Sécurité

Pare-feu (Firewall) et NAT expliqués simplement

Qu'est-ce qu'un pare-feu ?

Un pare-feu est un dispositif ou logiciel qui agit comme une barrière entre votre réseau privé
(par exemple, votre réseau domestique ou d'entreprise) et le reste d'Internet.
Son rôle principal est de filtrer le trafic (les données qui entrent et sortent) pour empêcher les
connexions non autorisées tout en permettant les connexions autorisées.

Fonctions principales d'un pare-feu :

1. Filtrage de trafic avec des règles :

o Les administrateurs définissent des règles dans des listes de contrôle d'accès
(ACL, Access Control Lists).
o Chaque paquet de données est vérifié règle par règle pour voir s'il est autorisé
(permit) ou bloqué (deny).
2. Protection du réseau :
o Empêche les connexions non autorisées provenant de l'extérieur.
o Ne permet que les flux qui respectent les règles définies.
3. Sécurisation des points d'accès :
o Configure les accès entre le réseau interne (intranet) et Internet, en limitant les
communications selon les politiques de sécurité.

Le NAT (Network Address Translation)

Le NAT est une technique utilisée par les pare-feu ou les routeurs pour traduire les adresses
IP privées (utilisées à l'intérieur d'un réseau) en adresses IP publiques (utilisées pour
accéder à Internet).
Cela permet d'économiser les adresses IPv4 publiques et d'améliorer la sécurité.

Types de NAT :

1. NAT Statique :
o Chaque appareil du réseau privé (IP privée) est associé à une adresse IP
publique spécifique.
o Exemple :

IP locale : 192.168.1.10 → IP publique : 195.10.10.1

IP locale : 192.168.1.11 → IP publique : 195.10.10.2
 oInconvénient : Nécessite une adresse publique dédiée pour chaque appareil. Si
vous manquez d'adresses publiques, certains appareils ne peuvent pas
communiquer avec l'extérieur.
2. NAT Dynamique :
o Le routeur utilise un pool d'adresses publiques disponibles et les attribue
temporairement aux appareils.
o Exemple :

rust
Copier le code
Pool d'adresses publiques : 195.10.10.1, 195.10.10.2,
195.10.10.3

o Lorsqu'un appareil (par exemple 192.168.1.10) veut accéder à Internet, une

adresse publique libre est attribuée.
o Inconvénient : Si le nombre d'appareils dépasse les adresses disponibles dans
le pool, certains appareils doivent attendre qu'une adresse soit libérée.
3. PAT (Port Address Translation) :
o Permet à plusieurs appareils privés d'utiliser une seule adresse IP publique
en utilisant des numéros de port pour les différencier.
o Exemple :

IP locale 192.168.1.10 avec port 1234 → IP publique

209.201.10.1 avec port 1234
IP locale 192.168.1.11 avec port 5678 → IP publique
209.201.10.1 avec port 5678

o Avantage : Économise les adresses IP publiques tout en assurant la sécurité.

o Inconvénient : Complexité dans la gestion des ports si beaucoup d'appareils
communiquent.

Avantages d'un pare-feu et du NAT :

 Sécurisation des données : Limite les connexions extérieures non autorisées.

 Économie d'adresses IP : Grâce au NAT, un réseau peut fonctionner avec peu
d'adresses IP publiques.
 Masquage des IP privées : Les appareils internes ne sont pas directement visibles sur
Internet.

Inconvénients d'un pare-feu :

1. Connexions autorisées malveillantes :

Un attaquant peut utiliser une connexion légitime pour infiltrer le système.
o Exemple : Une personne télécharge un fichier malveillant sans que le pare-feu
puisse l'empêcher.
 2. Pas de protection interne :
Si une attaque provient de l'intérieur du réseau (par exemple, un employé ou un
appareil infecté), le pare-feu n'est pas utile car il ne surveille pas ce type de trafic.

Conclusion simplifiée :

 Le pare-feu : Bloque ou autorise des connexions selon des règles pour sécuriser votre
réseau.
 Le NAT : Traduit les adresses IP privées en adresses publiques pour permettre la
communication avec Internet, tout en masquant les adresses internes et en
économisant les ressources IPv4.

Catégories de Firewalls – Explication Simplifiée

Les firewalls (pare-feux) sont des outils de sécurité qui protègent les réseaux en surveillant et
contrôlant le trafic entrant et sortant. Voici une présentation simplifiée des trois types
principaux de firewalls étudiés dans ce cours :

1. Firewall à Filtrage de Paquets (Packet Filtering Router)

 Fonctionnement :
o Ce type de firewall examine chaque paquet de données qui traverse le réseau,
en vérifiant certaines informations contenues dans l'en-tête du paquet.
o Il fonctionne au niveau des couches 3 et 4 du modèle OSI (réseau et transport).
o Le filtrage est basé sur des règles définies à l'avance.
 Critères de filtrage :
o Adresse IP source (d'où vient le paquet).
o Adresse IP de destination (où va le paquet).
o Protocole utilisé (TCP, UDP, ICMP, etc.).
o Ports source et destination (numéro d'accès, comme le port 80 pour HTTP).
o Indicateurs TCP (comme SYN, ACK, FIN, utilisés pour établir et terminer des
connexions).
o Type de message ICMP (comme les requêtes ping).
 Caractéristiques :
o Simple et rapide à configurer.
o Permet ou bloque les paquets individuellement selon les règles.
o Ne tient pas compte du contexte ou de l'état des connexions (stateless).
 Exemples de règles :
o Règle 1 : Bloquer tout trafic provenant du réseau interne 192.168.1.0 vers
l'adresse 10.1.1.1.
o Règle 2 : Autoriser uniquement les connexions HTTP (port 80) depuis le
réseau interne 192.168.100.0.
 o Règle 3 : Accepter uniquement le trafic web en réponse provenant de
l'extérieur.

2. Passerelle de Niveau Circuit (Circuit-Level Gateway)

 Fonctionnement :
o Ce firewall travaille à la couche session du modèle OSI, qui gère
l’établissement, la gestion et la terminaison des connexions entre deux hôtes.
o Dans la pile TCP/IP, il agit entre la couche transport (TCP/UDP) et la couche
application.
 Caractéristiques :
o Ne filtre pas les paquets individuellement, mais contrôle les connexions basées
sur des sessions établies.
o Assure que les paquets entrants et sortants appartiennent à des connexions
valides déjà établies.
o Plus sécurisé qu’un simple filtrage de paquets, car il vérifie l'état de la session.
 Avantage principal :
o Fournit un niveau de contrôle supplémentaire pour garantir que seules les
connexions légitimes sont autorisées.
 Exemple pratique :
o Lorsqu’une machine interne initie une connexion avec une machine externe, le
firewall autorise cette session et vérifie tous les paquets liés à cette session
jusqu’à ce qu’elle se termine.

3. Passerelle au Niveau Application (Application-Level Gateway)

 Cette catégorie n’a pas été abordée dans le texte partagé mais est souvent utilisée pour
le filtrage basé sur le contenu des applications (comme les proxys web).

En combinant ces trois types de firewalls, on peut concevoir une stratégie de sécurité robuste
adaptée à différents besoins.
Kerberos Simplifié

Kerberos est un protocole d'authentification réseau qui fonctionne grâce à un système de

clés secrètes et de tickets pour garantir la sécurité des échanges entre différents systèmes ou
utilisateurs sur un réseau.

Pourquoi utiliser Kerberos ?

1. Protéger les données : Il empêche les utilisateurs non autorisés d'accéder aux ressources.
2. Authentification centralisée : Un utilisateur peut se connecter une fois (Single Sign-On) et
accéder à plusieurs services sans avoir à s'authentifier de nouveau.
3. Sécurité renforcée : Les mots de passe ne circulent jamais en clair sur le réseau.

Comment ça fonctionne ?

1. Les Acteurs :

 Client (C) : L'utilisateur ou l'appareil qui veut accéder à un service.

 Serveur (S) : L'entité qui offre le service (exemple : un serveur de fichiers).
 KDC (Key Distribution Center) : L'entité centrale responsable de la gestion des clés et des
tickets. Il est composé de :
o AS (Authentication Server) : Authentifie le client et lui fournit un ticket initial (TGT).
o TGS (Ticket-Granting Server) : Émet des tickets permettant d'accéder à des services
spécifiques.

2. Les Étapes de Kerberos :

1. Authentification Initiale :
o Le client envoie une demande au serveur d’authentification (AS) avec son identité.
o Si le client est reconnu, le AS lui envoie un Ticket Granting Ticket (TGT) et une clé
temporaire pour communiquer avec le TGS.

2. Obtenir un Ticket de Service :

o Le client utilise son TGT pour demander un ticket de service au TGS.
o Le TGS vérifie le TGT et génère un ticket permettant au client d'accéder au service
demandé.

3. Accéder au Service :
o Le client envoie le ticket de service au serveur (S).
o Si le ticket est valide, le serveur autorise l'accès au service.
Résumé Visuel :

1. Client → AS : Demande d’authentification.

2. AS → Client : Envoie un TGT (ticket de session pour le TGS).
3. Client → TGS : Utilise le TGT pour demander un ticket pour un service spécifique.
4. TGS → Client : Fournit un ticket pour le service demandé.
5. Client → Serveur : Utilise le ticket pour accéder au service.

Caractéristiques Clés :

 Clés secrètes : Chaque acteur possède une clé secrète connue uniquement de lui-même et
du KDC.
 Tickets : Des fichiers temporaires qui permettent l’accès sans avoir à réenvoyer des mots de
passe.
 Port UDP 88 : Par défaut, Kerberos communique sur ce port.

Pourquoi est-ce sécurisé ?

 Les mots de passe ne circulent jamais en clair sur le réseau.

 Les tickets ont une durée de vie limitée.
 Les échanges sont chiffrés avec des clés secrètes.
1. Réduction des Frictions Relatives aux Informations

 Problème :
Les institutions financières traitent des volumes massifs de données souvent
fragmentées entre différents systèmes, entraînant des erreurs, des retards et des coûts
élevés.
 Solution avec la Blockchain :
La blockchain permet un accès transparent et en temps réel aux informations
partagées. Toutes les parties disposent d’une copie synchronisée du registre, ce qui
élimine les divergences.

2. Atténuation des Frictions Relatives aux Interactions

 Problème :
Les interactions entre parties impliquent souvent des intermédiaires (comme les
chambres de compensation, les notaires ou les avocats) qui augmentent les coûts et les
délais.
 Solution avec la Blockchain :
Les contrats intelligents (smart contracts) sur la blockchain automatisent les
interactions entre les parties. Ces contrats s’exécutent automatiquement lorsque les
conditions définies sont remplies, éliminant ainsi la nécessité d’un tiers.

3. Atténuation des Frictions Relatives à l’Innovation

 Problème :
Les systèmes financiers traditionnels sont souvent rigides et coûteux à adapter, ce qui
freine l’innovation et l’intégration de nouvelles technologies.
 Solution avec la Blockchain :
La nature modulaire et programmable de la blockchain permet d’ajouter rapidement de
nouvelles fonctionnalités ou services. Elle offre une base flexible pour innover tout en
réduisant les coûts de développement et d’intégration.

Les avantages clés de la démarche Blockchain pour l’entreprise Gains de temps :

Les délais des transactions pour des interactions complexes exigeant de plusieurs parties sont
devenues de quelques minutes, contre des jours ou des semaines auparavant.
Réduction des coûts : La Blockchain réduit les dépenses par la réduction de la supervision,
les intermédiaires et la redondance.
Sécurité plus robuste : les fonctionnalités de la blockchain comme le cryptage et le hachage
protège les données contre les falsifications, les fraudes et les cybercriminalité.
 Aussi la blockchain privée, permet d'ajouter l'autorisation pour protéger contre l'accès
illégitime

Caractéristiques de la Blockchain (bitcoin) La désintermédiation

• La confiance est ici distribuée et ne nécessite plus d’intermédiaire. La
transparence : Tous les utilisateurs peuvent voir les transactions présentaient
passé instantanément La sécurité
• L’hébergement décentralisé la rend résistante aux attaques L’Autonomie
• La puissance de calcul est fournie par les nœuds du réseau et non pas par
une organisation connu