Un guide complet du pare-feu: comment créer un système de réseau sécurisé

complete guide firewall

Un aperçu détaillé du pare-feu avec des exemples classiques:

Nous avons exploré Tout sur les routeurs dans notre tutoriel précédent dans ce Tutoriels de formation en réseau pour tous .

Dans ces systèmes modernes de communication et de réseautage, l'utilisation d'Internet a considérablement évolué dans presque tous les secteurs.

Cette croissance et l'utilisation d'Internet ont apporté plusieurs avantages et facilité la communication quotidienne à des fins personnelles et organisationnelles. Mais d'un autre côté, il est apparu avec des problèmes de sécurité, des problèmes de piratage et d'autres types d'interférences indésirables.

Pour faire face à ces problèmes, un appareil qui devrait avoir la capacité de protéger les PC et les actifs de l'entreprise contre ces problèmes est nécessaire.

Ce que vous apprendrez:

• Introduction au pare-feu
  • Pare-feu logiciel vs matériel
  • Menaces réseau
  • Protection pare-feu
  • Pare-feu et modèle de référence OSI
  • Faire face aux menaces internes
  • DMZ
  • Composants d'un système de pare-feu
    • # 1) Routeur de périmètre
    • # 2) Pare-feu
    • # 3) VPN
    • # 4) IDS
  • Placement des composants
  • Administration et gestion du pare-feu
  • Catégories de pare-feu
    • # 1) Pare-feu de filtrage de paquets
    • # 2) Pare-feu avec état
    • # 3) Pare-feu proxy
  • Types de logiciels pare-feu
    • # 1) Pare-feu Comodo
    • # 2) Pare-feu AVS
    • # 3) Netdefender
    • # 4) PeerBlock
    • # 5) Pare-feu Windows
    • # 6) Pare-feu Juniper
  • Conclusion
  • lecture recommandée

Introduction au pare-feu

Le concept de pare-feu a été introduit pour sécuriser le processus de communication entre différents réseaux.

Un pare-feu est un logiciel ou un périphérique matériel qui examine les données de plusieurs réseaux, puis l'autorise ou le bloque pour communiquer avec votre réseau et ce processus est régi par un ensemble de directives de sécurité prédéfinies.

Dans ce tutoriel, nous explorerons les différents aspects du pare-feu et de ses applications.

Définition:

Un pare-feu est un appareil ou une combinaison de systèmes qui supervise le flux de trafic entre des parties distinctes du réseau.Un pare-feuest utilisé pour protéger le réseau contre les personnes méchantes et interdire leurs actions à des niveaux de limites prédéfinis.

Un pare-feu n'est pas seulement utilisé pour protéger le système contre les menaces extérieures, mais la menace peut également être interne. Par conséquent, nous avons besoin d'une protection à chaque niveau de la hiérarchie des systèmes de réseau.

Un bon pare-feu devrait être suffisant pour faire face aux menaces internes et externes et être capable de gérer les logiciels malveillants tels que les vers en accédant au réseau. Il permet également à votre système d'arrêter de transmettre des données illégales à un autre système.

Par exemple , un pare-feu existe toujours entre un réseau privé et Internet qui est un réseau public et filtre donc les paquets entrant et sortant.

Le pare-feu comme barrière entre Internet et LAN

La sélection d'un pare-feu précis est essentielle pour créer un système de réseau sécurisé.

Le pare-feu fournit l'appareil de sécurité pour autoriser et restreindre le trafic, l'authentification, la traduction d'adresses et la sécurité du contenu.

Il assure une protection 365 * 24 * 7 du réseau contre les pirates. Il s'agit d'un investissement ponctuel pour toute organisation et n'a besoin que de mises à jour opportunes pour fonctionner correctement. En déployant un pare-feu, aucune panique n'est nécessaire en cas d'attaques réseau.

Pare-feu logiciel vs matériel

Exemple de réseau de pare-feu de base

Le pare-feu matériel protège l'ensemble du réseau d'une organisation qui l'utilise des menaces externes uniquement. Dans le cas où un employé de l’organisation est connecté au réseau via son ordinateur portable, il ne peut pas bénéficier de la protection.

D'autre part, le pare-feu logiciel fournit une sécurité basée sur l'hôte lorsque le logiciel est installé sur chacun des périphériques connectés au réseau, protégeant ainsi le système contre les menaces externes et internes. Il est le plus largement utilisé par les utilisateurs mobiles pour protéger numériquement leur téléphone contre les attaques malveillantes.

Menaces réseau

Une liste des menaces réseau est présentée ci-dessous:

• Les vers, le déni de service (DoS) et les chevaux de Troie sont quelques exemples de menaces réseau utilisées pour démolir les systèmes de réseau informatique.
• Le virus du cheval de Troie est une sorte de malware qui exécute une tâche assignée dans le système. Mais en fait, il essayait d'accéder illégalement aux ressources du réseau. Ces virus, s'ils sont injectés dans votre système, donnent au pirate le droit de pirater votre réseau.
• Ce sont des virus très dangereux car ils peuvent même provoquer le plantage de votre PC et peuvent modifier ou supprimer à distance vos données cruciales du système.
• Les vers informatiques sont un type de programme malveillant. Ils consomment la bande passante et la vitesse du réseau pour en transmettre des copies aux autres PC du réseau. Ils endommagent les ordinateurs en corrompant ou en modifiant entièrement la base de données de l'ordinateur.
• Les vers sont très dangereux car ils peuvent détruire les fichiers cryptés et se joindre à des e-mails et ainsi être transmis sur le réseau via Internet.

Protection pare-feu

Dans les petits réseaux, nous pouvons sécuriser chacun de nos périphériques réseau en nous assurant que tous les correctifs logiciels sont installés, que les services indésirables sont désactivés et que les logiciels de sécurité y sont correctement installés.

Dans cette situation, comme le montre également la figure, le logiciel de pare-feu est monté sur chaque machine et serveur et configuré de telle manière que seul le trafic répertorié peut entrer et sortir du périphérique. Mais cela ne fonctionne efficacement que dans les réseaux à petite échelle.

Protection par pare-feu dans un réseau à petite échelle

Dans un réseau à grande échelle, il est presque impossible de configurer manuellement la protection par pare-feu sur chaque nœud.

Le système de sécurité centralisé est une solution pour fournir un réseau sécurisé aux grands réseaux. À l'aide d'un exemple, il est montré dans la figure ci-dessous que la solution de pare-feu est imposée avec le routeur lui-même, et il devient simple de gérer les politiques de sécurité. Les politiques de trafic entrent et sortent dans l'appareil et ne peuvent être gérées que par un seul appareil.

questions et réponses sql pour les expérimentés

Cela rend le système de sécurité global rentable.

Protection par pare-feu dans les grands réseaux

Pare-feu et modèle de référence OSI

Un système de pare-feu peut fonctionner sur cinq couches du modèle de référence OSI-ISO. Mais la plupart d'entre eux ne fonctionnent que sur quatre couches, à savoir la couche de liaison de données, la couche réseau, la couche de transport et les couches d'application.

Le nombre de couches enveloppées par un pare-feu dépend du type de pare-feu utilisé. Plus grand sera le nombre de couches qu'il couvre, plus efficace sera la solution de pare-feu pour faire face à toutes sortes de problèmes de sécurité.

Faire face aux menaces internes

La plupart des attaques sur le réseau se produisent à l'intérieur du système, de sorte que pour gérer son système de pare-feu, il doit également être capable de se protéger des menaces internes.

Quelques types de menaces internes sont décrits ci-dessous:

#1) Les cyberattaques malveillantes sont le type d'attaque interne le plus courant. L'administrateur système ou tout employé du service informatique ayant accès au système réseau peut planter des virus pour voler des informations réseau cruciales ou endommager le système réseau.

La solution pour y faire face est de surveiller les activités de chaque employé et de protéger le réseau interne en utilisant plusieurs couches de mot de passe pour chacun des serveurs. Le système peut également être protégé en donnant accès au système au moins d'employés possible.

#deux) N'importe lequel des ordinateurs hôtes du réseau interne de l'organisation peut télécharger du contenu Internet malveillant sans savoir comment télécharger le virus également avec lui. Ainsi, les systèmes hôtes devraient avoir un accès limité à Internet. Toute navigation inutile doit être bloquée.

# 3) Les fuites d'informations de n'importe quel PC hôte via des clés USB, un disque dur ou un CD-ROM constituent également une menace réseau pour le système. Cela peut conduire à une fuite de base de données cruciale de l'organisation vers le monde extérieur ou ses concurrents. Cela peut être contrôlé en désactivant les ports USB des périphériques hôtes afin qu’ils ne puissent extraire aucune donnée du système.

Lecture recommandée => Principaux outils logiciels de verrouillage USB

DMZ

Une zone démilitarisée (DMZ) est utilisée par la majorité des systèmes de pare-feu pour protéger les actifs et les ressources. Les DMZ sont déployés pour permettre aux utilisateurs externes d'accéder à des ressources telles que les serveurs de messagerie, les serveurs DNS et les pages Web sans découvrir le réseau interne. Il se comporte comme un tampon entre des segments distinctifs du réseau.

Chaque région du système de pare-feu se voit attribuer un niveau de sécurité.

Par exemple , faible, moyen et élevé. Normalement, le trafic passe d'un niveau supérieur à un niveau inférieur. Mais pour que le trafic passe d'un niveau inférieur à un niveau supérieur, un ensemble différent de règles de filtrage est déployé.

Pour permettre au trafic de passer d'un niveau de sécurité inférieur à un niveau de sécurité supérieur, il faut être précis sur le type de trafic autorisé. En étant précis, nous déverrouillons le système de pare-feu uniquement pour ce trafic qui est essentiel, tous les autres types de trafic seront bloqués par configuration.

Un pare-feu est déployé pour séparer les parties distinctes du réseau.

Les différentes interfaces sont les suivantes:

• Lien vers Internet, attribué avec le niveau de sécurité le plus bas.
• Un lien vers DMZ a attribué une sécurité moyenne en raison de la présence de serveurs.
• Un lien vers l'organisation, situé à l'extrémité distante, affecté de sécurité moyenne.
• La sécurité la plus élevée est attribuée au réseau interne.

Protection par pare-feu avec DMS

Les règles attribuées à l'organisation sont:

• L'accès de haut en bas est autorisé
• L'accès de bas à haut niveau n'est pas autorisé
• Accès de niveau équivalent également non autorisé

En utilisant l'ensemble de règles ci-dessus, le trafic autorisé à passer automatiquement à travers le pare-feu est:

• Périphériques internes vers DMZ, organisation distante et Internet.
• DMZ à l'organisation distante et à Internet.

Tout autre type de flux de trafic est bloqué. L'avantage d'une telle conception est qu'étant donné qu'Internet et l'organisation distante se voient attribuer le même type de niveaux de sécurité, le trafic d'Internet ne peut pas se diriger vers l'organisation qui elle-même améliore la protection et l'organisation ne pourra pas utiliser Internet gratuitement. (cela économise de l'argent).

Un autre avantage est qu'il fournit une sécurité en couches, donc si un pirate veut pirater les ressources internes, il doit d'abord pirater la DMZ. La tâche du pirate devient plus difficile, ce qui rend le système beaucoup plus sécurisé.

Composants d'un système de pare-feu

Les éléments constitutifs d'un bon système de pare-feu sont les suivants:

• Routeur de périmètre
• Pare-feu
• VPN
• IDS

# 1) Routeur de périmètre

La principale raison de son utilisation est de fournir un lien vers le système de réseau public comme Internet ou une organisation distincte. Il effectue le routage des paquets de données en suivant un protocole de routage approprié.

Il prévoit également le filtrage des paquets et des traductions d'adresses.

# 2) Pare-feu

Comme indiqué précédemment, sa tâche principale est également de fournir des niveaux de sécurité distincts et de superviser le trafic entre chaque niveau. La plupart des pare-feu existent à proximité du routeur pour assurer la sécurité contre les menaces externes, mais parfois présents dans le réseau interne également pour se protéger des attaques internes.

# 3) VPN

Sa fonction est de fournir une connexion sécurisée entre deux machines ou réseaux ou une machine et un réseau. Cela comprend le cryptage, l'authentification et l'assurance de la fiabilité des paquets. Il fournit l'accès à distance sécurisé au réseau, connectant ainsi deux réseaux WAN sur la même plate-forme sans être physiquement connectés.

# 4) IDS

Sa fonction est d'identifier, d'empêcher, d'enquêter et de résoudre les attaques non autorisées. Un pirate informatique peut attaquer le réseau de différentes manières. Il peut exécuter une attaque DoS ou une attaque depuis l'arrière du réseau via un accès non autorisé. Une solution IDS doit être suffisamment intelligente pour faire face à ces types d'attaques.

Solution IDS est de deux types, basé sur le réseau et basé sur l'hôte. Une solution IDS basée sur le réseau doit être qualifiée de telle manière chaque fois qu'une attaque est détectée, peut accéder au système de pare-feu et, après s'être connectée, peut configurer un filtre efficace qui peut limiter le trafic indésirable.

Une solution IDS basée sur l'hôte est un type de logiciel qui s'exécute sur un périphérique hôte tel qu'un ordinateur portable ou un serveur, qui détecte la menace uniquement contre ce périphérique. La solution IDS doit inspecter de près les menaces réseau et les signaler en temps opportun et prendre les mesures nécessaires contre les attaques.

Placement des composants

Nous avons discuté de quelques-uns des principaux éléments constitutifs du système de pare-feu. Voyons maintenant l'emplacement de ces composants.

Ci-dessous à l'aide d'un exemple, j'illustre la conception du réseau. Mais on ne peut pas dire complètement qu’il s’agit de la conception globale du réseau sécurisé, car chaque conception peut avoir des contraintes.

Le routeur de périmètre ayant des fonctionnalités de filtrage fondamentales est utilisé lorsque le trafic pénètre dans le réseau. Un composant IDS est placé pour identifier les attaques que le routeur de périmètre n'a pas pu filtrer.

Le trafic passe ainsi par le pare-feu. Le pare-feu a initié trois niveaux de sécurité, faible pour Internet signifie côté externe, moyen pour DMZ et élevé pour le réseau interne. La règle suivie est d'autoriser le trafic d'Internet vers le serveur Web uniquement.

Le reste du flux de trafic du côté inférieur au côté supérieur est limité, cependant, le flux de trafic supérieur à inférieur est autorisé, de sorte que l'administrateur résidant sur le réseau interne pour se connecter au serveur DMZ.

Exemple de conception de système de pare-feu global

Un routeur interne est également implémenté dans cette conception pour acheminer les paquets en interne et effectuer des actions de filtrage.

L'avantage de cette conception est qu'elle possède trois couches de sécurité, le routeur de périmètre de filtrage des paquets, l'IDS et le pare-feu.

L’inconvénient de cette configuration est qu’aucun IDS n’a lieu dans le réseau interne et ne peut donc pas facilement empêcher les attaques internes.

Faits importants sur la conception:

• Un pare-feu filtrant les paquets doit être utilisé à la limite du réseau pour améliorer la sécurité.
• Chaque serveur ayant une exposition à un réseau public tel qu'Internet sera placé en DMZ. Les serveurs disposant de données cruciales seront équipés d'un logiciel de pare-feu basé sur l'hôte. En plus de ceux-ci sur les serveurs, tous les services indésirables doivent être désactivés.
• Si votre réseau possède des serveurs de base de données critiques tels que le serveur HLR, IN et SGSN qui sont utilisés dans les opérations mobiles, plusieurs DMZ seront déployés.
• Si des sources externes telles que des organisations distantes souhaitent accéder à votre serveur placé dans un réseau interne de système de sécurité, utilisez VPN.
• Pour les sources internes cruciales, telles que la R&D ou les sources financières, IDS doit être utilisé pour surveiller et traiter les attaques internes. En imposant des niveaux de sécurité séparément, une sécurité supplémentaire peut être fournie au réseau interne.
• Pour les services de messagerie, tous les e-mails sortants doivent d'abord passer par le serveur de messagerie DMZ, puis par un logiciel de sécurité supplémentaire afin d'éviter les menaces internes.
• Pour les e-mails entrants, en plus du serveur DMZ, un antivirus, un spam et un logiciel basé sur l'hôte doivent être installés et exécutés sur le serveur chaque fois qu'un e-mail entre sur le serveur.

Administration et gestion du pare-feu

Nous avons maintenant choisi les éléments de base de notre système de pare-feu. Le moment est maintenant venu de configurer les règles de sécurité sur un système réseau.

L'interface de ligne de commande (CLI) et l'interface utilisateur graphique (GUI) sont utilisées pour configurer le logiciel de pare-feu. Par exemple , Les produits Cisco prennent en charge les deux types de méthodes de configuration.

fichiers jar requis pour le pilote Web sélénium

De nos jours, dans la plupart des réseaux, le gestionnaire de périphériques de sécurité (SDM), qui est également un produit de Cisco, est utilisé pour configurer les routeurs, les pare-feu et les attributs VPN.

Pour mettre en œuvre un système de pare-feu, une administration efficace est très essentielle pour exécuter le processus en douceur. Les personnes qui gèrent le système de sécurité doivent maîtriser leur travail car il n'y a pas de risque d'erreur humaine.

Tout type d'erreur de configuration doit être évité. Chaque fois que des mises à jour de configuration seront effectuées, l'administrateur doit examiner et revérifier l'ensemble du processus afin de ne laisser aucune place aux failles et aux pirates pour l'attaquer. L'administrateur doit utiliser un outil logiciel pour examiner les modifications effectuées.

Tout changement majeur de configuration dans les systèmes de pare-feu ne peut pas être directement appliqué aux grands réseaux en cours, car un échec peut entraîner une perte importante du réseau et permettre directement au trafic indésirable d'entrer dans le système. Ainsi, tout d'abord, il doit être effectué en laboratoire et examiner les résultats si les résultats sont corrects, nous pouvons alors implémenter les changements dans le réseau en direct.

Catégories de pare-feu

Sur la base du filtrage du trafic, il existe de nombreuses catégories de pare-feu, certaines sont expliquées ci-dessous:

# 1) Pare-feu de filtrage de paquets

C'est une sorte de routeur qui a la capacité de filtrer quelques-uns de la substance des paquets de données. Lors de l'utilisation du filtrage de paquets, les règles sont classées sur le pare-feu. Ces règles déterminent à partir des paquets quel trafic est autorisé et lequel ne l'est pas.

# 2) Pare-feu avec état

Il est également appelé filtrage dynamique de paquets, il inspecte l'état des connexions actives et utilise ces données pour savoir lesquels des paquets devraient être autorisés à travers le pare-feu et lesquels ne le sont pas.

Le pare-feu inspecte le paquet jusqu'à la couche application. En traçant les données de session telles que l'adresse IP et le numéro de port du paquet de données, il peut fournir une sécurité renforcée au réseau.

Il inspecte également le trafic entrant et sortant, de sorte que les pirates ont eu du mal à interférer dans le réseau en utilisant ce pare-feu.

# 3) Pare-feu proxy

Ils sont également appelés pare-feu de passerelle d'application. Le pare-feu avec état ne peut pas protéger le système contre les attaques basées sur HTTP. Par conséquent, un pare-feu proxy est introduit sur le marché.

Il comprend les fonctionnalités d'inspection avec état et la capacité d'analyser étroitement les protocoles de la couche application.

Ainsi, il peut surveiller le trafic de HTTP et FTP et découvrir la possibilité d'attaques. Ainsi, le pare-feu se comporte comme un proxy signifie que le client initie une connexion avec le pare-feu et le pare-feu en retour initie une liaison solo avec le serveur côté client.

Types de logiciels pare-feu

Les quelques-uns des logiciels de pare-feu les plus populaires que les organisations utilisent pour protéger leurs systèmes sont mentionnés ci-dessous:

# 1) Pare-feu Comodo

La navigation Internet virtuelle, pour bloquer les publicités pop-up indésirables et la personnalisation des serveurs DNS sont les caractéristiques communes de ce pare-feu. Virtual Kiosk est utilisé pour bloquer certaines procédures et programmes en prenant la fuite et en pénétrant le réseau.

Dans ce pare-feu, en plus de suivre le long processus de définition des ports et d'autres programmes à autoriser et à bloquer, tout programme peut être autorisé et bloqué en recherchant simplement le programme et en cliquant sur la sortie souhaitée.

Comodo killswitch est également une fonctionnalité améliorée de ce pare-feu qui illustre tous les processus en cours et permet de bloquer très facilement tout programme indésirable.

# 2) Pare-feu AVS

C'est très simple à mettre en œuvre. Il protège votre système contre les modifications de registre désagréables, les fenêtres pop-up et les publicités indésirables. Nous pouvons également modifier les URL des annonces à tout moment et les bloquer également.

Il possède également la fonctionnalité d'un contrôle Parent, qui permet uniquement d'accéder à un groupe précis de sites Web.

Il est utilisé sous Windows 8, 7, Vista et XP.

# 3) Netdefender

Ici, nous pouvons facilement décrire l'adresse IP source et de destination, le numéro de port et le protocole qui sont autorisés et non autorisés dans le système. Nous pouvons autoriser et bloquer le déploiement et la restriction de FTP dans n'importe quel réseau.

Il dispose également d'un scanner de port, qui peut visualiser ce qui peut être utilisé pour le flux de trafic.

# 4) PeerBlock

Malgré le blocage de la classe individuelle de programmes définie dans l'ordinateur, il bloque la classe globale des adresses IP dans une catégorie particulière.

Il déploie cette fonctionnalité en bloquant à la fois le trafic entrant et sortant en définissant un ensemble d'adresses IP interdites. Par conséquent, le réseau ou l'ordinateur utilisant cet ensemble d'adresses IP ne peuvent pas accéder au réseau et le réseau interne ne peut pas non plus envoyer le trafic sortant vers ces programmes bloqués.

# 5) Pare-feu Windows

Le pare-feu le plus fréquemment utilisé par les utilisateurs de Windows 7 est ce pare-feu. Il prévoit l'accès et la restriction du trafic et de la communication entre les réseaux ou un réseau ou un appareil en analysant l'adresse IP et le numéro de port. Il autorise par défaut tout le trafic sortant mais n'autorise que le trafic entrant défini.

# 6) Pare-feu Juniper

Le genévrier en lui-même une organisation réseau et conçoit divers types de routeurs et de filtres pare-feu également. Dans un réseau en direct comme les fournisseurs de services mobiles, Juniper utilise des pare-feu pour protéger leurs services réseau contre différents types de menaces.

Ils protègent les routeurs réseau et le trafic entrant supplémentaire et les attaques non réceptives provenant de sources externes qui peuvent interrompre les services réseau et gérer le trafic à transférer depuis quelle interface de routeur.

Il implémente un filtre pare-feu d'entrée et un filtre de sortie pour chacune des interfaces physiques entrantes et sortantes. Cela filtre les paquets de données indésirables en suivant les règles définies aux interfaces entrantes et sortantes.

Selon les paramètres de configuration par défaut du pare-feu, les paquets à accepter et à rejeter sont décidés.

Conclusion

À partir de la description ci-dessus des différents aspects du pare-feu, nous conclurons que pour surmonter les attaques de réseau externe et interne, le concept de pare-feu a été introduit.

Le pare-feu peut être un matériel ou un logiciel qui, en suivant un certain ensemble de règles, protégera notre système de réseau contre le virus et d'autres types d'attaques malveillantes.

Nous avons également exploré ici les différentes catégories de pare-feu, les composants du pare-feu, la conception et la mise en œuvre d'un pare-feu, puis certains des célèbres logiciels de pare-feu que nous avons utilisés pour déployer dans l'industrie des réseaux.

Tutoriel PREV | Tutoriel SUIVANT

lecture recommandée

• LAN Vs WAN Vs MAN: différence exacte entre les types de réseau
• Modèle TCP / IP avec différentes couches
• Tout sur les routeurs: types de routeurs, table de routage et routage IP
• Tout sur les commutateurs de couche 2 et 3 dans un système de réseau
• Guide du masque de sous-réseau (sous-réseau) et du calculateur de sous-réseau IP
• Qu'est-ce que le réseau étendu (WAN): Exemples de réseaux WAN en direct
• Protocoles importants de la couche application: protocoles DNS, FTP, SMTP et MIME
• IPv4 vs IPv6: quelle est la différence exacte