Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
pare-feu [Le 06/04/2012, 09:42] YannUbuntu ancienne révision restaurée |
pare-feu [Le 27/02/2022, 09:01] (Version actuelle) 102.16.42.11 [Voir aussi] |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| + | |||
| {{tag>réseau sécurité }} | {{tag>réseau sécurité }} | ||
| ---- | ---- | ||
| - | ====== Pare-feu informatique ====== | ||
| - | [[wpfr>Pare-feu_%28informatique%29|{{ http://upload.wikimedia.org/wikipedia/commons/3/38/Firewall_%28networking%29.png?300|La métaphore du pare-feu : ce composant sert à isoler les réseaux privés et publics. (Source de l'image : Wikipedia)}}]] | ||
| - | Un **pare-feu** (ou //coupe-feu//, //barrière de sécurité// ou //firewall//), dans le contexte d'un réseau informatique, est un composant essentiel de la sécurité des réseaux informatiques. Son but est de protéger un réseau informatique des intrusions indésirables en filtrant les communications autorisées ou non entre deux réseaux informatiques (généralement dans un contexte domestique : votre réseau privé domestique et le réseau Internet). | + | ====== Pare-feu informatique ====== |
| + | Un [[wpfr>Pare-feu_(informatique)|pare-feu]] (ou coupe-feu, barrière de sécurité ou firewall), dans le contexte d'un réseau informatique, est un composant essentiel de la sécurité des réseaux informatiques. Son but est de protéger un réseau informatique des intrusions indésirables en filtrant les communications autorisées ou non entre deux réseaux informatiques (généralement dans un contexte domestique : votre réseau privé domestique et le réseau Internet). | ||
| + | {{ http://us.cdn1.123rf.com/168nwm/rbhavana/rbhavana1010/rbhavana101000408/8067551-r-seau-informatique-avec-protection-pare-feu.jpg}} | ||
| Le pare-feu pourrait être comparé à un agent de sécurité à l'aéroport. Pour entrer dans votre pays, un visiteur étranger doit passer par un poste-frontière et être contrôlé par un douanier qui, selon des instructions qu'il doit suivre, le laissera passer ou lui fera rebrousser chemin. Pareillement, un habitant de votre pays doit passer un contrôle avant de monter dans un avion vers une destination extérieure ; suite à son contrôle, le voyageur pourra continuer ou non sa route. Le pare-feu joue ce rôle, au niveau informatique : il filtre les connexions qui arrivent dans votre ordinateur et celles qui sortent de votre ordinateur, et bloque celles qui sont indésirables selon ce que vous lui avez paramétré comme politique de sécurité. | Le pare-feu pourrait être comparé à un agent de sécurité à l'aéroport. Pour entrer dans votre pays, un visiteur étranger doit passer par un poste-frontière et être contrôlé par un douanier qui, selon des instructions qu'il doit suivre, le laissera passer ou lui fera rebrousser chemin. Pareillement, un habitant de votre pays doit passer un contrôle avant de monter dans un avion vers une destination extérieure ; suite à son contrôle, le voyageur pourra continuer ou non sa route. Le pare-feu joue ce rôle, au niveau informatique : il filtre les connexions qui arrivent dans votre ordinateur et celles qui sortent de votre ordinateur, et bloque celles qui sont indésirables selon ce que vous lui avez paramétré comme politique de sécurité. | ||
| Un pare-feu se présente essentiellement sous deux formes : | Un pare-feu se présente essentiellement sous deux formes : | ||
| - | * //Logicielle :// un programme qui fonctionne dans votre ordinateur personnel ou de bureau et assure le rôle de filtrage des connexions ; | + | * //Logicielle :// un programme qui fonctionne dans votre ordinateur personnel ou de bureau et assure le rôle de filtrage des connexions. Un pare-feu logiciel doit être installé dans chaque ordinateur ; |
| - | * //Matérielle :// un composant physique de votre réseau domestique qui inclut un logiciel de pare-feu. | + | * //Matérielle :// un composant physique de votre réseau domestique qui inclut un logiciel de pare-feu. Un pare-feu matériel doit être présent une seule fois dans un réseau informatique -- au passage entre un réseau privé et un réseau public. |
| - | ===== Ai-je besoin d'un pare-feu ? ===== | + | |
| - | La réponse à cette question est indéniablement **oui**. Le pare-feu est un composant essentiel de la sécurité de votre réseau domestique ou d'entreprise. Sans celui-ci, vous exposez votre ou vos ordinateurs à des risques de sécurité importants. Cependant, avez-vous réellement besoin d'un pare-feu //logiciel// dans votre système d'exploitation Ubuntu ? | + | |
| - | * La majorité des réseaux domestiques sont aujourd'hui reliés à travers un routeur ou une *box. Or, la plupart des routeurs et *box incluent de base un module de pare-feu. Il est parfois activé d'office ; d'autres fois, vous devez vous-même le mettre en route. Dans ce cas, vous disposez déjà d'un pare-feu matériel. \\ De plus, même si votre *box ou votre routeur ne dispose pas d'un module de pare-feu, la manière selon laquelle fonctionne un routeur ou une *box rend techniquement vos ordinateurs inaccessibles directement depuis Internet.((Cette technique nécessaire pour créer des réseaux privés s'appelle la //transposition d'adresses réseau//, ou //network address translation// (NAT). Les réseaux privés situés derrière un mécanisme de transposition d'adresses ne peuvent être contactés directement par d'autres serveurs dans Internet, à moins que votre propre ordinateur en ait commandé la communication. Donc, un ordinateur situé derrière un routeur ou une *box est techniquement protégé automatiquement grâce à un mécanisme NAT.)) Dans ce cas, une intrusion devient très difficile mais pas totalement impossible. Généralement ce niveau de sécurité suffit sous Linux et donc dans ce cas de figure un pare feu logiciel n'est pas indispensable. | + | |
| - | * Connexion bas débit, Modem USB ou Modem PPPoE (premiers modems ADSL, pratiquement plus utilisés en france, mais encore parfois utilisés à l’étranger).\\ Dans ce seul cas de figure un pare-feu logiciel est absolument **INDISPENSABLE** ! \\ Dans ce genre de situation, tout ordinateur distant aura accès à tous vos services réseau sans aucun problème. Ceci est un risque non négligeable. Par exemple, si vous partagez une imprimante avec le réseau vous partagerez en fait une imprimante avec l'Internet tout entier ! C'est-à-dire que tout le monde pourra imprimer chez vous si vous êtes connecté. Ne jouez donc pas avec le (pare) feu si vous êtes dans cette situation. | + | |
| - | * Dans le cas de réseau d'entreprise, même si le réseau privé est protégé par un pare-feu matériel ou un mécanisme NAT, on souhaitera protéger les postes de travail des possibles bévues des autres postes de travail. On souhaitera sécuriser les postes contre les possibles intrusions indésirables provenant de l'intérieur-même de l'entreprise, des autres ordinateurs connectés au même réseau privé -- ceci est encore plus vrai dans le cas de sous-réseaux sans fil.((Donc la sécurité des partages et services de la machine : en théorie ce pourquoi est réellement fait un pare-feu. Dans un environnement public ou semi-privé tel une entreprise, où il est plus ou moins facile de contrôler qui et comment accède aux ressources réseau (locales et distantes), il vaut mieux protéger ses postes d'utilisateur finaux.)) | + | |
| - | * Enfin, dans un poste de travail mobile (netbook, ordinateur portable, périphérique mobile...) qui se connecte à des réseaux publics, comme celui d'une bibliothèque ou d'une université, même si le réseau privé est protégé par un pare-feu, on souhaitera se prémunir contre les possibles intrusions des autres postes publics.((Tout comme le réseau d'entreprises, il est difficile -- voire impossible -- de contrôler efficacement qui se connecte au même sous-réseau privé (derrière un mécanisme NAT) que vous. Les possibles attaques proviennent donc de la part des possibles pirates qui se connectent dans le même sous-réseau privé que vous.)) Dans ce cas, installer et configurer un pare-feu logiciel dans son système d'exploitation Ubuntu est une bonne idée. | + | |
| - | //À lire aussi : [[http://forum.ubuntu-fr.org/viewtopic.php?id=399418|une discussion sur l'intérêt d'un pare-feu dans Ubuntu]] dans le forum d'Ubuntu-FR.// | ||
| + | ===== Ai-je besoin d'un pare-feu logiciel ? ===== | ||
| + | Le pare-feu est un composant essentiel de la sécurité de votre réseau domestique ou d'entreprise. Sans celui-ci, vous exposez votre ou vos ordinateurs à des risques de sécurité importants. Cependant, avez-vous réellement besoin d'un pare-feu //logiciel// dans votre système d'exploitation Ubuntu ? | ||
| + | === À la maison === | ||
| + | Les deux cas dépeignent les configurations des utilisateurs. Dans ces deux cas, avoir un pare-feu reste conseillé. | ||
| + | == Derrière un routeur domestique ou une *box == | ||
| + | La majorité des réseaux domestiques sont aujourd'hui reliés à travers un routeur ou une *box. Or, la plupart des routeurs et *box incluent de base un module de pare-feu. Il est parfois activé d'office ; pour d'autres, vous devez le mettre en route. Dans le cas où votre routeur inclut un module de pare-feu et que celui-ci est activé, vous n'avez pas réellement besoin d'activer un pare-feu logiciel dans votre système Ubuntu. | ||
| - | ===== Pare-feu par défaut dans Ubuntu ===== | + | De plus, même si votre *box ou votre routeur ne dispose pas d'un module de pare-feu, la manière selon laquelle fonctionne un routeur ou une *box rend techniquement vos ordinateurs inaccessibles directement depuis Internet.((Cette technique, nécessaire pour créer des réseaux privés, s'appelle la //transposition d'adresses réseau et de port//, ou //network address port translation// (NAPT), par abus de langage on parle de NAT. Les réseaux privés situés derrière un mécanisme de transposition d'adresses ne peuvent être contactés directement par d'autres serveurs dans Internet, à moins que votre propre ordinateur ait initié la communication. Donc, un ordinateur situé derrière un routeur ou une *box est techniquement protégé grâce à un mécanisme NAT.)) Une intrusion devient difficile, mais pas totalement impossible. Ce niveau de sécurité suffit généralement à empêcher les intrusions, mais elle ne dispense pas d'avoir un pare-feu activé localement sur l'ordinateur de l'utilisateur. |
| + | == Sans routeur domestique ou sans *box == | ||
| + | Vous êtes dans cette situation lorsque votre ordinateur est relié directement au modem -- connexion par modem téléphonique bas débit, par modem ADSL ou câble branché directement à l'ordinateur (par fil USB ou Ethernet), par une clé d'Internet mobile, par votre téléphone cellulaire (//tethering//)... Dans ce cas, votre ordinateur est directement visible depuis Internet et tout ordinateur distant aura accès à tous vos services réseau s'ils ne sont pas protégés. Par exemple, si vous activez le partage de bureau à distance sans le protéger, quiconque dans Internet peut charger une session de bureau à distance et voir votre bureau ! Ne pas protéger un ordinateur relié directement à Internet est un risque non négligeable. | ||
| - | * Le [[wpfr>Pare-feu_(informatique)|pare-feu]] sous Ubuntu est, comme sous tous les GNU/Linux, [[wpfr>Netfilter]]. \\ A la différence de certains pare-feu applicatifs que l'ont peut rencontrer sous d'autres [[wpfr>Système_d'exploitation|système d'exploitation]] , Netfilter agit directement sur le noyau, ce qui permet une [[http://www.ssi.gouv.fr/fr/menu/actualites/certification-au-titre-de-la-cspn-du-logiciel-netfilter.html|bonne sécurité]]. \\ Netfilter prend en charge l'IPV6 ainsi que le [[wpfr>Netfilter#Connection_Tracking|suivi de connections]] | + | Dans cette situation, il est **indispensable** que vous activiez un pare-feu logiciel dans chacun de vos ordinateurs à la maison. |
| - | * [[:Iptables ]] est son interface de configuration depuis le noyau 2.6 . | + | |
| - | * Sous Ubuntu est aussi installé par défaut [[:ufw|UFW (Uncomplicated FireWall)]] , un logiciel en ligne de commande simplifiant la configuration du pare-feu. \\ | + | |
| - | * UFW peut aussi être contrôlé par une interface graphique ([[:gufw|GUFW (Graphical UFW)]]) ; celle-ci doit être installée séparément. | + | |
| + | === Au bureau === | ||
| + | Dans le cas de réseau d'entreprise, même si le réseau privé est protégé par un pare-feu matériel ou un mécanisme NAT, on souhaitera protéger chacun des postes de travail des possibles bévues des autres postes de l'entreprise. On souhaitera sécuriser les postes contre les possibles intrusions indésirables provenant de l'intérieur-même de l'entreprise, des autres ordinateurs connectés au même réseau privé -- ceci est encore plus vrai dans le cas de sous-réseaux sans fil.((Dans un environnement public ou semi-privé tel une entreprise, il est plus ou moins facile de contrôler qui accède au réseau et comment il accède aux ressources du réseau (locales et distantes). En plus de protéger l'accès au réseau privé depuis un réseau public extérieur, il vaut mieux protéger aussi chacun des postes d'utilisateur finaux offrant un accès à des ressources et services -- ce pour quoi est réellement conçu un pare-feu logiciel.)) | ||
| + | |||
| + | === Sur un réseau public === | ||
| + | Dans un poste de travail mobile (netbook, ordinateur portable, périphérique mobile...) qui se connecte à des réseaux publics, comme celui d'une bibliothèque ou d'une université, même si le réseau privé est protégé par un pare-feu, on souhaitera se prémunir contre les possibles intrusions des autres postes publics.((Tout comme le réseau d'entreprises, il est difficile -- voire impossible -- de contrôler efficacement qui se connecte au même sous-réseau privé (derrière un mécanisme NAT) que vous. Les possibles attaques proviennent donc de la part des possibles pirates qui se connectent dans le même sous-réseau privé que vous.)) Dans ce cas, installer et configurer un pare-feu logiciel dans son système d'exploitation Ubuntu est une bonne idée. | ||
| + | |||
| + | |||
| + | ===== Pare-feu par défaut dans Ubuntu ===== | ||
| + | Ubuntu, comme tous les systèmes GNU/Linux, dispose de base d'un pare-feu logiciel. Celui-ci n'est toutefois pas activé par défaut après l'installation du système. Ubuntu inclut aussi de nombreuses interfaces pour gérer ce pare-feu logiciel. Il s'agit d'un empilement plus ou moins complexe pour lequel l'utilisateur final n'interagit réellement qu'avec les dernières couches: | ||
| + | |||
| + | * Le [[wpfr>Pare-feu_(informatique)|pare-feu logiciel]] sous Ubuntu se nomme [[wpfr>Netfilter]]. À la différence de certains pare-feu logiciels que l'on peut rencontrer sous d'autres [[wpfr>Système_d'exploitation|système d'exploitation]], Netfilter agit directement au niveau du noyau Linux, ce qui permet une [[http://www.ssi.gouv.fr/fr/menu/actualites/certification-au-titre-de-la-cspn-du-logiciel-netfilter.html|bonne sécurité]]. Netfilter prend en charge l'IPV6 ainsi que le [[wpfr>Netfilter#Connection_Tracking|suivi de connexions]]. | ||
| + | * [[:Iptables]] est l'interface de configuration par défaut de Netfilter depuis le noyau Linux 2.6. Son utilisation est néanmoins complexe, fonctionnant uniquement en ligne de commande et requérant des commandes aux structures bien précises. | ||
| + | * Ubuntu introduit donc une interface de configuration plus simple, [[:ufw|Uncomplicated FireWall (UFW)]]. Ce logiciel en ligne de commande propose des options moins avancées que Iptables, mais convient aux configurations simples et générales d'un pare-feu logiciel. | ||
| + | * UFW peut aussi être contrôlé par une interface graphique, [[:gufw|Graphical UFW (GUFW)]]. | ||
| + | =====Voir aussi ===== | ||
| + | * **(fr)** [[https://forum.ubuntu-fr.org/viewtopic.php?id=399418|Une discussion sur l'intérêt d'un pare-feu dans Ubuntu]] dans le forum d'Ubuntu-FR. | ||
| + | * **(fr)** <del>[[http://www.zebulon.fr/outils/scanports/test-securite.php|Tester la sécurité de votre pare-feu]]</del> (lien invalide). | ||
| ---------- | ---------- | ||
| - | === Notes === | + | === Note === |