Firewall: définition

Un firewall ou un pare-feu est un

composant ou un ensemble de
composants restreignant l’accès entre
un réseau externe (Internet) et un réseau
interne.

Un Firewall fait donc office de point de

contrôle entre plusieurs hôtes, réseaux
ou segments de réseaux disposant au
minimum de deux interfaces réseaux.

 Cette outil a pour but de sécuriser au maximum le

réseau local de l'entreprise, de détecter les tentatives
d'intrusion et d'y parer au mieux possible. Cela
représente une sécurité supplémentaire rendant le
réseau ouvert sur Internet beaucoup plus sûr.

 De plus, il peut permettre de restreindre l'accès

interne vers l'extérieur. En effet, des employés
peuvent s'adonner à des activités que l'entreprise ne
cautionne pas.

 Le firewall propose donc un véritable contrôle sur le

trafic réseau de l'entreprise. Il permet d'analyser, de
sécuriser et de gérer le trafic réseau, et ainsi d'utiliser
le réseau de la façon pour laquelle il a été prévu et
sans l'encombrer avec des activités inutiles, et
d'empêcher une personne sans autorisation d'accéder
à ce réseau de données.

1
 Firewall: rôle

-Le Firewall devient un passage obligé permettant de

contrôler les paramètres de sécurité suivants :
-bien vérifier si les règles de sécurité sont
appliquées,
-contrôler le trafic entre le réseau interne et externe,
-Audit /tracer de façon "centraliser " le trafic

Firewall: rôle (suite)

Les pare feu ont su s'adapter aux besoins de sécurité liés au

raccordement des réseaux d'entreprises à Internet. Outre
Le firewall devient un passage obligé permettant de contrôler
les paramètres de sécurité suivants :

- Eventuellement d'avoir une vue de la consommation Internet

des différents utilisateurs/services.

- Possibilité de mettre en œuvre des outils de sécurité

spécifiques que l'on ne pourrait activer sur tous les systèmes
(exemple: OTP/systèmes d'authentification à mots de passe
uniques, statistiques, etc.)

- Cacher et économiser les adresses IP avec le protocole

sécurisé IP NAT RFC 1918

2
 Firewall: rôle (suite)

Les pare-feu ont su s'adapter aux besoins de sécurité

liés au raccordement des réseaux d'entreprises à
Internet.

Les Fonctions de base d’un firewall:

Contrôle d'accès
Contrôle de confidentialité
Contrôle d’intégrité des données

Les nouvelles Fonctions évoluées d’un firewall:

-Le contrôle d'accès aux applications,
-L'isolement du réseau extérieur
-L’authentification des utilisateurs,
-Le chiffrage des échanges.

Types de Firewall
Permet d'accepter ou de rejeter des demandes de connexions
transitant par le coupe feu, Examiner la nature du trafic et de
valider son contenu, grâce aux mécanismes de filtrages.

On distingue trois types de filtrages :

 le filtrage statique ou filtrage de paquet (Stateless packet filtering)

 le filtrage dynamique (Stateful packet filtering)

 Passerelle applicative (Application Layer Gateway)

3
 Les technologies Firewall

 Les Firewalls utilisent trois technologies:

◦ Filtrage de paquets (Packet filtering)
◦ Passerelle applicative (Application layer gateway)
◦ Filtrage des paquets Stateful (Stateful packet filtering)

Trafic intéressant

Trafic malicieux
ou à rejeter

Le filtrage statique (Stateless)

Le filtrage statique (ou de paquets) est une des
premières solutions pare-feu mise en œuvre sur
Internet.

Ce système inspecte l’en-tête des paquets IP de la

couche réseau afin d'en extraire le quadruplet qui
identifie la session en cours (adresse source, port
source, adresse destination, port destination),

Cette solution permet de déterminer la nature du

service demandé et de définir si le paquet IP doit
être accepté ou rejeté.

4
 Le filtrage statique (Suite)
Le principal intérêt du filtrage statique réside dans sa grande
rapidité et sa transparence vis-à-vis des utilisateurs,

La configuration d'un filtre s'effectue généralement au travers

de liste de contrôle d'accès (Access Control List ou ACL),

Une ACL est constitué par la mise de bout en bout des

différentes règles à suivre.

Cette liste de règles d’ACL est lue séquentiellement jusqu'à la

dernière règle applicable qui est retenue (comme plusieurs
instructions IF … THEN … ELSEIF )

La Règle d’OR des ACL : interdire tout ce qui n'est pas

explicitement autorisé.

Le filtrage statique (Suite)

Les ACLs sont très utilisés avec le protocole TCP.

Avec TCP (CONP), basé sur des circuits virtuel, une connexion
établie est caractérisé dans l'en-tête TCP par le bit ACK

Ce type de distinction n'existe pas pour le protocole de

datagramme UDP Impossible de différencier un paquet
valide d'une tentative d'attaque sur ce service

Cette problématique se retrouve également avec certaines

applications qui répondent aux requêtes des clients sur les
ports alloués dynamiquement (ex : FTP)

Avec UDP, Il est donc très difficile de gérer de façon satisfaisante

ce type de protocole sans augmenter la vulnérabilité et les
risques d’attaques via Intranet/Internet

5
 Exemple FTP (mode actif)

FTP server's port 21 from anywhere (Client initiates connection)

FTP server's port 21 to ports > 1023 (Server responds to client's control port)
FTP server's port 20 to ports > 1023 (Server initiates data connection to client's
data port)
FTP server's port 20 from ports > 1023 (Client sends ACKs to server's data port)

Exemple FTP (mode passif)

FTP server's port 21 from anywhere (Client initiates connection)

FTP server's port 21 to ports > 1023 (Server responds to client's control port)
FTP server's ports > 1023 from anywhere (Client initiates data connection to
random port specified by server)
FTP server's ports > 1023 to remote ports > 1023 (Server sends ACKs (and
data) to client's data port)

6
 ◦ le filtrage des paquets contrôle le trafic vers le réseau
en se basant sur les adresses sources, destination,
ports et autres flags avec des ACLs

Router(config)# access-list 100 permit tcp any

16.1.1.0 0.0.0.255 established
Router(config)# access-list 100 deny ip any any
Router(config)# interface Serial0/0
Router(config-if)# ip access-group 100 in
Router(config-if)# end

7
 Le filtrage dynamique (Stateful)
Le filtrage dynamique fonctionne comme le filtrage statique au
niveau de la couche réseau, mais la différence du filtrage
dynamique est qu’il implémente des tables d'état pour chaque
connexion établie (State table).

Pour UDP, qui n’a pas de circuits de connexions, le filtrage

dynamique interprète les particularités liées à l'application, et
crée dynamiquement les règles pour la durée de la session

Les performances de traitement des paquets s'améliorent en raison

d'une identification rapide des paquets correspondants à une
session déjà autorisée.

De plus, le Filtrage dynamique contrôle le sens des transferts pour

FTP (put ou get), et pour HTTP (post ou get).

L'amélioration par rapport au filtrage simple, est la conservation

de la trace des sessions et des connexions dans des tables d'états
internes au Firewall. Le Firewall prend alors ses décisions en
fonction des états de connexions, et peut réagir dans le cas de
situations protocolaires anormales. Ce filtrage permet aussi de se
protéger face à certains types d'attaques DoS.
Pour les protocoles Udp et Icmp, il n'y a pas de mode connecté. La
solution consiste à autoriser pendant un certain délai les réponses
légitimes aux paquets envoyés. Les paquets Icmp sont
normalement bloqués par le Firewall, qui doit en garder les traces.
Cependant, il n'est pas nécessaire de bloquer les paquets Icmp de
type 3 (destination inaccessible) et 4 (ralentissement de la source)
qui ne sont pas utilisables par un attaquant. On peut donc choisir
de les laisser passer, suite à l'échec d'une connexion Tcp ou après
l'envoi d'un paquet Udp.

8
 Pour le protocole Ftp (et les protocoles fonctionnant de la
même façon), c'est plus délicat puisqu'il va falloir gérer l'état
de deux connexions. En effet, le protocole Ftp, gère un canal
de contrôle établi par le client, et un canal de données établi
par le serveur. Le Firewall devra donc laisser passer le flux de
données établi par le serveur.

 Ce qui implique que le Firewall connaisse le protocole Ftp, et

tous les protocoles fonctionnant sur le même principe. Cette
technique est connue sous le nom de filtrage dynamique
(Stateful Inspection) et a été inventée par Checkpoint. Mais
cette technique est maintenant gérée par d'autres fabricants.

◦ Also called “Stateful packet filters” and “Application-

aware packet filters.”

◦ Stateful firewalls have two main improvements over

packet filters:
 They maintain a session table (state table), where they track
all connections.
 They recognize dynamic applications and know which
additional connections will be initiated between the
endpoints.
◦ Stateful firewalls inspect every packet, compare it
against the state table, and may examine the packet for
any special protocol negotiations.

◦ Stateful firewalls operate mainly at the connection (TCP

and UDP) layer.

9
 Le filtrage dynamique (Stateful)

 “Stateful Firewall Operation”

◦ Pour TCP, enregistre 2 adresses IP et 2 numéros de port

dans la table de connexion comme étant « état ouvert »

◦ Par défaut, on permet les connexions de l’intérieur (plus

sécuritaires) vers l’extérieur (moins sécuritaires).

 Peut être ajusté avec des ACL

Le filtrage dynamique

2.
Connexion
1. ouverte 3.
TCP SYN TCP SYN
DE: 60.55.33.12:62600 DE: 60.55.33.12:62600
À: 123.80.5.34:80 À: 123.80.5.34:80

“Stateful
Client
Firewall” Serveur
60.55.33.12
Web
123.80.5.34
Table de connexion
IP Port IP Port
Type État
Interne Interne Externe Externe

TCP 60.55.33.12 62600 123.80.5.34 80 OK

10
 Le filtrage dynamique

6. “Statefu 4.
Client
TCP SYN/ACK l TCP SYN/ACK Serveur
60.55.33.12
DE: 123.80.5.34:80 Firewall DE: 123.80.5.34:80 Web
À: 60.55.33.12:62600 ” À: 60.55.33.12:62600123.80.5.34
5.
Vérification de la connexion
OK
Table de connexion

IP Port IP Port
Type État
Interne Interne Externe Externe

TCP 60.55.33.12 62600 123.80.5.34 80 OK

Le filtrage dynamique

 “Stateful Firewall Operation”

◦ Pour UDP, enregistre aussi 2 adresses IP et les
numéros de port dans la table de connexion

Table de connexion
IP Port IP Port
Type État
Interne Interne Externe Externe

TCP 60.55.33.12 62600 123.80.5.34 80 OK

UDP 60.55.33.12 63206 1.8.33.4 69 OK

11
 Le filtrage dynamique

“Stateful
Firewall”

1.
Client 2.
TCP SYN/ACK Attaquant
60.55.33.12 Vérification dans
DE: 10.5.3.4.:80 10.5.3.4
la table de connexion:
À: 60.55.33.12:64640
Pas de connexion,
on rejète le paquet

Table de connexion

IP Port IP Port
Type État
Interne Interne Externe Externe

TCP 60.55.33.12 62600 123.80.5.34 80 OK

UDP 60.55.33.12 63206 222.8.33.4 69 OK

Le filtrage dynamique

 ACL
◦ Fonction première: permettre ou bloquer
certaines applications
◦ Simple, car pas besoin d’ACL pour les attaques
qui ne font pas partie d’une conversation

12
 Le filtrage dynamique: limites
 Tout d'abord, il convient de s'assurer que les deux
techniques sont bien implémentées par les Firewalls,
car certains constructeurs ne l'implémentent pas
toujours correctement. Ensuite une fois que l'accès à
un service a été autorisé, il n'y a aucun contrôle
effectué sur les requêtes et réponses des clients et
serveurs. Un serveur Http pourra donc être attaqué
impunément (Comme quoi il leur en arrive des choses
aux serveurs WEB !). Enfin les protocoles maisons
utilisant plusieurs flux de données ne passeront pas,
puisque le système de filtrage dynamique n'aura pas
connaissance du protocole.

Le filtrage applicatif: principe

Le filtrage applicatif est comme son nom l'indique

réalisé au niveau de la couche Application. Pour cela,
il faut bien sûr pouvoir extraire les données du
protocole de niveau 7 pour les étudier. Les requêtes
sont traitées par des processus dédiés, par exemple
une requête de type Http sera filtrée par un
processus proxy Http. Le pare-feu rejettera toutes les
requêtes qui ne sont pas conformes aux
spécifications du protocole. Cela implique que le
pare-feu proxy connaisse toutes les règles
protocolaires des protocoles qu'il doit filtrer.

13
Isoler le réseau et authentifier les utilisateurs :

De plus en plus ,Les besoins de contrôle

portent sur la nature même des données
échangées.
Les PROXY firewall ou relais applicatifs
s'interposent entre les clients et les
applications pour une surveillance spécifique
Le principe des relais applicatifs consiste à ce
que le relais apparaisse pour le client comme
le serveur légitime
Le Proxy firewall contrôle et relaie alors
toutes les requêtes vers le serveur demandé,
puis transmet les réponses au client initial.

Ce mécanisme agit donc à la fois comme client et comme

serveur 

Cela implique qu'un relais soit développé pour chaque

application (messagerie, serveur web, FTP téléchargement
etc.).
Donc, les Proxy ou relais applicatifs permettent d'isoler le
réseau de l'extérieur
De plus, avec les serveurs applicatifs aucun flux d'information
ne circule en direct entre le réseau protégé et les autres
réseaux.
Toutes les données sont obligatoirement acheminées vers le
relais, qui décide quelle action mener.
Les relais applicatifs permettent de vérifier l'intégrité des
données et d’authentifier les échanges

14
 En effet, le positionnement au niveau applicatif autorise le
Proxy/ relais à vérifier l'intégrité des données et à examiner
les particularités de l'application.
 En outre, sa proximité avec l'interface utilisateur facilite la
mise en œuvre d'authentification.
 Les FW/Proxy offrent également l'authentification qui
demeure indispensable pour effectuer un contrôle d'accès
fiable portant sur l'identité des usagers des services.
 Le mécanisme couramment employé consiste à associer un
mot de passe à l'identifiant d'une personne, souvent envoyé
en clair.
 Sur un réseau public comme Internet, cette situation n'est pas
acceptable d’où le support par le FW des techniques de
chiffrement comme IPsec(AH et ESP ), surtout dans le cas de
réseaux VPN

◦ le proxy intercepte et établie les connections vers

la machine externe à la place du client.

◦ (Source Cisco)

15
« Source Cisco »

16