Coupe-Feu: Apartia Wall
L'architecture proposée s'appuie sur une machine dite coupe-feu (firewall)
dont le rôle est multiple:
- Centraliser la politique d'accès à Internet et de sécurité pour tout le réseau interne.
- Assurer l'étanchéité entre intranet et Internet
- Contrôler et sécuriser l'accès externe au serveurs Web et de messagerie.
- Permettre le multiplexage d'un seul accès Internet par translation d'adresses (IP masquerading) et/ou proxy-cache.
Le réseau interne continue de fonctionner sur la base de son propre schéma
d'adressage IP privé, tandis que le coupe-feu, étant assis à la frontière des
deux réseaux (interne et Internet), possède simultanément une adresse privée
et une adresse publique Internet.
Bien que relié directement à Internet le réseau interne reste entièrement
privé et invisible de l'extérieur. Les machines internes utilisent des
adresses non-routables réservées spécifiquement aux réseaux privés par l'IETF
(autorité définissant les standards Internet). La seule machine ayant une
existence officielle et visible de l'extérieur est le coupe-feu, faisant
office de passerelle Internet pour l'ensemble des postes.
Sécurité Statique
La sécurité statique assurée par le coupe-feu consiste à:
- fermer tous les accès depuis l'extérieur sauf un petit nombre indispensable au service: courrier, Toile, ssh (outil d'administration distante cryptée)
- pour les paquets entrants des services indispensables pré-cités, vérifier la non-falsification de l'origine, vérifier l'intégrité du contenu;
- se prémunir contre les attaques DoS (Denial of Service) consistant a surcharger le serveur de fausses requêtes, empêchant ainsi l'utilisateur légitime d'y accéder; dans ce domaine Linux offre une excellent sécurité;
Le coupe-feu peut n'autoriser en provenance de l'extérieur que le minimum de
protocoles:
- ssh (port 22): administration distante cryptée Secure Shell;
- smtp (port 25): reception de courrier électronique;
- http (port 80): accès au serveur web;
- https (port 443): accès au serveur web par lien crypté;
- pop3s (port 995): consultation sécurisée de messagerie
- imaps (port 993): consultation sécurisée de messagerie;
Dans cette configuration les utilisateurs ont accès à leur courrier depuis
tout poste extérieur au réseau, leur mot de passe de messagerie n'étant jamais
transmis en clair. Le responsable du coupe-feu peut accomplir ses tâches
d'administration à distance et de façon totalement sécurisée grâce au
protocole ssh.