Parefeu
Parefeu
Parefeu
Informatique et Rseaux
3me anne
Les Firewalls
1/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
2/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Pourquoi un firewall ?
De nos jours, la plus part des entreprises possdent de nombreux postes informatiques qui sont en gnral relis entre eux par un rseau local. Ce rseau permet d'changer des donnes entre les divers collaborateurs internes l'entreprise et ainsi de travailler en quipe sur des projets communs. La possibilit de travail collaboratif apporte par un rseau local constitue un premier pas. L'tape suivante concerne le besoin d'ouverture du rseau local vers le monde extrieur, c'est dire internet. En effet, une entreprise n'est jamais compltement ferme sur elle mme. Il est par exemple ncessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extrieur signifie aussi laisser une porte ouverte a divers acteurs trangers. Cette porte peut tre utilise pour des actions qui, si elles ne sont pas contrles, peuvent nuire l'entreprise (piratage de donnes, destruction,...). Les mobiles pour effectuer de tel actions sont nombreux et varis : attaque visant le vol de donnes, passe-temps, ... Pour parer ces attaques, une architecture de rseau scurise est ncessaire. L'architecture devant tre mise en place doit comporter un composant essentiel qui est le firewall. Cette outil a pour but de scuriser au maximum le rseau local de l'entreprise, de dtecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le rseau ouvert sur Internet beaucoup plus sr. De plus, il peut galement permettre de restreindre l'accs interne vers l'extrieur. En effet, des employs peuvent s'adonner des activits que l'entreprise ne cautionne pas, comme par exemple le partage de fichiers. En plaant un firewall limitant ou interdisant l'accs ces services, l'entreprise peut donc avoir un contrle sur les activits se droulant dans son enceinte. Le firewall propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il permet d'analyser, de scuriser et de grer le trafic rseau, et ainsi d'utiliser le rseau de la faon pour laquelle il a t prvu. Tout ceci sans l'encombrer avec des activits inutiles, et d'empcher une personne sans autorisation d'accder ce rseau de donnes.
3/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
4/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
5/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Une autre limite de ce type de firewall se trouve au niveau des protocoles fonctionnant de manire similaire au FTP. Effectivement, certains protocoles ont besoin d'ouvrir un autre port que celui ddi . Ce port est choisi alatoirement avec une valeur suprieure 1024. Dans le cas du protocole FTP, l'utilisation de deux ports permet d'avoir un flux de contrle et un flux de donnes pour les connexions. Le problme pos viens du fait que ce port est choisi alatoirement, il n'est donc pas possible de crer des rgles pour permettre les connexions FTP avec les firewalls sans tats.
NEW : Un client envoie sa premire requte. ESTABLISHED : Connexion dj initie. Elle suit une connexion NEW. RELATED : Peut tre une nouvelle connexion, mais elle prsente un rapport direct avec une connexion dj connue.
Les attributs gards en mmoires sont les adresses IP, numros de port et numros de squence des paquets qui ont travers le firewall. Les firewalls tats sont alors capables de dceler une anomalie protocolaire de TCP. De plus, les connexions actives sont sauvegardes dans une table des tats de Masquelier Mottier Pronzato 6/23 Nouvelles Technologies Rseaux
Ingnieurs 2000
Informatique et Rseaux
3me anne
connexions. L'application des rgles est alors possible sans lire les ACL chaque fois, car l'ensemble des paquets appartenant une connexion active seront accepts. Un autre avantages de ce type de firewall, se trouve au niveau de la protection contre certaines attaques DoS comme par exemple le Syn Flood. Cette attaque trs courante consiste envoyer en masse des paquets de demande de connexion (SYN) sans en attendre la rponse (c'est ce que l'on appel flood). Ceci provoque la surcharge de la table des connexions des serveurs ce qui les rend incapable d'accepter de nouvelles connexions. Les firewalls stateful tant capables de vrifier l'tat des sessions, ils sont capables de dtecter les tentatives excessives de demande de connexion. Il est possible, en autre, ne pas accepter plus d'une demande de connexion par seconde pour un client donn. Un autre atout de ces firewalls est l'acceptation d'tablissement de connexions la demande. C'est dire qu'il n'est plus ncessaire d'ouvrir l'ensemble des ports suprieurs 1024. Pour cette fonctionnalit, il existe un comportement diffrent suivant si le protocole utilis est de type orient connexion ou non. Pour les protocoles sans connexion (comme par exemple UDP), les paquets de rponses lgitimes aux paquets envoys sont accepts pendant un temps donn. Par contre, pour les protocoles fonctionnant de manire similaire FTP, il faut grer l'tat de deux connexions (donne et contrle). Ceci implique donc que le firewall connaisse le fonctionnement du protocole FTP (et des protocoles analogues), afin qu'il laisse pass le flux de donnes tabli par le serveur. Les limites : La premire limite de ce type de firewall ce situe au niveau du contrle de la validit des protocoles. Effectivement, les protocoles maisons utilisant plusieurs flux de donnes ne passeront pas, puisque le systme de filtrage dynamique n'aura pas connaissance du fonctionnement de ces protocoles particuliers. Ensuite, il existe un cot supplmentaire lors de la modification des rgles du firewall. Il faut que les firewalls rinitialisent leurs tables tat. Pour finir, ce type de firewall ne protge pas contre l'exploitation des failles applicatives, qui reprsentent la part la plus importante des risques en terme de scurit.
Firewall applicatif
Les firewall applicatif (aussi nomm pare-feu de type proxy ou passerelle applicative) fonctionne sur la couche 7 du modle OSI. Cela suppose que le firewall connaisse l'ensemble des protocoles utiliss par chaque application. Chaque protocole dispose d'un module spcifique celui-ci. C'est Masquelier Mottier Pronzato 7/23 Nouvelles Technologies Rseaux
Ingnieurs 2000
Informatique et Rseaux
3me anne
dire que, par exemple, le protocole HTTP sera filtr par un processus proxy HTTP. Ce type de firewall permet alors d'effectuer une analyse beaucoup plus fine des informations qu'ils font transiter. Ils peuvent ainsi rejeter toutes les requtes non conformes aux spcifications du protocole. Ils sont alors capables de vrifier, par exemple, que seul le protocole HTTP transite travers le port 80. Il est galement possible d'interdire l'utilisation de tunnels TCP permettant de contourner le filtrage par ports. De ce fait, il est possible d'interdire, par exemple, aux utilisateurs d'utiliser certains services, mme s'ils changeant le numro de port d'utilisation du services (comme par exemple les protocoles de peer to peer). Les limites : La premire limitation de ces firewalls rside sur le fait qu'ils doivent imprativement connatre toutes les rgles des protocoles qu'ils doivent filtrer. Effectivement, il faut que le module permettant le filtrage de ces protocoles soit disponible. Ensuite, ce type de firewall est trs gourmand en ressource. Il faut donc s'assurer d'avoir une machine suffisamment puissante pour limiter les possibles ralentissements dans les changes.
Firewall authentifiant
Les firewall authentifiant permettent de mettre en place des rgles de filtrage suivant les utilisateurs et non plus uniquement suivant des machines travers le filtre IP. Il est alors possible de suivre l'activit rseau par utilisateur. Pour que le filtrage puisse tre possible, il y a une association entre l'utilisateur connect et l'adresse IP de la machine qu'il utilise. Il existe plusieurs mthode d'association. Par exemple authpf, qui utilise SSH, ou encore NuFW qui effectue l'authentification par connexion.
Firewall personnel
Les firewalls personnels sont installs directement sur les postes de travail. Leur principal but est de contrer les virus informatiques et logiciels espions (spyware). Leur principal atout est qu'ils permettent de contrler les accs aux rseaux des applications installs sur la machines. Ils sont capables en effet de reprer et d'empcher l'ouverture de ports par des applications non autorises utiliser le rseau.
8/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Qualit de service
Les firewalls peuvent grer de la qualit de service pour palier aux limitations du protocole IP. En effet, celui-ci ne fait pas, ou trs peu, de diffrence entre les diffrents flux. Les donnes sont traites de manire quivalente, on utilise le terme best effort (effort maximum) pour caractriser IP. La qualit de service est un terme assez vague qui ne s'applique pas uniquement aux firewalls, et qui varie pour chaque personne et pour chaque usage. Dans le domaine des rseaux informatiques, la qualit de service est employe pour le contrle des rseaux en fonction de diffrents critres qui sont par exemple : la bande passante (dbit), les dlais (latence) et le taux derreurs (perte), On pourra donc offrir des qualits de service diffrentes en fonction de besoins propres chaque applications (multimdia, transfert de donnes, ) et en fonction des besoins exprim par lutilisateur. Il est donc possible de fournir une qualit de service beaucoup plus fine que la simple limitation matrielle lie au type de la connexion utilise. Le firewall pourra donc effectuer de la mise en forme de trafic ( shaping ) pour limiter lmission de paquets un dbit configur, rordonnancer ( scheduling ) les paquets afin de prioriser certain flux. Nous allons maintenant tudier comment configurer Linux cet effet : les deux principaux lments intervenant dans cette configuration sont les classificateurs et les files dattentes. On peut les configurer soit par lintermdiaire de loutil nomm tc (traffic control) soit par lintermdiaire du protocole netlink pour sinterfacer directement avec le noyau. Nous ne prsenterons ici que des exemples bass sur tc .
Classificateurs
Dans un gestionnaire de file dattente bas sur des classes, le classificateur dtermine, par lintermdiaire de filtres ( filter ), dans quelle file dattente un paquet sera plac. Les principaux filtres utiliss sont u32 et fw , le filtre route est moins utilis. Le filtre fw sappuie sur le marquage des paquets par le firewall. Le filtre u32 sappuie directement sur les donnes du paquet IP. Le filtre route sappuie sur la table de routage et permet de prioriser le flux destination de Masquelier Mottier Pronzato 9/23 Nouvelles Technologies Rseaux
Informatique et Rseaux
3me anne
Classless
Ce type de gestionnaire est le plus simple, il est dit sans classe car il ne possde pas de subdivisions interne configurable ( class ). Il sera donc impossible de changer le gestionnaire de file d'attentre des subdivisions qui le composent. Ce type de gestionnaire est gnralement utilis en terminaison des gestionnaires classful . Voici la liste des gestionnaires classless existants sous linux :
pfifo_fast
Ce gestionnaire ( First In First Out ) est compos de trois bandes utilisant le champs TOS pour prioriser les paquets. Les paquets seront plac dans l'une des trois bandes en fonction de leur valeur du champ TOS. Les bandes, quand elles, seront vides dans l'odre : pour passer la bande suivante, la bande prcdente doit tre compltement vide. La cartographie associant une bande des valeurs du champs TOS est cependant configurable, voici la cartographie par dfaut :
10/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
L'illustration ci-dessus met en relation la valeur du champ TOS (colone 1) la bande associe (colone 5).
tbf
Ce gestionnaire ( Token Bucket Filter , filtre seau jetons), trs simple, permet de fixer des limites concernant la bande passante. Il permet par ailleurs de dfinir un dbit crte pour dpasser temporairement les limites prcdemment fixes. Il est gnralement utilis pour limiter le trafic sortant et il convient bien pour les bandes passantes importantes.
sfq
Ce gestionnaire ( Stochastic Fairness Queueing , file dattente stochastiquement quitable) est trs souvent utilis car il ncessite moins de calculs tout en tant presque parfaitement quitable. En effet, les diffrents flux de donnes (sessions TCP par exemple) on la mme probabilit denvoyer des donnes. Il est gnralement utilis lorsque le lien est satur et quon souhaite quaucune session naccapare toute la bande passante.
Classful
Ces gestionnaires sont beaucoup plus complexes configurer car ils font intervenir une notion de parent avec leurs classes filles qui peuvent leur tour contenir un gestionnaire de mise en file dattente. Le schma suivant reprsente un exemple de hirarchie :
11/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
prio
Ce gestionnaire est lquivalent de pfifo_fast prcdemment tudi sauf quil nest plus compos de bandes non configurables, mais de classes configurables. Il est donc possible d'avoir plus de trois classes.
cbq
Ce gestionnaire ( Class Based Queueing ), trs complexe, peu prcis, permet de faire de la mise en forme. Son manque de prcision est d au fait quil dpends du taux doccupation du mdium et que le calcul de ce dernier savre complexe sur un ordinateur.
htb
Ce gestionnaire ( Hierarchigical Token Bucket , seau de jetons contrle hirarchique) est utilis pour les mmes raisons que cbq la diffrence prs quil ne procde pas au calcul du taux doccupation du mdium. Il sera donc le gestionnaire privilgier. De plus il est plus simple configurer que son homologue cbq.
12/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Et dans :
Networking options ---> QoS and/or fair queueing ---> IP: NetFilter Configuration --->
Exemple
Comme nous l'avons indiquer dans la section classificateur prsent prcdemment, nous pouvons utiliser le firewall pour marquer les paquets et ainsi utiliser ce marquage pour utiliser diffrents gestionnaires de file d'attente. Nous souhaitons crer un cannal principal ( main link ) limit un dbit de 100kbps, y allouer l'hte A (192.168.0.1) une bande passante de 40kbps et y allouber l'hte B (192.168.0.2) une bande passante de 60kbps. L'hte A pourra utiliser son flux HTTP (www) un dbit de 30kbps et son flux mail (smtp) un dbit de 10kbps. Il en rsulte la reprsentation schmatique suivante :
Reprsentation schmatique
13/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Passons maintenant la configuration de cet exemple sous linux grace aux outils tc et iptable :
# Cration # # Cration $>tc class # Cration $>tc class # Cration $>tc class # Cration $>tc class # Cration $>tc class des classes htb de la classe add dev eth0 de la classe add dev eth0 de la classe add dev eth0 de la classe add dev eth0 de la classe add dev eth0 associe au main link, identifie par '1:1' parent 1: classid 1:1 htb rate 100kbps ceil 100kbps associe l'hte A, identifie par '1:2' parent 1:1 classid 1:2 htb rate 40kbps ceil 100kbps associe au flux www de A, identifie par '1:10' parent 1:2 classid 1:10 htb rate 30kbps ceil 100kbps associe au flux smpt de A, identifie par '1:11' parent 1:2 classid 1:11 htb rate 10kbps ceil 100kbps associe l'hte B, identifie par '1:12' parent 1:1 classid 1:12 htb rate 60kbps ceil 100kbps
# Cration des filtres de type fw # # Cration du filtre utilisant le marquage '1' pour rediriger vers '1:1' $>tc filter add dev eth0 parent 1: protocol ip prio 1 handle 1 fw classid 1:1 # Cration du filtre utilisant le marquage '2' pour rediriger vers '1:2' $>tc filter add dev eth0 parent 1: protocol ip prio 1 handle 2 fw classid 1:2 # Cration du filtre utilisant le marquage '10' pour rediriger vers '1:10' $>tc filter add dev eth0 parent 1: protocol ip prio 1 handle 10 fw classid 1:10 # Cration du filtre utilisant le marquage '11' pour rediriger vers '1:11' $>tc filter add dev eth0 parent 1: protocol ip prio 2 handle 11 fw classid 1:11 # Positionnement des marquages avec iptable # # Positionnement du marquage '1' pour ce qui vient de A $>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.1 # Positionnement du marquage '11' pour le smtp de A $>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.1 MARK --set-mark 11 # Positionnement du marquage '10' pour le www de A $>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.1 MARK --set-mark 10 # Positionnement du marquage '2' pour ce qui vient de B $>iptables -A PREROUTING -i eth0 -t mangle -s 192.168.0.2
14/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Fonctionnement
Pour oprer le filtrage de paquets, NetFilter stocke un ensemble de rgles dfinies par l'utilisateur. Ces rgles sont enregistres dans des tables sous formes de chanes. Lorsque NetFilter doit traiter un paquet il applique l'ensemble des rgles d'une chane les une la suite des autres. Si le paquet correspond aux critres dfinis par la rgle alors l'action associ la rgle (cible) est effectue. Dans les paragraphes suivant les principaux types de tables, de chanes et cibles seront dtailles.
Les tables
Il existe par dfaut dans NetFilter une seule table, la table filter. Cette table permet de filtrer les paquets entrant, sortant et transitant avec respectivement les chanes INPUT, OUPUT et FORWARD. Ces trois chanes seront dtailles dans le chapitre suivant. Grce l'ajout du module iptable_nat, une nouvelle table est accessible, la table nat. Comme son nom l'indique, elle contient les chanes qui vont s'appliquer pour la translation d'adresses mais aussi de port. Les chanes disponible avec ce module sont : PREROUTING, POSTROUTING, OUTPUT. On dispose galement de nouvelles cibles notamment MASQUERADE, DNAT, SNAT. Ces deux dernires cible sont respectivement utilises pour modifier l'adresse destination et l'adresse source des paquets. Une troisime table disponible est la table MANGLE. Cette table est utilis notamment lors de la mise en place de la QoS pour marquer les paquets.
15/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Les chanes
INPUT : Cette chane est utilise pour les paquets tant destination des applications du firewall. A ce stade, les paquets sont prt tre envoy aux applications.
OUTPUT : Cette chane est utilise pour les paquets sortant des applications du firewall. A ce stade, les paquets ont donc dj t traits, ou gnrs par les applications.
FORWARD : Cette chane filtre les paquets passant d'une interface une autre du firewall, c'est dire qu'ils ne sont pas destins une application prsente sur le firewall. Ces paquets ne passent pas par les chanes INPUT et OUTPUT et ne passent jamais par la couche applicative. Dans ce cas, le firewall se comportera comme une passerelle.
PREROUTING
Quand
les
paquets
un tat non modifi. C'est dire qu'il n'y a encore eu aucun traitement quel qu'il soit
sur celui-ci au niveau du firewall. Cette chane est utilise afin de faire des traitements particuliers sur les paquets en arriv avant d'effectuer leur filtrage proprement dit. Il est utilis, par exemple, dans les cas d'utilisation de destination NAT ou DNAT, qui correspond la modification de l'adresse IP destination.
POSTROUTING : Quand les paquets sont prts tre envoys sur l'interface rseau. Ils ont donc t traits par les applications, et router par le firewall. Tout les traitements sur ces paquets sont alors termins. Il est utilis, par exemple, dans le cas de source NAT ou SNAT, qui correspond la modification de l'adresse IP source (utile pour accder au rseau Internet avec une adresse IP priv).
16/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Voici comment nous pouvons rsumer l'utilisation des chanes dans un firewall. Nous constatons bien que les chanes INPUT et OUTPUT sont destination ou dpart du noyau Linux du firewall. Cela valide le fait qu'elle ne sont utilises que pour les services que firewall lui-mme. Nous constatons de mme que la chane FORWARD ne passe jamais par le noyau du firewall, ces paquets ne sont donc pas traits par les processus externe au firewall.
Les cibles
Un firewall est donc une suite de rgles qui spcifient des critres. Si un paquet ne correspond pas une rgle c'est la prochaine rgle de la chane qui est utilise, si il correspond la rgle va sauter (jump) vers une autre rgle (target, cible). Cette cible peut tre une autre rgle dfinie par la personne en charge de la configuration du firewall, mais, le plus souvent, ce sont des cibles particulires, dfinies par Iptables qui sont utilise. Parmi les cibles dfinies par Iptables trois sont frquemment utilises : ACCEPT, DROP et REJECT. Ces rgles sont dites terminales car elles ne pourront pas tre utilises pour effectuer un saut vers une autre rgle.
ACCEPT signifie qu'on laisse passer le paquet travers le firewall. DROP signifie que le paquet est purement et simplement jet. L'hte source du paquet ne sera pas prvenu, le cas est identique la perte du paquet.
REJECT signifie que le paquet est rejet. A la diffrence de DROP, un paquet d'erreur est transmis l'metteur du paquet rejet. Ainsi celui-ci est prvenu que le paquet a t rejet et pour donc agir en consquence.
17/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Exemple de script
Le script ci-dessous est un exemple de script permettant la configuration de NetFilter l'aide de la commande iptables. Ce type de strict doit tre plac l'emplacement adquat pour qu'il soit appel des que les interfaces rseaux sont actives. Par exemple sous Debian il doit se trouver dans le dossier /etc/network/if-pre-up./. L'exemple fournis ici peut tre appliqu une machine personnelle connect Internet via un modem de type PPPoE.
#!/bin/sh #ppp0: internet #Suppression des rgles prdfinies pour toutes les tables : iptables -F iptables -t nat -F iptables -t mangle -F #Suppression de toutes les rgles de l'utilisateur : iptables -X #Politique par dfaut (tout rejeter) : iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # l'interface loopback du firewall peut mettre dans tous les sens : iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # les connections invalides sont refuses : iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP # les connections tablies ou assimilables sont acceptes en entres : iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Le firewall peut mettre comme il veut sur ppp0 : iptables -A OUTPUT -o ppp0 -j ACCEPT
18/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Voici quelques informations sur le schma de protection bas sur l'algorithme de scurit adaptatif (ASA) :
Adresses IP source et destination Numros de ports source et destination Numros de squences TCP Flags TCP/IP Tout paquet sans connexion justifie est jet 19/23 Nouvelles Technologies Rseaux
Pix 515
Ingnieurs 2000
Informatique et Rseaux
3me anne
Le trafic venant d'une interface de niveau de scurit haut (inside) vers une interface de niveau bas (outside) est permis, sauf si des access-list (ACL) limitent ce trafic
Le trafic entrant est interdit par dfaut Les flux ICMP sont interdits moins de les permettent spcifiquement.
Logiciels
IPCop
IPCop est un projet Open Source dont le but est dobtenir une distribution Linux compltement ddie la scurit et aux services essentiels d'un rseau. IPCop joue le rle dintermdiaire entre un rseau non sr (Internet) et un rseau quon souhaite scuriser (rseau local), tout en offrant des services ajouts. Les principaux services offerts de base sont les suivants : DHCP, NTP (serveur de temps), PROXY, SSH, IDS(dtection d'intrusions), FIREWALL incluant le SHAPING (mise en forme du trafic). Les services de bases concernant le firewall et le shaping sont assez sommaire et n'exploite pas l'intgralit des fonctionnalits offertes par NetFilter. IPCop permet l'ajout de fonctionnalits par lintermdiaire de plugins sans avoir redmarrer la machine. On peut par exemple citer les plugins suivants : filtrage de mail contre les virus et les spams, filtrage du protocole HTTP et FTP pour les virus, ... Linstallation est simple et rapide car tous les lments non ncessaires son objectif de distribution de scurit ont t omis. Le fait d'omettre un maximum d'lments est galement un gage de scurit car cela vite au firewall d'tre vulnrable aux attaques ciblant des logiciels priphriques (applications bureautique, ...) La configuration se rvle aussi trs simple car elle est effectue par l'intermdiaire d'une interface web pure. Pour simplifier la configuration, IPCop utilise les bonnes pratiques en terme d'architecture rseau en sparant les rseaux en diffrentes zones telles que :
la DMZ : rseau des machines publiant des services services sur Internet. Si une de ces machines est compromise, elle ne pourra pas accder directement aux machines du LAN.
le WIRELESS : rseau des machines sans fils, elles ne pourront pas communiquer directement avec les machines du LAN car les rseaux sans fils ne sont pas aussi scurises que des liaisons
20/23
Informatique et Rseaux
3me anne
21/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Conclusion
Comme on peux le constater, les firewalls possdent de multiple capacits qui peuvent diffrer en fonction de leurs types. Cette multitude de solutions impose donc une tude rigoureuse de la scurit devant tre mise en place. En effet, le systme informatique d'une centrale nuclaire n'aura pas les mmes besoin en terme de scurit qu'un particulier et aura donc par consquent des quipement diffrents. Il est galement ncessaire de prciser que le firewall est seulement un composant de scurit, il ne protgera donc pas lui seul un rseau. Il est ncessaire de l'inclure dans une dmarche qui prendra en compte d'autres paramtres tel que la mise jour des applications.
22/23
Ingnieurs 2000
Informatique et Rseaux
3me anne
Sources
Adresse http://www.cisco.com http://www.orbytes.fr http://www.linux-france.org Description Site officiel du constructeur Cisco. Site gnraliste sur les rseaux. Site traitant du monde de Linux et du rseau
http://olivieraj.free.fr/fr/linux/information/firewall/ Firewall et scurit d'un rseau personnel sous Linux http://fr.wikipedia.org/wiki/Firewall http://www.frameip.com/firewall/ http://www.netfilter.org/ http://www.linux-france.org/prj/inetdoc/ http://luxik.cdi.cz/~devik/qos/htb/ man tc man iptables Firewall, Wikipedia Les Firewalls par Alban Jacquemin et Adrien Mercier NetFilter / Iptables Routage avanc et contrl de trafic avanc Gestionnaire HTB Page de manuel de la commande tc Page de manuel de la commande iptables
23/23