FWUsage
Un article de Wiki PDS2.
| Sommaire |
Explication des termes techniques
Routeur
Le routeur agit au niveau de la couche 3 de l'architecture réseau appelée couche réseau. Il sert a router les paquets entre deux réseaux différents. Généralement entre deux ordinateur et à travers du réseau internet votre paquet passe par plusieurs routeurs. Pour les trouver, ouvrer une fenêtre de commande et taper "tracert www.integralsport.com", l'écran va afficher une liste d'adresse IP et de nom de noeud (routeur). Le routeur ne protège pas un ordinateur, le routeur n'est pas un outils de sécurité.
Plus d'informations :
- Wikipédia : routeur (http://fr.wikipedia.org/wiki/Routeur)
- Wikipédia : Couche 3 du modèle OSI (http://fr.wikipedia.org/wiki/Couche_3)
Modem
Le Modem agit au niveau de la couche 1 de l'architecture réseau. Il est constitué de deux mots, MODulateur et DEModulateur. Il permet de transformer un langage informatique constitué de 1 et de 0 en onde qui peuvent passer sur un réseau téléphonique. Le modem ne protège pas un ordinateur, le modem n'est pas un outil de sécurité.
Plus d'information :
- Wikipédia : Modem (http://fr.wikipedia.org/wiki/Modem)
- Wikipédia : Couche 1 du modèle OSI (http://fr.wikipedia.org/wiki/Couche_1)
Switch et Hub
Les switchs et Hub sont des éléments qui permettent de relier entre-eux des ordinateurs ou des routeurs. Il agissent sur les couches 1 (HUB) et les couches 2 (Switch) de l'architecture réseau. Il faut retenir qu'ils permettent de relier entre eux les ordinateurs. Ils ne protège pas un ordinateur, ils ne sont pas des outils de sécurité.
Plus d'information :
- Wikipédia : Switch (http://fr.wikipedia.org/wiki/Switch)
- Wikipédia : Couche 1 du modèle OSI (http://fr.wikipedia.org/wiki/Couche_1)
Le point d'accès Wifi
Il agit comme un Hub, mais sans fil. Par contre, il constitue un point d'entrée de votre réseau intérieur depuis l'extérieur. En effet, sans fil, il ne s'arrête pas aux murs de la maison (bien que légalement il de devrait !) et dépasse la frontière de votre propriété. Vos voisins ou un passant dans la rue peut donc profiter de votre connexion, sauf à mettre en place une clef chiffré verrouillant l'accès de votre réseau. Le point d'accès Wifi ne protège pas un ordinateur, il constitue un risque élevé de faille dans la sécurité de votre machine sauf s'il est bien configuré.
Firewall
Littéralement "Mur de feux". Il en existe plusieurs sortent et niveaux. A la base, il protège un réseau internet (qui peut ce limiter à votre seul ordinateur) de tout les perfides bandits qui règnes sur internet.
Plus d'information :
- Wikipédia : Firewall (http://fr.wikipedia.org/wiki/Firewall)
Mais comment cela marche
Les niveaux de sécurités évoqués ci dessous répondent à un classement personnel des différents type de firewall qui permettent de mieux comprendre (je l'espère).
Niveau 1 : la base
Le FW de base fait en fait du NAT (Network Adress Translation, translation d'adresse réseau), en réalité, le plus souvent du PAT (Port Adress Translation) qui agit à un niveau plus fin.
Pour comprendre ce que ce charabia veut dire, il faut comprendre que deux applications qui tournes sur deux ordinateurs ont besoins de deux paire d'information pour communiquer. L'adresse IP de chacun des deux ordinateurs et le port de communication qui permet d'identifier sur chaque ordinateur l'application qui communique.
Le NAT du FW remplace l'adresse IP et le port de votre ordinateur par la sienne. Et masques tous les autres ports (il y en a plus de 65000 !). Donc arriver un port ouvert devient difficile. D'autant plus que votre FW ne démasque que lorsque la communication est établie et pour une durée très courte. Un attaquant doit donc trouver le port ouvert et votre machine au moment où celui-ci est ouvert. Peut probable mais pas impossible.
Niveau 2 : Un brin de plus
Ici, le FW garde en mémoire pour qui il a ouvert le passage (qui à l'extérieur). Et n'autorise que cette machine là à réutiliser le port d'entrée. Il est évident que cela augment notablement la sécurité.
Niveau 3 : Un grand plus
En plus du Niveau 2, le FW va ouvrir le paquet (sorte de valise standard de transport d'information) et examiner le contenu (un peu comme un anti-virus), s'il trouve un élément dangereux, il va empêcher le passage de cet élément et fermer la communication. Ceci se retrouve sous le nom de SPI (Stateful Paket Inspection ou analyse total des paquets).
Ce type de sécurité est surtout intéressant pour les FW qui protège des machines accessible depuis l'extérieur du réseaux (serveur web, serveur de messagerie). A domicile, l'intérêt est plus limité.
Il est à noter que les FW de niveau 3 ne font pas systématiquement du NAT ou du PAT (voir les FW de niveau 1 et 2). Ils peuvent ce contenter de faire du filtrage de paquet et de contenu de paquet sans pour autant changer les adresses IP dans ces paquets. Ces machines sont alors beaucoup plus discrète. Ceci ne se rencontre généralement que sur les réseau des grandes entreprises. Ce qui ne veut pas dire que chez vous, vous ne vous trouvez pas derrière une de ces machines, en effet, votre provider est une grande entreprise et il est probable qu'il dispose de telles machines sur son réseau, entre vous et le net.
Ou placer un Firewall
On va rencontrer dans le monde des particuliers deux types de Firewall.
Les Firewall matériel
Le Firewall matériel se retrouve dans un boîtier externe à l'ordinateur. Il peut être d'un des trois niveau évoqué ci-dessus.
| Avantages | Inconvénients |
| * Il repose sur une couche matériel très limités, sans autres logiciel, il présente donc une sécurité au niveau des failles très élevée. | * Un élément de réseau de plus à installer
|
Les Firewall logiciel
Le Firewall logiciel est installé sur votre micro-ordinateur, il constitue dans tout les cas la dernière barrière entre vous et le monde hostile de l'extérieur.
| Avantages | Inconvénients |
* Il est souvent bon marché (voir gratuit)
| * Il repose sur une couche logiciel qui n'est parfois pas très stable et peut être contourné par ce biais. |
Mais c'est quoi ce binz qu'on m'a vendu ?
Il arrive souvent qu'un même boîtier aie plusieurs fonctions.
Le routeur ADSL
On trouve toutes sortes de machins appelé routeur ADSL
- Un simple modem qui va ce connecter en USB sur votre micro. AUCUNE sécurité ici.
- Un truc avec une sortie éthernet mais un seul micro possible derrière. C'est un modem aussi ! AUCUNE sécurité ici
- Un truc avec une sortie éthernet mais plusieurs micro possible derrière. C'est un modem avec un routeur disposant de fonction NAT, donc un petit FW, généralement niveau 1, parfois 2. Il est très difficile, sauf à lire une documentation technique souvent en anglais, de savoir si le FW embarqué dans le truc est de niveau 1 ou 2. Considérons, par défaut, qu'il est de niveau 1, on peut alors dire qu'il y a un bon début de sécurité ici
La freebox
La boite à binz. Plein de possibilités. Restons sur la sécurité. De base, la freebox est un modem (donc pas de sécurité). Il est possible de la configurer pour qu'elle se transforme en FW niveau 1 (bonne sécurité). Il est possible de lui rajouter une carte Wifi pour qu'elle se transforme en point d'accès wifi, la sécurité dépend alors de la manière de configurer le wifi.
Le machin à Wanadoo
Même chose que la freebox, ni plus ni moins.
Des truc avec plusieurs prises éthernet à l'arrière
Si ce n'est un simple switch de base, il est possible d'envisager que, sur votre modem, routeur, FW soit greffé un switch, vous avez donc un 4 en 1. Suivant comment il est configuré, il est possible de bien sécuriser votre réseau.
Firewall boite ou Firewall logiciel
C'est un grand débat. Si un FW boite est en place à l'entrée du réseau, vous êtres relativement protégé des contenus extérieurs que vous n'avez pas sollicité. Sollicité, mais je ne sollicite jamais rien ! Ben si, chaque fois que vous demander à afficher une page sur le net, vous solliciter tout un tas de machins qui vont envoyer cette page, il est possible qu'un des machins sollicité en profite pour vous envoyer une gâterie pas agréable.
C'est ici que le FW logiciel intervient. Cette gâterie non agréable va tenter de communiquer vers l'extérieur et LA le FW logiciel est presque indispensable pour identifier l'intrus à l'instant où il se réveil et, a défaut de l'éradiquer, l'empêcher de communiquer vos données perso vers l'extérieur (ou de créer une porte dérobée (back dor) pour un pirate éventuel).
Ma recommandation est donc d'utiliser systématiquement (aussi souvent que possible, dans tout les cas) un FW matériel ET un FW logiciel.
