Dimanche 4 Mai 2025
Rechercher 🔍

Pare-feu (informatique) - Définition

Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.
- Introduction - Terminologie - Fonctionnement général - Origine du terme - Technologies utilisées - Catégories de pare-feu

Technologies utilisées

Les pare-feu récents embarquent de plus en plus de fonctionnalités, parmi lesquelles on peut citer :

  • Filtrage sur adresses IP / protocole,
  • Inspection stateful et applicative,
  • Intelligence artificielle pour détecter le trafic anormal,
  • Filtrage applicatif :
    • HTTP (restriction des URL accessibles),
    • Courriel (Anti-pourriel),
    • Logiciel antivirus, anti-logiciel malveillant
  • Traduction d'adresse réseau,
  • Tunnels IPsec, PPTP, L2TP,
  • Identification des connexions,
  • Serveurs de protocoles de connexion (telnet, SSH), de protocoles de transfert de fichier (SCP),
  • Clients de protocoles de transfert de fichier (TFTP),
  • Serveur Web pour offrir une interface de configuration agréable,
  • Serveur mandataire (« proxy » en anglais),
  • Système de détection d'intrusion (« IDS » en anglais)
  • Système de prévention d'intrusion (« IPS » en anglais)

Catégories de pare-feu

Les pare-feu sont un des plus vieux équipements de sécurité et, en tant que tels, ils ont été soumis à de nombreuses évolutions. Suivant la génération du pare-feu ou son rôle précis, on peut les classer en différentes catégories.

Pare-feu sans état (stateless firewall)

C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs. Il regarde chaque paquet indépendamment des autres et le compare à une liste de règles préconfigurées.
Ces règles peuvent avoir des noms très différents en fonction du pare-feu :

  • « ACL » pour Access Control List (certains pare-feu Cisco),
  • politique ou policy (pare-feu Juniper/Netscreen),
  • filtres,
  • règles ou rules,
  • etc.

La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des machines à états des protocoles réseaux ne permet pas d'obtenir une finesse du filtrage très évoluée. Ces pare-feu ont donc tendance à tomber en désuétude mais restent présents sur certains routeurs ou systèmes d'exploitation.

Pare-feu à états (stateful firewall)

Certains protocoles dits « à états » comme TCP introduisent une notion de connexion. Les pare-feu à états vérifient la conformité des paquets à une connexion en cours. C’est-à-dire qu'ils vérifient que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les paquets ICMP qui servent à la signalisation des flux IP.

Enfin, si les ACL autorisent un paquet UDP caractérisé par un quadruplet (ip_src, port_src, ip_dst, port_dst) à passer, un tel pare-feu autorisera la réponse caractérisée par un quadruplet inversé, sans avoir à écrire une ACL inverse. Ceci est fondamental pour le bon fonctionnement de tous les protocoles fondés sur l'UDP, comme DNS par exemple. Ce mécanisme apporte en fiabilité puisqu'il est plus sélectif quant à la nature du trafic autorisé. Cependant dans le cas d'UDP, cette caractéristique peut être utilisée pour établir des connexions directes (P2P) entre deux machines (comme le fait Skype par exemple).

Pare-feu applicatif

Dernière mouture de pare-feu, ils vérifient la complète conformité du paquet à un protocole attendu. Par exemple, ce type de pare-feu permet de vérifier que seul du HTTP passe par le port TCP 80. Ce traitement est très gourmand en temps de calcul dès que le débit devient très important. Il est justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP pour contourner le filtrage par ports.

Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles comme le fameux FTP en mode actif échangent entre le client et le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles sont dits « à contenu sale » ou « passant difficilement les pare-feu » car ils échangent au niveau applicatif (FTP) des informations du niveau IP (échange d'adresses) ou du niveau TCP (échange de ports). Ce qui transgresse le principe de la séparation des Couches réseaux. Pour cette raison, les protocoles « à contenu sale » passent difficilement voire pas du tout les règles de NAT dynamiques, à moins qu'une inspection applicative ne soit faite sur ce protocole.

Chaque type de pare-feu sait inspecter un nombre limité d'applications. Chaque application est gérée par un module différent pour pouvoir les activer ou les désactiver. La terminologie pour le concept de module est différente pour chaque type de pare-feu :

  • Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur Linux Netfilter
  • CBAC sur Cisco IOS
  • Fixup puis inspect sur Cisco PIX
  • ApplicationLayerGateway sur Proventia M,
  • Predefined Services sur Juniper ScreenOS
  • Stateful Inspection sur Check Point FireWall-1
  • Deep Packet Inspection sur Qosmos
  • Web Application Firewall sur BinarySEC

Pare-feu identifiant

Un pare-feu identifiant réalise l’identification des connexions passant à travers le filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC, et suivre l'activité réseau par utilisateur. Plusieurs méthodes différentes existent qui reposent sur des associations entre IP et utilisateurs réalisées par des moyens variés. On peut par exemple citer authpf (sous OpenBSD) qui utilise ssh pour faire l'association. Une autre méthode est l'identification connexion par connexion (sans avoir cette association IP=utilisateur et donc sans compromis sur la sécurité), réalisée par exemple par la suite NuFW, qui permet d'identifier également sur des machines multi-utilisateurs.
On pourra également citer Cyberoam qui fournit un pare-feu entièrement basé sur l'identité (en réalité en réalisant des associations adresse MAC = utilisateur) ou Check Point avec l'option NAC Blade qui permet de créer des règles dynamiques basée sur l'authentification Kerberos d'un utilisateur, l'identité de son poste ainsi que son niveau de sécurité (présence d'antivirus, de patchs particuliers).

Pare-feu personnel

Les pare-feu personnels, généralement installés sur une machine de travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'origine des données. Le but est de lutter contre les virus informatiques et les logiciels espions.

Portails captifs

Les portails captifs sont des pare-feu dont le but est d'effectuer une vérification de l'identité de l'utilisateur avant de le laisser accéder à internet. Cette vérification est sommaire et les méthodes de contournement sont nombreuses. Cependant, ces solutions sont utiles puisqu'elles permettent de limiter les utilisations abusives des moyens d'accès. C'est par exemple le cas des points d'accès Wi-Fi qui sont souvent protégés par ce genre de solution.

Origine du terme
- Introduction - Terminologie - Fonctionnement général - Origine du terme - Technologies utilisées - Catégories de pare-feu
miniature
Un physicien affirme que l'Univers serait pixélisé 🌐
miniature
La crème solaire: l'avantage décisif des Homo sapiens sur les Néandertaliens ? ☀️
miniature
Découverte d'une population de galaxies cachées 👀
miniature
Mal de dos chronique: des médicaments contre les "cellules zombies" 💊
miniature
1
Un trou noir solitaire identifié pour la première fois 🔭
miniature
Comment nos médicaments changent le comportement des poissons 🐟
miniature
Cette nouvelle théorie unifie-t-elle enfin électromagnétisme et gravité ? ⚡
miniature
Découverte d'un vecteur de la maladie du sommeil 💤
miniature
La face cachée de la Lune révèle une étrangeté 🌓
miniature
Piéger le CO2 sous terre indéfiniment, c'est possible ! 🌍
miniature
La plus lointaine cousine de la Voie Lactée jamais observée 🌀
miniature
Ce codex médiéval cache un secret dans son bois 🔍
miniature
Une éruption volcanique en 2018 responsable d'une explosion de vie 🌋
miniature
Un système d'exploitation pour les ordinateurs quantiques voit le jour 🖥️
miniature
Des singularités temporelles dans l'Univers ? 🕰️
miniature
Des fossiles de dinosaures mieux datés 🦖
miniature
Une gigantesque muraille de 10 milliards d'années-lumière dans l'Univers 🔭
miniature
Benchmark: les processeurs quantiques sous la loupe, quels sont les meilleurs ? 🏆
miniature
Découverte d'une "fourmi de l'enfer" vieille de 113 millions d'années 🐜
miniature
Le rôle méconnu de la décharge dans l'usure des batteries 🔋
miniature
1
La fonte des glaces déplace les pôles: quelles conséquences ? 🌍
miniature
L'appareil photo de votre smartphone peut détecter l'antimatière 📱
miniature
Cette étoile-zombie peut déformer les atomes à distance, et elle fonce dans notre galaxie ⭐
miniature
Un mosasaure géant découvert dans le Mississippi 🦕
miniature
Problème, les galaxies meurent plus tôt que prévu 🌀
miniature
Ce lien entre cannabis et troubles psychotiques 🧠
miniature
Une révolution dans le refroidissement des puces électroniques ? 🔥
miniature
Des parasites sous-marins filmés en train de vampiriser un poisson des abysses 👀
miniature
Lucy survole un astéroïde en forme de cacahuète 🚀
miniature
Découverte du fossile d'un dinosaure géant méconnu 🦕
miniature
Mars avait-elle un champ magnétique unilatéral ? 🔍
miniature
Des chimpanzés surpris à sociabiliser avec de l'alcool 🍇
miniature
Découverte macabre: ce gladiateur a été tué par un lion il y a 1 800 ans... en Grande-Bretagne 🦁
miniature
L'électroluminescence du graphène, une découverte inattendue ! 💡
miniature
Cet objet métallique n'a pas été fabriqué sur Terre 🔧
miniature
1
Cette innovation permet aux voitures électriques de charger 6 fois plus vite par grand froid ⚡
miniature
Cette super-Terre brûle les attentes des astronomes 🔥
miniature
Découverte exceptionnelle de fossiles d'amphibiens géants 🐸
miniature
Voici ce qui a causé les toutes premières inégalités de richesse 💰
miniature
Quelle est cette zone étrange dans l'Atlantique Nord ? 🌊
miniature
Cette planète orbite à angle droit autour de deux étoiles, une première ! 🔭
miniature
Des cellules solaires flexibles battent des records d'efficacité ⚡
miniature
Ce dispositif reproduit les trous noirs et trous blancs en laboratoire 🌀
miniature
Record établi pour un transistor en diamant 💎
miniature
Les sursauts radio rapides trahissent enfin leur origine cosmique 📡
miniature
Ces biomarqueurs sanguins prédisent la démence 10 ans à l'avance 🧠
miniature
Découverte majeure: des médicaments 23 fois plus efficaces contre le cancer 💊
miniature
Les oscillations collectives des foules humaines denses 🔁
miniature
Une forme inconnue de la matière détectée au LHC ? ⚛️
miniature
Le sel, un facteur méconnu de l'obésité ? 🧂
Page générée en 0.099 seconde(s) - site hébergé chez Contabo
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
A propos - Informations légales
Version anglaise | Version allemande | Version espagnole | Version portugaise