Un firewall, également désigné par l'expression pare-feu est un dispositif logiciel ou matériel qui filtre le flux de données sur un réseau informatique. Il est parfois appelé coupe-feu.
L'origine du terme pare-feu se trouve au théâtre. Le pare-feu ou coupe-feu est un mécanisme qui permet, une fois déclenché, d'éviter au feu de se propager de la salle vers la scène. En informatique un firewall (pare-feu) est donc une allégorie d'une porte empéchant le feu d'internet de rentrer chez vous.
Un firewall contient un ensemble de règles prédéfinies permettant :
Ces règles permettent de mettre en oeuvre un filtrage dépendant de la politique de sécurité adoptée. Deux types de politiques de sécurité sont les plus répandues :
La première méthode est la plus sûre par , mais elle impose une définition précise des besoins de connexions (quels logiciels, quelles adresses IP, quels ports, quelle direction, etc).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à des services courants (le port 21 est par exemple associés au transfert de fichiers ftp, et le port 80 au surf). Il est conseillé de bloquer tous les ports qui ne sont pas indispensables.
Le port 23 est par exemple souvent bloqué par défaut par les firewalls car il correspond au protocole Telnet, permettant sous certaines conditions de pouvoir exécuter des commandes à distance.
Le filtrage dynamique de paquets
Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, or la plupart des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d'assurer le bon déroulement des échanges. En outre, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente.
Pour traiter ce type de situation, le système de filtrage dynamique de paquets permet d'effectuer un suivi des transactions entre votre PC et le serveur. Le terme anglais est « stateful packet filtering » (« filtrage de paquets avec état »).
Un firewall de type « stateful packet filtering » est ainsi capable d'assurer un suivi des échanges, c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. Mais si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant de l'exploitation des failles applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités représentent la part la plus importante des risques en terme de sécurité.
Le filtrage applicatif
Le filtrage applicatif permet de bloquer ou d'autoriser les communications application par application. Un firewall effectuant un filtrage applicatif est appelé généralement « proxy », car il sert de relais entre deux réseaux en s'interposant et en effectuant une validation fine du contenu des paquets échangés. Le proxy, qui n'est pas forcemment une machine réelle comme un PC mais plutôt un logiciel, représente donc un intermédiaire entre votre PC et le réseau externe, et il subit les attaques à votre place.
Il s'agit d'un dispositif performant, assurant une bonne protection. En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul et peut se traduire par un ralentissement des communications, chaque paquet devant être finement analysé.
La solution Neuf
Le firewall que propose Neuf dans le pack Sécurité est celui que fourni F-Secure. il repose sur le mode "Tout ce qui n'est pas explicitement autorisé est interdit" ; et il est de type "stateful packet filtering" et permet le filtrage applicatif.