Qu'est-ce qu'un pare-feu (firewall)?

Écrit par Jean-Michel CHRISOSTOME. Publié dans Blog

Un firewall signifie textuellement mur de feu en anglais et c'est très certainement le terme le plus approprié pour définir son action. On ne voit rien à travers un mur de feu. Qui oserait traverser un mur de feu? Voici donc un article consacré aux pare-feu. A quoi servent-ils? Comment fonctionnent-ils? Est-ce que vous en avez besoin?

Quelques définitions

On ne peut commencer cet article sans une petite liste de définitions des termes importants qui seront réutilisés tout au long de cet article.

Il faut voir un ordinateur comme un centre de services. Pour communiquer sur un réseau informatique, il faut être en mesure d'identifier l'ordinateur (centre de services) et chacun des services qu'il propose.

Adresse IP
Numéro permettant l'identification de votre ordinateur sur un réseau informatique.
Dans cet article, nous allons comparer l'adresse IP à un numéro de téléphone. Quand vous avez besoin d'appeler quelqu'un, vous prenez votre téléphone et composez le numéro de votre interlocuteur. L'adresse IP c'est à peu près la même chose.
Numéro de port
Numéro permettant l'identification du service souhaité.
Pour rester dans l'exemple du téléphone, lorsque vous téléphonez à une société, vous devez savoir à quel service vous adresser. Le numéro de port correspondra au service souhaité (comptabilité, RH, atelier, direction etc...)
LAN
Local Area Network ou réseau local en français.
Le réseau local est un réseau informatique à petite échelle. Par exemple chez vous, votre box internet, vos iPhones, iPad ou tablettes, smartphone et ordinateurs divers forment lorsqu'ils sont tous en service et connectés un réseau local. Ils communiquent tous au travers d'un même réseau, le votre qui est généralement géré par votre box. Une société peut avoir un réseau local également.
WAN
Wide Area Network ou réseau étendu en français.
Un réseau étendu couvre une zone géographique plus grande. Cela peut être un département, une région, un pays ou la planète entière. Internet est un réseau étendu. Certaines sociétés possèdent des réseaux étendu comprenant des réseaux locaux dispersé dans les pays où sont installée les agences.

Par exemple, si vous souhaitez accéder aux pages web (site internet) proposé par l'ordinateur (centre de services) nommé www.andee.fr

Votre ordinateur va d'abord déterminer le numéro (adresse IP) de l'ordinateur (centre de service) www.andee.fr en interrogeant un service d'annuaire (DNS) qui répondra que www.andee.fr est à l'adresse 37.187.7.83.

Après, pour accéder aux pages web, votre ordinateur sait que le service concerné porte le numéro 80. Il interrogera donc le port 80 de la machine portant l'adresse 37.187.7.83 et obtiendra le service demandé si le service est bien actif.

Pour connecter votre réseau local (LAN) à un réseau étendu (WAN) il est nécessaire d'avoir un compte chez un FAI (Orange, Free, Numericable etc...) qui vous fournira un routeur. Le routeur s'occupe de vous identifier auprès du fournisseur d'accès et vous permet d'accéder au réseau WAN (en l’occurrence internet).

Le pare-feu (firewall)

Toujours pour rester dans la simplicité, restons avec notre ordinateur qu'on représente sous la forme d'un centre de services. Je vais tenter de vous résumer ce qu'est un pare-feu et à quoi il sert.

Le pare feu va se placer généralement entre deux réseaux (LAN ou WAN) afin de mettre en place un filtrage ou des redirections. Notre centre de services n'accepte pas au premier venu d'accéder à ses pages web car leur contenu est privé et réservé à l'usage seul de ses employés. Le pare feu est comme un mur de briques, il va cacher le service 80 de la vue des personnes qui arrivent depuis un réseau externe (WAN) et donc bloquer toutes les tentatives de communication avec ce service. Vous avez déjà essayé de parler à un service à travers un mur de briques? Efficacité garantie.

Par contre, l'accès à ce service est possible pour les personnes qui sont autorisées. Le personnel du centre par exemple possède la clé qui permet d'ouvrir la porte et de rentrer dans le centre de service. Ces personnes là auront donc accès au service 80.

Un autre usage du pare feu est de rediriger les requêtes. Par exemple, la personne de l'extérieur souhaite communiquer avec le service des pages web (port 80), le pare feu propose une entrée dédiée à ce service avec un agent d'accueil qui va s'occuper d'acheminer la personne dans un autre bureau qui se chargera de répondre à sa demande. Du point de vue de la personne extérieur, c'est l'entité du centre de service qui lui aura apporté réponse. On parle de redirection, MASQUERADE ou NAT.

Certains pare-feu proposent également de limiter / contrôler le débit. On parle alors de traffic shaping. Notre centre de services gère énormément de choses et ses locaux sont de taille restreinte. Impossible d'autoriser tout le monde à rentrer en même temps dans le bâtiment. La fonction correspondrait à du personnel situé à l'entré du mur et qui fermerai la porte dès que le quota est atteint et la rouvrirait lorsque les premières personnes sortent pour faire place aux suivantes.

Les systèmes d'exploitations modernes (Windows / UNIX Linux) sont normalement équipés d'un pare-feu et ceci même sur les postes utilisateur. Leur paramétrage demandent toutefois des connaissances techniques sans quoi vous pourriez bien bloquer l'accès à un service pourtant utile ou inversement autoriser tout et n'importe quoi et prendre le risque de voir des personnes s'introduire sur votre machine en exploitant des failles de sécurité sur certains services.

Pas de panique en ce qui concerne votre réseau domestique, les box aujourd'hui se comportent en général comme un routeur et empêche les personnes de l'extérieur d'accéder directement à votre réseau local (LAN) sauf demande particulière émanant de vous. Les pare-feu sur les ordinateurs fixes sont donc peu utiles aujourd'hui, ceci est moins vrai avec les ordinateurs portables qui sont susceptibles de se retrouver sur des réseaux publics (gares, aéroports, grandes surfaces). Soyez donc très prudent avec les ouvertures de port et n'activez jamais une DMZ sur une machine à moins d'être bien sûr de ce que vous faîtes.

Je vous ai fait un petit schéma qui, je l'espère vous aidera à mieux comprendre le rôle du pare-feu.

PareFeu

Liens et références

Je vous laisse avec quelques liens pour compléter cet article qui je l'espère vous aura aidé à comprendre ce qu'est un pare-feu et son utilité.