II.6.2.2. Fonctionnement d'un
système Firewall
Un système Firewall contient un ensemble de
règles prédéfinies permettant :
D'autoriser la connexion (allow)
De bloquer la connexion (deny)
De rejeter la demande de connexion sans avertir
l'émetteur (drop).
L'ensemble de ces règles permet de mettre en oeuvre une
méthode de filtrage dépendant de la politique de
sécurité adoptée par l'entité. On distingue
habituellement deux types de politiques de sécurité
permettant :
Soit d'autoriser uniquement les communications ayant
été explicitement autorisées :
« TOUT CE QUI N'EST PAS EXPLICITEMENT
AUTORISÉ EST INTERDIT »
Soit d'empêcher les échanges qui ont
été explicitement interdits.
La première méthode est sans nul doute la plus
sûre, mais elle impose toutefois une définition précise et
contraignante des besoins en communication.
II.6.2.2.1. Le filtrage simple de paquets
Un système Firewall fonctionne sur le principe du
filtrage simple de paquets (en anglais « Stateless Packet
Filtering »). Il analyse les en-têtes de chaque paquet de
données (datagramme) échangé entre une machine du
réseau interne et une machine extérieure.
Ainsi, les paquets de données échangées
entre une machine du réseau extérieur et une machine du
réseau interne transitent par le Firewall et possèdent les
en-têtes suivants, systématiquement analysés par le
firewall :
Adresse IP de la machine émettrice ;
Adresse IP de la machine réceptrice ;
Type de paquet (TCP, UDP, etc.) ;
Numéro de port (un port est un numéro
associé à un service ou une application réseau).
Les adresses IP contenues dans les paquets permettent
d'identifier la machine émettrice et la machine cible, tandis que le
type de paquet et le numéro de port donnent une indication sur le type
de service utilisé.
Les ports reconnus (dont le numéro est compris entre 0
et 1023) sont associés à des services courants (les ports 25 et
110 sont par exemple associés au courrier électronique, et le
port 80 au Web). La plupart des dispositifs Firewall sont au minimum
configurés de manière à filtrer les communications selon
le port utilisé. Il est généralement conseillé de
bloquer tous les ports qui ne sont pas indispensables (selon la politique de
sécurité retenue).
Le port 23 est par exemple souvent bloqué par
défaut par les dispositifs Firewall car il correspond au protocole
Telnet, permettant d'émuler un accès par terminal à une
machine distante de manière à pouvoir exécuter des
commandes à distance. Les données échangées par
Telnet ne sont pas chiffrées, ce qui signifie qu'un individu est
susceptible d'écouter le réseau et de voler les éventuels
mots de passe circulant en clair. Les administrateurs lui
préfèrent généralement le protocole SSH (Secure
Shell), réputé sûr et fournissant les mêmes
fonctionnalités que Telnet.
| 
