Introduction aux firewalls

Objectif :

L'objectif de ces documents est de présenter divers firewalls et d'aborder leur utilisation dans trois cas concrets avec des exemples d'utilisation :

• Une utilisation en tant que firewall protégeant une station sur un LAN.
• Une utilisation en tant que firewall protégeant une station connectée à Internet en PPP.
• Une utilisation en tant que firewall faisant office de passerelle entre Internet et un LAN.

Note : Cette introduction est en cours de redaction.

Firewalls abordés :

Les firewalls abordés dépendent d'implémentation distinctes :

• Les firewalls à filtrage de paquet :
• IpChains : Firewall Linux disponible depuis les noyaux 2.2. (maj : 04/05/2003)


• Les firewalls à filtrage de paquet avec conservation d'Etat (ou statefull inspection) :
• IpTables : Firewall Linux disponible depuis les noyaux 2.4. (maj : 02/11/2003)
• Ipfw : Firewall *Nix.
• Pf : Firewall OpenBSD depuis la version 3.0.

Architecture fictive utilisée pour le LAN :

Le réseau utilisé est une classe C (10.1.1.0/24) :

• La passerelle connectant le LAN à Internet est : 10.1.1.7.
• Les serveurs DNS internes sont : 10.1.1.10 et 10.1.1.11.
• Les serveurs Proxy HTTP internes sont : 10.1.1.20 et 10.1.1.21.
• les serveurs de Mail internes sont : 10.1.1.30 et 10.1.1.31.
• La station d'administration autorisée à se connecter sur les stations protégées : 10.1.1.77.
• Les stations de tests sans firewall permettant de valider les règles sont : 10.1.1.42 et 10.1.1.43.

Objectifs d'implémentation :

• Toute autorisation sur le loopback.
• Connexions entrantes SSH depuis une station d'administration (avec logging)
• Connexions sortantes SSH pour n'importe quelle destination.
• Connexions sortantes HTTP/HTTPS vers les serveur proxy Web.
• Connexions sortantes SMTP/POP vers les serveurs proxy Mail.
• Connexions sortantes DNS vers les serveurs DNS internes.
• Autorisations de sortie ICMP Echo-Request/Echo-Reply.
• Interdiction de toute autre entree/sortie en logguant.

Exemples concrets d'utilisation pour un LAN :

Les stations connectées au LAN et protégées sont :

• Station protégée par IpChains (Debian Potato) : 10.1.1.1.
• Station protégée par IpTables (Debian Woody) : 10.1.1.4.
• Station protégée par Ipfw (Mac Os X) : 10.1.1.2.
• Station protégée par Pf (OpenBSD 3.1) : 10.1.1.3.

La passerelle peut offrir l'accès à Internet via les implémentations suivantes :

• Protection par IpChains : 10.1.1.7 / Debian Potato.
• Protection par IpTables : 10.1.1.7 / Debian Woody.
• Protection par Ipfw : 10.1.1.7 / OpenBSD 2.9.
• Protection par Pf : 10.1.1.7 / OpenBSD 3.1.

Exemples concrets d'utilisation pour une connexion à Internet via PPP :

Objectifs d'implémentation :

• Toute autorisation sur le loopback.
• Connexions sortantes SSH pour n'importe quelle destination.
• Connexions sortantes HTTP/HTTPS pour n'importe quelle destination.
• Connexions sortantes SMTP/POP pour n'importe quelle destination.
• Connexions sortantes DNS pour n'importe quelle destination.
• Autorisations de sortie ICMP Echo-Request/Echo-Reply.
• Interdiction de toute autre entree/sortie en logguant.

Les stations connectées à Internet par PPP et protégées sont :

• Station protégée par IpChains : Debian Potato.
• Station protégée par IpTables : Debian Woody.
• Station protégée par Ipfw : Mac Os X.
• Station protégée par Pf : OpenBSD 3.1.

Simon Castro
Maj le 2 Novembre 2003