Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - Pare-feu

Chapitre 7. Pare-feu

La s�curit� des informations est souvent consid�r�e comme un processus et non pas un produit. Toutefois, pour mettre en oeuvre un environnement de s�curit� standard, il est souvent n�cessaire de recourir � un m�canisme d�di� pour contr�ler les privil�ges d'acc�s, limiter l'utilisation des ressources du r�seau aux personnes autoris�es, identifiables et localisables. Red Hat Enterprise Linux inclut de nombreux outils performants destin�s � aider les administrateurs et les ing�nieurs de s�curit� � faire face aux probl�mes de contr�le d'acc�s au niveau du r�seau.

Mis � part dans le cas de solutions VPN comme IPsec (abord�es dans le Chapitre 6), les pare-feu repr�sentent la pierre angulaire de l'impl�mentation de toute s�curit� r�seau. De nombreux vendeurs commercialisent des solutions de pare-feu s'adressant � tous les niveaux d'activit� informatique�: de l'utilisateur priv� prot�geant un PC � des solutions de centres de donn�es s�curisant des informations commerciales d'une importance vitale. Les pare-feu peuvent �tre des solutions mat�rielles ind�pendantes telles que des appareils de s�curit� fabriqu�s par Cisco, Nokia et Sonicwall. En mati�re de pare-feu, il existe �galement des solutions logicielles propri�taires mises au point par des vendeurs tels que Checkpoint, McAfee et Symantec et s'adressant aux march�s de l'informatique priv�e ou d'entreprise.

Outre les diff�rences entre des pare-feu de type mat�riel et logiciel, des diff�rences au niveau de la mani�re dont ces pare-feu fonctionnent distinguent une solution d'une autre. Le Tableau 7-1 examine trois types de pare-feu courants et leur fonctionnement�:

M�thodeDescriptionAvantagesInconv�nients
NATSelon la traduction d'adresses r�seau (ou NAT de l'anglais Network Address Translation), des sous-r�seaux d'IP priv�s sont plac�s derri�re une seule adresse IP ou un petit ensemble d'adresses IP publiques permettant ainsi de masquer toutes les requ�tes comme provenant d'une source plut�t que plusieurs.

� Configuration possible de mani�re transparente vers les machines d'un LAN
� Protection de plusieurs machines ou services derri�re une ou plusieurs adresse(s) IP externe(s), simplifiant les t�ches d'administration
� Restriction de l'acc�s des utilisateurs depuis et vers le LAN configurable en ouvrant ou fermant des ports sur le pare-feu ou la passerelle effectuant la NAT

� Ne peut emp�cher des activit�s malicieuses une fois les utilisateurs connect�s � un service en dehors du pare-feu

Filtre de paquetsLes pare-feu de filtrage de paquets lisent chaque paquet de donn�es passant aussi bien dans un LAN qu'� l'ext�rieur. Ils peuvent lire et traiter les paquets en fonction des informations d'en-t�te et filtrent les paquets sur la base d'ensembles de r�gles programmables mises en oeuvre par l'administrateur de pare-feu. Dans le noyau Linux est incorpor�e une fonctionnalit� de filtrage des paquets gr�ce au sous-syst�me du noyau Netfilter.

� Personnalisable par le biais de l'utilitaire front-end iptables
� Ne n�cessite aucune personnalisation du c�t� client car toute activit� r�seau est filtr�e au niveau du routeur plut�t qu'au niveau de l'application
� �tant donn� que les paquets ne sont pas transmis � travers un serveur proxy, la performance r�seau est plus rapide gr�ce � une connexion directe du client � l'h�te distant

� Ne peut filtrer les paquets par contenu comme des pare-feu proxy
� Traite des paquets au niveau du protocole mais ne peut pas les filtrer au niveau d'une application
� Des architectures r�seau complexes peuvent rendre difficile l'�tablissement de r�gles de filtrage, en particulier si elles sont alli�es au masquage d'IP ou � des sous-r�seaux locaux et r�seaux DMZ

ProxyLes pare-feu proxy filtrent toutes les requ�tes d'un protocole ou type particulier venant des clients d'un LAN et destin�es � un ordinateur proxy, qui envoie lui ces requ�tes vers l'internet de la part du client local. Un ordinateur proxy joue le r�le d'un tampon entre des utilisateurs distants malicieux et les machines clientes du r�seau interne.

� Donne aux administrateurs le contr�le sur les applications et protocoles pouvant fonctionner en dehors du LAN
� Certains serveurs proxy peuvent mettre en cache des donn�es de mani�re � ce que des clients puissent avoir acc�s � des donn�es fr�quemment demand�es depuis une cache locale plut�t que de devoir utiliser une connexion Internet pour les obtenir�; ce proc�d� est pratique pour r�duire la consommation superflue de largeur de bande
� Les services proxy peuvent �tre journalis�s et �troitement surveill�s, permettant un contr�le plus strict de l'utilisation des ressources du r�seau

� Les proxies sont souvent particuliers � des applications (HTTP, Telnet, etc.) ou limit�s � des protocoles (la plupart fonctionnent seulement avec des services connect�s � TCP)
� Les services d'applications ne peuvent tourner derri�re un proxy, vos serveurs d'applications doivent donc recourir � une forme de s�curit� r�seau ind�pendante
� Les proxies peuvent devenir un goulot d'�tranglement pour le r�seau dans la mesure o� toutes les requ�tes et transmissions sont aiguill�es vers une source plut�t que directement d'un client vers un service distant

Tableau 7-1. Types de pare-feu

7.1. Netfilter et iptables

Le noyau Linux comprend un sous-syst�me puissant de mise en r�seau appel� Netfilter. Le sous-syst�me Netfilter fournit le filtrage de paquets avec ou sans �tat ainsi que les services de masquage IP et NAT. Netfilter offre �galement la possibilit� de coder les informations d'en-t�te d'IP pour une gestion avanc�e du routage et des �tats de connexion. Netfilter est contr�l� gr�ce � l'utilitaire iptables.

7.1.1. Aper�u d'iptables

La puissance et la flexibilit� de Netfilter sont impl�ment�es gr�ce � l'interface iptables. Cet outil de ligne de commande est similiare en syntaxe � son pr�d�cesseur, ipchains�; toutefois, iptables utilise le sous-syst�me Netfilter afin d'am�liorer la connexion r�seau, l'inspection et le traitement�; alors que ipchains utilisait des ensembles de r�gles compliqu�es pour filtrer les chemins de source et destination, ainsi que des ports de connexion pour les deux. iptables offre une journalisation avanc�e ainsi que des actions avant et apr�s le routage, la traduction d'adresses r�seau et la redirection de ports avanc�es dans une seule interface de ligne de commande.

Cette section offre un aper�u de iptables. Afin d'obtenir de plus amples informations sur iptables, consultez le Guide de r�f�rence de Red Hat Enterprise Linux.

 
 
  Published under the terms of the GNU General Public License Design by Interspire