Firewall - DMZ - Bastion

FIREWALL – DMZ – BASTION
DIBI KOUADJO JEAN MARTIAL 1

Introduction
Un système pare-feu (firewall) est un dispositif conçu pour examiner et éventuellement bloquer
les échanges de données entre réseaux. C’est donc un élément de sécurité d’un réseau qui peut
être :
• un ordinateur
• un routeur
• un matériel propriétaire
Dans tous les cas, un système pare-feu est une combinaison d’éléments matériels et logiciels
(propriétaires, shareware ou freeware).
Principe
Le pare-feu joue le rôle de filtre et peut donc intervenir à plusieurs niveaux du modèle OSI.
Il existe trois types de principaux de pare-feu :
• filtrage de paquets
• filtrage de paquets avec état (firewall stateful)
• proxy
Filtrage de paquets
Les pare-feu de filtrage de paquets sont généralement des routeurs qui permettent d’accorder ou
de refuser l’accès en fonctions des éléments suivants :
• l’adresse source
• l’adresse destination
• le protocole
• le numéro de port

Limites de la technique
• Manque de souplesse
Si cette approche offre une défense simple et efficace, elle manque de souplesse pour que sa
mise en place en protection d’un réseau, dans la majorité des cas, ne s’avère pas bloquante pour
le bon fonctionnement des systèmes du réseau concerné. Pour contourner ce défaut,
l’administrateur est rapidement contraint à autoriser trop d’accès pour que son firewall offre
encore la moindre protection réelle.
• Difficulté pour gérer certains protocoles
Certains protocoles sont particulièrement délicats à gérer à l’aide de cette technique comme FTP
(le suivi des échanges FTP est une opération complexe) ou TCP (protocole de type connecté).
Firewall Stateful
La technologie stateful est l’une des deux réponses possibles aux limites du filtre de paquets.
Un firewall stateful inclut toutes les fonctionnalités d’un filtrage de paquet, auxquelles il ajoute la
capacité de conserver la trace des sessions et des connexions dans des tables d’état interne. Tout
échange de données est soumis à son approbation et adapte son comportement en fonction des
états.
Cette technique convient aux protocoles de type connecté (TCP). Certains protocoles (UDP et
ICMP) posent un problème supplémentaire : aucune notion de connexion n’y est associée. Le
firewall est donc amené à examiner les paquets, et peut seulement gérer des timeout, souvent de
l’ordre d’une minute.
Limites de la technique
• Risque d’accès illimité
Si cette approche apporte une amélioration certaine par rapport à la technique du filtrage simple
de paquets, elle se borne cependant à autoriser ou interdire l’accès à un service donné. Dès lors
que l’accès à un service est accordé, celui-ci est illimité.
• Faille interne au firewall

D’autre part, un tel système ne protège aucunement un serveur contre les attaques s’appuyant
sur des failles du logiciel utilisé pour fournir le service.
Néanmoins, les pares-feux de type Stateful sont considérés, par les administrateurs réseau,
comme la technologie minimum pour une sécurisation.

Proxy
Les firewalls de type proxy applicatif (ou passerelle applicative) ont pour ambition de
répondre aux problèmes soulevés par les filtres de paquets et les firewall stateful
Ces systèmes se substituent au serveur ou au client qu’ils ont pour mission de défendre pour :
• traiter les requêtes et réponses à la place du système à protéger,

• les transmettre, après d’éventuelles modifications
• ou les bloquer
Les pares-feux de ce type jouent le rôle de canal et d’interpréteur en agissant aux niveaux des
protocoles de la couche Application.
Cette approche permet, en principe, d’atteindre le plus haut niveau de sécurité.
Autres possibilités des pares-feux

Les fabricants de pare-feu ont tendance à intégrer un maximum de fonctionnalités :
• filtrage de contenu (URL, spam mails, code ActiveX, applets Java, …)

• réseau virtuel privé (VPN) : les VPN permettent de canaliser un trafic sécurisé d’un point
à un autre sur des réseaux généralement hostile (Internet par exemple). Checkpoint et
Cisco intègrent des services VPN à leur offres de pare-feu.
• la traduction d’adresse réseau NAT (Network Address Translation) : ce service permet de
mettre en correspondance des adresses réservées ou illégales avec des adresses valides.
Les premiers dispositifs NAT qui apparaissent en entreprise sont souvent des produits
pare-feu.
• l’équilibrage de charge : va permettre de segmenter un trafic de façon répartie (orienter
le trafic Web et FTP par exemple)
• la tolérance de pannes : certains pare-feu, comme CISCO/PIX ou Nokia/Checkpoint
supportent ces fonctionnalités (généralement exécution des pare-feu par paire pour
permettre un une disponibilité élevée (HA High-Availability)
• la détection des intrusions (IDS) :

Politique de sécurité Politique permissive (open config)
Cette politique repose sur le principe que par défaut on laisse tout passer puis on va restreindre
pas à pas les accès et les services mais la sécurité risque d’avoir des failles.
Politique stricte (close config)

Cette politique repose sur le principe inverse : on commence par tout interdire, puis on décide de
laisser seulement passer les services ou adresses désirés ou indispensables.
La sécurité sera meilleure mais le travail sera plus difficile et cela peut même bloquer plus
longtemps que prévu les utilisateurs. C’est évidemment la politique conseillée pour un pare-feu.
Architecture réseau
Il existe plusieurs zones de sécurité commune aux réseaux. Ces zones déterminent un niveau de
sécurité en fonction des accès réseaux et donnent les bases de l’architecture.
On considère en général trois zones ou réseaux :
• Réseaux externes
C’est le réseau généralement le plus ouvert. L’entreprise n’a pas ou très peu de contrôle sur les
informations, les systèmes et les équipements qui se trouvent dans ce domaine.
• Réseaux internes
Les éléments de ce réseau doivent être sérieusement protégés. C’est souvent dans cette zone
que l’on trouve les mesures de sécurité les plus restrictives et c’est donc le réseau le moins ouvert.
• Réseaux intermédiaires
Cette zone est un compromis entre les deux précédentes. Ce réseau est composé de services
fournis aux réseaux internes et externes. Les services publiquement accessibles (serveurs de
messagerie, Web, FTP et DNS le plus souvent) sont destinés aux utilisateurs internes et aux
utilisateurs par Internet. Cette zone, appelée réseau de service ou de zone démilitarisée (DMZ
De-Militarized Zone), est considérée comme la zone moins protégée de tout le réseau.

La machine rempart (Bastion Host)
Le rôle principal qu’une machine tient sur un réseau sécurisé est celui de la machine Bastion ou
Bastion Host en anglais.
Il s’agit d’une machine directement exposée aux attaques. Ainsi, un serveur ayant une adresse IP
publique, et par conséquent accessible depuis Internet, est assimilé à une machine Bastion.
Ce type de serveur est donc critique pour la confidentialité, l’intégrité et la disponibilité du réseau.
Une attention particulière doit être portée sur sa sécurité. En effet, si cette machine venait à être
compromise, la sécurité du réseau (totalement ou en partie) serait menacée.
L’exemple le plus connu de machine Bastion nous est fourni par le pare-feu voire le routeur
d’accès au réseau. Cependant, les serveurs publiques Web et FTP, les serveurs DNS ou de Mail
sont vus aussi comme des Bastions.
La nécessité de mettre en place une architecture réseau sécurisée apparaît alors évidente :
l’isolement des machines Bastion du réseau interne devient indispensable.
La zone démilitarisée (DeMilitarized Zone)

Avant de connecter un serveur sur Internet, se pose la question de la sécurité de cette machine
et du réseau auquel elle appartient. Comme nous l’avons vu précédemment, ces serveurs sont
des machines Bastion et doivent être isolés du réseau. C’est à cette problématique que répond la
zone démilitarisée (ou DMZ).
La DMZ fait partie des principes fondamentaux de la sécurité réseau. Cette zone va jouer le rôle
d’espace intermédiaire entre le réseau interne, dit de confiance, et un réseau non maîtrisé, donc
potentiellement dangereux. La DMZ isole les machines publiques (Web, DNS, FTP, Mail, ...) du
réseau interne. Cette séparation est effectuée et contrôlée par un pare-feu :

La mise en place d’une DMZ est la première étape de la sécurisation du réseau et des machines.
Le simple fait d’avoir une DMZ ne fait pas la sécurité du réseau. La DMZ est nécessaire mais non
suffisante.
Le proxy et le reverse proxy

Un proxy procure :
• de nouveaux mécanismes de sécurité (filtrage d’URL, authentification des utilisateurs, ...)

• l’amélioration les performances en offrant une fonction de cache de pages Web.
Techniquement parlant, le proxy est un relais entre le client et le serveur de destination. Dans
l’exemple du Web, le navigateur va se connecter au proxy et le proxy se connecte ensuite au
serveur. Ainsi les utilisateurs du réseau interne ne sont pas reliés directement à Internet, seul le
proxy y est connecté. Le proxy sera donc placé dans la DMZ.

Firewall - DMZ - Bastion

Transféré par

Droits d'auteur :

Formats disponibles

Firewall - DMZ - Bastion

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Firewall - DMZ - Bastion

Transféré par

Droits d'auteur :

Formats disponibles

FIREWALL – DMZ – BASTION

DIBI KOUADJO JEAN MARTIAL 1

DIBI KOUADJO JEAN MARTIAL 2

• Faille interne au firewall

DIBI KOUADJO JEAN MARTIAL 3

• traiter les requêtes et réponses à la place du système à protéger,

Autres possibilités des pares-feux

• filtrage de contenu (URL, spam mails, code ActiveX, applets Java, …)

DIBI KOUADJO JEAN MARTIAL 4

Politique stricte (close config)

DIBI KOUADJO JEAN MARTIAL 5

La zone démilitarisée (DeMilitarized Zone)

DIBI KOUADJO JEAN MARTIAL 6

Le proxy et le reverse proxy

• de nouveaux mécanismes de sécurité (filtrage d’URL, authentification des utilisateurs, ...)

DIBI KOUADJO JEAN MARTIAL 7

Vous aimerez peut-être aussi