Avec la croissance explosive d'Internet et la nouvelle tendance connue communément par « always-on connectivity », la sécurité informatique devient de plus en plus importante pour les entreprises et les organisations qui ne cessent de stocker et de transférer un tas immense de données critiques à travers leurs réseaux locaux ou étendus. Même ces organisations qui n'ont pas de secrets spécifiques, constituent une cible potentielle pour plusieurs types d'attaques qui peuvent aboutir à une perte considérable de données ou de services. Plusieurs études ont montré que ces entreprises - face au nombre croissant de défis concernant la sécurité de leurs réseaux et systèmes d'information - vont vers l'allure d'utiliser la technologie des firewalls comme première mesure pour la protection contre ce nombre important d'attaques qui visent généralement à divulguer des informations sensibles, utiliser les services du réseau privé de l'organisation, ou conduire ce dernier à un état de déni de service.

1- Qu'est ce qu'un Firewall ?

La technologie des Firewalls repose essentiellement sur l'utilisation d'équipements matériels et/ou logiciels pour contrôler le flux d'information qui circule entre deux réseaux, éventuellement entre le réseau local de l'entreprise et Internet. Ils peuvent être considérés comme point de contrôle servant à examiner le trafic de données autorisé à passer du/vers le réseau local, et rejeter celui qui est indésirable, et ceci, conformément à une politique de sécurité qui doit être défini au préalable, suivant les critères fonctionnels et sécuritaires liés à chaque institution.

Deux grandes catégories de firewalls peuvent être distinguées :

• Les Firewalls individuels : qui sont sous forme de logiciels installés lorsqu'il s'agit de protéger des postes de travail d'une façon individuelle. Cette solution présente l'avantage que le logiciel fonctionne en relation très étroite avec le système d'exploitation et peut ainsi bloquer à la source les programmes qui tenteraient d'effectuer des connections illicites avec Internet, de plus, ces Firewalls intègrent généralement, des antivirus offrant une bonne protection contre les programmes malicieux tel que, les virus, chevaux de Troie et certains contrôles comme les contrôles ActiveX®. Cependant, ce type présente un inconvénient majeur lié à sa dépendance aux systèmes d'exploitations, ce qui limite considérablement le choix aux administrateurs dans le cas des systèmes les moins répandus.

• Les Firewalls réseaux : Les Firewalls de cette catégorie présentent l'avantage de pouvoir protéger de nombreux ordinateurs à la fois et d'être indépendant des systèmes d'exploitation. Ils sont installés généralement sur des plate-formes matérielles spécialisés ou des systèmes d'exploitation limités, sur lesquels seuls les services nécessaires sont installés. Les Firewalls réseau sont malheureusement très complexes à configurer, à cause des particularités présentées par chaque réseau, par ailleurs, ils coûtent généralement très cher et peuvent aller jusqu'à 30000 ' pour certains.

2- Types de plateformes Firewall :

Plusieurs types d'architectures Firewall sont actuellement proposés, la référence au modèle OSI (Open System Interconnect) constitue la méthode de base employée pour comparer les capacités offertes par chaque plateforme.

• 2.1 Packet filter firewalls
  Ce type est le plus fondamental des Firewalls. Les « packet filter firewalls » sont généralement des dispositifs qui incluent des fonctionnalités de contrôle d'accès pour les adresses et les sessions de communication, ces fonctionnalités sont régies par des directives appelés règles de filtrage. Dans leur forme de base, les Firewalls à filtrage de paquets opèrent sur la couche 3 (réseau) du modèle OSI. Leur fonctionnalité est désignée pour fournir un contrôle d'accès basé sur plusieurs critères entre-autres : L'adresse IP de l'expéditeur, l'adresse IP du destinataire et le type du protocole utilisé pour la transmission (TCP, UDP, IP ou ICMP). Quelques caractéristiques de la couche transport peuvent être également utilisés tel que les ports source et destination des paquets analysés. Les Firewalls à filtrage de paquets sont en général déployés sur des infrastructure réseau TCP/IP, cependant, ils peuvent très bien être déployés sur n'importe quel infrastructure fondée sur l'adressage au niveau de la couche 3 du modèle OSI, on peut citer par exemple, les réseaux du type IPX ( Novell Netware). Les atouts des Firewalls à filtrage de paquets se résument essentiellement en la vitesse et la flexibilité. Puisque ce type de Firewalls n'examine pas le trafic de données lié aux niveaux supérieurs à la couche 3, ils peuvent opérer très rapidement. De même, sachant que la plus part des protocoles réseaux modernes peuvent être adaptés sur les 3 premières couches du modèle OSI, les Firewalls à filtrage de paquets peuvent être utilisés pour sécuriser pratiquement n'importe quel type de communication ou de protocoles réseaux, c'est cette simplicité qui leurs permet d'être adapté à la plus part des infrastructure réseau d'entreprises. Une caractéristique également importante dans les filtres de paquets, est que leurs vitesse et flexibilité ainsi que leurs possibilité de bloquer plusieurs types d'attaques tel que les attaques de type DDOS ( Destributed Denial of Service ) les rend idéaux pour être placé à la frontière externe des réseau privé que l'on veut protéger, il sont dès lors appelé « boundary routers ».
  
  Inconvénients associés aux packet filter Firewalls

  - Comme ce type de Firewalls n'examine pas les données liées aux niveaux de couches supérieures, ils ne permettent pas de prévenir les attaques qui utilisent les vulnérabilités et les fonctionnalités associées aux applications. Par exemple, ils ne peuvent pas aller jusqu'à bloquer certaines commandes spécifiques d'une application, une fois cette dernière est autorisée à agir par le Firewall. Un «hacker» peut donc cacher des commandes ou des données malicieuses (malicious code) dans les entêtes non examinés des paquets filtrés ou dans leurs parties réservées aux données (Data Payload). Ce genre d'attaques devient de plus en plus utilisé, et est appelé par « Covert Channel Attacks ».

  - De plus, les « packet filter firewalls » ne permettent pas la mise en oeuvre des schémas d'authentification avancés, ils se limitent à l'authentification en utilisant les adresses de la couche réseau, ce qui n'est pas suffisant et pourrait être facilement détourné par les attaques du type « IP spoofing » dans le cas d'une infrastructure TCP/IP.

  - Un autre Inconvénient qui semble également important, et que la configuration de ce genre de Firewall peut être très difficile. Sachant que les règles sont examinées par le Firewall dans un ordre séquentiel, la définition de l'ordre approprié de ces règles peut devenir très complexe dans le cas de réseaux importants, et nécessite un grand nombre d'essai avants le déploiement final du Firewall sur le réseau.

• 2.2 Session level Firewalls

  Les Firewalls de type session level sont plus évolués, ils ne se contentent pas de contrôler l'entête de chaque paquet de données, mais surveillent l'ensemble de la séquence de paquets. L'établissement et la rupture de connexion sont surveillés, ce qui permet de rejeter les paquets de données IP illicites. Un Firewall de niveau session permet par exemple d'identifier des tentatives répétées de connexions, ainsi que des essais de scanning, pour pouvoir les bloquer. Par ailleurs, il a la possibilité, grâce à la surveillance de session d'identifier les détournements de connexions IP (IP-hijacking ).

  Avantages et inconvénients des Session level Firewalls
  - Le contrôle au niveau session offre une protection de plus performante que le seul filtrage de paquets et est donc judicieux.
  - Malheureusement seules quelques fonctions sont généralement implémentées et il n'existe actuellement aucun équipement de ce type qui utilise toutes les possibilités de protection.

• 2.3 Stateful inspection Firewalls

  La technique de stateful inspection prend en compte l'état courant des connections établies, lors de l'analyse des paquets de données. Elle a été développée par Checkpoint,et ajoute à un session level Firewall plusieurs fonctions permettant d'analyser la structure des paquets, ainsi que d'identifier les attaques portée au moment de l'établissement de la connexion. Ce type de Firewalls a évolué en allant du besoin de satisfaire certaines caractéristiques du protocole TCP qui ont rendu difficile le déploiement des Firewalls classiques sur les infrastructures TCP/IP. En effet, quand une application TCP (orientée connexion) crée une session avec un hôte d'un système distant, un port est également loué au niveau du système expéditeur pour recevoir le trafic réseau envoyé par le système destinataire. Suivant le protocole TCP, ce port source au niveau du client sera d'un numéro supérieur à 1023 et inférieur à 16384, tandis que le port de l'hôte destinataire sera fort probablement d'un numéro inférieur à 1023 (25 pour le service SMTP, 80 pour HTTP, etc'). Une fois installés, les Firewalls classiques doivent donc permettre à tous le trafic réseau arrivant par un port d'un numéro supérieur à 1023 de passer, afin de permettre à de tels applications de s'exécuter correctement, cependant l'ouverture de ce nombre important de port augmente considérablement le risque d'intrusion dans le réseau privée. Le stateful inspection Firewall permet de résoudre le problème en utilisant une table d'état (state table) contenant la deion de toutes les connections établies ainsi que les numéros de port correspondants, cette table est par la suite employée pour valider l'utilisation des règles de filtrage au moment de l'analyse des paquets du trafic entrant au réseau privé.

  Avantages et inconvénientsdes Stateful inspection Firewalls
  - Malgré que les « stateful inspection Firewalls » ont donnée un niveau de sécurité plus élevé que les Firewalls de base classique, en considérant d'autres aspects de la couche transport du modèle OSI, ils ont hérité en même temps plusieurs faiblesses connues dans les types antécédents, notamment ceux liées à la rapidité de traitement et la vulnérabilités aux plusieurs types d'attaque tel que les « covert channel attacks » .

• 2.4 Application-level gateway Firewalls

  Les « Application-level gateway Firewalls » sont des Firewalls plus avancée qui combinent entre l'analyse des données liées aux couches de bas niveau, et les fonctionnalités de traitement de donnée au niveau application du model OSI. Par conséquent ce type ne surveille pas seulement les adresses IP et les ports dans les entêtes des paquets de données mais également leurs contenus. C'est ainsi qu'un application-level Firewall peut vérifier si une transmission réalisé sur le port 80 ( http selon le fichier services ) transporte effectivement des paquets suivant le protocole et non des données transmises par exemple par un cheval de Troie, en particulier les données stockées dans l'une des machines du réseau privé. Le contrôle est souvent réalisé de la manière suivante : la connexion n'est pas établie directement entre les ordinateurs source et cibles, mais utilise le Firewall comme intermédiaire. C'est ainsi qu'une demande arrivant d'Internet par exemple est traitée par le Firewall qui répond à la place de l'ordinateur cible, puis transmise ultérieurement à l'ordinateur approprié du réseau privé. C'est pour cette raison que ce type de Firewall est désigné par gateway ou proxy « passerelle». Dans le cas d'une passerelle de messagerie, les messages ne sont pas transmis directement à partir de l'expéditeur sur Internet vers le serveur de messagerie cible du réseau d'entreprise, mais le Firewall prend en charge le courrier et l'enregistre. Ce n'est que lorsque le message a été intégralement reçu et analysé que le Firewall établi une connexion vers le serveur de messagerie cible et transmet le message. De cette manière les attaques visant le port 25 des serveurs de messagerie ne seront plus possibles.

  Avantages et inconvénients de Application-level gateway Firewalls
  - Les Firewalls du type application-level gateway ont plusieurs avantages comparés aux autres types cités auparavant. En effet, ce type a une fonctionnalité plus extensive quant aux informations pouvant être enregistrés au niveau du fichier log du Firewall. Cette capacité est due au fait que le Firewall peut analyser l'intégrité du paquet et donc extraire toutes les informations liées à ce dernier et aux données qu'il transporte, cette fonctionnalité est très importante pour les administrateur du réseau protégé qui bénéficieront d'une meilleur capacité d'analyse en utilisant les fichier log du Firewall. L'autre avantage est que ce type permet aux administrateurs de renforcer le contrôle d'accès, en exigeant n'importe quel schéma d'authentification jugé adéquat pour l'architecture réseau de l'entreprise, par conséquent, l'authentification des utilisateurs peut prendre plusieurs formes :
  * Authentification basée sur les noms d'utilisateurs et les mots de passe.
  * Authentification basée sur les techniques des jetons matériels ou logiciels.
  * Utilisation des adresses réseau (couche 3 du modèle OSI).
  * Authentification biométrique.

  Ce renforcement au niveau du schéma d'authentification diminue considérablement la vulnérabilité de tels Firewalls aux attaques du type « Adress spoofing ». Cependant, deux problèmes principaux sont posés par les firewalls de type application-level gateway :

  * D'abord ces Firewalls ont une grande limitation concernant la base de connaissance sur les protocoles et les nouvelles applications réseau. Ce qui oblige les constructeur à fournir des agents proxy générique pour supporter les trafics indéfinis au niveau du Firewall, mais ces agents génériques ont tendance à diminuer considérablement la puissance de l'architecture « Application-level gateway » et ils servent simplement a assurer une opération de « tunneling » à travers le Firewall.
  * De plus, la lenteur du traitement due a l'analyse de la totalité du paquet, rend ce type de Firewall non convenable pour les applications utilisant une grande bande passante ou les applications à temps réel tel que les visio-conférences.

• 2.5 Firewalls hybrides
  Les avancées récentes dans le domaine d'ingénierie d'architectures réseau et de sécurité informatique ont incité les constructeurs des technologies Firewall pour intégrer dans leurs produits plusieurs fonctionnalités caractérisant des différentes classes de plate-forme Firewalls, par exemple plusieurs vendeurs des Firewalls de type applicationlevel gateway ont implémenté au sein de leur produit des filtres de paquet de base pour avoir une meilleure prise en charge des applications basées sur UDP (user datagramme). Actuellement, presque tous les constructeurs introduisent l'hybridation dans leurs produits, ce qui complique la matière de décider quel est le Firewall le plus convenable pour une application ou une infrastructure donnée. L'hybridation des plate-formes a rendu la phase d'évaluation du Firewall avant l'achat très importante, et par conséquent, c'est l'ensemble des caractéristiques supportées par le produit évalué qui doit conduire les décideurs à choisir entre tel ou tel Firewall plutôt que sa classe d'architecture.

3- Environnement des Firewalls :

On sous-entend par l'environnement du Firewall, l'ensemble des composants et systèmes impliqués pour lui permettre d'assurer la totalité de ses fonctionnalités en un point particulier du réseau. Un simple environnement peut donc consister en un seul « packet filter firewall »,tandis que dans un environnement plus complexe et sécurisé, il peut consister en plusieurs Firewalls, passerelles et topologies spécifiques pour prendre en charge ces systèmes et leur sécurité. Cette section donne un bref aperçu sur les systèmes et les architectures réseau utilisées dans les environnements Firewall les plus répandu.

• 3.1 Réseaux avec DMZ:
  La méthode la plus employée pour implanter un environnement Firewall est connue par DMZ networks (DeMeliterized Zone networks) ou les réseaux avec zone démilitarisée. Une zone démilitarisée est crée dans un réseau contenant deux Firewalls ou plus et sert comme point d'attachement entre les composants et les ressources ayant besoin d'être accessible de l'intérieur ou de l'extérieur mais ne devant pas être installé à l'intérieur du réseau protégé, on peut citer par exemple les serveur WEB, DNS ou les passerelles de messagerie.
  Une organisation peut, par exemple, mettre en oeuvre un Firewall externe habituellement sous la forme d'un routeur (boundary router), en plus de deux autres Firewalls internes, et placer les serveur accessibles de l'extérieur (http, ftp,') dans la zone démilitarisée externe entre le routeur et le premier Firewall. De cette manière le routeur pourrait filtrer les paquets venant de l'extérieur et ne laisser passer que le trafic autorisé et ayant relation aux serveurs installés, le deuxième Firewall peut en même temps assurer un contrôle d'accès sur ces serveur en plus de leurs protection dans le cas d'éventuelles attaques internes. L'organisation peut également placer les serveurs accessibles seulement de l'intérieur tel qu'un serveur de messagerie interne ou un serveur de fichiers dans la zone démilitarisée interne, entre les deux Firewalls internes qui devront, à ce moment, fournir un contrôle d'accès sur ces serveurs et les protéger contre les attaques externes ou internes, cet environnement est illustrées par la figure 2.3.
  Firewalls à pattes de service: Il est fréquent que l'organisation cherche à protéger, les serveurs d'une même zone démilitarisée, les uns vis a vis des autres, pour éviter que la prise de contrôle d'un serveur n'entraîne nécessairement celle des autres. A cet effet il est habituel de doter le Firewall de plus de deux interfaces réseau, il est ainsi possible de configurer des règles spécifiques pour chaque interface assurant le contrôle de l'accès aux serveurs concernés.
  Dans ce type d'environnements, la configuration du Firewall est beaucoup plus complexe,mais le niveau de sécurité est nettement amélioré. La vitesse d'accès est cependant souvent réduite, en fonction des performances du Firewalls, car un plus grand nombre de règles doivent être traités.

• 3.2 Virtual Private Networks (VPN):
  Les réseaux privés virtuels constituent un autre environnement fréquent pour implanter les Firewalls. Un VPN est un réseau construit sur la base d'un réseau existant en utilisant des protocoles additionnels et éventuellement des mécanismes de cryptage pour l'extension d'un réseau privée protégé. Dans la plus part des cas, les VPNs sont utilisés pour fournir des accès distants sécurisé aux utilisateurs de ce réseau privée via le réseau Internet avec une solution rentable, qui ne nécessite pas le déploiement d'un grand nombre de ressources matérielle ou logicielles.
  
  La technologie des réseaux privés virtuels est souvent utilisée pour créer des réseaux sécurisés entre les différentes agences d'une même organisation, tel qu'illustré dans la figure5 généralement, le solution qui consiste à placer le serveur VPN au niveau du Firewall est la meilleure architecture pour ce type de fonctionnalité. De nombreux Firewalls matériels ou logiciels prennent en charge les réseaux privés virtuels, ce qui permet la réalisation simple et rapide de ce genre d'environnements. C'est ainsi que les Firewalls Cisco PIX® et WatchGuard prennent en charge le VPN et permettent d'établir un accès centralisé au réseau à l'aide des connexions sécurisées. Leur compatibilité avec d'autres systèmes VPN permet de créer des réseaux VPN d'une manière simple, du moment où il n'y a aucune obligation à utiliser le même type d'équipements pour le réseau distant. Cependant, l'inconvénient remarqué dans ce type d'environnement est la surcharge et dégradation de performance du réseau, à cause de la multiplicités des fonctionnalité des VPNs et le tôt important d'informations traités, notamment au moment des opérations du chiffrement et de déchiffrement.

• 3.3 Intrusion Detection Systems : Les autres Firewalls:
  Outre les Firewalls agissant à différents niveaux du modèle OSI pour protéger le réseau contre les accès indésirable à partir d'Internet, il existe une catégorie supplémentaires des programmes de protection : les identificateurs d'intrusion ou « Intrusion Detection Systems (IDS) ». Plusieurs IDSs sont capables d'interagir avec le Firewall afin de fournir un élément réactif assurant les services de sécurité du réseau.
  Les Firewalls qui interagissent avec les IDSs sont capables de répondre immédiatement aux attaques aperçues, en éliminant le délai de temps nécessaire dans le cas de l'intervention humaine. Par exemple, si un IDS détecte une attaque en cours du type Denial-of-service, il peut directement informer le Firewall qui bloquera automatiquement la source de l'attaque (bien que des fausses alertes peuvent être généré par l'IDS).

4- Conclusion :

Les experts de la sécurité informatique ont toujours dit : si vous croyez qu'une technologie donnée peut résoudre le problème de sécurité des réseaux '.vous ne comprenez pas la technologie ' et vous ne comprenez pas le problème. En effet, aucune architecture Firewall ne peut fournir la solution complète aux problèmes liés à la sécurité des réseaux, mais chaqu'une d'elle peut avoir sa place et son rôle dans le réseau, suivant les besoins définis par l'entreprise lors de l'établissement de sa politique de sécurité. Pour cela, l'application d'une architecture Firewall multiple, qui offre un équilibre entre le niveau de sécurité et les performances du réseau, est la seule méthodologie viable pour sécuriser ce réseau. De plus, quelque soit l'environnement dans lequel les Firewalls sont implantés (DMZ, VPN, DNS, INTRANET, EXTRANET,'), ils ne peuvent être bénéfiques pour l'organisation sans la prise en compte d'autres facteurs clefs, notamment :
- l'établissement d'une politique de sécurité solide qui doit être fréquemment maintenue et mise a jours suivant les attaques et les vulnérabilités qui surgissent ou les nouveaux besoins de l'organisation en terme d'applications utilisées.
- Et une bonne administration du Firewall basée sur l'analyse journalière et minutieuse des fichiers Log générés par le Firewall, et l'organisation d'un mécanisme de prévention des incidents estimées inévitable avec la solution Firewall utilisée.