PARE FEU Sécurité Réseau

PRÉSENTÉ PAR

Soumaila TOGOLA
Deha Zude SAYE
Demba SISSOKO
Alfousseiny KONE
Aboubacar KANTE
Moussa COULIBALY
Mory CISSE
SOMMAIRE
 c’est quoi un pare feu ?
 Pourquoi Utiliser un pare feu ?
 Que fait un Firewall ?
 De quoi un pare feu ne protège pas ?
 Quels sont Les différents types de firewall ?
 Comment fonctionne un Pare feu ?
 Quelles sont les Fonctions Basiques d’un pare feu ?
 Quelle stratégie ?
 Les attaques classiques que peuvent subir les Firewalls ? 
 Quels sont les avantages et inconvénients ?
C’EST QUOI UN PARE FEU ?

Un pare-feu est une ressource logicielle ou matérielle qui filtre tout le trafic
(intérieur/extérieur) réseau entre votre ordinateur, réseau domestique, ou réseau
d'entreprise et l'internet selon une politique de sécurité.
Le mot pare feu trouve son origine dans la construction de bâtiment où il est utilisé
pour contenir un incendie afin d’éviter la propagation du feu.
Un pare-feu dans un réseau informatique joue un rôle très similaire à celle d'un pare-
feu dans un bâtiment. Tout comme un pare-feu faite de béton protège une partie d'un
bâtiment, un pare-feu dans un réseau informatique s’assure que si une attaque se
mène d’un côté (Internet), les ordinateurs de l'autre côté ne seront pas affectés.
Peu importe le domaine dans lequel on l’utilise le terme « Pare feu » ramène toujours
toujours a quelque chose de bloquant ou empêchant quelque chose de passer.
POURQUOI UTILISER UN PARE FEU ?
De nos jours, toutes les entreprises possédant un réseau local possèdent aussi un accès à Internet,
afin d'accéder à la manne d'information disponible sur le réseau des réseaux, et de pouvoir
communiquer avec l'extérieur. Cette ouverture vers l'extérieur est indispensable... et dangereuse
en même temps. Ouvrir l'entreprise vers le monde signifie aussi laisser place ouverte aux
étrangers pour essayer de pénétrer le réseau local de l'entreprise, et y accomplir des actions
douteuses, parfois gratuites, de destruction, vol d'informations confidentielles, ... Les mobiles
sont nombreux et dangereux.
Pour parer à ces attaques, une architecture sécurisée est nécessaire. Pour cela, le cœur d'une telle
architecture est basé sur un firewall. Cet outil a pour but de sécuriser au maximum le réseau local
de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela
représente une sécurité supplémentaire rendant le réseau ouvert sur Internet beaucoup plus sûr. 
De plus, il peut permettre de restreindre l'accès interne vers l'extérieur. En effet, des employés
peuvent s'adonner à des activités que l'entreprise ne cautionne pas, le meilleur exemple étant le
jeu en ligne. En plaçant un firewall limitant ou interdisant l'accès à ces services, l'entreprise peut
donc avoir un contrôle sur les activités se déroulant dans son enceinte.
QUE FAIT UN FIREWALL ?

 Bloquer le trafic réseau entrant en fonction de la source ou de la destination;

 Bloquer le trafic réseau sortant sur la base de source ou de destination;
 Bloquer le trafic réseau basé sur le contenu;
 Rendre accessible une ressources internes;
 Autoriser les connexions au réseau interne;
 Rapport sur de trafic réseau et les activités du pare-feu;
 Appliquer la politique de sécurité.
DE QUOI UN PARE FEU NE PROTÈGE PAS ?

 Attaques internes;
 L'ingénierie sociale;
 Les virus et les chevaux de Troie;
 Protéger un réseau d’un trafic qui ne passe pas par le pare-feu;
 Protéger contre des menaces imprévues (hors politique);
 Administrateurs mal formés sur le pare-feu.
QUELS SONT LES DIFFÉRENTS TYPES DE FIREWALL ?

1. Les firewalls bridge :

Ces derniers sont relativement répandus. Ils agissent comme de vrais câbles réseau avec la fonction de filtrage
en plus, d'où leur appellation de firewall. Leurs interfaces ne possèdent pas d’adresse IP, et ne font que
transférer les paquets d'une interface à une autre en leur appliquant les règles prédéfinies. Cette absence est
particulièrement utile, car cela signifie que le firewall est indétectable pour un hacker lambda. En effet, quand
une requête ARP est émise sur le câble réseau, le firewall ne répondra jamais. Ses adresses Mac ne circuleront
jamais sur le réseau, et comme il ne fait que « transmettre » les paquets, il sera totalement invisible sur le
réseau. Cela rend impossible toute attaque dirigée directement contre le firewall, étant donné qu'aucun paquet
ne sera traité par ce dernier comme é tant sa propre destination. Donc, la seule façon de le contourner est de
passer outre ses règles de drop. Toute attaque devra donc « Faire » avec ses règles, et essayer de les contourner.
Dans la plupart des cas, ces derniers ont une
interface de configuration séparée.
Un câble vient se brancher sur une troisième interface, série ou même Ethernet, et qui ne doit être utilisée que
ponctuellement et dans un environnement sécurisé de préférence. Ces firewalls se trouvent typiquement sur les
Switchs.
 Les Avantages
- Impossible de l'éviter (les paquets passeront par ses interfaces) peu coûteux
 Inconvénients :
- Possibilité de le contourner (il suffit de passer outre ses règles) configuration
souvent contraignante
- Les fonctionnalités présentes sont très basiques (filtrage sur adresse IP, port, le
plus souvent en Stateless).
2. Les firewalls matériels 

Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands constructeurs comme Cisco ou
Nortel. Intégrés directement dans la machine, ils font office de « boite noire », et ont une intégration parfaite
avec le matériel. Leur configuration est souvent relativement ardue, mais leur avantage est que leur interaction
avec les autres fonctionnalités du routeur est simplifiée de par leur présence sur le même équipement réseau.
Souvent relativement peu flexibles en terme de configuration, ils sont aussi peu vulnérables aux attaques, car
présent dans la « boite noire » qu'est le routeur. De plus, étant souvent très liés au matériel, l'accès à leur code
est assez difficile, et le constructeur a eu toute latitude pour produire des systèmes de codes « signés » afin
d'authentifier le logiciel (système RSA ou assimilés). Ce système n'est implanté que dans les firewalls haut de
gamme, car cela évite un remplacement du logiciel par un autre non produit par le fabricant, ou toute
modification de ce dernier, rendant ainsi le firewall très sûr.
Pare-feu d’entreprise : pare-feu d'entreprise sont appropriés pour les grandes organisations, y compris les
organisations avec des milliers d'utilisateurs.
Avantages :
o Intégré au matériel réseau.
o Administration relativement simple.
o Bon niveau de sécurité.

Inconvénients :
o Dépendant du constructeur pour les mises à jour.
o Souvent peu flexibles.

3. Les firewalls logiciels :

Présents à la fois dans les serveurs et les routeurs « faits maison », on peut les classer en plusieurs catégories :
Pare-feu personnel : Un pare-feu personnels sont le plus souvent installé comme un logiciel sur un ordinateur
unique et protège seulement cet ordinateur les pare-feu personnel aussi ont normalement des fonctions de reporting
et de gestion très limitées.
Pare feu pour petite organisation : Ces pare-feu sont conçus pour protéger tous les ordinateurs dans un bureau
de taille limitée. Les Firewalls de cette catégorie ont la capacité de filtrer le trafic réseau pour un nombre limité
d'ordinateurs, et les capacités de reporting et de gestion sont adéquates pour cette fonction.
Avantage :
o Sécurité en bout de chaîne (le poste client).
o Personnalisable assez facilement.

Inconvénients :
o Facilement contournable.
o Difficiles à départager de par leur nombre énorme
COMMENT FONCTIONNE UN PARE FEU ?

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

- D'autoriser la connexion (allow) ;
- De bloquer la connexion (deny) ;
- De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage
dépendant de la politique de sécurité adoptée par l'entité.
QUELLES SONT LES FONCTIONS BASIQUES D’UN PARE
FEU ?

1. Le filtrage de paquets
- Le filtrage simple de paquet (Stateless)
C'est la méthode de filtrage la plus simple, elle opère au niveau de la couche réseau
et transport du modèle OSI. La plupart des routeurs d'aujourd'hui permettent
d'effectuer du filtrage simple de paquet. Cela consiste à accorder ou refuser le
passage de paquet d'un réseau à un autre en se basant sur :
 L'adresse IP Source/Destination.
 Le numéro de port Source/Destination (rappel : un port est un numéro associé à un
service ou une application réseau).
 Type de paquet (TCP, UDP, etc.) ;
 - Filtrage dynamique
L'amélioration par rapport au filtrage simple, est la conservation de la trace des sessions et des connexions
dans des tables d'états internes au Firewall. Le Firewall prend alors ses décisions en fonction des états de
connexions, et peut réagir dans le cas de situations protocolaires anormales. Ce filtrage permet aussi de se
protéger face à certains types d'attaques DoS. Quand un pare-feu voit un paquet de réseau sortant, il devrait
se rappeler qu'une réponse entrante est due bientôt, et seulement autoriser ces paquets réseau entrants
attendus, tout paquet inattendu arrivant au pare-feu qui prétend être une réponse sollicitée est
immédiatement bloquée. Cette action de se souvenir est appelé état. Cette forme plus intelligente de filtrage
de paquets est appelé filtrage de paquets stateful, par opposition au filtrage de paquets sans état d'origine,
qui ne se souvient pas de l'état des paquets de retour attendus.

2. Network Address Translation (NAT)

3. Proxy d’application :
Outre le filtrage de paquets stateful et NAT, une autre fonction d'un bon pare-feu est le service de proxy
d'application, parfois appelée passerelle d'application.Considérons un proxy d'application comme une version
élaborée d'un filtre de paquets.
Alors qu'un filtre de paquets est capable d'inspecter des données uniquement dans les niveaux inférieurs
d'un paquet IP, telles que l'adresse IP ou le numéro de port, un proxy d'application est capable d'inspecter
toute la partie de données d'application d'un paquet IP.
4. Monitoring :
Il est vrai qu'un pare-feu soigneusement configuré assure la sécurité de votre réseau interne, mais vous avez
encore besoin d'être sûr que vous ne négligez rien. Voilà une des raisons pour lesquelles vous voulez avoir le pare-
feu se connecter chaque connexion qu'il fait et chaque paquet il bloque. Vous voulez vérifier si le pare-feu est
vraiment aussi sûr que vous croyez qu'il soit.
Parce que les pare-feu sont un point d'entrée pour le trafic réseau entrant ou sortant de votre réseau interne
unique, le pare-feu est un excellent emplacement pour effectuer des tâches de sécurité supplémentaires. De
nombreux pare-feu prennent en charge les fonctions avancées suivantes :
  - la mise en cache des données : Parce que les mêmes données ou le contenu du même site Web
peuvent passer par le pare-feu à plusieurs reprises en réponse aux demandes des différents utilisateurs, le pare-
feu peut mettre en cache les données et répondre plus rapidement sans obtenir les données de nouveau à partir
du site Web réel à chaque fois.
- Le filtrage de contenu: Firewall règles peuvent être utilisées pour restreindre l'accès à certains sites
inappropriés Web basés sur les URL, les mots-clés, ou le type de contenu (flux vidéo, par exemple, ou les pièces
jointes exécutables).
- La détection d'intrusion: Certains modèles de trafic réseau peuvent indiquer une tentative d'intrusion
en cours. Au lieu de simplement bloquer les paquets réseau suspectes, le pare-feu peut prendre des mesures
actives pour limiter davantage la tentative, par exemple, en désactivant l'adresse IP de l'expéditeur ou alerter un
administrateur.
- L'équilibrage de charge: Du point de vue de la sécurité, un point d'entrée unique est bon. Mais du
point de vue de la disponibilité, ce point d'entrée unique peut conduire à un point de défaillance unique ainsi. La
plupart des pare-feu permettent de repartir les trafics réseau entrant et sortant entre deux ou plusieurs pare-feu
coopérants.
QUELLE STRATÉGIE ?

Une des premières choses que vous devez décider lorsque vous configurez votre
pare-feu est la stratégie générale permettant de spécifier les paquets et les protocoles
à autoriser ou interdire.
On distingue habituellement deux types de politiques de sécurité permettant :
 soit de tout autoriser : autorise tous les paquets réseau, sauf ceux qui sont
explicitement interdits
 soit de Tout interdire : Bloc tous sauf les paquets qui ont été explicitement autorisé.
LES ATTAQUES CLASSIQUES QUE PEUVENT SUBIR LES
FIREWALLS ?  

 IP spoofing
L'IP spoofing consiste à modifier les paquets IP afin de faire croire au firewall qu'ils
proviennent d'une adresse IP considérée comme « de confiance ».
 DOS et DDOS
Le DOS, ou Denial Of Service attack, consiste à envoyer le plus de paquets possibles
vers un serveur, générant beaucoup de trafic inutile, et bloquant ainsi l'accès aux
utilisateurs normaux.
Le DDOS, pour Distributed DOS, implique venir de différentes machines simultanées,
cette action étant le plus souvent déclenchée par un virus : ce dernier va d'abord
infecter nombre de machines, puis à une date donnée, va envoyer depuis chaque
ordinateur infecté des paquets inutiles vers une cible donnée.
 Port scanning
Ceci constitue en fait une « pré- attaque » (Etape de découverte). Elle consiste à déterminer quels
ports sont ouverts afin de déterminer quelles sont les vulnérabilités du système. Le firewall va, dans
quasiment tous les cas, pouvoir bloquer ces scans en annoncent le port comme « fermé ». Elles sont
aussi aisément détectables car elles proviennent de la même source faisant les requêtes sur tous les
ports de la machine. Il suffit donc au firewall de bloquer temporairement cette adresse afin de ne
renvoyer aucun résultat au scanner.

 Exploit
Les exploits se font en exploitant les vulnérabilités des logiciels installés, par exemple un serveur Http,
Ftp, etc. Le problème est que ce type d'attaque est très souvent considéré comme des requêtes tout à fait
« valides » et que chaque attaque est différente d'une autre, vu que le bug passe souvent par
reproduction de requêtes valides non prévues par le programmeur du logiciel. Autrement dit, il est
quasiment impossible au firewall d'intercepter ces attaques, qui sont considérées comme des requêtes
normales au système, mais exploitant un bug du serveur le plus souvent. La seule solution est la mise à
jour périodique des logiciels utilisés afin de barrer cette voie d'accès au fur et à mesure qu'elles sont
découvertes.
QUELS SONT LES AVANTAGES ET INCONVÉNIENTS ?

Avantage :
 Avec une architecture réseau cohérente, on bénéficie d'une centralisation dans la gestion des
flux réseaux.
 De plus, avec un plan d'adressage correct, la configuration du pare- feu est peu ou pas
sensible au facteur d'échelle (règles identiques pour 10 comme 10000 équipements protégés).
 L'utilisation de la journalisation offre une capacité d'audit du trafic réseau et peut donc
fournir des traces robustes en cas d'incident, si le pare - feu n'est pas lui - même une des cibles.
 Enfin le pare- feu permet de relâcher les contraintes de mise à jour rapide de l'ensemble d'un
parc en cas de vulnérabilité sur un service réseau : il est possible de maintenir une certaine
protection des équipements non vitaux au prix de la dégradation du service avec la mise en
place d'un filtrage.
Inconvénients :
 La capacité de filtrage d'un équipement dépend de son intégration dans le réseau mais le transforme en
goulet d'étranglement (capacité réseau et ressources du pare - feu).
 De par sa fonction, le pare- feu est un point névralgique de l'architecture de sécurité avec de fortes
contraintes de disponibilité. Il existe des solutions permettant la synchronisation de l'état des pare- feu,
comme l'élection du routeur avec VRRP, ou le système de haute disponibilité CARP/pfsync développé pour
Open BSD, mais beaucoup de configurations reposent encore sur un équipement unique.
 Enfin une bonne gestion d'un pare-feu nécessite la compréhension des protocoles filtrés surtout lorsque les
interactions deviennent complexes comme dans les cas FTP, H323, ...avec le transport de paramètres de
connexion dans le segment de données. De plus il apparaît bien souvent des effets de bord liés aux diverses
fonctions (couches réseaux filtrées, traduction d'adresses) et influencées par l'ordre d'application des règles.
CONCLUSION
Nous avons vu dans cette présentation les différents types de firewalls, les
différentes attaques et parades. Il ne faut pas perdre de vue qu'aucun firewall n'est
infaillible et que tout firewall n'est efficace que si bien configuré. De plus, un firewall
n'apporte pas une sécurité maximale et n'est pas une fin en soi. Il n'est qu'un outil
pour sécuriser et ne peut en aucun cas être le seul instrument de sécurisation d'un
réseau. Un système comportant énormément de failles ne deviendra jamais ultra-
sécurisé juste par l'installation d'un firewall.
Toutes ces technologies sont et seront en pleine évolution, car la base même de
tout cela est de jouer au chat et à la souris entre les hackers et les programmeurs de
firewall ainsi que les administrateurs. Une grande bataille d'imagination qui n'aura
certainement jamais de fin.