Coupe-Feu: Apartia Wall

L'architecture proposée s'appuie sur une machine dite coupe-feu (firewall) dont le rôle est multiple:
  • Centraliser la politique d'accès à Internet et de sécurité pour tout le réseau interne.
  • Assurer l'étanchéité entre intranet et Internet
  • Contrôler et sécuriser l'accès externe au serveurs Web et de messagerie.
  • Permettre le multiplexage d'un seul accès Internet par translation d'adresses (IP masquerading) et/ou proxy-cache.
Le réseau interne continue de fonctionner sur la base de son propre schéma d'adressage IP privé, tandis que le coupe-feu, étant assis à la frontière des deux réseaux (interne et Internet), possède simultanément une adresse privée et une adresse publique Internet.
Bien que relié directement à Internet le réseau interne reste entièrement privé et invisible de l'extérieur. Les machines internes utilisent des adresses non-routables réservées spécifiquement aux réseaux privés par l'IETF (autorité définissant les standards Internet). La seule machine ayant une existence officielle et visible de l'extérieur est le coupe-feu, faisant office de passerelle Internet pour l'ensemble des postes.
Sécurité Statique
La sécurité statique assurée par le coupe-feu consiste à:
  • fermer tous les accès depuis l'extérieur sauf un petit nombre indispensable au service: courrier, Toile, ssh (outil d'administration distante cryptée)
  • pour les paquets entrants des services indispensables pré-cités, vérifier la non-falsification de l'origine, vérifier l'intégrité du contenu;
  • se prémunir contre les attaques DoS (Denial of Service) consistant a surcharger le serveur de fausses requêtes, empêchant ainsi l'utilisateur légitime d'y accéder; dans ce domaine Linux offre une excellent sécurité;
Le coupe-feu peut n'autoriser en provenance de l'extérieur que le minimum de protocoles:
  • ssh (port 22): administration distante cryptée Secure Shell;
  • smtp (port 25): reception de courrier électronique;
  • http (port 80): accès au serveur web;
  • https (port 443): accès au serveur web par lien crypté;
  • pop3s (port 995): consultation sécurisée de messagerie
  • imaps (port 993): consultation sécurisée de messagerie;
Dans cette configuration les utilisateurs ont accès à leur courrier depuis tout poste extérieur au réseau, leur mot de passe de messagerie n'étant jamais transmis en clair. Le responsable du coupe-feu peut accomplir ses tâches d'administration à distance et de façon totalement sécurisée grâce au protocole ssh.