Pare-feu
Pare-feu (Firewall)
|
||||
| |
Dans un réseau et dans un réseau de réseaux (l'Internet, par exemple), les communications sont, pour des raisons historiques (dont de mise au point des protocoles de communication), très permissives et leurs usages libres sont très intrusifs. Un pare-feu est un dispositif, matériel et/ou logiciel, qui va s'interposer et obliger au respect de règles de sécurité en autorisant certaines communications et en en interdisant d'autres.
Origine du terme
Pare-feu est un terme de sécurité employé en architecture et désignant des dispositifs bloquant (ou retardant) la propagation d'un feu d'une zone à une autre d'un bâtiment. Autre terme employé : coupe-feu.
La terminologie militaire pour désigner des dispositifs de protection, "Border Protection Device" (BPD - en français : Dispositif de protection périmétrique") n'a pas envahi le langage des informaticiens mais une autre expression militaire, désignant une zone neutre contenant le dispositif de protection périmétrique et, éventuellement, d'autres ressources, s'interposant entre deux zones (interne et externe), est passée dans le langage informatique : DMZ : Zone Démilitarisée - DeMilitarized Zone.
Pourquoi un pare-feu ?
Historiquement, le besoin de mettre au point puis d'adopter des protocoles de communications entre ordinateurs et entre réseaux d'ordinateurs a obligé à l'utilisation de protocoles permettant plus de choses que le stricte nécessaire. Les paquets de données qui circulent contiennent donc trop d'informations dont certaines, purement techniques, sont aujourd'hui utilisées contre les ordinateurs et leurs propriétaires. Ceci est resté car l'explosion de l'Internet ne permet quasiment plus de revenir en arrière et reformuler les protocoles de communication.
D'autre part, à l'époque (Internet est né le 1er janvier 1983 de la transformation de ArpaNet "Advanced Research Project Agency Network" né en 1969) il était question de permettre la communication, de la favoriser, de la déployer. Il n'était pas du tout question de la contraindre et de la restreindre, au contraire. Elle se faisait entre un faible nombre d'interlocuteurs qui se connaissaient entre-eux tandis qu'aujourd'hui elle se fait entre un maximum de personnes totalement inconnues. Tout ce que fait l'homme est appelé, un jour ou l'autre, à être souillé par d'autres hommes. Cette permissivité des protocoles et les données techniques qu'ils véhiculent est une brèche dans laquelle se sont engouffrés de jeunes pirates, au début, pour l'amusement puis, aujourd'hui, des réseaux maffieux pénétrant nos ordinateurs, les pillant et les exploitant à distance... (par exemple : Zombies et BotNets)
Dans un même esprit de facilité et transparence totale d'installation et d'usage des ordinateurs, un système d'exploitation comme Windows laisse ouvert la totalité des portes de communication (65.536 portes) avec des applications (services) lancées automatiquement au démarrage de Windows, restant à l'écoute et qui répondent si un pirate les sollicite !
Un pare-feu va donc contraindre les communications à s'exécuter dans la cadre d'un jeu de règles sécuritaires ainsi que fermer et cacher toutes les portes qui n'ont pas à être ouvertes ni même à être vues fermées. Il s'agit donc de l'un des composants fondamentaux de la sécurisation des ordinateurs (avec l'application systématique du principe de moindre privilège et les proxy filtrant).
Catégories de pare-feux
L'utilisateur lambda pense probablement qu'un pare-feu est un logiciel que l'on installe sur son ordinateur, au milieu des autres applications dont il dispose (dont le système d'exploitation de son ordinateur). Si ce type de pare-feu est très répandu (en nombre d'installations - ce sont des pare-feux personnels), ce n'est pas le seul type de pare-feux et pas le premier. Les pare-feu sont, avant tout, des produits matériel dédiés, appelés "Appliances", généralement faits d'une boîte noire ou d'un ordinateur et d'un logiciel de filtrage.
Origine du terme
Pare-feu est un terme de sécurité employé en architecture et désignant des dispositifs bloquant (ou retardant) la propagation d'un feu d'une zone à une autre d'un bâtiment. Autre terme employé : coupe-feu.
La terminologie militaire pour désigner des dispositifs de protection, "Border Protection Device" (BPD - en français : Dispositif de protection périmétrique") n'a pas envahi le langage des informaticiens mais une autre expression militaire, désignant une zone neutre contenant le dispositif de protection périmétrique et, éventuellement, d'autres ressources, s'interposant entre deux zones (interne et externe), est passée dans le langage informatique : DMZ : Zone Démilitarisée - DeMilitarized Zone.
Pourquoi un pare-feu ?
Historiquement, le besoin de mettre au point puis d'adopter des protocoles de communications entre ordinateurs et entre réseaux d'ordinateurs a obligé à l'utilisation de protocoles permettant plus de choses que le stricte nécessaire. Les paquets de données qui circulent contiennent donc trop d'informations dont certaines, purement techniques, sont aujourd'hui utilisées contre les ordinateurs et leurs propriétaires. Ceci est resté car l'explosion de l'Internet ne permet quasiment plus de revenir en arrière et reformuler les protocoles de communication.
D'autre part, à l'époque (Internet est né le 1er janvier 1983 de la transformation de ArpaNet "Advanced Research Project Agency Network" né en 1969) il était question de permettre la communication, de la favoriser, de la déployer. Il n'était pas du tout question de la contraindre et de la restreindre, au contraire. Elle se faisait entre un faible nombre d'interlocuteurs qui se connaissaient entre-eux tandis qu'aujourd'hui elle se fait entre un maximum de personnes totalement inconnues. Tout ce que fait l'homme est appelé, un jour ou l'autre, à être souillé par d'autres hommes. Cette permissivité des protocoles et les données techniques qu'ils véhiculent est une brèche dans laquelle se sont engouffrés de jeunes pirates, au début, pour l'amusement puis, aujourd'hui, des réseaux maffieux pénétrant nos ordinateurs, les pillant et les exploitant à distance... (par exemple : Zombies et BotNets)
Dans un même esprit de facilité et transparence totale d'installation et d'usage des ordinateurs, un système d'exploitation comme Windows laisse ouvert la totalité des portes de communication (65.536 portes) avec des applications (services) lancées automatiquement au démarrage de Windows, restant à l'écoute et qui répondent si un pirate les sollicite !
Un pare-feu va donc contraindre les communications à s'exécuter dans la cadre d'un jeu de règles sécuritaires ainsi que fermer et cacher toutes les portes qui n'ont pas à être ouvertes ni même à être vues fermées. Il s'agit donc de l'un des composants fondamentaux de la sécurisation des ordinateurs (avec l'application systématique du principe de moindre privilège et les proxy filtrant).
Catégories de pare-feux
L'utilisateur lambda pense probablement qu'un pare-feu est un logiciel que l'on installe sur son ordinateur, au milieu des autres applications dont il dispose (dont le système d'exploitation de son ordinateur). Si ce type de pare-feu est très répandu (en nombre d'installations - ce sont des pare-feux personnels), ce n'est pas le seul type de pare-feux et pas le premier. Les pare-feu sont, avant tout, des produits matériel dédiés, appelés "Appliances", généralement faits d'une boîte noire ou d'un ordinateur et d'un logiciel de filtrage.
- Stateless packet filter (Filtre de paquets sans état)
Le tout premier type de pare-feux, apparu en 1988 (communiqué de Dodong Sean James et Elohra, employés chez DEC - Digital Equipment Corporation) est un filtre de paquets qui ne tient pas compte de l'état de la connexion. Les données qui circulent sur un réseau sont découpées en petits paquets. Chaque paquet est doté d'informations comme : Qui est la machine qui envoie le paquet, Depuis quelle porte, A quelle machine est destiné le paquet et sur quelle porte, Quel est le protocole utilisé... Ces premiers pare-feux ne tiennent pas compte du fait qu'un flot de paquets peuvent concerner le même flux de données découpé et ne s'occupent que de chaque paquet, un par un, sans ordre, en dehors de tout contexte de travail. Ils disposent d'un jeu de règles simples et statiques (liste d'adresses et de ports autorisés ou interdits) et les appliquent à l'unité de base : le paquet. Soit le paquet passe, soit il est rejeté et c'est un code erreur qui est renvoyé à l'expéditeur.
Ces filtres de paquets sont implantés dans des boîtes noires, comme les routeurs, et sont en voie de disparition.
- Stateful packet filter (Filtre de paquets à état)
Le second type de pare-feux à faire son apparition, vers 1990, est appelé aujourd'hui "Filtre de paquets à état" ou "Stateful packet filter" ou "Stateful firewall". Il a été mis au point par Dave Presetto, Howard Trickey et Kshitij Nigam, employés aux AT&T Bell Laboratories. Ce type de pare-feux est capable de déterminer si un paquet fait partie d'un flux précédent (d'une connexion précédemment établie) ou s'il initie une nouvelle connexion ou s'il est une réponse à un paquet ayant circulé dans l'autre sens (si un paquet est autorisé pour une adresse et un port local et une adresse et un port distant, un paquet dans l'autre sens ayant les mêmes adresses et ports inversés sera considéré comme une réponse et autorisé aussi, sans avoir de règle à écrire). Ils maintiennent une trace des connexions. Ils disposent, comme leur prédécesseurs, de règles statiques mais l'état actuel de la connexion est un nouveau critère pris en compte conduisant à des règles spécifiques, en particulier en fonction du protocole.
- Pare-feux Applicatifs
Les pare-feux vus ci-dessus autorisent ou refusent des connexions et des transport de paquets indépendamment du contenu des paquets car il "ne parlent pas" HTML ou SQL ou JavaScript etc. ... Or, depuis que ces premiers pare-feux bloquent certains ports, des astuces ont été trouvées pour utiliser les ports qui restent ouverts (dont le port 80) et y faire passer quelque chose qui, normalement, ne passe pas par là. Ce sont, en particulier, les utilisations de "tunnels". Que peuvent faire les pare-feux ? Il leur faut regarder les applications qui utilisent ce port et non plus simplement le numéro du port. Il leur faut lire le langage utilisé par ces applications pour en analyser le contenu des requêtes présentées et décréter s'il est logique ou anormal que telle application tente de faire sortir ou entrer des données par là. Les pare-feux ont donc appris à parler http, pop, smtp... Ils reconstruisent les requêtes qui arrivent par paquets, en vrac et en désordre, puis tentent de comprendre la requête reçue au regard de l'application cible (par exemple, le client de messagerie ou le client de navigation Internet...). Ils sont, en principe, aidé en cela par des RFC "officielles" (Request For Comments) - documents concernant l'Internet (dont tous les standards). Par exemple, seul le protocole HTTP passe le port 80.
RFC (les documents originaux)
RFC (les traductions françaises)
RFC (classées par protocole)
Malheureusement, les éditeurs d'applications ne respectent pas toujours (pas souvent) les RFC et font à leur manière. Les éditeurs de pare-feux doivent donc jongler avec tous les cas particuliers à chaque application (les exceptions). Il est donc impossible d'appliquer un mode de gestion type pour, par exemple, tous les clients de messagerie (le protocole pop) ou tous les serveurs de messagerie (le protocole smtp) etc. ... Il faut faire dans la dentelle et, en cas de doute, rejeter la requête.
- Pare-feux personnels
Il s'agit de pare-feux de type logiciels et non plus aplliance (matériel). Ils sont installés sur un ordinateur personnel et s'exécutent sur le même système et en même temps que les applications de l'utilisateur. C'est le type de pare-feux utilisés par les particuliers et les toutes petites entreprises (TPE) et professions libérales. Aujourd'hui ils se comportent comme des pare-feux applicatifs. Ils permettent une interaction avec l'utilisateur pour lui demander que faire lorsqu'un doute se présente - les réponses peuvent être ponctuelles ou élevées au rang de règle (l'utilisateur ne sera plus interrompu pour ces cas là).
Pare-feux logiciels
Certains pare-feux logiciels actuels embarquent des fonctions antivirus, anti-spywares, anti-popup, filtres anti-publicités, anti-script, anti-phishing, "coffre-fort" (vous saisissez toutes vos données personnelles les plus secrètes, les plus importantes... et le pare-feu vérifie qu'aucune de ces données ne quitte votre ordinateur chaque fois que quelque chose est transmis à l'extérieur - il y a des limites à cet usage dont le chiffrement des données qui ne permet plus au pare-feu de surveiller des données sortantes devenues illisibles).
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music