| Réf : TE7550 v1

Filtres de paquets
Pare-feu

Auteur(s) : Maryline LAURENT-MAKNAVICIUS

Date de publication : 10 mai 2004

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Les pare-feu servent d'une part à protéger les réseaux informatiques des intrusions, mais également à améliorer la productivité de l'entreprise en filtrant le trafic internet de l'entreprise. Cet article présente les différentes techniques de pare-feu, en fonction du filtrage utilisé. Le filtrage peut être réalisé au niveau IP (Internet Protocol), TCP (Transport Control Protocol) ou applicatif, sur un équipement de réseau ou un ordinateur personnel. De plus, le choix de l'architecture de pare-feu peut influer sur le niveau de sécurité obtenu.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Maryline LAURENT-MAKNAVICIUS : Maître de conférences, Institut national des télécommunications (INT), Évry

INTRODUCTION

Dès lors qu'un réseau privé est connecté à un réseau public, son intégrité peut être affectée par des intrusions. Pour contrer ces intrusions, l’idée est de placer des équipements appelés pare-feu (ou « firewall ») à la frontière de ce réseau, leur but étant de filtrer tout le trafic échangé avec le réseau extérieur et de ne laisser passer que le trafic autorisé.

Si l'objectif premier des pare-feu est de se protéger des intrusions sur les réseaux privés, il existe d'autres objectifs bien souvent mis en avant dans les brochures commerciales. Il s'agit principalement d'améliorer la productivité des entreprises en contrôlant l'accès qui est fait à Internet par les employés. En effet, l'accès étant filtré, les employés ne peuvent bien souvent plus consulter Internet à des fins personnelles. Les ressources du réseau de l'entreprise sont donc mieux exploitées et les employés se concentrent davantage sur leur travail.

Les techniques de filtrage se sont beaucoup enrichies depuis le milieu des années 1990. Plusieurs familles de pare-feu existent, suivant que le filtrage, plus ou moins fin, est réalisé au niveau IP (Internet Protocol), TCP (Transport Control Protocol) ou applicatif, sur un équipement de réseau ou un ordinateur personnel. Des techniques de filtrage ont récemment été développées pour améliorer les performances de filtrage, comme les mécanismes d'inspection de paquet dynamique (« stateful inspection ») et les systèmes de prévention d'intrusion (IPS : Intrusion Prevention System). Enfin, plusieurs architectures de pare-feu aboutissent à des niveaux de sécurité plus ou moins élevés.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7550


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

4. Filtres de paquets

Un filtre de paquets (packet filter ) est un système multiports placé en coupure entre deux réseaux. Il analyse chaque paquet IP entrant et décide s’il doit être transmis sur le réseau ou détruit. Les règles de filtrage mises en œuvre dans les filtres de paquets sont très couramment appelées ACL pour Access Control List.

4.1 Paramètres de filtrage

Le filtrage s’effectue en fonction des informations habituellement trouvées dans l’en-tête des paquets IP [4] :

  • les numéros de protocole ;

  • les adresses IP source et/ou destination ;

  • les numéros des ports source et/ou destination, qui sont intégrés dans le message TCP ou UDP (User Datagram Protocol) ;

  • les drapeaux de connexion TCP ;

  • d’autres options.

Le filtrage sur les numéros de port permet de faire une sélection en fonction des services utilisés car ils sont généralement associés à des numéros de port TCP ou UDP particuliers. Tous les numéros de port de 0 à 1023 sont réservés tandis que les numéros de port supérieurs à 1024 peuvent être librement utilisés. Le service telnet par exemple peut très bien être filtré en fonction du numéro de port 23 qui lui est attribué, et non en fonction du numéro de port du client telnet puisque celui‐ci porte un numéro de port supérieur à 1024 attribué dynamiquement. Le problème de baser le filtrage sur le numéro de port est qu’un utilisateur peut créer son propre serveur telnet avec un numéro de port supérieur à 1024, ce qui rend le filtrage inefficace.

Le filtrage sur les drapeaux TCP s’effectue le plus souvent sur les drapeaux ACK et SYN. Il permet de se prémunir de l’attaque couramment appelée SYN flooding. Cette attaque consiste à émettre une multitude de messages SYN de demande d’ouverture de connexion TCP. Le serveur destinataire doit retourner, pour chaque message SYN reçu, un message SYN-ACK d’acquittement et conserver dans sa mémoire système l’ensemble des connexions en attente d’un message ACK d’acquittement de la part du client. Plus exactement, la mémoire système est occupée jusqu’à la réception de l’acquittement du client, dans une limite maximale T fixée dans le système. La mémoire système étant de taille finie, l’envoi...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Filtres de paquets
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - Clusif -   Étude et statistiques sur la sinistralité informatique en France - Année 2002.  -  https://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2002.pdf

  • (2) - CHESWICK (W.R.), BELLOVIN (S.M.), RUBIN (A.D.) -   Firewalls and Internet Security : Repelling the Wily Hacker.  -  Addison-Wesley (2003).

  • (3) - STRASSNER (J.), SCHLEIMER (S.) -   Policy Framework Definition Language (Langage de définition d’une politique).  -  Draft IETF, nov. 1998. http://www.ietf.org/proceedings/99mar/I-D/draft-ietf-policy-framework-pfdl-00.txt

  • (4) - TOUTAIN (L.) -   Réseaux Locaux et Internet, des protocoles à l’interconnexion.  -  Hermès (1999).

  • (5) - OPPLIGER (R.) -   Internet and intranet security.  -  Artech House (1998).

  • (6) - LEECH (M.), GANIS (M.), LEE (Y.), KURIS (R.), KOBLAS (D.), JONES (L.) -   SOCKS Protocol...

1 Logiciels libres

SnortSam - http://www.snortsam.net

Snort - http://www.snort.org

netfilter/iptables - http://www.netfilter.org

squid - http://www.squid-cache.org

HAUT DE PAGE

2 Organismes

Club de la sécurité des systèmes d’information français (CLUSIF) http://www.clusif.asso.fr

Internet Engineering Task Force (IETF) http://www.ietf.org

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS