Firewall est le terme anglais pour un “mur coupe-feu”. De tels murs empêchent qu’un incendie ne se propage d’une maison à l’autre. Dans le langage informatique, le terme “pare-feu” désigne un ou plusieurs programmes qui protègent un réseau d’entreprise ou un réseau privé contre les attaques provenant d’Internet. Remarque : dans la suite de cet article, le réseau d’entreprise ou le réseau privé sont appelés “réseau local” afin de les distinguer d’Internet.

Quels sont les différents types de pare-feu ?

Un pare-feu est le regroupement de plusieurs programmes de sécurité différents. Les produits proposés sous le nom de “pare-feu” utilisent ces programmes pour se protéger contre les attaques provenant d’Internet. Pour savoir quels mécanismes sont utilisés par les différents programmes, consultez la section “Mécanismes de sécurité”.

Un pare-feu peut être proposé comme programme à installer sur un ordinateur. Ou il peut être intégré dans des appareils d’accès à Internet, appelés routeurs.

Protocoles sur Internet

Pour comprendre le fonctionnement d’un pare-feu, vous devez d’abord savoir comment les ordinateurs échangent des données entre eux sur Internet.

La base de l’échange de données sur Internet est le protocole Internet, en abrégé IP (Internet bloque pare-feu). Ce protocole divise les données à envoyer en paquets, ajoute à chaque paquet, entre autres, l’adresse de l’expéditeur et du destinataire ainsi que des informations sur la taille du paquet et envoie les paquets de données au destinataire.

TCP, le Transmission Control Protocol, complète IP. TCP établit la connexion entre deux ordinateurs, par laquelle les paquets de données sont échangés avec IP. En outre, TCP contrôle que toutes les données arrivent intactes et dans le bon ordre chez le destinataire. Souvent, les deux protocoles sont regroupés et désignés sous le nom de TCP/IP.

Il existe en outre deux autres protocoles importants sur Internet :

  • Le protocole ICMP, Internet Control Message Protocol, envoie des messages de contrôle entre les ordinateurs d’un réseau. Par exemple, si un ping est envoyé à un ordinateur, celui-ci envoie une réponse via le protocole ICMP.
  • UDP, le User Datagram Protocol, sert, comme TCP, à transporter des données sur IP. A l’aide d’un procédé mathématique, la somme de contrôle, le protocole garantit que les paquets de données arrivent intacts chez le destinataire.

Cependant, UDP ne se soucie pas de l’ordre des paquets de données ou de l’arrivée éventuelle de données en double. Cela accélère énormément la transmission, mais n’est pas fiable. Les programmes qui envoient des données à l’aide d’UDP doivent prendre leurs propres dispositions pour s’assurer que les paquets de données arrivent dans le bon ordre.

Services sur Internet

Sur Internet, il existe une multitude de “services”, généralement basés sur TCP, dans certains cas sur UDP. Il s’agit de programmes qui échangent des données entre eux selon une procédure prédéfinie. Le service le plus connu est le World Wide Web. Ici, un serveur WWW et le programme d’affichage Internet échangent des données. La procédure définie à cet effet est “http”, le Hypertext Transfer Protocol. Celui-ci utilise le protocole TCP/IP, qui est à la base d’Internet, pour échanger les données brutes.

Pour que les informations ne se retrouvent pas au mauvais endroit, les protocoles sur Internet utilisent ce que l’on appelle des ports. Ce sont des entrées ouvertes sur un ordinateur pour les données. Un serveur WWW, par exemple, attend toutes les informations sur le port 80, un serveur SMTP pour l’envoi de courrier électronique utilise le port 25. Si une demande est adressée à un autre port, le serveur ne bouge pas (sauf si l’administrateur système l’a défini au préalable).

Dans la vie réelle, le principe serait le suivant : Deux employés d’une même entreprise s’envoient des messages. Autoriser site internet pare feu. Outre les corbeilles de réception, les deux employés ont des casiers spéciaux dans lesquels ils attendent les messages de l’autre. Ces corbeilles correspondent aux ports. Pour gagner du temps, ils se mettent d’accord sur certains mots-clés. Par exemple, “AKTE Müller” signifie “Envoyez-moi le dossier de M. Müller”, ce qui correspond à un protocole comme http. Le mode d’échange d’informations convenu entre les deux collaborateurs correspond au service.

En relation  Voici comment trouver votre adresse IP sur Internet avec la Livebox.

Ce court message est glissé dans une enveloppe et déposé dans le courrier interne. Le rôle des protocoles TCP et IP est joué par le courrier interne : le coursier reconnaît, grâce à l’adresse, le collaborateur auquel le courrier est destiné. En outre, il veille à ce que la lettre arrive intacte chez le bon collaborateur, dans la bonne boîte aux lettres. Si le coursier place le message dans la mauvaise boîte de réception, c’est-à-dire dans le mauvais port, il est possible qu’il n’y soit pas vu ou qu’il soit traité par un autre collègue et renvoyé avec la mention “non compris”.

C’est sur ce principe que fonctionnent les services Internet comme par exemple :

  • http pour transmettre des informations sur le World Wide Web
  • le protocole de transmission de courrier SMTP
  • FTP pour le transfert de fichiers
  • Telnet ou SSH pour accéder à la ligne de commande d’autres ordinateurs
  • DNS pour traduire les adresses Internet lisibles en adresses IP correspondantes.

Comment les pirates tentent-ils de s’introduire dans le réseau ?

Les scanners de ports sont les outils les plus importants des cambrioleurs de données. Ces programmes permettent d’analyser les ordinateurs à la recherche des services mentionnés et des ports que vous avez ouverts. Pour ce faire, l’expéditeur envoie simplement une demande correspondante au port et attend une réponse.

Les scanners de ports fonctionnent également selon ce principe. Seulement, ils sont beaucoup plus rapides. Les scanners de ports peuvent vérifier tous les ordinateurs d’un réseau en saisissant une adresse de début et une adresse de fin. Comme les fournisseurs d’accès à Internet utilisent toujours une certaine plage d’adresses IP pour leurs clients d’accès, un scanner de ports peut être utilisé de manière ciblée sur cette plage. Tous les clients d’un fournisseur d’accès donné sont alors espionnés sur les ports ouverts.

Si un tel port est trouvé, d’autres programmes tentent de communiquer avec l’ordinateur via ce port. Souvent, ils tentent de bombarder l’ordinateur attaqué avec des paquets défectueux envoyés en masse jusqu’à ce que le programme utilitaire utilisant le port cesse de travailler. Ce procédé est appelé attaque par déni de service (en français : attaque visant à ce qu’un service refuse de travailler). L’objectif est que le programme se bloque tout en laissant le port ouvert. L’intrus continue ensuite à pénétrer dans le système par ce port ouvert.

De telles attaques et d’autres sont souvent favorisées par des lacunes de sécurité dans le programme d’exploitation ou dans les utilitaires Internet. Il est donc important de bloquer ces attaques avant qu’elles n’atteignent le réseau local.

La tâche d’un pare-feu est ici de cloisonner les ports correspondants et de reconnaître et d’empêcher de telles attaques par déni de service.

Deux autres méthodes pour pénétrer dans les réseaux informatiques sont le Packet Sniffing, en français “reniflage de paquets”, et l’IP-Spoofing, la manipulation de paquets de données.

Lors du “Packet Sniffing”, un programme renifle les paquets de données qui passent. Il essaie de trouver des informations telles que les noms d’utilisateur et les mots de passe. Souvent, ces informations sont transmises en clair, par exemple par Telnet ou lors de la consultation d’e-mails. Pour accéder aux paquets, le pirate doit avoir accès à un ordinateur via lequel des données sont envoyées sur le réseau local ou sur Internet. Un pare-feu en soi ne peut pas faire grand-chose contre de telles tentatives d’espionnage. Pour les éviter, de nombreux administrateurs système désactivent le passage de Telnet dans le pare-feu.

Lors de l’usurpation, le pirate envoie des paquets de données avec des adresses d’envoi falsifiées à un autre ordinateur. De cette manière, il peut éventuellement établir une connexion par laquelle il s’introduit dans le réseau local. Ou bien le pirate tente de créer un trafic de données excessif entre deux ordinateurs du réseau à l’aide de fausses adresses. Il peut même essayer de faire correspondre l’adresse de l’expéditeur à celle du destinataire. L’ordinateur attaqué reçoit le paquet de données avec son propre expéditeur et peut ensuite envoyer des messages à lui-même sans interruption. Et cela bloque son accès au réseau. Enfin, les pirates tentent de falsifier les informations sur les paquets de données eux-mêmes, par exemple en indiquant une taille erronée pour le paquet. Cela peut perturber l’ordinateur du destinataire. Pour de telles attaques, on utilise souvent des programmes comme Ping, qui envoient des messages de contrôle ICMP.

En relation  Wireshark vous permet de détecter les problèmes dans votre réseau local.

Un pare-feu doit pouvoir exclure de telles manipulations d’adresses et de paquets.

Comment fonctionne un pare-feu ?

Un pare-feu se trouve exactement au point de connexion entre le réseau local et Internet. Il constitue une sorte de chas d’aiguille à travers lequel toutes les données de et vers Internet doivent se faufiler.

Le pare-feu détermine quels services peuvent être utilisés sur Internet : Bloquer acces internet pare feu windows 10. Il détermine également les voies par lesquelles les services d’Internet peuvent envoyer des données aux ordinateurs du réseau local. Par exemple, un pare-feu peut autoriser que seules les pages Internet du WWW soient consultées. En même temps, il peut bloquer certaines pages Internet ou, par exemple, empêcher l’exécution de programmes Java enregistrés sur des pages Internet.

Mécanismes de sécurité

Les pare-feu fonctionnent avec différents mécanismes de sécurité (Kaspersky internet security pare feu). Il s’agit notamment de :

– filtrage de paquets

Chaque paquet de données transmis via le protocole Internet possède des caractéristiques d’identification importantes. Il s’agit notamment de l’adresse d’envoi et de l’adresse de destination, ainsi que des numéros de port et des informations sur la taille des données contenues. Grâce à ces informations et à d’autres, un pare-feu peut filtrer certains paquets, c’est-à-dire les empêcher d’entrer dans le réseau. Par exemple, le pare-feu peut laisser passer uniquement les paquets Internet qui sont dirigés vers le port 25 d’un ordinateur du réseau. Tous les autres paquets sont rejetés. De même, le filtrage des paquets permet d’exclure certaines adresses d’envoi, de sorte que les données provenant de certains serveurs sur Internet ne sont même pas acceptées. De même, le pare-feu peut reconnaître certaines pages web à l’aide des adresses et les bloquer pour la consultation.

– NAT

L’abréviation NAT signifie Network Address Translation, en français “traduction de l’adresse réseau”. Dès qu’un ordinateur du réseau local établit une connexion avec un ordinateur sur Internet, il doit communiquer à l’ordinateur sur Internet une adresse IP sous laquelle il peut être atteint. Le pare-feu reconnaît cet établissement de connexion et mémorise l’adresse de l’ordinateur du réseau local. Cependant, le pare-feu donne une toute autre adresse à l’autre ordinateur sur Internet. De plus, les adresses de port peuvent être modifiées. De cette manière, plusieurs connexions à Internet peuvent être établies via une seule adresse IP. Cette procédure s’appelle Port Adress Translation, c’est-à-dire “traduction de l’adresse de port”.

Avec la NAT, le pare-feu s’assure que la réponse de l’ordinateur depuis Internet est renvoyée au pare-feu et qu’elle peut y être vérifiée : Pare feu internet. L’ordinateur sur Internet ne peut donc pas établir de connexion directe avec l’ordinateur du réseau local : Pare feu internet definition. Autre avantage : le pare-feu garde en mémoire les données de connexion et peut décider, lorsque des paquets arrivent, s’ils font partie d’une demande formulée auparavant. De cette manière, il est possible de filtrer tous les paquets qui sont envoyés au réseau “sans y être invités”.

La NAT est également nécessaire dans de nombreux réseaux parce que des adresses qui ne fonctionneraient pas sur Internet sont utilisées dans le réseau local, par exemple 192.168.0.1 et toutes les adresses jusqu’à 192.168.255.255.

– VPN

Les réseaux privés virtuels relient les réseaux locaux via Internet. De cette manière, les réseaux locaux des succursales d’entreprises à Hambourg et à Munich, par exemple, peuvent être reliés comme si les deux étaient réunis en un seul réseau local. Pour que personne ne puisse lire les données, le trafic de données entre les deux réseaux locaux doit être crypté. Souvent, les routeurs équipés de pare-feu se chargent également de cette tâche.

En relation  Configurer Google Authenticator - comment activer un appareil

– Serveur proxy

Il s’agit d’ordinateurs qui s’intercalent entre le réseau local et Internet. Un proxy reçoit la demande d’un ordinateur du réseau local et exécute cette demande par procuration sur Internet. Le proxy envoie ensuite les données reçues en retour à l’ordinateur du réseau local. L’exploitant d’un serveur proxy décide quels services peuvent être utilisés sur Internet. De cette manière, il est plus facile d’interdire certaines applications sur Internet et de contrôler le trafic réseau qu’avec un filtre de paquets.

Autres procédures et techniques

Outre les techniques de pare-feu mentionnées ci-dessus, il existe d’autres procédures citées dans le contexte des pare-feu. Il s’agit notamment de :

– Ipsec

Ipsec est l’abréviation de IP Security, c’est-à-dire sécurité IP. Il s’agit d’une procédure qui crypte les données envoyées par Internet Protocol. En outre, Ipsec s’occupe

– Transfert de port

La redirection de port permet d’attribuer de manière fixe dans un pare-feu certaines adresses IP du réseau local à un port spécifique dans le pare-feu. Lorsque le pare-feu reçoit une requête sur ce port, il la redirige vers l’ordinateur correspondant du réseau local.

– DMZ

DMZ est l’abréviation de “zone démilitarisée”. Il s’agit d’un ordinateur ou d’un réseau qui se trouve encore avant le pare-feu proprement dit. Tout le trafic de données entrant et sortant passe par la DMZ. Quiconque souhaite se connecter au réseau local doit s’inscrire à la DMZ et ne peut se connecter au réseau local qu’avec une autorisation spéciale. Les données envoyées du réseau local vers Internet doivent également passer par la DMZ. L’avantage : dans une telle zone démilitarisée, il est possible d’installer des services d’information comme par exemple un serveur WWW. Ce serveur est alors facilement accessible depuis Internet, mais celui qui souhaite par exemple établir une connexion directe avec le réseau local doit passer par le contrôle.

De quoi un pare-feu ne protège-t-il pas ?

Le pare-feu ne peut pas protéger, par exemple, contre les e-mails infectés par des virus. Pare-feu internet gratuit. Le meilleur pare-feu n’est pas non plus efficace contre les programmes qui sont transférés depuis Internet sur un PC et qui y sont lancés.

Seules d’autres mesures de sécurité, comme l’attribution de droits d’accès à des utilisateurs individuels ou des programmes antivirus, peuvent protéger dans ce cas.

Les employés d’une entreprise, voire vous-même, représentent également un risque important. Souvent, ce sont des erreurs de paramétrage ou des programmes installés par inadvertance et non supprimés qui rendent le réseau peu sûr. Dans les réseaux d’entreprise, les modems connectés par les employés au réseau téléphonique de l’entreprise représentent un risque important. Un tel modem permet certes à l’employé de se connecter rapidement à son ordinateur ou au réseau de l’entreprise. Mais il ouvre également la porte aux cambrioleurs. En effet, un pirate peut facilement essayer tous les numéros de poste d’une entreprise avec un modem. Dès qu’un modem répond, il tente de s’introduire dans le système.

Quels problèmes peuvent survenir lors de l’utilisation d’un pare-feu ?

Celui qui utilise un pare-feu chez lui et qui s’en sert pour jouer à des jeux sur Internet ne tardera pas à le constater : Tous les jeux ne fonctionnent pas. En effet, pour échanger des données entre eux, ces jeux utilisent certains ports qui peuvent être bloqués par le pare-feu. De nombreux services proposés sur Internet ont également besoin de certains ports sur un PC pour pouvoir transmettre correctement leurs données. Pour les utilisateurs d’un réseau local avec pare-feu, de telles restrictions peuvent être gênantes.

Qui a besoin d’un pare-feu ?

Toute personne connectée en permanence à Internet devrait installer un pare-feu. Cela vaut en particulier pour tous les utilisateurs de connexions DSL. En effet, ces derniers sont souvent connectés à Internet pendant des heures et sont donc accessibles pour les scans de ports.

Si vous ne vous connectez à Internet qu’une ou deux fois par jour avec un modem, que vous récupérez votre courrier et que vous raccrochez, vous êtes certes théoriquement aussi vulnérable à une attaque pendant ce temps. La probabilité est toutefois faible. Par mesure de précaution, vous devriez toutefois au moins activer le pare-feu de connexion Internet de Windows.