent générer des règles sur les applications installées.
On peut alors autoriser toute une application à se émettre des connexions sortantes ou entrantes avec des ports spécifiques.

Les règles du pare-feu Windows
Les règles du pare-feu Windows

Les boîtiers Firewall offrent beaucoup plus de fonctionnalités, comme la possibilité de gérer des DMZ ou des VPN.
Du côté du monitoring, ils proposent aussi des services SNMP.

Interface du StormShield Firewall
Interface du StormShield Firewall

Quelques exemples de Pare-feux

Firewall Windows

Windows depuis Windows XP SP2 intègre un pare-feu.
Ce dernier est capable de filtrer les connexions entrantes et sortantes pour les applications en cours d’exécution.
On peut aussi établir ses propres règles selon les protocoles, ports ou adresses IP.

Lorsqu’une nouvelle application tente d’émettre une connexion, une alerte de sécurité s’affiche et l’utilisateur doit autoriser ou non.
A partir de là, une règle se créée afin d’autoriser ou non de manière permanente.

Alerte de sécurité du pare-feu de Windows
Alerte de sécurité du pare-feu de Windows

Une interface permet de gérer les règles d’applications mais aussi des règles plus avancées.

Les règles avancées du pare-feu de Windows
Les règles avancées du pare-feu de Windows

Pour plus d’informations sur les pare-feu de Windows suivre l’article : Le fonctionnement d’un pare-feu ou Firewall sur Windows

Il existe bien entendu beaucoup d’autres pare-feu pour Windows.
Globalement le fonctionnement de ces derniers s’avèrent identiques.

Les règles de ZoneAlarm Firewall
Les règles de ZoneAlarm Firewall

Cisco ASA

Les Cisco ASA sont des boitiers Firewall qui existent sous différents modèles.
Dans l’exemple ci-dessous il s’agit d’un Cisco ASA 5005 proposé par OVH.
En effet, le firewall se place en amont d’un serveur dédié et permet de filtrer le flux entrant et sortant.
Ce modèle n’est plus commercialisé.

Il existe un article sur le site : OVH et Firewall Cisco ASDM

Ce firewall possède des fonctions Anti-DoS et notamment si le une adresse IP source dépasse une limite de nombre de connexion par secondes, les paquets suivants seront droppés.

Voici les règles de pare-feu ainsi que toute la configuration.

Les règles de pare-feu d'un Cisco ASA
Les règles de pare-feu d’un Cisco ASA

L’interface du tableau de bord avec des statistiques de connexion.

Le tableau de bord d'un firewall
Le tableau de bord d’un firewall

et enfin les journaux du pare-feu avec les paquets dropés en temps réel.

Les journaux d'un firewall
Les journaux d’un firewall

Ici ce firewall s’utilisait pour protéger un site WEB mais il existe d’autres boitiers pare-feu qui se placent souvent au sein d’un réseau d’entreprise

La plupart des éditeurs d’antivirus proposent leurs boitiers Firewall, il existe d’autres boitiers comme StormShield, WatchGuard, etc

Règles Firewall d'un Dell SonicWALL
Règles Firewall d’un Dell SonicWALL

Iptables et NetFilter

NetFilter est une intégration d’un pare-feu dans le noyau Linux.
Ce dernier s’avère très complet puisqu’il permet de créer des règles statiques, intégrant le statut de la connexion (nouvelle, établie, etc) ou encore sur le flag du paquets (SYN, ACK, etc).
De plus iptables peut jouer sur des limites par exemple pour bloquer un nombre trop importants de paquets sur un délai.

Il serait très long d’énumérer toutes les possibilités qu’offrent NetFilter.

Sur le site existe un tutoriel Iptables qui donne les grandes lignes de fonctionnement : Tutoriel Iptables

Exemple de règles iptables basiques
Exemple de règles iptables basiques

Exemples d’utilisation de firewall

On trouve des firewall plus ou moins sophistiqués dans la plupart des équipements réseaux.
Par exemple, votre routeur ou box possède des fonctionnalités de pare-feu car elle est capable de lire et manipuler les paquets réseaux reçus.

De même les systèmes d’exploitations Linux ou Windows embarquent un pare-feu, cela permet de protéger les services réseaux qui tournent sur ces derniers des attaques automatisées et notamment des vers informatiques.
Cela est important dans un réseau très importants de plusieurs centaines d’ordinateurs.

Enfin, dans un réseau plus important, le Firewall se place souvent entre chaque réseau pour créer une DMZ (Zone démilitarisée).
Le but est de compartimenter le réseau et notamment bien mettre à l’écart les serveurs qui ont à la fois un pied sur internet et un pied sur le LAN.
Par exemple dans le schéma ci-dessous, le pare-feu filtre les connexions entre le routeur internet les services www, SMTP, DNS.
On trouve enfin un second firewall pour filtrer les connexions entre le LAN et la DMZ.

Les WAF

Les WAF pour Web Access Firewall sont des pare-feu sur un serveur WEB.
Ces derniers fonctionnement globalement comme un pare-feu mais sur les requêtes HTTP.
Le but est de filtrer les requêtes WEB et ainsi bloquer des requêtes malveillantes faisant parties des attaques.
Enfin, les WAF peuvent aussi aider contre les attaques DDoS.

Pour plus d’informations sur ces derniers, suivre l’article : WAF : Web Application Firewall

Les WAF (Web Access Firewall)
Les WAF (Web Access Firewall)
(Visité 664 fois, 1 visites ce jour)
Noter cet article

Add Comment