Présentation

Article

1 - INTRODUCTION AU PARE-FEU

2 - VUE D’ENSEMBLE DES FONCTIONS HÉBERGÉES DANS UN PARE-FEU

3 - POLITIQUE DE SÉCURITÉ DU SYSTÈME D’INFORMATION (PSSI)

4 - FILTRAGE DANS SES GRANDES LIGNES

5 - FILTRE DE PAQUETS AVEC ET SANS ÉTAT

6 - PASSERELLE DE NIVEAU APPLICATIF (PROXY ET REVERSE-PROXY)

7 - PASSERELLE DE NIVEAU CIRCUIT

8 - INSPECTION DE PAQUETS AVEC ÉTAT OU EN PROFONDEUR (SPI ET DPI)

  • 8.1 - Inspection de paquets avec état – Stateful Packet Inspection (SPI)
  • 8.2 - Inspection de paquet en profondeur – Deep Packet Inspection (DPI)

9 - IDS ET IPS POUR DÉTECTER ET RÉAGIR AUX INTRUSIONS

10 - PARE-FEU PERSONNELS

11 - AUTRES FONCTIONS INDISSOCIABLES DES PARE-FEU

12 - CHOIX D’UNE ARCHITECTURE : ESSENTIEL POUR UNE PROTECTION EFFICACE

13 - LIMITATIONS

14 - MATÉRIELS ET LOGICIELS

15 - CONCLUSION

16 - SIGLES

Article de référence | Réf : TE7550 v2

Passerelle de niveau applicatif (proxy et reverse-proxy)
Pare-feu - Couteau suisse de la sécurité informatique

Auteur(s) : Maryline LAURENT

Relu et validé le 03 janv. 2024

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Un pare-feu ou «firewall» est l’équipement de sécurité par excellence dans un réseau informatique. Conçu pour isoler un réseau et filtrer les flux entrants et sortants, il peut recourir à différents mécanismes de filtrage, à savoir le filtrage de paquet avec ou sans états, les proxys applicatifs, les passerelles de niveau circuit ou encore l’inspection de paquet. Au-delà de ces techniques de filtrage, cet article présente les fonctions afférentes à un pare-feu, comme la traduction d’adresse (NAT), les réseaux privés virtuels (VPN) et les systèmes de détection et prévention d’intrusions (IDS/IPS). Il replace le pare-feu dans une perspective plus globale de politiques de sécurité et d’architectures de sécurité.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Firewalls. The pocketknife for enforcing computer security

A firewall is the key security provision in a computer network for isolating and filtering ingoing and outgoing traffic. A firewall can use several filtering mechanisms such as stateless or stateful packet filtering, applicative proxies, circuit-level proxies, or packet inspection. This article also presents other classical functions embedded in a firewall, including Network Address Translation (NAT), Virtual Private Network (VPN), and intrusion detection and prevention systems (IDS/IPS). The article also places the firewall in a more global perspective of security policies and security architectures.

Auteur(s)

  • Maryline LAURENT : Professeur Télécom-SudParis, Institut Mines-Télécom, Evry, France -

INTRODUCTION

Il suffit de s’intéresser un peu à l’actualité du numérique pour constater l’importance, par leur nombre et leurs conséquences, des cyberattaques qui visent des entreprises et des États. Souvenons-nous de l’affaire qui a touché Ashley Madison en août 2016, un site de rencontre dont le piratage a conduit au vol de données personnelles de 37 millions de ses membres (e-mails, téléphones, noms, adresses, profils, etc.), ou encore le malware Locky en février 2016 dont le mode opératoire est de chiffrer des données à l’insu de leur propriétaire, puis de délivrer, contre une rançon, la clé de déchiffrement permettant au propriétaire de récupérer ses données. La plupart du temps, ces données volées sont revendues sur le dark web, un réseau parallèle à Internet réputé faciliter les activités illégales.

Depuis 2013, les révélations d’Edward Snowden, l'ancien agent de la CIA et consultant de la NSA ont permis de sensibiliser le grand public quant à la puissance des outils informatiques, ces derniers permettant la collecte massive de renseignements confidentiels, voire secrets. Pour la première fois dans l’histoire, en 2016, les cyberattaques ont eu des conséquences politiques. L’élection de Donald Trump relèverait en grande partie de piratages informatiques qui ont permis la publication compromettante de messages émis par des responsables du parti démocrate.

D’autres cyberattaques moins médiatisées touchent un grand nombre d’organisations, entreprises, collectivités territoriales... Les objectifs du cyberattaquant sont multiples : la revente de secrets industriels au plus offrant, l’atteinte à l’image et réputation d’une organisation, la fragilisation économique d’une entreprise...

Pour contrer ces cyberattaques, tout un arsenal de solutions techniques existe, mais leur mise en œuvre dans une entreprise n’est possible qu’avec l’aide des ressources humaines pour sensibiliser et former les employés et des experts juridiques pour leurs connaissances des lois et directives européennes à respecter. Le Responsable du SSI (RSSI) est la personne qui, en entreprise, orchestre la stratégie de protection du système d’information. Comme le montre une étude menée par le Clusif en 2016, sur 334 entreprises françaises de plus de 200 salariés dans les secteurs de la banque/assurance, commerce, industrie/BTP, services, transport/télécoms, 15 % d’entre elles (resp. 18 %) en 2016 disent consacrer plus de 6 % (resp. de 3 à 6 %) de leur budget informatique pour la sécurité dans l’entreprise. Le poste de dépense ayant le plus augmenté, en augmentation de 4 points depuis 2014, est la « mise en place d’éléments organisationnels » qui représente 16 % des dépenses.

Cet article s’intéresse à la SSI sous l’angle technique, et plus particulièrement à la fonction du pare-feu qui est un élément central dans la protection du système d’information d’une organisation. En effet, un pare-feu permet d’isoler et de filtrer l’ensemble des flux échangés entre deux réseaux, et ainsi de protéger un réseau privé vis-à-vis du réseau public. Le pare-feu est configuré pour satisfaire la Politique de Sécurité du Système d’Information, cette PSSI mettant en œuvre la stratégie de l’organisation quant à l’utilisation de ses moyens informatiques. Au-delà du filtrage, un pare-feu réalise de nombreuses autres fonctionnalités qui visent à améliorer la protection du réseau ou bien qui servent au fonctionnement nominal d’un réseau.

Cet article met l’accent sur les différents mécanismes de filtrage de paquets IP existants. Il positionne chacun de ces mécanismes, puis les détaille un à un. Tout d’abord, le filtrage de paquets sans état qui permet un filtrage simple des paquets IP en fonction des champs portés par l’en-tête des paquets (IP et TCP). Le filtrage de paquets avec état qui garde en mémoire une table des sessions en cours de manière à obtenir un filtrage plus fin. Les passerelles de niveau applicatif (proxy) qui sont taillées sur mesure pour un ensemble d’applications données et permettent un filtrage extrêmement précis des flux, mais qui nécessitent des développements pour chaque flux filtré et souvent peinent à tenir les performances. L’inspection de paquets qui filtre jusque dans les contenus de paquets avec d’excellentes performances, et qui offre au travers du DPI un outil très puissant et controversé car également utilisé par des États totalitaires pour censurer, débusquer des opposants politiques... Des illustrations pratiques sont également apportées.

Cet article remet la technologie de pare-feu en contexte, en argumentant sur la définition préalable d’une politique de sécurité cohérente et à jour, et sur l’importance de concevoir une architecture de sécurité efficace, disponible et robuste. Il présente d’autres fonctions essentielles au pare-feu, à savoir les IDS/IPS, les anti-virus et d’autres généralement présentes comme le NAT et le VPN. Il aborde enfin les pare-feu personnels particulièrement utiles dans un contexte de BYOD et clôt sur les limitations des pare-feu.

Nota :

le lecteur trouvera en fin d’article un glossaire des termes et expressions importants de l’article, ainsi qu’un tableau des sigles, notations et symboles utilisés tout au long de l’article.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

filtering   |   firewall   |   security policy   |   security architecture

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-te7550


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

6. Passerelle de niveau applicatif (proxy et reverse-proxy)

Une passerelle de niveau applicatif (ALG pour Application Level Gateway) est un module logiciel permettant d’effectuer un filtrage plus ou moins fin pour un ensemble de services TCP/IP spécifiques. Plus précisément, ce type de filtrage répond à un modèle client-serveur, où la passerelle se présente comme un serveur (ou proxy) qui récupère la requête de service émise par un client et qui décide de la transmettre ou non au serveur. Dans ce modèle, le client qui interagit avec la passerelle croit en fait interagir directement avec le serveur, tandis que le serveur croit communiquer avec le client alors qu’il interagit avec la passerelle. Ainsi, au lieu d’avoir une seule connexion entre le client et le serveur, il en existe deux, une entre le client et la passerelle, et une autre entre la passerelle et le serveur. Notons que si une connexion est autorisée, la passerelle relaie le trafic entre client et serveur et peut continuer à filtrer l’ensemble des échanges.

Deux types de passerelles de niveau applicatif existent, les proxy et reverse-proxy qui permettent de faire un filtrage fin en fonction du service demandé : telnet, ftp, smtp, http, etc.

6.1 Proxy applicatif

Les proxy sont utilisés pour filtrer le trafic sortant d’une organisation, comme le décrit schématiquement la figure 6. Ils sont souvent exploités pour contrôler l’accès des employés au réseau Internet, que ce soit pour leur consultation web, auquel cas il sera nécessaire de mettre en place un proxy http, ou pour l’échange de fichiers, auquel cas un proxy ftp sera approprié. Notons que les proxy peuvent être fusionnés pour supporter plusieurs flux applicatifs. C’est le cas du logiciel Squid qui traite en tant que proxy et reverse-proxy les flux ftp, http et https.

Suivant l’architecture retenue, la mise en œuvre d’un proxy sur un réseau peut nécessiter de modifier les postes des utilisateurs pour que le trafic associé à une application particulière soit orienté vers le proxy adéquat. Pour le navigateur Firefox 51.0.1, cela consiste, pour le trafic http, à préciser dans le menu Options>Avancé>Réseau>Paramètres (figure 7), sur la ligne « HTTP Proxy », les références du proxy http, soit :

  • l’adresse IP du proxy http ;

  • le numéro de port sur lequel le proxy écoute. Ce numéro...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Passerelle de niveau applicatif (proxy et reverse-proxy)
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - ANSSI -   Recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu.  -  mars 2013 https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Politique_pare_feu_NoteTech.pdf

  • (2) - ANSSI -   Guide de définition d'une architecture de passerelle d'interconnexion sécurisée.  -  Déc. 2011 https://www.ssi.gouv.fr/uploads/IMG/pdf/2011_12_08_-_Guide_3248_ANSSI_ACE_-_Definition_d_une_architecture_de_passerelle_d_interconnexion_securisee.pdf

  • (3) - ANSSI -   Guide pour l'élaboration d'une politique de sécurité de système d'information PSSI : Méthodologie.  -  Mars 2004.

  • (4) - CHESWICK (W.R.), BELLOVIN (S.M.), RUBIN (A.D.) -   Firewalls and internet security : repelling the wily hacker.  -  Addison-Wesley (2003) https://www.ssi.gouv.fr/uploads/IMG/pdf/pssi-section2-methodologie-2004-03-03.pdf (2004).

  • (5) - GASTELLIER-PRÉVOST (S.), LAURENT-MAKNAVICIUS (M.) -   *  -  Chapitre « Security architectures » du livre « Advances in enterprise...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS