Les pratiques

LES PARE-FEU

Les pratiques informatiques

Nous introduisons ces équipements réseau car ils deviennent de plus en plus nécessaires dans les réseaux d'aujourd'hui, même pour un particulier dès lors qu'il se rattache à Internet.

Équipements réseaux : les pare-feu

Un pare-feu, ou coupe-feu ou encore firewall, est, comme son som l'indique, un équipement dont l'objectif est de séparer le monde extérieur du monde intérieur à protéger. Son rôle est de ne laisser entrer que les paquets dont l'entreprise est sûre qu'ils ne posent pas de problème.

Les pare-feu offrent de nombreuses fonctions, dont la principale est de trier ce qui entre ou ce qui sort et de décider d'une action lorsque la reconnaissance a été effectuée. Les actions peuvent aller du rejet du paquet, à sa compression-décompression, en passant par son examen par un antivirus, son ralentissement, son accélération, etc.

Divers moyens sont mis en œuvre pour reconnaître un paquet et plus généralement le flot, comme la reconnaissance de l'application qui transite par le coupe-feu, l'adresse de destination ou l'adresse source, la machine et l'application sur laquelle le distant veut se connecter, etc.

Les pare-feu se distinguent par le niveau auquel ils travaillent. En règle générale, ils sont de niveau 4, ou message : on essaie de trouver dans le message de niveau TCP un moyen de reconnaître l'application. Les utilisateurs se différencient par leurs adresses sources et destination mais surtout, dans la première génération, par le numéro de port, qui indique l'application en cours. Par exemple, le port 80 indique une application HTTP. Cependant, les numéros de port sont de moins en moins fiables car les attaquants se servent des ports ouverts et souvent du port 80 en utilisant le protocole HTTP comme d'une capsule dans laquelle ils intègrent leur message. Le concept de numéro de port est introduit notamment pour IP et TCP.

L'utilisation de numéro de port est assez restrictive, dans la mesure où de plus en plus d'applications possèdent des ports dynamiques, comme FTP, la plupart des applications P2P (Peer-to-Peer) ou les signalisations téléphoniques. De plus, deux clients peuvent déterminer entre eux un numéro de port sur lequel ils souhaitent communiquer.

L'évolution des pare-feu a consisté à monter dans les couches de protocoles de façon à atteindre la couche application afin de pouvoir déterminer l'application en cours. On appelle pare-feu applicatif, ou pare-feu de niveau 7, les pare-feu qui sont capables de distinguer clairement les applications. Si le reproche longtemps adressé aux pare-feu était de prendre beaucoup de temps et de ne pas être capable de déterminer les applications au fil de l'eau, cela n'est plus vrai aujourd'hui. Les produits de pare-feu applicatifs introduits sur le marché depuis quelque temps ne prennent pas plus de temps que la plupart des équipements réseau rencontrés dans le monde IP. Nous pouvons citer le cas du boîtier QoSMOS, qui est capable de filtrer et de déterminer les applications dans un laps de temps très court, de telle sorte que la sortie des paquets n'est retardée que d'un temps maximal égal au temps de traversée d'un routeur courant.

Le pare-feu s'installe souvent dans un boîtier dédié pour simplifier sa mise en oeuvre, mais il peut également se trouver en différents points du réseau, allant du routeur au commutateur, en passant par un serveur spécialisé ou le poste client.

Temps de service

Le temps de service, encore appelé service schedule, indique les temps de début et de fin de service. Ce paramètre spécifie le temps pendant lequel la QoS négociée doit être garantie. Le temps de service peut être l'instant précis du début et le temps précis de la fin du service. Le temps de service peut aussi être déterminé par des horaires périodiques spécifiés par l'heure du jour, le jour de la semaine, la date du mois et le mois de l'année.

Paramètres d'un SLS de QoS
Scope

Le scope est défini comme le point d'entrée et le point de sortie d'un domaine, par exemple, l'interface du routeur d'entrée par lequel le trafic entre dans le domaine et l'interface du routeur de sortie par lequel le trafic sort du domaine.

Paramètres d'un SLS de QoS
Paramètres de QoS
Les paramètres de QoS suivants sont définis :
- Délai. Délai de transmission d'un paquet IP entre le point d'entrée et le point de sortie du domaine.
- Gigue. Variation du délai de transmission des paquets IP entre le point d'entrée et le point de sortie du domaine.
- Taux de perte. Pourcentage des paquets perdus pendant la transmission des paquets IP entre le point d'entrée et le point de sortie du domaine.
- Débit. Nombre de paquets par seconde sur une interface.
Paramètres d'un SLS de QoS
Profil du trafic
Le profil du trafic, aussi appelé descripteur du trafic, est défini par les paramètres suivants :
- paramètres du token-bucket utilisé pour identifier les paquets dans le profil et hors profil ;
- taille maximale du paquet (MTU) ;
- taille minimale du paquet ;
- débit moyen et débit crête.
Paramètres d'un SLS de QoS
Traitement en excès
Le traitement en excès spécifie le traitement que le réseau applique aux paquets hors profil. Ce paramètre peut avoir les valeurs suivantes :
- Dropping. Le réseau jette les paquets hors profil.
- Shaping. Le réseau lisse les paquets hors profil pour les mettre dans le profil (in-profile).
- Remarking. Le réseau marque les paquets hors profil pour modifier la classe de service de ces paquets ou pour qu'ils puissent être rejetés avec une probabilité plus grande en cas de congestion.
Paramètres d'un SLS de QoS
Identification du trafic
L'identification du trafic, ou Flow Identification, est définie par les paramètres suivants :
- adresse IP de la source et de la destination ;
- numéro de port TCP ou UDP de la source et de la destination ;
- identification de protocole ;
- valeur du DSCP ;
- valeur de l'identificateur de flot (flow-label).
Paramètres d'un SLS de QoS
Identification du client

L'identification du client est utilisée pour les fonctions AAA (Authentification, Authorization, Accounting).

Paramètres d'un SLS de QoS
Marquage

Le paramètre de marquage spécifie la priorité qui est donnée aux paquets.

Paramètres d'un SLS de QoS
Mode de négociation

Le mode de négociation définit la manière avec laquelle la négociation est appliquée. En règle générale, il y a deux modes de négociation, le mode prédéfini (predefined-SLS mode) et le mode non prédéfini (non-predefined-SLS mode). Dans le mode non prédéfini, il n'y a pas de contrainte sur les valeurs des paramètres de SLS envoyées par le client. Dans le mode prédéfini, le fournisseur de service propose aux clients des SLS avec des paramètres à une valeur ou une plage de valeurs déterminées à l'avance. Dans ce cas, le client doit choisir le SLS le plus approprié à ses besoins.

Paramètres d'un SLS de QoS
Intervalle de renégociation

L'intervalle de renégociation spécifie l'intervalle de temps pendant lequel un SLS négocié ne peut être renégocié.

Paramètres d'un SLS de QoS
Fiabilité
La fiabilité est définie par deux paramètres principaux :
- Le temps d'indisponibilité moyen du réseau par an (Mean Down Time).
- Le temps maximal de réparation (Time To Repair) lorsque le service tombe en panne.
Paramètres d'un SLS de QoS