Firewall ou pare-feu : guide de la sécurité informatique

Le fonctionnement des pare-feu n’est pas très complexe à comprendre dès que l’on a quelques bases en protocoles et réseaux. C’est pour cela que nous reviendrons sur les notions de base à avoir sur les protocoles, TCP/IP, les réseaux et les DMZ : ces « petits réseaux » dans le réseau de l’organisation abritent les machines qui sont directement accessibles par Internet. Ces machines peuvent être des serveurs HTTP / HTTPS,  des serveurs FTP, des systèmes de mails, des firewalls, des serveurs plus spécifiques à l’activité de l’entreprise…

Un firewall va capturer des paquets réseaux transitants entre Internet et le réseau interne de l’entreprise. A l’aide de quelques informations que l’administrateur configure lors de l’installation du firewall, ce dernier va être capable de réaliser des actions en fonction du paquet qu’il reçoit. Si, par exemple, il reçoit un paquet provenant d’une adresse Internet que l’administrateur a autorisée, le paquet pourra continuer son chemin dans le réseau de l’entreprise. Si l’administrateur a donné comme ordre au firewall de bloquer l’accès à des sites pornographiques ou de jeux en ligne, ce dernier ne laissera pas passer les paquets qui vont à l’encontre de la règle établie.

Ces ordres que l’administrateur a donnés au firewall sont ce que l’on appelle des règles ou plus généralement, dans le jargon des hackers et consultants, des ACL pour Access Control List, ou, en français, des listes de contrôle d’accès. Ils peuvent être définis de diverses manières : en créant des scripts de configuration comme sous Linux avec IPTABLE ou comme avec certains routeurs firewall CISCO. Ils peuvent aussi être créés à l’aide d’une interface graphique qui va permettre à l’utilisateur de cocher des cases, de sélectionner tout un ensemble d’éléments.

J’ai volontairement changé de terme : j’ai tronqué administrateur pour utilisateur car généralement configurer un firewall réseau à l’aide de scripts est mieux que présélectionner des options avec des outils de configurations graphiques qui préfèrent la simplicité d’utilisation à l’exhaustivité et la prise en main du firewall à l’aide d’un mode expert. Bon, j’ai entendu parler, il y a quelques temps, d’un outil fonctionnant sous KDE qui permettait de configurer ses règles IPTABLE graphiquement : ne l’ayant jamais utilisé, je n’oserais pas généraliser ma dernière phrase.

Mais il faut quand même savoir qu’installer et connecter à son réseau un firewall tout-en-un, livré dans un beau papier cadeau n’est pas une bonne idée, même si la documentation vous affirme qu’il est configuré par défaut et que seuls quelques paramétrages sont nécessaires au départ : c’est comme installer Windows 2000 / XP comme serveur Web / serveur de fichiers avec la configuration de base : NetBIOS activé, une liste des services en train de tourner accessible grâce à une simple énumération, des clés de la base de registre consultables à l’aide de DumpReg, la possibilité d’utiliser le service SFTP de base inclus dans Windows pour faire ce que l’on veut…( ne rigolez pas !!! j’en ai déjà vu et heureusement que je suis gentil car même un coup de vent ferait tomber les serveurs un à un :P ).

Normalement, les sections Internet et réseau de votre politique établie préalablement devraient être les versions « littéraires » de ces ACLs.

Tous les firewalls, dignes de ce nom, assurent au moins les 3 fonctions suivantes :