Garde-barrières

This website is not maintained anymore.
Some good links:

Garde-barrières

Description du problème

Le mieux est de protéger des réseaux d'entreprise à l'aide de garde-barrières. Il s'agit d'une technique servant à protéger du monde extérieur dangereux certaines parties d'un réseau interne, et à laisser passer uniquement le trafic de réseau nécessaire à la communication avec le monde extérieur.

Les garde-barrières ne remplacent pas les autres techniques de protection, ils apportent uniquement une protection supplémentaire en protégeant des possibilités internet entre le monde extérieur et un réseau interne. La plupart des problèmes de protection se présentent à l'intérieur d'une entreprise/institution/université, un garde-barrière ne protège pas de ce problème (à l'exception quend il y en a aussi des internes) . Mise à part l'utilisation d'un garde-barrière il faudra donc continuer à attacher de l'importance à la protection interne du réseau et à la protection des postes de travail individuels.

Des garde-barrières peuvent être installés à différents niveaux, p.e.

Une institution désire uniquement échanger DNS, E-mail et trafic du net avec le monde extérieur: le garde-barrière placé entre Internet et l'intranet local de l'institution tolère uniquement le DNS, les messages E-mail et le trafic du net.
Sur l'intranet de l'institution il est possible d'utiliser tous les autres services du net tels que telnet, ftp, X, etc.
Les ordinateurs de l'institution sur lesquels se produisent par exemple la gestion du personnel et l'administration des salaires peuvent être davantage protégés à l'aide d'un deuxième garde-barrière, afin que par exemple uniquement:
- des sessions ssh encryptées depuis des machines des administrateurs de système
- l'accès à la porte IP du système de banque de données depuis les ordinateurs du service du personnel
soient possibles.

Ces mesures sont nécessaires, mais elles ne suffisent pas: ainsi, par exemple, une personne pourrait envoyer un virus contenu dans un attachement d'un message vers un membre du service du personnel, et ce virus permet de prendre le contrôle de l'ordinateur personnel; de cette façon le pirate peut quand même s'introduire dans le système du personnel.
A part la protection du trafic de réseau à l'aide d'un garde-barrière, il faut donc prendre ici des mesures supplémentaires afin de protéger des postes de travail individuels.

Lors de l'installation de garde-barrières il est possible de raisonner de deux façons:

Empêcher tout le trafic, excepté ce qui est absolument indispensable.
Permettre tout le trafic, excepté ce qu'on veut empêcher explicitement.

Dans les deux cas, mais surtout dans le deuxième cas, il faut être et rester au courant des possibles dangers concernant la protection des réseaux et des ordinateurs.

Bien que l'intention première d'un garde-barrière soit de protéger un réseau, les garde-barrières peuvent encore être utilisés à d'autres fins:

Bloquer l'accès (d'utilisateurs internes) à certains sites (externes): un ISP peut bloquer par exemple l'accès à des sites du net externes contenant des informations illégales en empêchant dans le garde-barrière le trafic TCP vers la porte du net (généralement la porte 80).
La vérification de l'utilisation Internet locale, p.e. quels sites du net sont visités par des utilisateurs locaux ? (Du moment que c'est permis, voir privacy).
Le Login de la totalité du trafic Internet ou du trafic suspect, de préférence à l'aide d'une connexion vers un système warning qui prévient les responsables lors de tentatives d'abus de tous genres.
Ces systèmes d'avertissement (warning) peuvent être très simples (il peut s'agir p.e. d'un avertissement lorsque on tente une session telnet vers un hôte pour lequel ce n'est pas permis), ou ils peuvent être très complexes (p.e. avec des des techniques de reconnaissance de modèles), dans ce cas on parle de (Network) Intrusion Detection Systems.
Le cryptage de données, p.e. entre différentes succursales d'une entreprise lorsque ces succursales sont reliées entre elles par voie de l'Internet public (on parle aussi de VPN (Virtual Private Network)).
NAT (Network Address Translator) sert à combler le manque d'adresses IP officielles pour le soutien du réseau interne dans sa totalité.
Certains garde-barrières permettent le Content-filtering au niveau de l'application, par exemple la vérification, pour ce qui est de spam ou de virus, des messages E-mail reçus.
Une authentication forte pour p.e. des utilisateurs dial-in

D'autres sortes de garde-barrières (application-level proxy firewalls) ne permettent absolument pas de trafic direct entre un Intranet et l'Internet universel: des applications Internet lancées depuis l'Intranet sont alors uniquement possibles par l'utilisation de clients spécifiques, pour lesquels se produit une sorte d'étape intermédiaire dans le garde-barrière (des demandes pour FTP, telnet, net, ... sont interceptées dans le garde-barrière et puis expédiées vers le monde extérieur; pour le monde extérieur les demandes viennent alors du garde-barrière de manière que pour le monde extérieur le réseau interne n'est pas visible).

Des techniques de garde-barrières peuvent être installées de différentes manières:

Dans des routeurs
Sur des serveurs fabriquées soi-même (Unix, NT, ...)
Par voie de 'véritables' machines garde-barrière

Des attaques au niveau du réseau comme le IP spoofing, le source rooting, le TCP SYN Flood, le Ping of Death et d'autres attaques du même genre ne peuvent pas être arrêtées par des routeurs vu qu'il faut garder un état des connexions pour pouvoir le faire. Ce genre d'attaques peut donc uniquement être stoppé par de véritables garde-barrières (stateful packet filtering firewalls).

Ce qui importe également est que tout le trafic qu'on souhaite protéger passe par le garde-barrière; à part l'accès principal à Internet il peut y avoir en effet d'autres accès pour le trafic Internet (des lignes dial-up (aussi bien les entrées que les sorties), des lignes individuelles de certaines sections,...). Soit ce trafic doit également passer par le garde-barrière, soit il est possible de mettre sur ces portes d'accès d'autres systèmes de garde-barrière.

Pour de plus amples informations concernant les possibilités de garde-barrières et leur installation correcte on vous renvoie aux références suivantes:

Livres
Sites du web
- http://www.thegild.com/firewall/ Firewall Product Overview
- http://webopedia.internet.com/TERM/f/firewall.html
- http://www.reactnetwork.com/rsds.html RealSecure Intrusion Detection
- http://www.ticm.com/kb/faq/idsfaq.html (Network) Intrusion Detection Systems FAQ.
- http://www.cs.purdue.edu/coast/ids/ Overview of Intrusion Detection Systems
- http://www.manos.com/sec_links.html#ids Another overview of Intrusion Detection Systems
- voorbeeld van een "network security policy"
- http://www.linux-firewall-tools.com/linux/ Linux Firewall and Security Site
- http://www.firewall-net.com/index.en.php Firewall.net
- Search for new pages (max 3 months old) about this subject with google!
Garde-barrières et port-watchers pour des ordinateurs personels

Partie juridique sur les ISP

The PISA-project is financed by the OSTC, Belgian Federal Office for Scientific, Technical and Cultural Affairs (DWTC - SSTC).
Project description of PISA

URL: http://pisa.belnet.be/pisa/pisa.htm

PISA Home Page