2. Comprendre les firewalls

Contenu de cette section

Firewall est un terme automobile. Dans une voiture, un firewall est une pièce qui sépare le bloc-moteur du compartiment passagers. Il est prévu pour protéger les passagers en cas de feu au moteur en maintenant le contrôle de ce dernier par le conducteur.

En informatique, un firewall est un périphérique qui protège la partie privée d'un réseau de la partie publique (InterNet en entier).

L'ordinateur firewall, ci-après dénommé "firewall", peut atteindre aussi bien le réseau protégé qu'InterNet. Le réseau protégé ne peut atteindre InterNet, et ce dernier, à son tour, ne peut atteindre le réseau protégé.

Pour atteindre InterNet depuis l'intérieur du réseau protégé, il faut se connecter au firewall par le réseau, puis utiliser InterNet à partir de là.

La forme la plus simple de firewall est un système à deux connexions réseau. Si vous pouvez AVOIR CONFIANCE EN TOUS vos utilisateurs, vous pouvez configurer simplement Linux (compilé avec IP forwarding/gatewaying OFF !) et leur donner à chacun un compte dessus. Il pourront dès lors se connecter dessus, et utiliser FTP, lire le courrier et utiliser tout autre service que vous fournirez. Avec cette configuration, le seul ordinateur de votre réseau privé qui sache quelque chose du monde extérieur est le firewall. Les autres systèmes sur votre réseau protégé ne nécessitent même pas une route par défaut.

Cela doit être reformulé. Pour que le firewall ci-dessus fonctionne, VOUS DEVEZ AVOIR CONFIANCE EN TOUS VOS UTILISATEURS ! Je ne le recommande pas.

2.1 Inconvénients des firewalls

Le problème des firewalls filtrants réside dans le fait qu'ils empêchent l'accès l'intérieur depuis InterNet. Seuls les services sur les systèmes disposant de filtres de passage sont accessibles. Avec un serveur proxy, les utilisateurs peuvent se loger sur le firewall puis accéder à tout système interne auquel ils ont accès.

De même, de nouveaux types de clients réseau apparaissent à peu près chaque jour. Lorsque c'est le cas, vous devez trouver une nouvelle manière d'autoriser l'accès contrôlé avant que ces services puissent être utilisés.

2.2 Types de firewalls

Il y a deux types de firewalls :

  1. firewalls IP ou filtrants - ils bloquent tout le trafic sauf celui sélectionné ;
  2. serveurs proxy - ils réalisent les connexions réseau pour vous.

firewalls filtrants IP

Un firewall filtrant IP fonctionne au niveau paquet. Il est conçu pour contrôler le flux de paquets en fonction de l'origine, la destination, le port et l'information de type de paquet contenue dans chacun de ceux-ci.

Ce type de firewall est très sûr mais incomplet en termes de connexion aisée. Il peut bloquer l'accès des gens à un système privé mais ne vous indiquera pas qui a accédé à vos systèmes publics ni qui a accédé à InterNet depuis l'intérieur.

Les firewalls filtrants sont des filtres absolus. Même si vous voulez donner accès à quelqu'un d'extérieur sur vos serveurs privés, ce n'est pas possible sans donner accès aux serveurs à tout le monde.

Linux inclut un logiciel de filtrage de paquets dans les noyaux depuis 1.3.x.

2.3 Serveurs proxy

Les serveurs proxy permettent l'accès indirect à InterNet depuis l'arrière d'un firewall. Le meilleur exemple du fonctionnement de ceux-ci est celui d'une personne se connectant à un système puis, depuis celui-ci, à un autre. C'est seulement avec un serveur proxy que ce processus est automatique. Lorsque vous vous connectez à un serveur proxy à l'aide de votre logiciel client, le serveur proxy démarre son propre logiciel client (proxy) et vous transmet les données.

Puisque les serveurs proxy dupliquent toutes les communications, il speuvent enregistrer toute leur activité.

L'idée majeure concernant les serveurs proxy est qu'ils sont complètement sûrs, lorsqu'ils sont configurés correctement. Ils ne permettront à personne d'entrer au-travers d'eux. Il n'existe pas de route IP directe.


Chapitre suivant, Chapitre Précédent

Table des matières de ce chapitre, Table des matières générale

Début du document, Début de ce chapitre