TCP/IP & sécurité

Préliminaires

La sécurité des hôtes sur un réseau, et donc sur le Net, est un vaste problème.

L'objectif de ce  document n'est certes pas d'être une référence à l'usage des spécialistes, mais plutôt un exposé des connaissances de base qui permettent d'entrevoir les dangers encourus par un utilisateur tel qu'un internaute câblé ou « ADSLisé ».

Mais que risque-t-on ?

Malheureusement beaucoup. TCP/IP n'est pas un modèle de sécurité et de nombreux spécialistes ont mis à jour des trous qui permettent de s'introduire frauduleusement dans les machines des autres. Comme le monde virtuel n'est pas bien différent du monde réel, nous y trouverons aussi des cambrioleurs, des voyeurs, des casseurs etc. avec toutes les nuisances que ça laisse supposer. Il est donc nécessaire de se protéger de ces agresseurs.

Firewall, c'est quoi ça ?

Traduit plus ou moins harmonieusement par « mur pare-feu », les « firewalls » sont normalement des systèmes dédiés à la sécurité d'un réseau.

Dans l'absolu, un firewall devrait être un dispositif informatique qui s'intercale entre le réseau privé et la connexion Internet. Comme c'est lui qui va prendre les coups, il vaut mieux qu'il soit solide et qu'il soit dédié à cette tâche.

Malheureusement, les choses ne sont pas toujours aussi simples et de nombreuses entorses à cette règle basique sont souvent nécessaires.

  • Le coût.
    Installer selon cette règle un firewall pour protéger une machine unique augmente l'investissement dans des proportions considérables (encore qu'un vieux PC type P75 ,16 Mo de RAM, DD de 500Mo et une installation de GNU/Linux bien configurée, ça peut se faire pour pas très cher)
  • Les services.
    On a souvent besoin d'installer des services qui doivent communiquer directement avec le Net (DNS, SMTP, FTP, HTTP) et dans ces cas là, un firewall pur et dur devient un vrai casse tête. On parle alors de DMZ (Zone démilitarisée), sorte de purgatoire un peu protégé dans lequel les serveurs publics jouissent d'une relative sécurité derrière un barrage filtrant, mais non protégés par un firewall plus strict, dont le rôle reste de protéger la partie privée du réseau.

D'autres compromis sont possibles. Le firewall pourra être une machine exposée, donc protégée par des logiciels appropriés, mais elle servira également à d'autres tâches. C'est le cas d'un poste isolé, seulement connecté au Net. C'est aussi le cas de ma configuration où la machine exposée sert également de passerelle pour le réseau privé, de DNS et de relais SMTP.

Finalement, Le firewall apparaît plutôt comme un ensemble de règles de sécurité pour la configuration de la machine, avec un logiciel de filtrage de paquets, un logiciel de surveillance (snort, par exemple sous GNU/Linux), voire un logiciel capable de construire une protection particulière lorsqu'il détecte les prémices d'une intrusion.

D'autres logiciels qui cumulent ces fonctions existent dans le monde Windows. Leur principe reste cependant plus ou moins le même, chaque paquet entrant est vérifié et, s'il correspond à certains critères, est bloqué, tracé, accepté etc.