2.3 Techniques de contrôle d’accès
2.3.6 Garde-barrières
Un garde-barrière est en matière de sécurité des réseaux l’équivalent virtuel de ce qu’est en matière de sécurité des bâtiments un mur ou une porte coupe-feu. Son rôle est d’empêcher ou de retarder la propagation d’un incendie d’une partie d’un bâtiment à une autre. C’est de cette analogie qu’il tire sa dénomination la plus répandue de pare-feu (en anglais firewall). Dans le domaine des réseaux, un pare-feu est placé, à l’initiative du responsable de sécurité d’une zone, entre deux zones différentes : l’une qu’il protège et qui représente par exemple un réseau d’une entreprise ou d’une institution ayant un domaine administratif bien délimité, nous l’appelons réseau intérieur ; et l’autre n’appartenant pas à ce domaine, donc hors du contrôle et source de dangers et qui est le plus souvent le réseau Internet, nous l’appelons réseau extérieur.
Pour remplir son rôle de protection, le pare-feu inspecte le trafic entrant dans la zone qu’il protège ainsi que celui en sortant. Il laisse passer certains paquets et en bloque d’autres. Pour cela, il applique un corpus de règles décidées à l’avance par les administrateurs du réseau intérieur et configurées dans une liste appelée souvent, par abus de langage, Politique de filtrage. Certains pare-feux sont aussi capables d’observer le trafic et de construire ensuite un ensemble de règles à appliquer, toujours modifiables ou adaptables ultérieurement par les responsables de la sécurité.
2.3 Techniques de contrôle d’accès 33 Un pare-feu peut se présenter simplement sous forme d’un programme ins- tallé sur une machine personnelle et ne s’occupant que du trafic la traversant23. La zone à protéger se réduit alors à cette seule machine. Le plus souvent on trouve au contraire les logiciels pare-feux installés sur des équipements dédiées au réseau, en général des routeurs, et protégeant ainsi de larges pans d’un réseau intérieur. Par métonymie, on appelle ces équipements pare-feux. D’ailleurs, ils ne contiennent pas en général seulement des programmes de pare-feux. Il peut s’y trouver également un programme assurant la translation d’adresses du réseau intérieur, si celles-ci sont privées, en adresses publiques (en anglais Network Ad- dress Translation ou NAT), un programme de routage, un programme de mise en place de réseaux privés virtuels (en anglais Virtual Private LAN ou VPN) si le réseau intérieur doit être déployé sur plusieurs sites de l’entreprise ou de l’institution qui sont éloignés les uns des autres, etc.
Les règles de filtrage sont un élément essentiel de la politique de sécurité d’un réseau. Elles permettent de limiter l’accès de l’intérieur vers l’extérieur et vice versa. Dans certains cas elles peuvent même permettre de limiter l’accès à une seule partie du réseau intérieur. On peut utiliser plusieurs critères de filtrage selon :
– les adresses IP source et/ou destination,
– l’interface du pare-feu où le flux est reçu (intérieure ou extérieure), – le type de services c.-à-d. protocoles de la couche application par examen
des numéros de ports des messages TCP ou UDP, – les types de messages ICMP,
– l’utilisateur qui est à l’origine du flux, etc.
Les garde-barrières les plus simples appliquent un modèle markovien du tra- fic. Ils considèrent chaque message comme indépendant du reste du flux. On parle de pare-feux sans états (en anglais stateless firewall). Chaque règle prend donc la forme d’une suite de conditions basées sur un ou plusieurs des cri- tères ci-dessus suivi de l’action qui devra être appliquée aux paquets vérifiant toutes ces conditions. Typiquement les actions sont : Aucune, qui sert simple- ment à noter le passage du paquet ; Passer24, qui laisse passer le paquet sans autres traitement ; Bloquer, qui interdit le passage du paquet ; Réinitialiser, qui non seulement interdit le passage du paquet mais envoie de plus un message TCP/IP à sa source. Pour chaque paquet qui tente de traverser le pare-feu, la liste des règles est examinée et l’examen se termine à la rencontre de la première règle applicable. En fin de liste (c.-à-d. lorsqu’aucune règle applicable n’a été rencontrée) on applique implicitement l’une des deux actions Passer, c.-à-d. que tout ce qui n’est pas interdit est permis, ou Bloquer, c.-à-d. tout ce qui n’est pas permis est interdit. Naturellement le comportement de chaque type de pare-feux peut s’écarter plus ou moins du comportement ainsi décrit et il importe de ce reporter aux manuels pour les détails.
Pour donner de la fluidité au trafic et au même temps analyser plus pro- fondément sa constitution, certains garde-barrières utilisent un modèle moins
23. C’est le cas des pare-feux intégrés dans certaines distributions de systèmes d’exploitation ou de logiciels spécialisés tels que ZoneAlarme.
24. En ce qui concerne l’action Passer, un certains nombres d’options permettent une col- lecte plus ou moins complète des éléments de ce paquet. Les données ainsi recueillies pourront faire ultérieurement l’objet de traitement, par exemple une étude de volumétrie, par exemple encore l’analyse de certaines attaques en vue d’en éviter la reproduction de type déni de service.
simpliste du trafic. On les appellent pare-feux à états (en anglais stateful fi- rewall) en prenant en compte la logique de succession des différents messages d’un protocole donné, ils organisent un droit de suite laissant par exemple pas- ser les réponses à un message dont ils ont choisi de laisser passer la demande. Cette examen peut être fait par exemple pour des protocoles de signalisation IP (ICMP) ou des protocoles de transport (TCP ou UDP).
Les pare-feux peuvent contenir une liste de contrôle d’accès (en anglais Acces Cntrol List ou ACL) où sont précisés les droits d’accès des clients à certains fichiers. D’autres ACLs décrivent aussi les ports et les adresses des réseaux ou des machines autorisés et interdits par le filtrage.