Internet et les pare-feu

(telcos) comme France Télécom,
Cegetel et Colt offrent diverses options de
large bande passante pour se connecter à 
Internet. Le choix est vaste, d’une connexion
E1 (2,048 Mbps) à  E4 (139,264 Mbps). En
principe, quand on établit une connexion
Internet, on dispose d’une plage d’adresses
IP publiques pour les unités qui revendiquent
un accès direct à  Internet, comme les
serveurs Web, les unités VPN,
les proxies et les routeurs.
L’opérateur qui assure la
liaison Internet peut aussi
procurer le matériel de
connexion nécessaire. Parfois,
vous fournirez vos propres
routeurs et unités d’accès
WAN.

Quelle que soit la vitesse
de connexion, un pare-feu est
indispensable pour protéger
le réseau interne de la jungle
Internet. On peut concevoir
et mettre en oeuvre un parefeu
de diverses manières. La
figure 2 présente une méthode
courante, où un routeur
externe est connecté directement
à  Internet et un
routeur interne est connecté
au réseau interne. Dans le
modèle OSI, un routeur
opère généralement au niveau
des couches 2 et 3. Les
routeurs de type matériel sont
proposés par des fournisseurs
comme Cisco Systems, 3Com
et Nortel Networks. Un routeur,
comme son nom l’indique,
achemine le trafic IP de
la couche 3 d’après l’adresse
IP de la source et de la destination.
Un routeur peut aussi
filtrer des paquets d’après l’information
de la couche 4 (TCP et UDP). Par exemple, on peut
créer des listes d’accès sur la plupart des routeurs, pour empêcher
que certains types de trafic entrant ne parviennent au
réseau interne. On peut aussi empêcher des utilisateurs internes d’accéder à  certains types de
services (newsgroups – NNTP –
Network News Transfert Protocol, par
exemple) sur Internet. Les listes
d’accès ressemblent à  ceci :

Par exemple, la liste d’accès suivante
interdit tout le trafic HTTP entre un
segment IP interne de 10.1.1.0 et
l’hôte externe 203.33.43.10 :

10.1.1.0 203.33.43.10 deny tcp 80

Le port 80 est le port TCP bien
connu pour le trafic Web ou HTTP. Le
pare-feu se présente alors comme des
listes d’accès successives qui autorisent
ou refusent l’entrée et la sortie
d’un certain trafic. Le réseau de la figure
2 comporte des routeurs internes
et externes, reliés par un segment
de réseau qui héberge plusieurs
serveurs, dont des serveurs Web, des
unités VPN, et des applications proxy.
Le segment de réseau intermédiaire
est souvent appelé zone démilitarisée
(DMZ, demilitarized zone). Les serveurs
ou unités présents sur ce segment
sont réputés non sûrs parce
que le trafic provenant d’Internet
peut aboutir directement. On voit
donc que le routeur interne se charge
de protéger le réseau interne de l’entreprise
contre tout trafic illégitime
qui pourrait provenir non pas
d’Internet mais d’un intrus qui aurait
percé l’un de ces serveurs DMZ et
tenterait de pénétrer dans le réseau
interne.

Les pare-feu ne sont pas obligatoirement
mis en oeuvre dans des
routeurs, pas plus qu’ils ne sont forcément
de type matériel. Il existe des
routeurs logiciels capables de jouer le
même rôle qu’une solution matérielle.
C’est ainsi que Check Point
Software Technologies offre le produit
Firewall-1 bien connu et que
Microsoft offre RRAS pour Windows
Server 2003 et Windows 2000 Server.
Beaucoup de ces solutions de type
logiciel fournissent aussi un serveur
VPN intégré capable d’héberger des connexions VPN entre les utilisateurs externes et le réseau interne.
Le plus souvent, le choix entre un pare-feu matériel ou
logiciel ou une solution de routage, dépendra du prix (les solutions
logicielles coûtent généralement moins cher que les
solutions matérielles à  fonctionnalités égales) et la performance
(les solutions de type matériel donnent généralement
un débit supérieur à  celui des solutions logicielles).

Il est une autre fonction fréquente dans les routeurs ou
autres unités pare-feu : NAT (Network Address Translation).
On l’utilise quand les hôtes de réseau interne avec des
adresses IP privées, non routables sur Internet, ont besoin de
converser avec des hôtes basés sur Internet dotés d’adresses
IP publiques. Nous reviendrons sur l’adressage IP privé dans
la section suivante, mais les serveurs NAT offrent un service
appréciable et sont présents dans de nombreuses unités de
la périphérie réseau aujourd’hui. Vous aurez
probablement besoin de quelques unités
sur le périmètre ou la périphérie réseau
pour exercer cette fonction NAT.
Souvent, c’est une application proxy qui
joue ce rôle.