Rle: Un pare-feu (appel aussi coupe-feu, garde-barri re ou firewal l en anglais), est un systmepermettant de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment internet ). Fonctionnement d'un systme pare-feu:Un systme pare-feu contient un ensemble de rgles prdfinies permet tant :D'autoriser la connexion (allow) ;De bloquer l a connexion (deny) ;De rejeter l a demande de connexion sans avertir l 'metteur (drop).L'ensemble de ces rgles permet de mettre en uvre une mthode de filtrage dpendant de l apolitique de scurit adopte par l'entit. On distingue habituellement deux types de politiquesde scurit permet tant :Soit d'autoriser uniquement l es communications ayant t explicitement autorises :Soit d'empcher les changes qui ont t explicitement interdis.La premire mthode est sans nul doute la plus sre, mais elle impose toutefois une dfinitionprcise et contraignante des besoins en communication. Le filtrage simple de paquets:Un systme pare-feu fonctionne sur l e principe du filtrage simple de paquets (en anglais stateless packet filtering ). Il analyse les en-ttes de chaque paquet de donnes (datagramme)chang entre une machine du rseau interne et une machine extrieure. Ainsi , les paquets dedonnes change entre une machine du rseau extrieur et une machine du rseau internetransitent par le pare-feu et possdent les en-ttes suivants, systmatiquement analyss par le firewal l :- adresse IP de l a machine mettrice ;- adresse IP de l a machine rceptrice ;- type de paquet (TCP, UDP, etc. ) ;- numro de port (rappel : un port est un numro associ un service ou une application rseau).Les adresses IP contenues dans les paquets permettent d'identifier la machine mettrice et la machine cible, tandis que le type de paquet et le numro de port donnent une indication sur le type de service utilis. Le tableau ci-dessous donne des exemples de rgles de pare-feu:

RgleActionIP sourceIP destProtocolPort sourcePort dest

1Accept192.168.10.20194.154.192.3t cpany25

2Acceptany192.168.10.3t cpany80

3Accept192.168.10.0/24Anyt cpany80

4DenyanyAnyanyanyany

Les ports reconnus (dont l e numro est compris entre 0 et 1023) sont associs desservi ces courant s (les port s 25 et 110 sont par exemple associs au courrier lectronique, et leport 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurs de manire filtrer les communications selon le port utilis. Il est gnralement conseill de bloquer tous les ports qui ne sont pas indispensables (selon la politique de scurit retenue). Le port 23 est par exemple souvent bloqu par dfaut par les dispositifs pare-feu car il correspond au protocole Telnet , permettant d'muler un accs par terminal une machine distante de manire pouvoir excuter des commandes distance. Les donnes changes par Telnet ne sont pas chiffres, ce qui signifie qu'un individu est susceptible d'couter le rseau et de voler les ventuels mots de passe circulant en clair. Les administrateurs lui prfrent gnralement le protocole SSH, rput sr et fournissant les mmes fonctionnalits que Telnet . Le filtrage dynamique:Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP indpendamment les uns des autres, ce qui correspond au niveau 3 du modle OSI . Or, la plupart des connexions reposent sur l e protocole TCP, qui gre la notion de session, afin d'assurer le bon droulement des changes. D'autre part , de nombreux servi ces (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est --dire de manire alatoire) un port afin d'tablir une session entre la machine faisant office de serveur et la machine cliente. Ainsi , il est impossible avec un filtrage simple de paquets de prvoir les port s laisser passer ou interdire . Pour y remdier, le systme de filtrage dynamique de paquets est bas sur l'inspection des couches 3 et 4 du modle OSI , permet tant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est stateful inspection ou stateful packet filtering ,traduisez filtrage de paquet s avec tat . Un dispositif pare-feu de type stateful inspection est ainsi capable d'assurer un suivi des changes, c'est --dire de tenir compte de l'tat desanciens paquets pour appliquer les rgles de filtrage. De cette manire, partir du moment oune machine autorise initie une connexion une machine situe de l 'autre ct du pare-feu;l'ensemble des paquets transitant dans l e cadre de cette connexion seront implicitementaccepts par le pare-feu. Si le filtrage dynamique est plus performant que le filtrage de paquetsbasique, il ne protge pas pour autant de l'exploitation des failles applicatives, lies auxvulnrabilits des applications. Or ces vulnrabilits reprsentent la part la plus importante desrisques en terme de scurit. Le filtrage applicatif:Le filtrage applicatif permet de filtrer les communications application par application. Le filtrageapplicatif opre donc au niveau 7 (couche application) du modle OSI , contrairement au filtragede paquets simple (niveau 4). Le filtrage applicatif suppose donc une connaissance desprotocoles utiliss par chaque application. Le filtrage applicatif permet , comme son noml 'indique, de filtrer les communications application par application. Le filtrage applicatif supposedonc une bonne connaissance des applications prsentes sur le rseau, et notamment de lamanire dont elle structure les donnes changes (port s, etc. ). Un firewall effectuant un filtrage applicatif est appel gnralement passerelle applicative (ou proxy ), car il sert de relais entre deux rseaux en s'interposant et en effectuant une validation fine du contenu des paquets changs. Le proxy reprsente donc un intermdiaire entre les machines du rseau interne et le rseau externe, subissant les attaques leur place. De plus, le filtrage applicatif permet la destruction des en-ttes prcdant le message applicatif , ce qui permet de fournir un niveau de scurit supplmentaire. Il s'agit d'un dispositif performant , assurant une bonne protection du rseau, pour peu qu'il soit correctement administr. En contrepartie, une analyse fine des donnes applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant tre finement analys. Par ailleurs, le proxy doit ncessairement tre en mesure d'interprter une vaste gamme de protocoles et de connatre les failles affrentes pour tre efficace. Enfin, un tel systme peut potentiellement comporter une vulnrabilit dans la mesure o il interprte les requtes qui transitent par son biais. Ainsi , il est recommand de dissocier le pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.

Catgories de pare-feuLes pare-feu sont un des plus vieux quipements descurit informatiqueet, en tant que tels, ils ont t soumis de nombreuses volutions. Suivant la gnration du pare-feu ou son rle prcis, on peut les classer en diffrentes catgories.Pare-feu sans tat (stateless firewall)C'est le plus vieux dispositif de filtrage rseau, introduit sur les routeurs. Il regarde chaque paquet indpendamment des autres et le compare une liste de rgles prconfigures.Ces rgles peuvent avoir des noms trs diffrents en fonction du pare-feu: ACL pourAccess Control List(certains pare-feuCisco), politique oupolicy(pare-feuJuniper/Netscreen), filtres, rgles ourules, etc.La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des machines tats des protocoles rseaux ne permet pas d'obtenir une finesse du filtrage trs volue. Ces pare-feu ont donc tendance tomber en dsutude mais restent prsents sur certains routeurs ou systmes d'exploitation.Pare-feu tats (stateful firewall)Certains protocoles dits tats commeTCPintroduisent une notion de connexion. Les pare-feu tats vrifient la conformit despaquets une connexion en cours. Cest--dire qu'ils vrifient que chaque paquet d'une connexion est bien la suite du prcdent paquet et la rponse un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les paquetsICMPqui servent la signalisation des fluxIP.Enfin, si lesACLautorisent un paquetUDPcaractris par un quadruplet (ip_src, port_src, ip_dst, port_dst) passer, un tel pare-feu autorisera la rponse caractrise par un quadruplet invers, sans avoir crire une ACL inverse. Ceci est fondamental pour le bon fonctionnement de tous les protocoles fonds sur l'UDP, commeDNSpar exemple. Ce mcanisme apporte en fiabilit puisqu'il est plus slectif quant la nature du trafic autoris. Cependant dans le cas d'UDP, cette caractristique peut tre utilise pour tablir des connexions directes (P2P) entre deux machines (comme le faitSkypepar exemple).Pare-feu applicatifDernire mouture de pare-feu, ils vrifient la complte conformit du paquet un protocole attendu. Par exemple, ce type de pare-feu permet de vrifier que seul du protocoleHTTPpasse par le portTCP80. Ce traitement est trs gourmand en temps de calcul ds que le dbit devient trs important. Il est justifi par le fait que de plus en plus de protocoles rseaux utilisent untunnelTCP afin de contourner le filtrage parports.Une autre raison de l'inspection applicative est l'ouverture deportsdynamique. Certains protocoles comme le fameuxFTPen mode passif changent entre le client et le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles sont dits contenu sale ou passant difficilement les pare-feu car ils changent au niveau applicatif (FTP) des informations du niveau IP (change d'adresses) ou du niveau TCP (change de ports). Ce qui transgresse le principe de la sparation descouches rseaux. Pour cette raison, les protocoles contenu sale passent difficilement voire pas du tout les rgles deNAT...dynamiques, moins qu'une inspection applicative ne soit faite sur ce protocole.Chaque type de pare-feu sait inspecter un nombre limit d'applications. Chaque application est gre par un module diffrent pour pouvoir les activer ou les dsactiver. La terminologie pour le concept de module est diffrente pour chaque type de pare-feu: par exemple: Le protocole HTTP permet d'accder en lecture sur un serveur par une commande GET, et en criture par une commande PUT. Un pare-feu applicatif va tre en mesure d'analyser une connexion HTTP et de n'autoriser les commandes PUT qu' un nombre restreint de machines.Pare-feu identifiantUn pare-feu ralise lidentification desconnexionspassant travers le filtre IP. L'administrateur peut ainsi dfinir les rgles de filtrage par utilisateur et non plus par adresse IPouadresse MAC, et ainsi suivre l'activit rseau par utilisateur.Plusieurs mthodes diffrentes existent qui reposent sur des associations entre IP et utilisateurs ralises par des moyens varis. On peut par exemple citerauthpf(sousOpenBSD) qui utilisesshpour faire l'association. Une autre mthode est l'identification connexion par connexion (sans avoir cette association IP=utilisateur et donc sans compromis sur la scurit), ralise par exemple par la suiteNuFW, qui permet d'identifier galement sur des machines multi-utilisateurs.On pourra galement citerCyberoamqui fournit un pare-feu entirement bas sur l'identit (en ralit en ralisant des associations adresse MAC = utilisateur) ou Check Pointavec l'option NAC Blade qui permet de crer des rgles dynamiques base sur l'authentificationKerberosd'un utilisateur, l'identit de son poste ainsi que son niveau de scurit (prsence d'antivirus, depatchsparticuliers).Pare-feu personnelLes pare-feu personnels, gnralement installs sur une machine de travail, agissent comme un pare-feu tats. Bien souvent, ils vrifient aussi quel programme est l'origine des donnes. Le but est de lutter contre lesvirus informatiqueset leslogiciels espions.Portail captifLesportails captifssont des pare-feux dont le but est d'intercepter les usagers d'un rseau de consultation afin de leur prsenter unepage webspciale (par exemple: avertissement, charte d'utilisation, demande d'authentification, etc.) avant de les laisser accder Internet. Ils sont utiliss pour assurer latraabilit des connexions et/ou limiter l'utilisation abusive des moyens d'accs. On les dploie essentiellement dans le cadre de rseaux de consultation Internet mutualiss filaires ouWi-Fi.