Article de référence | Réf : TE7702 v1

Étude de cas
Mise en œuvre d’un pare-feu gratuit à base d’IP Filter

Auteur(s) : Laurent LEVIER

Relu et validé le 01 janv. 2023

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais English

RÉSUMÉ

Dans les débuts de l’informatique, les méthodes d’accès se faisaient par des liens directs entre des terminaux et des serveurs « mainframes » centraux. Avec l’avènement d’Internet, de nouveaux risques d’accès vers des systèmes sont apparus sans qu’il soit possible d’empêcher les accès illégitimes. Avec cette nouvelle menace, il est apparu un concept associé visant à réduire ce risque : le pare-feu ou la notion de périmètre. Présent dans de multiples systèmes d’exploitation, IP Filter offre une solution logicielle de pare-feu très complète, performante, utilisable aussi bien pour protéger un serveur qu’un périmètre.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Laurent LEVIER : Certified Information Systems Security Professional (CISSP) - Certified Information Security Manager (CISM) - Officier de sécurité du réseau interne, Équant Télécommunications

INTRODUCTION

Dans les débuts de l’informatique, les méthodes d’accès se faisaient par des liens directs entre des terminaux et des serveurs « mainframes » centraux. À cette époque, les problèmes de sécurité étaient limités car il fallait être physiquement sur un site pour établir une session sur un système.

Avec l’avènement d’Internet, de nouveaux risques d’accès vers des systèmes sont apparus sans qu’il soit possible d’empêcher les accès illégitimes. Avec cette nouvelle menace, il est apparu un concept associé visant à réduire ce risque : le pare-feu ou la notion de périmètre.

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7702


Cet article fait partie de l’offre

Réseaux Télécommunications

(141 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais English

3. Étude de cas

Afin de bien appréhender l’utilisation d’IP Filter dans un environnement technique, nous présentons une situation classique.

Il est possible, si on est un particulier passionné ou un professionnel de petite taille, d’utiliser IP Filter pour offrir un service sur Internet comme une cyberboutique, voire son infrastructure de messagerie comme illustré sur la figure 9.

3.1 Détails de l’architecture

Dans cette architecture, les besoins à satisfaire sont :

  • permettre aux stations de travail (sur le segment 10.0.0.0/24) d’aller sur Internet, mais aussi d’accéder aux machines dans la DMZ en 192.168.250.0/24 pour relever leur courrier ;

  • lorsque les stations de travail surfent sur Internet, leurs flux doivent être redirigés vers un proxy HTTP transparent pour économiser la bande passante et bloquer les sites non autorisés ;

  • il doit être possible depuis Internet de se connecter sur le serveur Web ;

  • tout le courrier envoyé vers l’entreprise (ou le particulier) arrive sur le serveur de messagerie ;

  • il est possible de consulter la messagerie depuis Internet via un protocole POP ou IMAP chiffré en SSL.

HAUT DE PAGE

3.2 Jeu de règles de translation d’IP Filter

Compte tenu que l’on ne dispose que d’une seule adresse IP sur Internet, celle du pare-feu, différentes règles de translation doivent être mises en place :

  • le réseau d’entreprise doit être masqué d’Internet en une seule adresse IP, celle du pare-feu ;

  • les serveurs qui sont accessibles d’Internet doivent pouvoir être atteints par ce réseau à travers l’adresse du pare-feu, nécessitant une translation des ports des services réseaux concernés.

De plus, l’ordre des règles est important car, par exemple, la redirection vers le proxy doit se faire avant la translation d’adresse vers Internet. Le fichier /etc/ipnat.rules pour l’architecture contient alors :

  • Règle de redirection transparente des flux HTTP (uniquement) vers le proxy qui écoute sur le port 8080/TCP. Tout paquet avec une adresse IP source dans le réseau bureautique,...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Réseaux Télécommunications

(141 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Étude de cas
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - REKHTER (Y.), MOSKOWITZ (B.), KARRENBERG (D.) et coll -   Address Location for Private Internets  -  . RFC 1918, IETF (1996).

DANS NOS BASES DOCUMENTAIRES

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Réseaux Télécommunications

(141 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS