Chapitre 7. Pare-feu
La s�curit� des informations est souvent consid�r�e comme un processus et non pas un produit. Toutefois, pour mettre en oeuvre un environnement de s�curit� standard, il est souvent n�cessaire de recourir � un m�canisme d�di� pour contr�ler les privil�ges d'acc�s, limiter l'utilisation des ressources du r�seau aux personnes autoris�es, identifiables et localisables. Red Hat Enterprise Linux inclut de nombreux outils performants destin�s � aider les administrateurs et les ing�nieurs de s�curit� � faire face aux probl�mes de contr�le d'acc�s au niveau du r�seau.
Mis � part dans le cas de solutions VPN comme IPsec (abord�es dans le Chapitre 6), les pare-feu repr�sentent la pierre angulaire de l'impl�mentation de toute s�curit� r�seau. De nombreux vendeurs commercialisent des solutions de pare-feu s'adressant � tous les niveaux d'activit� informatique�: de l'utilisateur priv� prot�geant un PC � des solutions de centres de donn�es s�curisant des informations commerciales d'une importance vitale. Les pare-feu peuvent �tre des solutions mat�rielles ind�pendantes telles que des appareils de s�curit� fabriqu�s par Cisco, Nokia et Sonicwall. En mati�re de pare-feu, il existe �galement des solutions logicielles propri�taires mises au point par des vendeurs tels que Checkpoint, McAfee et Symantec et s'adressant aux march�s de l'informatique priv�e ou d'entreprise.
Outre les diff�rences entre des pare-feu de type mat�riel et logiciel, des diff�rences au niveau de la mani�re dont ces pare-feu fonctionnent distinguent une solution d'une autre. Le Tableau 7-1 examine trois types de pare-feu courants et leur fonctionnement�:
M�thode | Description | Avantages | Inconv�nients |
---|
NAT | Selon la traduction d'adresses r�seau (ou NAT de l'anglais Network Address Translation), des sous-r�seaux d'IP priv�s sont plac�s derri�re une seule adresse IP ou un petit ensemble d'adresses IP publiques permettant ainsi de masquer toutes les requ�tes comme provenant d'une source plut�t que plusieurs. | � Configuration possible de mani�re transparente vers les machines d'un LAN | � Protection de plusieurs machines ou services derri�re une ou plusieurs adresse(s) IP externe(s), simplifiant les t�ches d'administration | � Restriction de l'acc�s des utilisateurs depuis et vers le LAN configurable en ouvrant ou fermant des ports sur le pare-feu ou la passerelle effectuant la NAT |
| � Ne peut emp�cher des activit�s malicieuses une fois les utilisateurs connect�s � un service en dehors du pare-feu |
|
Filtre de paquets | Les pare-feu de filtrage de paquets lisent chaque paquet de donn�es passant aussi bien dans un LAN qu'� l'ext�rieur. Ils peuvent lire et traiter les paquets en fonction des informations d'en-t�te et filtrent les paquets sur la base d'ensembles de r�gles programmables mises en oeuvre par l'administrateur de pare-feu. Dans le noyau Linux est incorpor�e une fonctionnalit� de filtrage des paquets gr�ce au sous-syst�me du noyau Netfilter. | � Personnalisable par le biais de l'utilitaire front-end iptables | � Ne n�cessite aucune personnalisation du c�t� client car toute activit� r�seau est filtr�e au niveau du routeur plut�t qu'au niveau de l'application | � �tant donn� que les paquets ne sont pas transmis � travers un serveur proxy, la performance r�seau est plus rapide gr�ce � une connexion directe du client � l'h�te distant |
| � Ne peut filtrer les paquets par contenu comme des pare-feu proxy | � Traite des paquets au niveau du protocole mais ne peut pas les filtrer au niveau d'une application | � Des architectures r�seau complexes peuvent rendre difficile l'�tablissement de r�gles de filtrage, en particulier si elles sont alli�es au masquage d'IP ou � des sous-r�seaux locaux et r�seaux DMZ |
|
Proxy | Les pare-feu proxy filtrent toutes les requ�tes d'un protocole ou type particulier venant des clients d'un LAN et destin�es � un ordinateur proxy, qui envoie lui ces requ�tes vers l'internet de la part du client local. Un ordinateur proxy joue le r�le d'un tampon entre des utilisateurs distants malicieux et les machines clientes du r�seau interne. | � Donne aux administrateurs le contr�le sur les applications et protocoles pouvant fonctionner en dehors du LAN | � Certains serveurs proxy peuvent mettre en cache des donn�es de mani�re � ce que des clients puissent avoir acc�s � des donn�es fr�quemment demand�es depuis une cache locale plut�t que de devoir utiliser une connexion Internet pour les obtenir�; ce proc�d� est pratique pour r�duire la consommation superflue de largeur de bande | � Les services proxy peuvent �tre journalis�s et �troitement surveill�s, permettant un contr�le plus strict de l'utilisation des ressources du r�seau |
| � Les proxies sont souvent particuliers � des applications (HTTP, Telnet, etc.) ou limit�s � des protocoles (la plupart fonctionnent seulement avec des services connect�s � TCP) | � Les services d'applications ne peuvent tourner derri�re un proxy, vos serveurs d'applications doivent donc recourir � une forme de s�curit� r�seau ind�pendante | � Les proxies peuvent devenir un goulot d'�tranglement pour le r�seau dans la mesure o� toutes les requ�tes et transmissions sont aiguill�es vers une source plut�t que directement d'un client vers un service distant |
|
Tableau 7-1. Types de pare-feu
7.1. Netfilter et iptables
Le noyau Linux comprend un sous-syst�me puissant de mise en r�seau appel� Netfilter. Le sous-syst�me Netfilter fournit le filtrage de paquets avec ou sans �tat ainsi que les services de masquage IP et NAT. Netfilter offre �galement la possibilit� de coder les informations d'en-t�te d'IP pour une gestion avanc�e du routage et des �tats de connexion. Netfilter est contr�l� gr�ce � l'utilitaire iptables.
7.1.1. Aper�u d'iptables
La puissance et la flexibilit� de Netfilter sont impl�ment�es gr�ce � l'interface iptables. Cet outil de ligne de commande est similiare en syntaxe � son pr�d�cesseur, ipchains�; toutefois, iptables utilise le sous-syst�me Netfilter afin d'am�liorer la connexion r�seau, l'inspection et le traitement�; alors que ipchains utilisait des ensembles de r�gles compliqu�es pour filtrer les chemins de source et destination, ainsi que des ports de connexion pour les deux. iptables offre une journalisation avanc�e ainsi que des actions avant et apr�s le routage, la traduction d'adresses r�seau et la redirection de ports avanc�es dans une seule interface de ligne de commande.
Cette section offre un aper�u de iptables. Afin d'obtenir de plus amples informations sur iptables, consultez le Guide de r�f�rence de Red Hat Enterprise Linux.