Une ligne de défense du 21e siècle



A) Introduction

Québec, hiver 1682. En une seule nuit, 55 maisons sur 85 vont brûler à la Place Royale qui regroupe encore la poigné de gens habitant le nouveau continent. Par la suite, des règles strictes sur la construction des bâtiments vont être appliquées. Murs tout en pierres, bardeaux de cèdre interdits, mais surtout, il devient obligatoire d'ériger des murs qui montent plus haut que les toits entre chaque maison pour éviter que le feu puisse se propager d'un toit à l'autre. Ces murs mitoyens s'appellent: Murs coupe-feu (firewall). À cette époque, le feu était un danger omniprésent. De nos jours, nos préoccupations ont bien changé. Il est maintenant plus probable de voir son ordinateur recevoir des messages indésirables que de voir sa maison brûler et ce, surtout si votre ordinateur n'est pas protégé par un firewall (coupe-feu, pare-feu).

Bref historique :

•Au début des années 90, la popularité d’Internet progresse et le besoin de sécurité augmente.
•Les firewalls sont seulement sur les serveurs.
•1997 : Les pare-feu peuvent être achetés par tous les utilisateurs d’ordinateurs personnels.
•1999 : Le code source pour les firewalls devient accessible au public.
•2001 : On installe des coupe-feu intégrés dans certains systèmes portables.
•2004 : Toute personne ayant un ordinateur devrait être protégée par un firewall... et plus!

Description :

Un firewall n’est pas un mur bloquant totalement notre ordinateur du monde extérieur, mais plutôt un filtre le protégeant (ou un réseau local d’ordinateurs) contre des envahisseurs comme les hackers, les worms, le cheval de Troie et certains virus. De plus, il empêche votre ordinateur, s’il est déjà infecté, d’envahir d’autres ordinateurs. Le firewall peut être situé à la sortie de votre ordinateur (il contrôle donc ce qui entre et sort de votre ordinateur) ou il peut aussi être à la sortie d'un réseau local (plusieurs ordinateurs ex: dans une compagnie). Dans ce dernier cas, le pare-feu suivra les règles établies par la compagnie et non celles de chaque utilisateur de la compagnie. Le firewall peut agir de plusieurs façons. D’abord, il peut agir comme un filtre. L’information qui voyage sur Internet est sous forme de paquets qui contiennent plusieurs informations sur leur nature et leur provenance. Ici, le coupe-feu agira sur le protocole (ensemble de règle) et l’adresse. Ce qui est à l’intérieur du paquet reste inconnu! Il permettra le passage d’information ou la bloquera selon le protocole et l’adresse. Deuxièmement, il agit comme un relais de circuit. Ici, c’est le firewall qui décide, avant même que l’information soit échangée, si la connexion sera faite entre l’envoyeur et le receveur. Il fait son choix selon les adresses, le protocole, l’heure de la journée et l’utilisateur. Finalement, un firewall peut devenir un port (porte d’entrée). Ce type est plus complexe. Il laisse passer le trafic selon des règles strictes : permettre l’accès à seulement certains serveurs, limiter l’accès des types de fichiers particuliers, permettre à des utilisateurs authentifiés d’avoir accès à plus d’information (un peu comme quand nous utilisons les ordinateurs à l’université).


B) Exemples du concept

Firewall avec routeur de filtrage :

C’est la solution firewall la plus simple, la moins dispendieuse, mais aussi la moins sécuritaire. L'image suivante illustre cette solution appelée firewall avec routeur de filtrage.
http://www.firewall-net.com/images/faq_routeurfiltrage.jpg
firewall avec routeur de filtrage

Les deux réseaux sont interconnectés et on ajoute une machine qui servira à autoriser ou interdire les requêtes. Les machines situées dans le réseau destiné à être protégé feront passer toutes leurs requêtes par ce firewall. Les autorisations sont basées sur les adresses IP et les numéros de port, qui représentent les numéros d’identification de chacun des ordinateurs. On appelle ce principe un routeur de filtrage.
Puisque c’est une solution très peu sécuritaire, on ne peut utiliser ce routeur, car une fois qu’il a été contourné par une personne, tout le réseau et tous les ordinateurs sont ouverts, c’est-à-dire que la personne a accès à tous les ordinateurs.

Passerelle double- le réseau bastion

Il existe une autre possibilité permettant de réaliser un firewall d'application à peu de frais. C'est la passerelle double. Comme son nom l'indique, il s'agit d'un ordinateur inclus à la fois dans les deux réseaux Internet et Intranet. Cette machine doit être équipée de deux cartes réseau.

La passerelle double n'autorise aucun trafic IP entre les réseaux, c’est-à-dire aucune entrée ou sortie d’ordinateurs non autorisées dans le réseau bastion (le réseau bastion est un ordinateur qui contrôle l’autorisation ou les accès au réseau local des autres ordinateurs). Voici une image qui vous aidera à comprendre davantage le principe de configuration avec un réseau bastion :
La passerelle double est la possibilité la plus simple pour réaliser un firewall d'application n'autorisant aucun trafic IP entre les réseaux

Ce réseau contrôle tous les services accessibles de l'extérieur comme de l'intérieur du réseau interne tels que les serveurs Web, FTP et Mail. Un " Serveur Proxy " supplémentaire est également configuré pour permettre aux utilisateurs du réseau interne d'accéder à Internet. Le nom "réseau bastion" découle des mesures particulières de protection qui sont prises en prévision de possibles intrusions. On a donc besoin d’un « Serveur Proxy », qui est presque toujours une version allégée des serveurs concernés. Autrement dit, un Proxy HTTP est une version légère d’un serveur Web.

En résumé, on appelle ce type de firewall une passerelle double.

Firewall avec réseau de filtrage

La combinaison des deux méthodes est ici plus sûre et efficace. Au niveau du réseau, un routeur sous écran est configuré de façon à n'autoriser les accès de l'extérieur et de l'intérieur que par l'intermédiaire du réseau bastion sur lequel fonctionnent tous les serveurs assurant les serveurs Internet. Cette possibilité est appelée Firewall avec réseau de filtrage. L'image suivante illustre bien cette solution :
Firewall avec réseau de filtrage dans lequel seul les accès au réseau bastion sont autorisés

Pour la grande majorité des entreprises, cette solution est sûre et abordable, car les prestataires Internet assurent la seconde partie de la protection à l'autre bout de la ligne. En effet, votre entreprise est également connectée à un routeur, et le trafic de données est réglé par un serveur Proxy au niveau de la couche application. Les pirates doivent par conséquent franchir deux obstacles. C’est pourquoi on appelle ce système de protection : Firewall avec réseau de filtrage

Le firewall avec sous-réseau de filtrage est un autre exemple, mais il n’est plus nécessaire d’en rajouter puisqu’il n’y a pas un meilleur firewall que les autres, mais plusieurs types sont efficaces tout dépendant de la protection que l’on a besoin.


C) Limites et enjeux sociaux, politique et économique

• De plus en plus, les diverses institutions utilisent les voies électroniques pour communiquer puisqu’elles leur permettent de consulter beaucoup plus de données. Cependant, en augmentant la quantité de renseignements sur leur réseau informatique, ils augmentent les chances de perte, de modification ou de destruction de ces renseignements. La bonne gestion de l’information est donc primordiale, d’où l’utilisation de coupe-feu.

• Les coupe-feu tentent de protéger les renseignements personnels en limitant l’accès à des renseignements particuliers que seul certaines personnes ont besoin de connaître. D’un autre côté, ils constituent une menace à la protection de ces renseignements personnels. Puisque ce sont des systèmes de surveillance, les coupe-feu laissent parfois des pistes d’informations sur les personnes qui ont utilisé des systèmes pour consulter des bases de données. Ces pistes peuvent porter atteinte aux droits des employés et des citoyens qui utilisent ces services (base de données par exemple).

• Il arrive parfois que les coupe-feu empêchent deux ministères d’utiliser une base de données commune, mais que ce même mur ne soit pas là entre le ministère et le public.

• Les coupe-feu ne sont pas infaillibles. Même s’ils permettent de protéger l’accès à votre ordinateur, il arrive parfois que certains trouvent le moyen de s’y introduire et de créer des dommages importants. Les coupe-feu peuvent même être détruits, permettant ainsi l’accès à tous. Ce risque concerne notamment l’utilisation par autrui de données confidentielles.

• Dans certaines entreprises, les outils tels que les bornes Internet autonomes, les fax et les téléphones peuvent créer des ponts entre eux et l’environnement extérieur que les coupe-feu ne peuvent pas protéger. Il existe également des communications que les coupe-feu ne peuvent pas contrôler. Par exemple, certains sont inaptes à contrôler les tunnels, c'est-à-dire les dispositifs exploités pour activer des chevaux de Troie : des dangers que d’autres outils de sécurité pourraient contribuer à palier.

• Les coupe-feu réseau ont certaines limites, c’est pourquoi on les combine souvent aux coupe-feu applicatif.

• Certaines compagnies intègrent un anti-virus à leur coupe-feu, assurant ainsi le filtrage des virus. Par contre, comme il existe plusieurs manières pour encoder un fichier et que la liste de virus augmente de jour en jour, il devient difficile pour les coupe-feu de tout contrôler, même si les informations viennent d’un lieu ou d’une personne connu. Un coupe-feu ne remplacera donc jamais un anti-virus.

• Les différentes compagnies font beaucoup de publicité pour tenter de nous vendre leurs produits. Souvent, elles nous poussent à acheter ce qu’il y a de mieux et de plus cher, mais dans le cas des coupe-feu, les plus dispendieux ne sont pas nécessairement les meilleurs. Il faut tenir compte de nos besoins (types de protections, niveau d’efficacité de détection, facilité d’utilisation, prix…) afin de se procurer un produit ajusté à nos utilisations (contrôle parentale, filtrage d’URL).

• Il n’y a pas de normes jusqu’à maintenant sur l’utilisation des coupe-feu. C’est pourquoi des organisme aussi important que le gouvernement par exemple ne sont pas tenus de s’en procurer.



D) Intégrations possibles

En ce qui concerne les applications des firewalls dans une classe, il est certain que nous ne pouvons pas passer à côté du fait que plusieurs sites Internet ne sont pas approprié pour des jeunes du secondaire, notamment les sites à connotation sexuelle ou les sites de violence extrême. Bien qu’il soit impossible de bloquer l’accès de toutes ces pages Web, il est tout de même possible d’en arrêter une bonne partie avec l’aide du firewall approprié.


De plus, puisque nous sommes entrés dans l’ère de l’informatique et de l’Internet et que la plupart des jeunes de nos jours sont très à l’aise avec cette technologie, il serait intéressant de monter une activité avec les élèves de secondaire 3,4 ou 5 pour qu’ils cherchent par eux-mêmes ce qu’est un firewall et qu’ils comprennent le fonctionnement et l’importance de celui-ci. Cette activité en équipe leur permettrait d’acquérir plusieurs compétences transversales en lien avec le nouveau programme de la réforme, tel que coopérer, développer leur jugement critique face à certains sites qui se contredisent, intégrer les technologies de l’information et de la communication (TIC) et plusieurs autres. À la toute fin, il serait possible de leur faire configurer un firewall de manière à ce qu’ils puissent bloquer les adresses indésirables sous forme de jeux de rôles. L’élève reçoit, par exemple, le titre de président d’une compagnie et doit configurer le firewall de manière à créer un réseau entre les ordinateurs de la compagnie et l’ordinateur central et couper les entrées indésirables.


E) Conclusion

Pour conclure, le firewall est un outil dont l’utilisation comporte énormément d’avantages en terme de sécurité pour les ordinateurs. Cependant il n’est pas infaillible. En effet, il ne peut pas prendre à lui seul la charge de protéger contre tous les problèmes qui peuvent survenir, puisqu’il faut être conscient que c’est son utilisateur qui décidera du contenu que son firewall ne laissera pas passer. De plus, comme les murs coupe-feu du 17e siècle n’auraient pas arrêté un feu à eux seuls, nos firewalls informatiques ne son pas suffisant pour protéger adéquatement nos ordinateurs. Le firewall doit donc être combiné à d’autres programmes, comme un anti-virus, pour assurer une meilleure protection.

Exemples de Firewall

Pour Windows
Pour Linux
Pour Mac

Médiagraphie

http://www.firewall-net.com/
http://www.canada.gc.ca
http://www.hsc.fr/ressources/presentations/infosec99/infosec99002.html.en
http://www.personalfirewallday.org/
http://www.pc-help.org/www.nwinternet.com/pchelp/security/firewalls.htm

---

QuiAfaitQuoi?
Retour à ConceptsElabores