Suivez-nous

Divers

fw : Topologie firewallesque (4/5)

Calmusac

Publié le

 

Par

Monocouche

<<-- Page précédente : Nature et comportement (3/5)

Topologie firewallesque

Maintenant que nous avons vu les différentes attaques et leurs parades, il convient de s’interroger sur la mise en application d’un système de firewall efficace. Nous verrons prochainement comment effectuer ces réglages dans la pratique et dans le cadre d’une utilisation personnelle au moyen du logiciel NetBarrier, édité par Intego. Pour l’instant, nous allons rester dans la théorie, ce qui nous permettra de considérer du même coup les réseaux d’entreprise[[Remerciements appuyés au C.E.R.T. dont la partie suivante s’inspire largement, Design the firewall system, a practice from the CERT® – Security Improvment modules, ©1999 Carnegie Mellon Software Engineering Institute :
http://www.cert.org/]].

La première chose à faire est bien évidemment d’élaborer un cahier des charges, c’est-à-dire, pour l’essentiel, de réaliser les étapes suivantes :

  • définir les services et données à protéger et les menaces encourrues,
  • définir les services internes que l’on souhaite laisser accessibles depuis Internet,
  • définir les services Internet que l’on souhaite laisser accessibles depuis l’intérieur,
  • identifier les utilisateurs qui pourront utiliser ces services,
  • définir les besoins techniques et de disponibilité du pare-feu,
  • définir qui va gérer le firewall, et comment,
  • déterminer la croissance du réseau à protéger, à laquelle le pare-feu devra faire face à l’avenir.

Architectures
Ceci fait, deux architectures sont disponibles : en couche simple ou en couches multiples. Dans le premier cas, une seule machine du réseau opère toutes les fonctions de pare-feu et est connectée à chacun des réseaux dont elle contrôle l’accès. Solution idéale lorsque le coût est un facteur important… ou lorsqu’il n’y a que deux réseaux à interconnecter ! Autre avantage, tout ce qu’il y a besoin de savoir et faire sur le pare-feu réside sur une seule machine. Evidemment, l’inconvénient est qu’un pare-feu mal réglé va perturber tout le système.

Monocouche

Monocouche

Dans une architecture multicouche, les fonctions de firewall sont réparties entre plusieurs machines, connectées généralement en série, et séparés par des réseaux DMZ[[DMZ, pour Demilitarized Zone, littéralement « zone démilitarisée », dans laquelle aucune sécurisation n’est effectuée.]]. Beaucoup plus complexe à mettre en oeuvre comme à régler, cette architecture procure cependant une sécurité substantiellement meilleure en diversifiant les défenses. Si le coût n’est pas un facteur déterminant, il est même recommandé d’utiliser plusieurs modèles et types de firewall différents, afin d’éviter les problèmes liés à la découverte de trous de sécurité et défaillances techniques sur l’un d’eux.

Multicouche

Multicouche

Il est important de concevoir dès le départ la topologie du système à mettre en place, d’une part pour répondre au mieux aux besoins actuels, mais également parce qu’une reconception ultérieure coûte très cher à mettre en place et à gérer. Une bonne méthode consiste à dessiner le réseau à mettre en place. Un phrase primordiale dans ce genre d’exercice, à ne jamais négliger, est la suivante : « Si tu ne peux pas le dessiner, tu ne peux pas le réaliser ».

Les topologies les plus couramment utilisées sont au nombre de quatre : bord basique, hote non-fiable, réseau DMZ, double firewall.

  • le pare-feu de bord est le point de départ de tout système. Il s’agit d’une seule machine, fournissant toutes les fonctions à elle seule, et connectant un réseau privé interne avec un réseau incontrôlé, typiquement Internet.
Monocouche

Monocouche

  • le système de l’hôte non-fiable consiste en l’ajout d’une machine au pare-feu basique, située sur la partie du réseau qui n’est pas protégée. Cette machine possède une configuration minimale et est aussi sécurisée que possible ; le pare-feu est configuré de manière à ne permettre de trafic entrant ou sortant qu’avec cette seule et unique machine, qui n’est pas considérée comme fiable puisqu’elle ne peut pas être protégée par le firewall.
Hôte non-fiable

Hôte non-fiable

  • un réseau DMZ est similaire au précédent, à ceci près que l’hôte « non-fiable » est cette fois-ci placé « à l’intérieur » du pare-feu, mais sur un réseau qui lui est propre (la machine de pare-feu interconnecte alors trois réseaux : Internet, le LAN et celui de l’hôte non-fiable). Cela augment la sécurité et la disponibilité de la machine « non-fiable », mais ne la rend pas plus fiable pour autant aux machines du réseau privé. C’est typiquement en DMZ que sont situés les serveurs Web ou FTP public, créant en quelque sorte un réseau de services publics.
DMZ standard

DMZ standard

  • le double firewall illustre le principe de l’isolation maximum. Le réseau interne privé est séparé des machines « non-fiables » de DMZ par un second pare-feu. De cette manière, le réseau incontrôlé est connecté à un pare-feu, le réseau privé à l’autre, et le DMZ est situé entre eux deux. Ainsi les données doivent-elles traverser deux pares-feu et la DMZ.
Double-firewall

Double-firewall

Page suivante : Fonctions et conclusion (5/5)

iPhone 11 vs 11 Pro : quel est le meilleur iPhone ?
Dernière vidéo Abonnez-vous