Recherche

-

Test d'éligibilité ADSL

-

! Attention

Les manipulations décrites dans ce dossier sont extrêmement délicates et peuvent entrainer des dégâts irrémédiables. MacADSL et ses auteurs déclinent toute responsabilité survenant lors de ces opérations.

» Dossier «

« Retour aux dossiers

Le Petit Guide du Réseau : 2ième partie

Avant de passer à la pratique, voici la deuxième partie consacrée elle aussi à la théorie. Nous allons aborder une notion importante pour les réseaux : la sécurité. Il ne s'agit pas ici de parler des antivirus (sous Mac OS, le problème est moins important que sous Windows, mais il existe néanmoins), mais plutôt de la façon dont un réseau peut être mis à l'abri d'intrusions externes, ceci à travers un élément essentiel : le Firewall.

[ - Imprimer ]- Par Fyve , - le 02/09/2002

Avant de passer à la pratique, voici la deuxième partie consacrée elle aussi à la théorie. Nous allons aborder une notion importante pour les réseaux : la sécurité. Il ne s’agit pas ici de parler des antivirus (sous Mac OS, le problème est moins important que sous Windows, mais il existe néanmoins), mais plutôt de la façon dont un réseau peut être mis à l’abri d’intrusions externes, ceci à travers un élément essentiel : le Firewall.


Généralités

La sécurité informatique, de manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.

La sécurité informatique couvre généralement trois principaux objectifs :
* L'intégrité, c'est à dire garantir que les données sont bien celles qu'on croit être
* La confidentialité, c’est à dire s’assurer que seules les personnes autorisées ont accès aux ressources.
* La disponibilité, c’est à dire maintenir le bon fonctionnement du système informatique

Avec le développement des usages liés à l'utilisation d'Internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs. Or tout ordinateur connecté à Internet (ou à un réseau) est susceptible d'être victime d'une intrusion dont le but est de compromettre le système ou d’altérer les données.

Les pirates informatiques recherchent dans un premier temps des failles, c'est-à-dire une vulnérabilité nuisible à la sécurité du système, dans les protocoles, les OS, les applications ou le personnel d’une entreprise ! Ils scrutent donc le réseau (en envoyant des paquets de données de manière aléatoire) à la recherche d'une machine connectée (machine cible), puis cherchent une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.

Cette menace est d'autant plus grande que la machine est connectée en permanence à Internet. En effet dans le cas d'une connexion permanente à haut débit, la machine cible est susceptible d'être connectée sans pour autant être surveillée, elle ne change pas souvent d’@IP et la bande passante pour y accéder est plus large.

Ainsi, il est fortement conseillé, pour toutes entreprises ou particuliers connectés à Internet via une liaison haut-débit de se protéger des intrusions en installant un système pare-feu.


Les Firewalls

fig.
Fig. 1



Un firewall (ou pare-feu) est un système physique (matériel) ou logique (logiciel) servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations contenues dans les couches 3, 4 et 7 du modèle OSI. Il contient un ensemble de règles prédéfinies permettant :
* soit d'autoriser uniquement les communications ayant été explicitement autorisées sur le principe : « Tout ce qui n'est pas explicitement autorisé est interdit »
* soit d'empêcher les échanges qui ont été explicitement interdits

fig.
Fig. 2



La première méthode est la plus sûre mais elle est contraignante car elle impose de définir les besoins de manière précise. Le choix de l'une ou l'autre de ces méthodes dépend donc de la politique de sécurité que l’on souhaite adopter.

Le fonctionnement des systèmes pare-feu est historiquement assuré par les routeurs. Il est basé sur le principe du filtrage de paquets IP, c'est-à-dire sur l'analyse des en-têtes des paquets IP (ou datagrammes) échangés entre deux machines (les machines d'un réseau sont repérées par une @IP).

Ainsi, lorsqu'une machine de l'extérieur se connecte à une machine du réseau local, et vice-versa, les paquets de données passant par le firewall contiennent les en-têtes suivants, qui sont analysés par le firewall:
* L'@IP de la machine émettrice
* L'@IP de la machine réceptrice
* Le type de paquet (TCP, UDP,...)
* Le numéro de port (un port est un numéro associé à un service ou une application réseau)

Les @IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. Lorsque le filtrage est basé sur les @IP, on parlera de filtrage par adresse (adress filtering). Si le filtrage est basé sur l’analyse du type de paquet et du port, on parlera de filtrage par protocole (protocol filtering).

Certains ports, associés à des services courants, ne sont généralement pas bloqués. Par contre, on peut les restreindre à certaines machines du réseau. Toutefois, il est recommandé de bloquer tous les ports qui ne sont pas indispensables, mais c’est selon la politique de sécurité retenue.

Voici quelques ports souvent utilisés :
* ports 25 et 110 : courrier électronique
* port 80 : Web
* port 21 : FTP
* port 23 : Telnet. C’est un port critique car il permet un accès par terminal à une machine du réseau. Dans la mesure du possible, il est préférable d’utiliser SSH que Telnet.


Le fonctionnement décrit ci-dessus ne s'attache qu'à examiner les paquets IP, ce qui correspond au niveau 3 du modèle OSI. Or, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible de prévoir les ports à laisser passer ou à interdire.

Pour y remédier, une entreprise a inventé un système de filtrage dynamique de paquets (stateful inspection) basé sur l'inspection des couches 3 et 4 du modèle OSI, afin d’effectuer un suivi des transactions entre le client et le serveur et donc d'assurer la bonne circulation des données de la session en cours.

Mais si le filtrage dynamique est plus performant que le filtrage de paquets basique (aussi bien par adresse que par protocole), il ne protège pas pour autant des failles applicatives, c'est-à-dire les failles liées aux logiciels, ce qui représente la part la plus importante des risques en terme de sécurité.

C’est pourquoi il a été inventé le filtrage applicatif qui permet de filtrer les communications application par application (le travail s’effectuant au niveau de la couche 7 du modèle OSI). Le filtrage applicatif suppose donc une connaissance de l'application, et notamment de la manière de laquelle elle structure les données échangées.

Un firewall effectuant un filtrage applicatif est appelé passerelle applicative car il permet de relayer des informations entre deux réseaux en effectuant un filtrage fin au niveau du contenu des paquets échangés. Il s'agit donc d'un dispositif performant assurant une bonne protection du réseau, pour peu qu'il soit correctement administré. En contrepartie une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications.


Les DMZ

Lorsque certaines machines du réseau interne ont besoin d'être accessible de l'extérieur (comme c'est le cas par exemple pour un serveur web, un serveur de messagerie, un serveur FTP public,...) il est conseillé de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise.
On parle alors de zone démilitarisée (souvent notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public.

fig.
Fig. 3




Mac OS X et le Firewall

Apple livre avec Mac OSX un firewall, comme tout bon Unix qui se respecte. Ce composant de la couche Unix se nomme « ipfw ». Mais il a comme grand défaut de se paramétrer uniquement via le Terminal. S’il est efficace, son absence d’ergonomie graphique en a rebuté plus d’un. C’est pour cela que certains éditeurs ont profité pour s’engouffrer dans la brèche.

Avec Jaguar, Apple rectifie le tir. Il existe désormais un onglet « firewall / coupe-feu » dans le panneau partage de Préférences Système. Il y aura un paramétrage d’origine pré-configuré pour les services standards (web, ftp, etc.). Vous pourrez également faire vos propres règles.

Mais la concurrence s’est bien installée. Voici 4 produits intéressants :
* Norton PersonnalFirewall : Que dire de ce logiciel ? Simple d’utilisation et facile à configurer, il devrait satisfaire nombres d’utilisateurs. Gros avantage, on peut l’arrêter d’un simple geste (60 euros).
* Intego Net Barrier : Concurrent du précédant, il est très simple. Il dispose de paramétrages pré-configurés, mais on peut faire ses propres règles. Pour 48 euros, c’est un bon produit pour ceux qui ne veulent pas aller trop loin.
* Firewalk X2 : se présente sous la forme d’un panneau pour les Préférences Système. Entièrement graphique, il devrait plaire à tous et ne coute pas cher (35 euros).
* BrickHouse : Ce que Apple n’avait pas réalisé avant Jaguar, Brian Hill l’a fait. C’est le panneau graphique pour configurer ipfw. Simple et puissant, il coûte 28 euros.

Si vous ne pouvez ou ne voulez transformer votre modem en version routeur avec firewall, je ne peux que vous conseiller d’acheter Jaguar ou de prendre un des 4 logiciels ci-dessus.

Mac OS X est un système plus ouvert que les précédents. Il est basé sur Unix qui a une architecture plus sensible aux attaques. Si la couche BSD sur laquelle repose notre OS est solide, il ne faut pas se voiler la face (n’oubliez pas que Darwin est en open source et si cela permet l’amélioration et la résorption de bogues plus facile, cela permet aussi à des pirates de rechercher des failles de sécurité).

Aussi 2 conseils : faites les mises à jour de sécurité quand elles sortent et mettez un firewall si vous êtes en liaison Internet permanente.



Conclusion

Le fait d'installer un firewall n'est bien évidemment pas signe de sécurité absolue puisqu’il ne protège que les communications passant à travers lui. Tout accès au réseau extérieur ne transitant pas par lui ne sera pas protégé. La mise en place d'un firewall entre donc dans le cadre d’une véritable politique sécuritaire pour une entreprise.

Pour les particuliers, la solution du firewall permet d’éviter la majeure partie des intrusions, souvent l’œuvre de personnes jouant aux pirates de « métier ».



Liste des ports : http://www.iana.org/assignments/port-numbers