fw : Fonctions et conclusion (5/5)

Fonctions de pare-feu
Reste désormais à définir les fonctions de pare-feu à même de combler les besoins exprimés. Les fonctions les plus couramment utilisées sont le filtrage de paquets et les proxies, utilisés séparément ou de conserve, sur une seule machine ou plusieurs différentes. La raison en est simple, certains services se contrôlent très bien via le filtrage de paquets (comme SMTP, HTTP ou NTP), alors que d’autres se contrôlent mieux via les puissantes possibilités offertes par les proxies (DNS, FTP). Le premier étant rapide et le second très lent, il arrive que la latence induite par les proxies ne soit pas tolérable. Dans ce cas le filtrage seul est conseillé, pour peu qu’il soit dynamique (voir plus loin).

Le filtrage de paquet est souvent réalisé par les routeurs pour permettre uniquement au trafic autorisé de circuler sur le réseau. C’est un mécanisme qui ajoute une fonction de pare-feu au système de routage. Comme son nom l’indique, le filtrage de paquets spécifie les paquets réseau à filtrer (comprendre : éliminer) durant le processus de routage. Ces réglages portent généralement sur le contenu de l’entête du paquet, là où sont indiqués les adresses de source et de destination, le protocole utilisé, le port… Certaines implémentations permettent de filtrer d’autres types d’information, mais nous y reviendrons dans l’explication sur le filtrage dynamique.
Ce type de filtrage, que l’on trouve en général sur des ordinateurs agissant comme routeur, ou sur des routeurs dédiés, est efficace en soi, mais nécessite une grande connaissance des protocoles et une grande finesse de réglage car il opère à très bas niveau.

Les proxies sont des programmes tournant sur des pares-feu, entre deux réseaux. En se connectant à travers un proxy vers une adresse précise, la connexion se fait d’abord au proxy lui-même, qui lui négocie ensuite l’accès à l’adresse de destination. Si la négociation est positive, il existe alors deux connexions, l’une du requérant au proxy, l’autre du proxy la destination ; le trafic circule alors dans les deux sens à travers le proxy, sans tenir compte d’éventuelles instructions de routage. Les proxies sont généralement beaucoup plus lent que les filtres de paquet. A titre indicatif, le CERT estime que, si on imagine une machine devant gérer 200 sessions HTTP concurrentes, 100 FTP, 25 SMTP, quelques unes via LDAP et quelques transactions DNS, le serveur proxy devra supporter de 500 à 1000 processus concurrents.

Le filtrage dynamique est une amélioration du filtrage de paquets. Alors que ce dernier opère ses décision de filtrage uniquement sur l’entête de chaque paquet sans considérer les autres, le filtrage dynamique permet des combinaisons couplées à la fois du contenu du message et du contexte des paquets précédents pour se décider. De fait, ce choix est un bon compromis entre rapidité et sécurité.

Pour finir, signalons que la sécurisation du pare-feu lui-même est une donnée incontournable ! Toute gestion à distance d’un firewall ne doit se faire que via une connexion sécurisée, sous peine d’avoir un système bien pensé, coûteux, mais totalement inefficace si jamais un pirate parvient à simplement sniffer le mot de passe d’administration du pare-feu. Le mieux est encore de le gérer directement depuis le poste. Pour les utilisateurs particuliers, le problème est bien évidemment réglé dès le départ.

En guise de conclusion…

Nous avons donc fait le tour de ce qu’est un firewall, et nous espérons vous avoir éclairé sur l’intérêt d’en installer un, notamment sur toute machine équipée de Mac OS X et connectée fréquemment à Internet. Nous verrons prochainement comment mettre en oeuvre un pare-feu efficace au moyen du logiciel NetBarrier, édité par Intego.