CHAPITRE 6
Outils pare-feux.
1. Les firewalls de type logiciels.
1.1 Les firewalls Windows payants.
1.2 Les firewalls Windows gratuits.
4. Les firewalls de type matériels .
4.1 La gamme Cisco PIX firewall.
4.5 La gamme Juniper Networks.
1. Les pare-feux de type logiciels.
1.1 Les pare-feux Windows payants 
.
Blocage d'applications : oui
Blocage entrant : oui
Blocage sortant : oui
OS: programme exécutable Win 9x/NT/XP.
Prix : inclut dans Windows.
Un pare-feu performant et peu connu : il bloque les pages web dont le contenu et/ou l'URL contiennent des chaînes de caractères à définir soi-même. Il bloque aussi ( avec options O / ? / N ) au niveau des Mails/Web/News des ActiveX, Cookies, Popups, Referers, Applet Java, Java et VB scripts. Il filtre les attachments des E-mails par ajout d'une extension supplémentaire (ex: *.EXE devient *.EXE.VIR pour éviter un lancement intempestif). Il détecte les attaques Dos et mémorise les DNS. Seuls inconvénients : il n'y a pas de mot-de-passe pour interdire les modifs, ni de mémorisation des logs des différents blocages.
BlackICE Defender est un système anti-pirate de puissance industrielle. Il offre une protection inégalée de votre PC. Il scanne votre ligne DSL, le modem ou il se connecte à Internet en cherchant une activité pirate. Lorsqu'il détecte une tentative d'intrusion, il bloque automatiquement le trafic provenant de cette source, en empêchant les intrus d'accéder à votre système. Le seul hic, c'est qu'il est payant !
Kerio est le petit frère de ZoneAlarm : d'une part parce qu'il lui ressemble,
d'autre part parce qu'il a les mêmes performances. Il bloque toute attaque de
l'extérieur et vous prévient pour que vous choisissiez la meilleure réponse. Il
n'y quasiment aucun réglage à faire : le logiciel est déjà configuré à l'installation.
C'est l'un de mes préférés.
Look'n'Stop est un étonnant petit pare-feu français dont la version "Lite" est gratuite. Il utilise un système
de règles paramétrable par l'utilisateur. La configuration d'origine est
toutefois suffisamment bien conçue pour que les débutants puissent se contenter
de l'installer... sans se poser d'autres questions. Un remarquable logiciel,
très efficace, qui mérite vraiment que l'on s'y intéresse. Il ne consomme pas
(trop) de ressources et constitue un excellent système de défense de base.
Simple à installer, sans configuration spéciale ni installation complexe,
Norton Personal Firewall protège les utilisateurs de PC contre les connexions
non autorisées en provenance et à destination d'Internet. L'utilisateur peut
bloquer les connexions à son PC et empêcher les pirates d'accéder à ses
fichiers personnels, mots de passe, numéros de comptes ou autres données
confidentielles stockées sur le PC. Il détermine quelles applications sont
autorisées à accéder à Internet. Il est averti lorsqu'un programme non
autorisé, comme un cheval de Troie par exemple, tente d'envoyer des
informations en provenance du PC.
Tiny Personal Firewall représente une technologie de sécurité personnelle
facile à utiliser et intelligente qui protège entièrement votre ordinateur des
pirates. Fondé sur la technologie de sécurité certifiée ICSA, c'est également
une part entière du système 'Tiny Software Centrally Managed Desktop Security'
(CMDS) choisi par la force aérienne des Etats-Unis, cette dernière comprenant
approximativement 500 000 ordinateurs. Disponible gratuitement pour un usage
personnel.
Connu anciennement sous le nom de Sybergen Secure Desktop, ce pare-feu gratuit (pour
les particuliers) a suscité des opinions très contradictoires parmi ses
usagers. Certains l'ont déclaré supérieur à ZoneAlarm, alors que d'autres l'ont
accusé de planter régulièrement leur ordinateur et de ne pas repérer certaines
connexions dangereuses. A vous de juger. Sygate paraît néanmoins être un pare-feu raisonnablement
simple et efficace.
Outil essentiel pour les utilisateurs de lignes ADSL et de modem câble car il fournit
une protection solide contre les voleurs, les vandales et les pirates du Net.
La
société Network Associates est l'un des fournisseurs leader sur le marché des
solutions de sécurité et de disponibilité pour les sociétés électroniques.
Network Associates comprend trois groupes de produits: McAfee, qui fournit des
produits anti-virus au niveau mondial; Sniffer Technologies, l'un des leaders
de la gestion de réseaux et d'applications.
Le pare-feu NetBarrier 2003 protège une machine sous Windows et Mac OS des intrusions lors de connexions à l'internet. Il surveille toutes les données entrantes et sortantes de la machine Son mode de protection personnalisé permet de créer ses propres règles de défense, assurant une bonne sécurité.
Kaspersky Internet Security est une solution complète pour protéger un poste informatique des menaces rencontrées sur le Web, qu’il s’agisse de virus, de spam, d’attaques pirates ou de spyware. Le logiciel intègre, entre autres un pare-feu, une surveillance en temps réel des données
(e-mail, trafic Internet et connexions réseaux), un bloqueur de pop-up, un filtre antispam ainsi qu’une protection contre le phishing.
BitDefender Internet Security couvre l’ensemble des besoins de sécurité d’une famille connectée à Internet. Il fournit une protection essentielle contre les virus, spywares, rootkits, spam, scams, tentatives de phishing, intrusions et contenus web indésirables. BitDefender protège en permanence toutes les voies d’accès possibles des virus et codes malveillants (keyloggers, dialers, etc.) y compris via les échanges peer to peer et messageries instantanées.
Panda Antivirus + Firewall 2007 
Il y a de nombreuses fonctionnalités
disponibles sur Panda Antivirus, faisant de ce logiciel une des meilleures
protections disponibles :
Détecte et désinfecte rapidement tous types de virus.
Très facile d'emploi : installez-le et oubliez-le.
Mises à jour automatiques contre les nouvelles menaces virus.
La technologie la plus avancée pour la protection Internet et le courrier
éléctronique.
Le nouveau moteur d'analyse UltraFast : performance maximum et utilisation
minimum des ressources du système.
Technologie SmartClean qui répare tous les dégâts causés à votre machine.
pare-feu de windows XP
Le pare-feu windows XP de connexion Internet bloque certains types de communications réseau potentiellement dangereuses. Cependant, il bloque également certaines tâches de communication réseau utiles (par exemple, le partage de fichiers ou d'imprimantes sur un réseau, le transfert de fichiers dans des applications telles que la messagerie instantanée, ou l'hébergement de jeux multijoueurs). Nous vous conseillons vivement d'utiliser un pare-feu car il vous permet de garantir la sécurité de votre ordinateur.
1.2 Les pare-feux Windows gratuits.
SoftPerfect Personall Firewall
SoftPerfect Personal Firewall est un pare-feu conçu pour protéger un PC des attaques via Internet ou venant d'un réseau local. Il possède un système de filtrage de trafic puissant, basé sur des règles que que l'utilisateur devra définir au préalable. Un mode d'apprentissage est intégré afin d'indiquer la marche à suivre lorsque le programme détecte un paquet inconnu. C’est une aide qui permet de créer des règles personnalisées très rapidement. SoftPerfect Personal Firewall supporte par ailleurs la configuration de multiples adaptateurs réseau. Ceci permet, par exemple, d'appliquer une règle pour une seule connexion par modem ou bien d'appliquer des règles séparées pour chaque interface de système
Filseclab Personal Firewall
Professional
Filseclab Personal Firewall Professional Edition permet de vous protéger contre les attaques les plus courantes, comme les plus poussées. Laissez dehors les virus, chevaux de troie, adwares, spywares, etc. Vous pouvez surveiller l'activité de votre ordinateur en temps réel, créer des règles de connexion à protéger par mot de passe, etc. Un double niveau de sécurité vous est offert. De plus le programme peut se mettre à jour directement depuis son interface.
PeerGuardian est un outil destiné à protéger votre ordinateur lorsqu'il est connecté à un réseau peer-to-peer. Le logiciel est en mesure de bloquer des plages d'adresses IP. Il est possible d'ajouter des listes, d'éditer celles qui sont proposées avec l'application et de les mettre à jour automatiquement.
Jetico Personal Firewall est un outil de protection indispensable lorsque vous naviguez sur Internet. Il vérifie chacun des paquets transitant sur le réseau surveillé afin de détecter l'activité éventuelle de programmes malicieux ou de pirates tentant de s'introduire sur votre machine ! La configuration des pare-feux peut être ajustée manuellement par vos soins, ou bien il est possible d'utiliser des règles de sécurité prédéfinies. Jetico Personal Firewall propose également des rapports et des journaux détaillés sur chacune des connexions suivies.
Protowall est un programme fonctionnant en arrière-plan dont le but est d'empêcher les intrusions malveillantes sur votre ordinateur. L'ensemble des paquets entrant sur votre ordinateur sont analysés par le logiciel puis comparés à une liste de plusieurs milliers d'adresses IP et éventuellement rejetés si l'ordinateur distant figure dans cette liste !
Primedius Firewall Lite
Primedius Firewall prévient les intrusions, arrête les communications non sollicitées par l'utilisateur depuis et vers votre ordinateur. Le programme peut détecter, analyser et afficher n'importe quelle entrée effectuée par Winsock.
AlertWall permet d'empêcher des internautes malveillants de s'introduire sur votre ordinateur et de détruire vos données. Le programme vous avertira si un programme tente d'envoyer ou de recevoir des informations sur Internet. Vous serez également prévenu de toute activité s'apparentant à des chevaux de Troie présents sur votre ordinateur. AlertWall vous demandera comment traiter chaque nouveau processus tentant d'accéder à Internet.
IpTables est une solution complète de pare-feu (noyau 2.4) remplaçant ipchains (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet de faire du firewalling stateful (à états), de la translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses IpTables est fiable et dispose de très nombreuses options qui permettent de faire du filtrage très fin.
Une précision: on parle souvent de « iptables » par abus de langage, alors que le nom du logiciel est « Netfilter ». Netfilter est le module qui fournit à GNU/Linux les fonctions de pare-feu, de partage de connexions internet (NAT) et d'historisation du trafic réseau. iptables est en fait juste l'outil qui permet à un administrateur de configurer Netfilter en mode utilisateur. iptables-restore et iptables-save sont deux commandes associées qui permettent de sauvegarder/restaurer la configuration Netfilter.
Autre pare-feu sous linux.
Bifrost |
Serverdisk
diskette distro
Linux4Geeks
TrinityOS
IPCop
Firewall
BBIagent |
NetBarrier est un pare-feu. Il surveille
donc les portes d’entrée et de sortie des données qui transitent entre votre
Mac et le réseau (local ou Internet). Vous évitez ainsi les intrusions, et
réduisez aussi les risques de voir votre Mac soumis au joug d’un Cheval de
Troie. Ce dernier, une fois installé envoie en toute impunité des données
depuis votre machine ou ouvre les portes de votre Mac au pirate qui l’a envoyé.
Facile à configurer et à utiliser, NetBarrier devrait satisfaire ceux qui ne
veulent pas passer trop de temps à pousser dans ses retranchements le pare-feu
intégré à Mac OS X. Sans compter qu’il joue aussi le rôle de chasseur de
spyware, empêchant ces programmes espions d’élire domicile sur votre Mac.
Blocage d'applications : oui
Blocage entrant : oui
Blocage sortant : oui
nature : programme exécutable Mac
Prix : payant
4. Les pare-feux de type matériels.
4.1 La gamme Cisco PIX firewall.
Origines.
Ce pare-feu a été originellement conçu par Brantley Coile et John Mayes de la société Network Translation Inc. Cette société a été achetée en 1995 par Cisco Systems qui vend maintenant la technologie PIX et continue son développement.
Fig2. La gamme PIX 500.
Cisco FWSM
Lorsque le PIX 6.3 est sorti, Cisco a aussi sorti une version haut de gamme et destinée à être insérée dans un Catalyst 6500 ou un routeur 7600: le Cisco FWSM (FireWall Service Module). Le Cisco FWSM a entre autre, des cartes d'accélération d'access-list.
L'intéret de s'insérer dans un Catalyst est de ne pas être limité en nombre d'interfaces. En fait le FWSM n'a pas une seule interface car ce sont des modules d'interfaces du Catalyst qui fournissent la connectivité.
Cisco ASA / Cisco CSC-SSM.
Depuis début 2005, Cisco a lancé un gamme de boitier (ASA 5510, 5520 et 5540) appelé Cisco ASA pour Adaptive Security Appliance. En effet, ces boîtiers peuvent recevoir une petite carte d'extension appelée Cisco CSC-SSM (Content Security and Control Security Services Module) et capable de faire du filtrage des URL, du filtrage des contenus, de l'anti-phishing et de l'anti-spam. Cette carte d'extension qui est un ordinateur complet fait tourner un Système d'exploitation et un IDS/IPS autonome.
Fig3. La gamme Cisco VPN3000
Versions PIX/ASA
- pre 5.X
ces versions correspondent à la période ou le PIX n'appartenait pas à Cisco.
- 5.X et 6.X
ces versions font suite à une fusion au niveau syntax avec Cisco IOS. Par exemple, les commandes access-list se ressemblent beaucoup.
- 7.X
ce sont les dernières versions qui correspondent avec la sortie des boîtiers Cisco ASA contenant un binaire exactement égal à celui du PIX, mais pour un matériel beaucoup plus récent et puissant. - La flash est maintenant gérée par un File System ce qui permet de manipuler la startup-config.
- La pile SSH accepte le SSH v2 et le SCP (secure copy protocol).
Versions FWSM
- FWSM 1.X ~ PIX 6.3
- FWSM 2.X
- FWSM 3.X ~ PIX 7.X
ce sont les dernières versions qui correspondent avec la réintégration du code de PIX/ASA 7.0 dans le FWSM.
- Appliances UTM FAST360, certifiées Critères communs niveau EAL2+.
Une appliance UTM FAST360 est un boîtier pare-feu produit par la société française Arkoon Network Security.
Les appliances Arkoon FAST360 sont certifiées Critères Communs niveau EAL2+.
Liste des appliances UTM FAST360 .
- A10, A20, A50 (entrée de gamme)
- A200, A500, A800 (milieu de gamme)
- A2000, A5000 (haut de gamme)
A10 Series
A10
Doté de deux interfaces Ethernet, l'A10 offre les fonctions pare-feux, IDPS et VPN
IPSEC avec des débits permettant de supporter jusqu'à 10 utilisateurs et 50
tunnels VPN .
A20 Series
A20
Doté de 3 interfaces Ethernet l’A20 permet la mise en œuvre de l’ensemble des
fonctions de sécurité dont l’antivirus et l’lDPS en ligne. Tirant partie de
l’accélération hardware, la version A20X démultiplie les performances VPN (>
16 Mbits/s en AES).
A50
Series
L’équipement A51 protège le réseau contre tous types de menaces – intrusions,
virus, vers – grâce à l’intégration de l’ensemble des fonctions de sécurité
Arkoon. Le A51 repose sur une plateforme matérielle robuste et rackable (1U).
Il bénéficie, en outre, de 4 ports Ethernet (10/100) et atteint des débits de
filtrage de 150 Mbps ; ce qui confère au A51 une adaptabilité record dans son
segment de marché.
A200
Series
A210
L’appliance A210 propose un excellent rapport sécurité / performance pour les
entreprises souhaitant protéger des réseaux de plusieurs dizaines à quelques
centaines de postes. L’intégration des fonctions de sécurité (pare-feu, IDPS,
antivirus…) combinées à la fonction de VPN IPSEC, permet au A210 de constituer
une excellente solution pour les sites distants des grandes entreprises. Le
A210 se décline dans une version équipée d’une carte accélératrice ASIC VPN
atteignant les 75 Mbps de débit VPN (A210X).
A800
Series
A800
Adapté aux besoins de connectivité et de performance des entreprises. L’A800
propose en nativement 8 ports ethernet et des débits très élevés permettant la
multiplication des DMZ sur des réseaux allant jusqu’à plus de 1000 postes. La
version A800X, intégrant une carte accélératrice ASIC VPN, décuple les
performances VPN IPSEC de l’équipement pour atteindre les 200 Mbps de débit
VPN.
2000 Series .
La famille A2000 Series se décompose en
2 générations d’équipements. Le A2100 et le A2200.
4.3 La gamme Check Point.
FireWall-1 / VPN-1 est une solution logicielle ou hardware de pare-feu édité par Check Point Software Technologies Ltd.. FireWall-1 s'inscrit dans une architecture réseau de type Zone démilitarisée (DMZ). Il se paramètre par un ensemble de règles définissant les protocoles autorisés, les ports et les adresses IP qui peuvent établir des connexions, et il gère des traces permettant de suivre les connexions. Par défaut tout ce qui n'est pas explicitement autorisé est rejeté.
Fig4. La gamme FireWall-1 / VPN-1
4.4 La gamme d’INL.
INL propose des solutions Logiciels Libres aux entreprises et administrations qui cherchent des services et produits fiables et sécurisés.
EdenWall est pare-feu matériel produit par la société INL.
Ses principales caractéristiques sont l'apport de la notion d'authentification a posteriori des flux. L'interface d'administration donc permet de définir des règles de filtrage en fonction des utilisateurs et non pas des adresses IP.
EdenWall est basé sur le projet libre Netfilter et sur NuFW.
4.5 La gamme Juniper Networks.
ScreenOS passe en version 6.0. Le système d'exploitation fournit dans les produits de marque Juniper Networks, est chargé de gérer la sécurité, la détection et la prévention d'intrusion au sein des boîtiers Juniper. Cette nouvelle version gère désormais le trafic réseau de niveau 7, pour un meilleur contrôle des usages applicatifs. Cette nouvelle version est aussi capable de prioriser les flux réseau en fonction des niveaux de services appliqués aux différents services. Enfin, le système d'exploitation établit désormais des recommandations d'actions aux administrateurs de sécurité lors d'une tentative d'intrusion.
Fig5. Juniper Networks NetScreen-5200/5400 Fig6. La gamme utilisant ScreenOS.
Une appliance UTM NetASQ est un boîtier pare-feu produit par la société française NetASQ.
Les appliances UTM NetASQ sont certifiées Critères Communs niveau EAL2+.
Liste des appliances UTM NetASQ.
- F25, F50, et F60 (entrée de gamme).
- F200, F500, F800, et F1200 (milieu de gamme).
- F2500 et F5500 (haut de gamme).
Fig7. la gamme F25, F50, et F60
Fig8. la gamme F200, F500, F800, et F1200
Une appliance StoneGate est un boîtier pare-feu édité par StoneSoft.
NETASQ a développé une gamme complète d''appliances UTM (Unified Threat Management) pour répondre aux besoins de sécurité de toute les structures informatiques.
Liste des appliances StoneGate.
- SG-200, SG-250e, SG-500e (entrée de gamme)
- SG-570e, SG-1100, SG-3000-F/C (milieu de gamme)
- SG-3100 / SG-3100-F, SG-4000 (haut de gamme)
- SGI-20A, SGI-200C, SGI-200S
- SGI-200ANZ, SGI-200N, SGI-2000S
Fig13. la gamme 200 Fig14. la gamme 500 Fig15. la gamme 250
