LEBIGDATA.FR I.A, Cloud & Cybersécurité
Le firewall est considéré comme la pierre angulaire de la sécurité des réseaux depuis les débuts d'Internet. Excellent moyen pour se protéger contre les menaces réseau, les pare-feu proposent toujours plus de fonctionnalités mais possèdent également des limites. Voici l'essentiel des informations à connaitre concernant l'utilisation d'un firewall.
Piratage, violation d'accès ou déni de service, les menaces qui ciblent les réseaux informatiques sont nombreuses. La protection et la sécurisation des données sont donc devenues les maîtres-mots de la cybersécurité.
Les pare-feu ont leur rôle à jouer dans la lutte contre les cybermenaces. Mais en réalité, qu'est-ce qu'un firewall et que peut-il apporter aux particuliers et aux organisations ? La réponse dans notre dossier.
Qu'est-ce qu'un firewall ?
Un pare-feu ou firewall est un logiciel ou un matériel qui permet de définir une politique de sécurité pour un réseau informatique. Le pare-feu bloque l'accès non autorisé à un réseau et contrôle les communications entrantes et sortantes à l'aide d'un ensemble de règles de sécurité.
Depuis plus de 25 ans, le pare-feu est un des piliers de la sécurité d'un réseau informatique. En effet, il permet d'établir une barrière de protection entre les réseaux fiables et les réseaux externes moins sécurisés, à l'instar d'Internet. Le firewall offre donc une protection contre les menaces pour les ordinateurs personnels ou tout autre système informatique.
Les pare-feu sont utilisés à la fois par les entreprises et par les particuliers. Ils sont par ailleurs disponibles sur différents appareils et sont directement intégrés aux systèmes d'exploitation traditionnels comme Windows, Mac ou Linux.
Pourquoi utiliser un firewall ?
Le firewall joue un rôle important dans la sécurité informatique des organisations modernes. En effet, un firewall peut être utilisé avec différents dispositifs de cybersécurité afin de créer une solution SIEM pour le système informatique existant.
Le pare-feu sera donc déployé à la périphérie du réseau pour se protéger des menaces qui viennent de l'extérieur. Il pourra aussi se déployer à l'intérieur même du réseau pour prévenir les menaces internes.
Par ailleurs, le firewall offre également des fonctionnalités de journalisation et d'audit qui seront utiles aux administrateurs du réseau. En effet, les ingénieurs système pourront se baser sur le journal d'événements pour identifier les patterns et améliorer les règles de sécurité du réseau. Il est en effet nécessaire de faire évoluer ces règles en fonction de la complexité croissante des cybermenaces.
Pour le cas des particuliers, le firewall peut être utilisé pour filtrer le trafic et servir de système d'alerte aux intrusions. Les firewalls sont alors particulièrement efficaces lorsqu'ils sont appliqués aux réseaux qui disposent d'un modem toujours actif (connexion permanente). Ces réseaux utilisent en effet des IP statiques et permettent au pare-feu de fonctionner avec un antivirus.
Quels sont les différents types de pare-feu ?
Il est possible de classer les pare-feu en fonction des données qu'ils filtrent et en fonction des systèmes qu'ils protègent. Dans ce dernier cas, il existe deux catégories de firewall :
- Les pare-feu basés sur le réseau.
- Les firewalls basés sur l'hôte.
Les pare-feu basés sur le réseau filtrent le trafic qui provient d'Internet en direction d'un réseau sécurisé ou vice-versa. Ces types de firewalls sont le plus souvent des matériels et permettent la protection d'un réseau entier.
Les firewalls basés sur l'hôte sont quant à eux des logiciels ou des suites de logiciels qui sont installés sur un ordinateur unique. Ces types de pare-feu protègent donc un seul appareil, l‘hôte.
Les principaux types de pare-feu classés par méthode de filtrage sont les suivants.
Pare-feu de filtrage des paquets
Un pare-feu de filtrage permet de bloquer les paquets qui ne respectent pas les règles du firewall. En effet, lorsqu'un paquet traverse le pare-feu, celui-ci vérifie les informations telles que l'adresse source, l'adresse de destination, le protocole ou le numéro de port. Si ces informations ne sont pas conformes à l'ensemble des règles du pare-feu, le paquet est supprimé. Autrement dit, il n'atteindra pas sa destination.
Le firewall de filtrage des paquets fonctionne principalement sur la couche réseau de la norme OSI. Néanmoins, il exploite aussi la couche transport pour la collecte des numéros de port source et destination.
Le pare-feu de filtrage traite les paquets de manière individuelle. Il est donc incapable de connaitre si un paquet fait partie d'un flux de trafic existant. De ce fait, ce type de firewall est très vulnérable aux techniques de piratage qui utilisent l'usurpation d'adresse IP.
Pare-feu d'inspection dynamique
Le firewall d'inspection dynamique, ou de filtrage dynamique des paquets autorise ou bloque le trafic selon le protocole, le port et l'état. Ce type de pare-feu permet donc de surveiller les paquets au fil du temps. Et ce, depuis l'ouverture d'une connexion jusqu'à sa fermeture. Les décisions de filtrage se basent alors sur les informations des connexions précédentes et sur les autres paquets de la même connexion.
Un pare-feu à inspection dynamique enregistre toutes les connexions ouvertes dans une table d'état et compare les en-têtes des paquets nouvellement arrivés avec cette table. S'il trouve une correspondance, alors le nouveau paquet fait partie d'une connexion existante. Le pare-feu autorise alors le paquet à atteindre sa destination. Dans le cas contraire, le paquet fait l'objet d'une évaluation selon les règles applicables aux nouvelles connexions.
Le pare-feu d'inspection se montre particulièrement efficace. Cependant, il est vulnérable aux attaques par déni de service (DoS).
Pare-feu proxy
Le pare-feu proxy ou proxy inverse fonctionne comme une passerelle entre différents réseaux pour une application spécifique. Ce type de firewall fournit donc un filtrage de la couche application du modèle OSI et permet d'examiner le message réel (charge utile) d'un paquet.
La capacité du firewall proxy à inspecter la charge utile d'un paquet permet aux administrateurs d'avoir un contrôle plus poussé sur le trafic du réseau. De plus, le déploiement de ce type de pare-feu sur un serveur proxy permet de créer une couche de sécurité supplémentaire.
En effet, chaque fois qu'un client externe au réseau demande une connexion à un serveur interne, le client sera obligé d'ouvrir une session avec le proxy. Ce dernier autorisera alors la connexion au serveur si la demande satisfait aux règles de sécurité établies par le pare-feu.
Le firewall proxy offre de nombreux avantages. Parmi ces avantages figure le blocage de contenus et la capacité à reconnaitre si des applications ou des protocoles spécifiques ne sont pas utilisés correctement. De plus, le pare-feu proxy peut également être utilisé pour contrôler l'exécution de certains fichiers ou pour gérer les données de logiciels spécifiques.
Pare-feu de nouvelle génération
Les firewalls de nouvelle génération (NGFW) combinent les capacités des pare-feu standards avec un système de prévention des intrusions (IPS) et une meilleure reconnaissance des applications. Les NGFW proposent donc tous les avantages des firewalls traditionnels (NAT, blocage d'URL, VPN) et comblent leurs inconvénients.
De plus, ces pare-feu modernes offrent des fonctionnalités de qualité de service, de détection des logiciels malveillants basée sur la réputation et d'inspection approfondie de paquets (DPI). Les NGFW prennent également en charge la mise en réseau basée sur l'intention qui exploite l'IA pour automatiser l'administration du réseau.
Quels sont les inconvénients d'un pare-feu ?
Bien que les firewalls présentent des avantages indéniables en termes de sécurité réseau, ces outils présentent des défauts qui leur sont propres.
Restriction d'un utilisateur légitime
Les firewalls sont conçus pour autoriser ou bloquer le trafic de données vers ou depuis un réseau à travers l'établissement de règles de sécurité. Cependant, lorsque ces règles sont trop restrictives, cela peut empêcher les employés d'une organisation de réaliser des tâches légitimes. Les restrictions imposées par le pare-feu peuvent donc pénaliser lourdement la productivité d'une entreprise.
D'autre part, ces restrictions peuvent inciter certains utilisateurs à exploiter des portes dérobées pour contourner le pare-feu. Le niveau de sécurité de l'organisation sera donc amoindri car les données qui transiteront par ces canaux ne seront ni filtrées ni contrôlées par le firewall.
Réduction de performances
Un pare-feu logiciel peut réduire lourdement les performances d'un ordinateur. En effet, pour effectuer ses tâches, les pare-feu logiciels nécessitent de fonctionner sans interruption. Ils utilisent donc continuellement la mémoire vive (RAM) de l'appareil hôte. Si ce dernier n'est pas suffisamment puissant, le firewall peut monopoliser une grande partie de la ressource et empêcher l'exécution d'autres applications.
La baisse de performance enregistrée varie généralement en fonction des spécifications des serveurs et des performances individuelles des ordinateurs du réseau. Pour prévenir de tels désagréments, les pare-feu matériels sont mieux adaptés.
Vulnérabilités
Bien que les firewalls permettent de bloquer les transmissions de données non autorisées, ils ne protègent pas des logiciels malveillants tels que les malwares et les spywares.
Par ailleurs, certains firewalls n'utilisent pas le DPI pour examiner les paquets et sont donc vulnérables aux attaques de haut niveau. En outre, les firewalls ne sont généralement pas capables de prévenir les attaques internes ni les attaques par déni de service distribué (DDoS).
Finalement, un pare-feu mal configuré ou non mis à jour expose le réseau de l'entreprise à des menaces potentielles qui proviennent des personnes malintentionnées. Les administrateurs système doivent donc être particulièrement prudents lors de la maintenance des équipements.
Coût
Le coût peut être un facteur décisif dans le choix des technologies de cybersécurité. Déployer un pare-feu au sein d'une organisation peut représenter un investissement considérable.
En effet, les pare-feu logiciels sont plus abordables et plus faciles à mettre en place mais ils nécessitent l'accès aux terminaux du réseau.
Les pare-feu matériels doivent, quant à eux, être achetés et installés pour chaque nœud du réseau. Plus le réseau est grand, plus l'investissement est important. En outre, l'installation, la configuration et la maintenance des firewalls nécessitent la disponibilité d'une main-d'œuvre compétente. Tout comme la supervision de la politique de sécurité de l'entreprise.
Comment configurer un firewall ?
Sécuriser le pare-feu
La sécurisation du firewall est l'étape la plus importante pour garantir la protection optimale d'un réseau. Cette première étape comprend un certain nombre de points dont voici les principales :
- Mettre à jour le pare-feu avec la dernière version du firmware.
- Désactiver ou renommer tous les comptes utilisateurs et les mots de passe par défaut. Sécuriser autant que possible les nouveaux mots de passe.
- Créer des comptes distincts pour tous les administrateurs supplémentaires. Faire en sorte que les privilèges de chaque administrateur correspondent à ses responsabilités.
- Désactiver ou configurer le protocole SNMP afin de créer une chaîne communautaire sécurisée.
Créer des zones de pare-feu
La création des zones de pare-feu permet de protéger les actifs de valeur disponible dans le réseau. Ces actifs peuvent être des données de carte de paiement ou des données sensibles concernant les fournisseurs.
La protection des actifs de valeur débute par la structuration du réseau en zones (réseau). Ces zones serviront à regrouper et à stocker les actifs. Chaque zone réseau possédera alors un niveau de sensibilité similaire ou une fonction similaire.
On pourra par exemple, regrouper dans une même zone réseau dédiée, tous les serveurs qui fournissent des services sur Internet (serveurs de messagerie, VPN, etc.). Les serveurs non accessibles directement depuis Internet (par exemple les BDD) seront quant à eux dans des zones de serveurs internes. Cette structuration permettra de mieux contrôler le trafic qui entre dans chaque zone. En principe, plus il y aura de zones, plus la sécurité du réseau augmentera.
Une fois les zones réseau créées et les adresses IP mappées, il est possible de créer les zones de firewall. Ces zones seront alors affectées aux interfaces et aux sous-interfaces du pare-feu.
Configurer les listes de contrôle d'accès
Après avoir effectué les affectations, il faut définir le trafic qui entrera et sortira de chaque zone. Ce trafic sera contrôlé par des règles de sécurité appelées listes de contrôle d'accès (ACL). Ces règles s'appliqueront à chaque interface et sous-interface du pare-feu.
Il faut, si possible, que les ACL soient spécifiques aux adresses IP (source et destination) et aux numéros de port. Il faut aussi veiller à ce qu'une règle « deny all » soit disponible à la fin de l'ACL. Enfin, les interfaces d'administration du pare-feu doivent être désactivées de tout accès public. Ainsi que tous les protocoles de gestion du pare-feu non cryptés.
Configurer les services nécessaires
Si le pare-feu propose des services supplémentaires (serveur DHCP, NTP, fonctionnalité IPS…), il faut les configurer selon les besoins de l'utilisateur. On peut alors désactiver les autres services.
Une bonne pratique est de configurer le firewall pour qu'il communique avec le serveur de journalisation. Les données échangées nécessitent suffisamment de détails pour répondre aux exigences de la norme PCI DSS. Cette norme concerne la sécurité de l'industrie des cartes de paiement.
Tester la configuration du pare-feu
Pour terminer la configuration du firewall, il faudra le lancer dans un environnement de test. Ce dernier permettra de réaliser une analyse de vulnérabilités ainsi que des tests de pénétration. De plus, une vérification que le pare-feu bloque bien le trafic prévu dans les configurations ACL est nécessaire.
Une fois ces tests réalisés, il faut sauvegarder la configuration du pare-feu dans un endroit sécurisé. La phase de production ainsi que les étapes de gestion (surveillance, maintenance, analyse) du firewall peuvent alors commencer. Les règles devront également être mises à jour tous les six mois pour prendre en compte l'évolution des menaces potentielles.
- Partager l'article :
