Conception d'un pare-feu adapté au réseau interne de l'entreprise
Dernière mise à jour le 07 juin 2004
Sur cette page
Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Instructions de conception
Attaques et défense du système
Définition du dispositif
Fonctionnalités du pare-feu
Catégories de pare-feu
Catégorie 1 – Pare-feu personnel
Catégorie 2 – Pare-feu/routeur
Catégorie 3 – Pare-feu matériel d'entrée de gamme
Catégorie 4 – Pare-feu matériel haut de gamme
Catégorie 5 – Pare-feu/serveur haut de gamme
Conditions matérielles
Disponibilité
Sécurité
Capacité d'évolution
Consolidation
Standards et conseils
Résumé
Références
Dans ce module
Ce module vous aide à sélectionner un produit de pare-feu adapté au réseau interne de votre entreprise. Il présente les différentes catégories de pare-feu disponibles et décrit leurs fonctionnalités principales. Il fournit également des conseils sur la conception afin de vous aider à déterminer vos propres besoins et à sélectionner le produit le plus approprié.
Objectifs
Ce module vous permettra d'effectuer les opérations suivantes :
identifier les fonctionnalités nécessaires de votre pare-feu interne ;
classifier les produits de pare-feu ;
sélectionner le meilleur produit pour votre pare-feu interne.
S'applique à
Ce module s'applique aux technologies suivantes :
- les produits de pare-feu basés sur Ethernet/IP.
Comment utiliser ce module
Avant de lire ce module, familiarisez-vous avec le protocole TCP/IP (voir liens en bas de page), ainsi qu'avec votre propre architecture de réseau. Il peut également s'avérer utile de savoir quel trafic entrant et sortant par votre pare-feu interne peut être considéré comme valide ou non.
Les conseils de conception fournis dans ce module vous aideront à sélectionner les fonctionnalités dont vous avez besoin pour votre pare-feu en tenant compte de certains aspects essentiels, tels que la croissance et le coût. Ce module définit également les différentes catégories de pare-feu. Ainsi, grâce aux conseils de conception, vous devriez être en mesure de sélectionner la catégorie de pare-feu qui correspond le mieux à vos besoins. Enfin, les connaissances et la terminologie technique contenues dans ce module vous permettront de discuter avec les fabricants de pare-feu des produits qu'ils proposent et d'évaluer s'ils répondent à vos attentes.
Instructions de conception
Ce module passe en revue les exigences liées à la mise en œuvre d'un pare-feu interne au sein d'un réseau d'entreprise, les types de dispositifs capables de satisfaire ces exigences et les options de déploiement disponibles. Les entreprises doivent se protéger contre les intrusions d'utilisateurs internes et externes dans les réseaux, qui sont malheureusement devenues courantes. Or, comme les pare-feu sont onéreux et qu'ils ralentissent le trafic, vous devez vous assurer que le vôtre est conçu pour être aussi rentable et efficace que possible.
Architecture réseau
L'architecture de réseau d'une entreprise comprend généralement trois zones :
Réseau de frontière
Ce réseau donne directement accès à Internet par le biais d'un routeur, qui doit fournir une couche initiale de protection sous la forme d'un filtrage simple du trafic réseau. Ce routeur alimente en données le réseau du périmètre par l'intermédiaire d'un pare-feu de périmètre.Réseau du périmètre
Ce réseau, souvent appelé réseau démilitarisé (DMZ) ou réseau périphérique, relie les utilisateurs entrants aux serveurs Web et autres services. Les serveurs Web assurent alors la liaison avec les réseaux internes par l'intermédiaire d'un pare-feu interne.Réseaux internes
Les réseaux internes relient les serveurs internes, tels que SQL Server, et les utilisateurs internes.
Les réseaux d'entreprise comprennent généralement deux pare-feu distincts : le pare-feu du périmètre et le pare-feu interne. Bien qu'exécutant des tâches similaires, ces pare-feu n'ont pas la même vocation. En effet, le pare-feu du périmètre a pour fonction principale d'imposer une limite aux utilisateurs externes non approuvés, tandis que le pare-feu interne a pour fonctions principales d'empêcher les utilisateurs externes d'accéder au réseau interne et de délimiter le champ d'action des utilisateurs internes. Pour plus d'informations sur la conception du pare-feu du périmètre, voir « Conception de pare-feu de périmètre ».
Ces réseaux sont illustrés dans la Figure 1
.gif "Architecture du réseau de l'entreprise")
Figure 1
Architecture du réseau de l'entreprise
Impératifs de la conception
Un pare-feu vérifie les paquets IP entrants et bloque les tentatives d'intrusion qu'il détecte. Le blocage peut s'effectuer par défaut, en identifiant le caractère illégal de certains paquets. Vous pouvez également configurer le pare-feu pour qu'il bloque certains paquets. Le protocole TCP/IP, conçu il y a plusieurs années, n'intègre pas le concept de piratage ou d'intrusion et comporte de nombreuses déficiences. Par exemple, le protocole ICMP a été conçu comme un mécanisme de signalisation dans TCP/IP. Cependant, il peut être détourné de sa fonction première et engendrer des problèmes tels que des attaques par déni de Service. Les exigences envers un pare-feu interne sont beaucoup plus strictes que pour un pare-feu de périmètre, car le trafic interne est plus difficile à contrôler, sa destination légitime pouvant être n'importe quel serveur du réseau interne.
Il existe plusieurs types de pare-feu différents. Ils se distinguent notamment par leur prix, mais surtout par leurs fonctionnalités et leurs performances. En règle générale, plus le pare-feu coûte cher, plus il est puissant et riche en fonctionnalités. Les pare-feu sont regroupés par catégories plus loin dans ce module afin de les différencier, mais avant de sélectionner un pare-feu, vous devez déterminer vos exigences. Les considérations suivantes doivent être prises en compte :
Budget
Dispositifs existants
Disponibilité
Capacité d'évolution
Fonctions requises
Budget
De quel budget disposez-vous ? Chaque pare-feu présent dans l'environnement doit offrir le meilleur niveau de service tout en restant économique. Pensez néanmoins aux possibles conséquences néfastes sur votre activité si vous optez pour un pare-feu trop bon marché. Tenez compte des coûts d'indisponibilité qui peuvent être désastreux pour votre organisation en cas d'interruption du service suite à une attaque par déni de Service.
Dispositifs existants
Existe-t-il des dispositifs qui peuvent être utilisés pour réduire les coûts ? Des pare-feu réutilisables et des routeurs ayant une fonction de pare-feu activée peuvent être déjà installés dans le réseau.
Disponibilité
Est-il vital pour votre entreprise que le pare-feu soit disponible en permanence ? Si vous gérez un serveur Web public accessible en permanence, vous avez besoin d'une disponibilité quasiment à 100 %. Comme aucun pare-feu n'est à l'abri d'une panne, comment pouvez-vous minimiser les risques ? Deux méthodes permettent d'améliorer la disponibilité d'un pare-feu :
Composants redondants
La duplication de certains des composants les plus exposés aux pannes, tels que l'alimentation, améliore la résilience du pare-feu. Le premier composant peut tomber en panne sans que cela n'affecte les opérations. En général, les pare-feu d'entrée de gamme n'offrent pas d'options redondantes. L'ajout de la résilience entraîne un surcoût important, car cela suppose généralement d'augmenter la puissance de traitement.Dispositifs dupliqués
La duplication du dispositif de pare-feu permet certes d'obtenir un système entièrement résilient, mais au détriment du prix, car elle exige également un câblage réseau et une connectivité en double au niveau des routeurs et des commutateurs auxquels le pare-feu est connecté. Toutefois, selon les pare-feu utilisés, cette opération peut également avoir pour effet de doubler le débit. En principe, tous les pare-feu, du plus petit au plus grand, peuvent être dupliqués, mais en réalité vous devez disposer d'un mécanisme de basculement par logiciel, qui peut faire défaut dans les pare-feu de faible capacité.
Capacité d'évolution
Quel débit les pare-feu doivent-ils offrir ? Il existe deux façons de calculer le débit : en nombre de bits par seconde ou en nombre de paquets transférés par seconde. Si l'entreprise est nouvelle, il se peut que vous ne connaissiez pas le débit. Si l'entreprise est en plein essor, le débit provenant d'Internet peut augmenter rapidement. Comment faire face à une augmentation du débit ? Vous devez opter pour une solution de pare-feu capable d'évoluer à mesure que le débit augmente. Pouvez-vous augmenter la capacité du pare-feu en ajoutant de nouveaux composants ou installer un autre pare-feu en parallèle ?
Fonctionnalités requises
De quelles fonctions de pare-feu avez-vous besoin ? L'évaluation des risques liés aux différents services proposés au sein de votre entreprise vous permet de déterminer les types de fonctionnalités de pare-feu nécessaires à la protection des ressources qui fournissent les services. Aurez-vous besoin de réseaux privés virtuels (VPN, Virtual Private Network), sachant que ces derniers affectent la conception ?
Attaques et défense du système
Cette section fournit un aperçu des attaques système les plus répandues et explique pourquoi il est judicieux d'utiliser le service de pare-feu en tant que première ligne de défense.
Attaques externes
Certaines personnes utilisent Internet pour nuire aux intérêts des entreprises ou subtiliser des secrets de fabrication et ainsi obtenir un avantage concurrentiel. Si vous installez un pare-feu de périmètre, consultez le journal des intrusions. Vous serez surpris par le nombre d'événements qui y sont consignés. La plupart de ces intrusions n'ont pour seul but que de tester les réactions de votre machine et de découvrir les services que vous exécutez. Loin d'être anodines, ces agressions visent à percer à jour votre machine et ses points faibles en prévision d'une attaque.
Attaques internes
Toutes les attaques ne proviennent pas d'Internet. Vous devez également protéger vos informations sensibles contre les utilisateurs internes du réseau d'entreprise. La plupart des entreprises détiennent des informations sensibles qui ne doivent pas être communiquées à certains utilisateurs du réseau interne (employés, fournisseurs, sous-traitants ou clients).
Menaces d'intrusion
Les menaces d'intrusion peuvent revêtir diverses formes qu'il serait vain de chercher à décrire de manière exhaustive, car il en apparaît de nouvelles quotidiennement. Certaines intrusions, qui consistent à envoyer un ping à l'adresse d'un serveur, peuvent sembler inoffensives. Cependant, une fois qu'il a détecté la présence du serveur, le pirate peut tenter de lancer une attaque plus sérieuse. En d'autres termes, toutes les intrusions doivent être considérées comme potentiellement dangereuses. Voici quelques exemples d'intrusions, parmi les plus répandues :
Renifleurs de paquets
Un renifleur est une application logicielle ou un dispositif matériel connecté au réseau local qui capture des informations provenant de trames Ethernet. La fonction initiale de ces systèmes était de détecter les dysfonctionnements du trafic Ethernet ou de passer au crible les trames afin d'étudier chaque paquet IP. Les renifleurs fonctionnent en mode « promiscuous » : ils examinent tous les paquets sur le câble physique. De nombreuses applications, telles que Telnet, transmettent en clair des noms d'utilisateur et des mots de passe, qui peuvent être interceptés par les renifleurs. En d'autres termes, un pirate équipé d'un renifleur peut accéder à de nombreuses applications.Un pare-feu ne peut pas contrer un renifleur, car d'une part ce dernier ne génère pas de trafic réseau et, d'autre part, la plupart des intrus potentiels seraient vos propres utilisateurs à l'intérieur du pare-feu. Des logiciels de reniflage peuvent être téléchargés gratuitement depuis Internet et vos utilisateurs peuvent les exécuter sur leurs PC afin d'examiner les paquets transmis. Si vous exécutez des systèmes d'exploitation Microsoft® Windows® sur vos PC, vos utilisateurs ont normalement besoin d'un accès administrateur pour exécuter un renifleur. Le nombre d'utilisateurs pouvant exécuter un renifleur est donc limité. Cependant, ceux de vos utilisateurs qui possèdent un accès administrateur, et ils sont parfois nombreux, peuvent exécuter un renifleur. Ils peuvent non seulement accéder à des données confidentielles, mais également lire des mots de passe en clair, comme indiqué plus haut. Or, comme la plupart des utilisateurs choisissent le même mot de passe pour toutes leurs applications, les intrus peuvent en déduire les mots de passe codés et accéder là où ils veulent. Différentes mesures permettent de contrer le reniflage, la principale d'entre elles consistant à utiliser des mots de passe fortement cryptés, mais cela sort du cadre de ce module.
Usurpation d'adresse IP
L'usurpation d'adresse IP consiste à modifier l'adresse source d'un paquet IP afin de masquer l'identité de l'expéditeur. Le processus de routage via Internet n'utilise que l'adresse de destination pour acheminer un paquet et ignore l'adresse source. Un pirate peut donc envoyer à votre système un paquet malicieux en falsifiant la source afin que ne puissiez pas savoir d'où il vient. Bien que l'usurpation ne fasse pas forcément de dégâts, elle n'en constitue pas moins une intrusion. L'adresse peut être externe au réseau (pour masquer l'identité de l'intrus) ou il peut s'agir d'une adresse interne approuvée disposant de privilèges d'accès. L'usurpation est couramment utilisée pour perpétrer des attaques par déni de Service (DoS, Denial of Service), décrites plus loin dans ce module.Attaques par Déni de Service
Les attaques par déni de Service (DoS) comptent parmi les plus difficiles à prévenir. Elles diffèrent des autres types d'attaques en cela qu'elles n'occasionnent pas de dommages irréversibles sur votre réseau. Au lieu de cela, elles tentent de mettre le réseau hors service en bombardant un ordinateur particulier (un serveur ou un dispositif du réseau) ou en ralentissant le débit des liaisons réseau jusqu'à ce que les performances soient suffisamment médiocres pour irriter les clients et occasionner un manque à gagner pour l'entreprise. Une attaque DoS distribuée (DDoS, Distributed DoS) est lancée depuis plusieurs autres ordinateurs qui concentrent leur bombardement sur votre système. Les ordinateurs qui mènent l'attaque n'en sont pas les instigateurs, mais ils se sont laissés infiltrer en raison de leur sécurité déficiente.Attaques de la couche applicative
Les attaques de la couche applicative comptent parmi les plus fréquentes. Elles profitent généralement des failles bien connues des applications, telles que les serveurs Web et les serveurs de base de données. Le problème, en particulier pour les serveurs Web, est qu'ils sont accessibles au public, et par conséquent à des utilisateurs inconnus à qui vous ne pouvez pas faire confiance. La plupart des attaques profitent des failles du produit. En règle générale, la meilleure défense consiste à installer les dernières mises à jour fournies par les fabricants. Le tristement célèbre ver Slammer, associé au langage SQL (Structured Query Language), a touché plus de 35 000 systèmes en un laps de temps très court après sa diffusion en janvier 2003. Il a profité d'un problème connu de Microsoft® SQL Server™ 2000 pour lequel Microsoft avait déjà fourni un correctif quatre mois plus tôt, en août 2002. En fait, de nombreux administrateurs n'avaient pas installé la mise à jour recommandée et ne disposaient pas des pare-feu adéquats (qui auraient permis de bloquer les paquets destinés au port utilisé par le ver). Notez que le pare-feu n'intervient qu'en dernier ressort dans ce cas ; les fabricants recommandent d'installer les mises à jour de tous les produits, ne serait-ce que pour empêcher les attaques de la couche applicative.Reconnaissance du réseau
La reconnaissance du réseau consiste à balayer les réseaux afin de repérer des adresses IP valables, des noms de DNS (système de nom de domaine) et des ports IP avant de lancer une attaque. Bien qu'inoffensive en elle-même, la reconnaissance du réseau peut aider une personne malveillante à découvrir les adresses utilisées en vue d'une attaque hostile. Si vous consultez les journaux d'un pare-feu, vous vous apercevrez que la plupart des intrusions sont de cette nature. La plupart des sondages consistent à balayer les ports de réception TCP (Transport Control Protocol) et UDP (User Datagram Protocol), ainsi que d'autres ports de réception connus, tels que ceux utilisés par Microsoft SQL Server, NetBIOS (Network Basic Input/Output System), HTTP (HyperText Transfer Protocol) et SMTP (Simple Mail Transport Protocol). Ce type de sondage attend une réponse, qui indique au pirate que le serveur existe, et exécute un de ces services. La plupart des sondages peuvent être bloqués par le routeur de frontière ou par un pare-feu, mais la désactivation de certains de ces services peut restreindre les capacités de diagnostic du réseau.
Définition du dispositif
Un pare-feu est un mécanisme qui contrôle le flux du trafic IP entre deux réseaux. Les dispositifs de pare-feu fonctionnent au niveau de la couche 3 du modèle OSI (interconnexion de systèmes ouverts), bien que certains modèles puissent également fonctionner à des niveaux supérieurs.
Un pare-feu interne offre généralement les avantages suivants :
Défense des serveurs internes contre des attaques provenant du réseau
Mise en œuvre de politiques d'accès et d'utilisation du réseau
Surveillance du trafic et génération d'alertes en cas de détection de schémas suspects
Il est important de noter que les pare-feu ne peuvent atténuer que certains types de risques. En particulier, ils sont incapables d'empêcher les dommages infligés à un serveur à cause d'une faille du logiciel. Les pare-feu font partie de l'architecture de protection globale d'une organisation.
Fonctionnalités du pare-feu
Selon les fonctionnalités prises en charge par le pare-feu, le trafic peut être autorisé ou bloqué par diverses techniques qui offrent différents niveaux de protection. Les fonctionnalités de pare-feu suivantes sont présentées de la plus simple à la plus complexe :
Filtrage des entrées de la carte réseau
Filtrage statique de paquets
Traduction d'adresses réseau (NAT)
Inspection dynamique
Analyse des circuits
Filtrage applicatif
En général, les pare-feu qui offrent des fonctionnalités complexes prennent également en charge les fonctionnalités les plus simples. Toutefois, lisez attentivement les instructions du fournisseur avant de choisir un produit, car des différences subtiles peuvent exister entre les capacités réelles et supposées d'un pare-feu. La sélection d'un pare-feu suppose généralement de se renseigner sur ses fonctionnalités et de les tester afin de s'assurer que le produit est bien conforme à ses spécifications.
Filtrage des entrées de la carte réseau
Le filtrage des entrées de la carte réseau consiste à examiner les adresses source ou destination et d'autres informations contenues dans le paquet entrant, puis à bloquer le paquet ou l'autoriser à continuer. Il ne s'applique qu'au trafic entrant et ne peut pas contrôler le trafic sortant. Il examine les adresses IP et les numéros de port afin d'identifier les protocoles UDP et TCP, ainsi que le protocole du trafic, TCP, UDP et GRE (Generic Routing Encapsulation). Le filtrage des entrées de la carte réseau permet de refouler rapidement et efficacement les paquets entrants standard qui répondent aux critères configurés dans le pare-feu. Cependant, ce type de filtrage est facile à contourner, car il n'examine que les en-têtes du trafic IP, partant du principe que le trafic filtré est conforme aux standards IP et qu'il n'a pas été manipulé pour contourner le filtrage.
Filtrage statique de paquets
Le filtrage statique de paquets ressemble au filtrage des entrées de la carte réseau dans la mesure où il n'examine que les en-têtes IP afin de déterminer si le trafic doit être autorisé à traverser l'interface ou non. Toutefois, ce type de filtrage permet de contrôler les communications entrantes et sortantes. De plus, il permet de vérifier que le bit ACK (ACKnowledged) est défini dans l'en-tête IP. Le bit ACK identifie le paquet comme une nouvelle requête ou comme un retour d'une requête initiale. Il ne vérifie pas que le paquet a été envoyé par la carte qui le reçoit. Il contrôle simplement si le trafic qui arrive au niveau de la carte est un trafic de retour, suivant les conventions applicables aux en-têtes IP.
Cette technique ne s'applique qu'au protocole TCP, et non au protocole UDP. À l'instar du filtrage des entrées de la carte réseau, ce type de filtrage est extrêmement rapide, mais ses capacités sont limitées et il peut être contourné en manipulant le trafic.
Translation des adresses réseau
Dans la gamme mondiale des adresses IP, certaines adresses sont désignées comme des adresses privées. Ces adresses sont destinées à être utilisées au sein de votre entreprise et ne représentent rien vis-à-vis d'Internet. Le trafic à destination de ces adresses IP ne pouvant pas être acheminé par Internet, l'affectation d'adresses privées aux périphériques internes permet de limiter les risques d'intrusion. Cependant, ces périphériques internes ayant souvent besoin d'accéder à Internet, la technologie NAT (Network Address Translation) convertit les adresses privées en adresses Internet.
Bien que la technologie NAT ne constitue pas à proprement parler une technologie de pare-feu, la dissimulation de l'adresse IP réelle d'un serveur empêche les agresseurs d'obtenir des informations précieuses sur le serveur.
Inspection dynamique
L'inspection dynamique consigne la totalité du trafic sortant dans une table des états. Lorsque le trafic de connexion retourne à l'interface, la table des états est contrôlée afin de vérifier qu'il provenait bien de cette interface. L'inspection dynamique est légèrement plus lente que le filtrage statique des paquets. Cependant, elle garantit que le trafic ne passe que s'il correspond aux requêtes de trafic sortant. La table des états contient des informations telles que l'adresse IP de destination, l'adresse IP source, le port appelé et l'hôte d'origine.
La quantité d'informations (telles que les fragments IP envoyés et reçus) consignées dans la table des états varie d'un pare-feu à l'autre. Le pare-feu peut vérifier que le trafic est traité lorsque tout ou partie des informations fragmentées revient. Lisez attentivement la documentation du pare-feu, car tous les fournisseurs ne mettent pas en œuvre l'inspection dynamique de la même façon. En général, la fonctionnalité d'inspection dynamique contribue à atténuer les risques engendrés par la reconnaissance du réseau et l'usurpation d'adresse IP.
Analyse des circuits
Le filtrage des circuits permet d'analyser les sessions, et non plus seulement les connexions ou les paquets. Une session peut comprendre plusieurs connexions. À l'instar du filtrage de paquets dynamique, les sessions sont uniquement établies en réponse à une demande d'un utilisateur. Le filtrage de circuit prend en charge les protocoles avec connexions secondaires, comme FTP et le flux multimédia en continu. Il contribue à réduire les risques d'attaque par reconnaissance du réseau, DoS et usurpation d'adresse IP.
Filtrage de la couche applicative
Le filtrage de la couche applicative constitue le niveau d'inspection du trafic le plus sophistiqué. Des filtres d'application performants permettent d'analyser un flux de données pour une application particulière et de proposer un traitement spécifique à l'application. Ce traitement comprend l'inspection, le filtrage ou le blocage, le réacheminement et la modification des données qui traversent le pare-feu. Ce mécanisme permet notamment de se protéger contre des commandes SMTP non sécurisées ou des attaques contre des DNS (Domain Name System) internes. Vous pouvez généralement ajouter à votre pare-feu des outils de filtrage de contenu provenant d'autres fournisseurs, par exemple pour la détection des virus, l'analyse lexicale et la catégorisation des sites.
Un pare-feu applicatif est capable d'examiner de nombreux protocoles différents en fonction du trafic qui le traverse. Contrairement à un pare-feu proxy qui examine généralement le trafic Internet, comme HTTP, FTP en lecture seule et SSL, le pare-feu applicatif contrôle de manière plus précise le trafic qui le traverse. Par exemple, un pare-feu applicatif est capable de n'autoriser que le passage du trafic UDP provenant de l'intérieur de la frontière du pare-feu. Supposons qu'un hôte Internet soit sur le point d'analyser les ports d'un pare-feu dynamique pour savoir s'il autorise le trafic DNS dans l'environnement. L'analyse des ports montrerait certainement que le port associé au DNS est ouvert, mais dès qu'une attaque serait lancée, le pare-feu applicatif refuserait les requêtes, car elles ne proviendraient pas de l'intérieur. Un pare-feu applicatif pourrait ouvrir les ports dynamiquement, selon que le trafic provient de l'intérieur ou non.
Le pare-feu applicatif contribue à réduire les risques liés aux attaques par usurpation d'adresse IP, DoS, reconnaissance du réseau, chevaux de Troie et certaines attaques de la couche applicative. Les inconvénients d'un pare-feu applicatif sont qu'il nécessite une capacité de traitement importante et qu'il est généralement plus lent à acheminer le trafic que les pare-feu par filtrage dynamique ou statique. Les performances du pare-feu au niveau de la couche applicative sont déterminantes dans l'utilisation d'un pare-feu applicatif.
Le filtrage de la couche applicative est couramment utilisé pour protéger les services accessibles au public. Si votre entreprise possède une boutique en ligne qui collecte des numéros de carte de crédit et d'autres informations personnelles sur les clients, la prudence exige de prendre un maximum de précautions pour protéger ces informations. Le filtrage de la couche applicative garantit que le trafic qui passe par un port est acceptable. Contrairement au filtrage statique ou dynamique des paquets, qui se contente d'examiner le port et l'adresse IP source et destination, le filtrage de la couche applicative examine les données et les commandes entrantes et sortantes.
La plupart des pare-feu qui prennent en charge le filtrage de la couche applicative ne peuvent filtrer que le trafic en clair, tel que le service de messagerie de type proxy, HTTP et FTP. Il est important de se rappeler qu'un pare-feu qui prend en charge cette fonctionnalité peut contrôler le trafic qui entre et sort de l'environnement. Un autre avantage de cette fonctionnalité réside dans sa capacité à examiner le trafic DNS et les commandes qui lui sont propres. Ce niveau de protection supplémentaire empêche aux utilisateurs ou à d'éventuels agresseurs de dissimuler des informations dans les types de trafic autorisés.
Catégories de pare-feu
La section qui suit présente différentes catégories de pare-feu, ainsi que les fonctionnalités qu'elles proposent. Des catégories de pare-feu spécifiques peuvent être utilisées afin de satisfaire des exigences propres à la conception d'une architecture informatique.
Le regroupement des pare-feu en catégories permet de faire abstraction du matériel afin d'identifier les exigences liées au service. Il est ensuite possible d'associer ces exigences aux fonctionnalités d'une catégorie. Dès lors qu'un pare-feu appartient à une catégorie particulière, il prend en charge tous les services de cette catégorie.
Catégories existantes :
Catégorie 1 – Pare-feu personnel
Catégorie 2 – Pare-feu/routeur
Catégorie 3 – Pare-feu matériel d'entrée de gamme
Catégorie 4 – Pare-feu matériel haut de gamme
Catégorie 5 – Pare-feu/serveur haut de gamme
Il est important de comprendre que certaines de ces catégories se chevauchent. Cela a été voulu, afin qu'un même type de solution de pare-feu puisse englober plusieurs catégories. En outre, plusieurs solutions matérielles d'un même fournisseur sont ainsi compatibles avec plusieurs catégories, ce qui permet à votre entreprise de sélectionner la solution la mieux adaptée à ses exigences actuelles et futures. Outre le prix et la richesse fonctionnelle, les performances (ou le débit) constituent un critère de catégorisation des pare-feu. Cependant, les fabricants ne communiquent pas les débits atteignables par la plupart des catégories de pare-feu. Lorsque ces chiffres sont fournis (en général pour les dispositifs de pare-feu matériel), aucun processus de mesure standard n'est appliqué, ce qui rend difficiles les comparaisons entre les fabricants. Par exemple, l'une des mesures utilisées est le nombre de bits par seconde (bps), mais comme le pare-feu transmet en fait des paquets IP, cette mesure n'est pas significative si la taille du paquet utilisé pour mesurer le débit n'est pas indiquée.
Les paragraphes qui suivent décrivent plus en détail les différentes catégories de pare-feu.
Catégorie 1 – Pare-feu personnel
Il s'agit d'un service logiciel exécuté dans un système d'exploitation qui fournit une capacité de pare-feu simple à un ordinateur personnel. Ces derniers temps, l'utilisation de pare-feu personnels a connu une forte croissance avec l'augmentation du nombre de connexions Internet permanentes (qui diffèrent des connexions par modem).
Bien qu'il soit conçu pour protéger un seul ordinateur personnel, un pare-feu personnel peut également protéger un réseau de faible envergure si l'ordinateur sur lequel il est installé partage sa connexion Internet avec d'autres ordinateurs du réseau interne. Toutefois, un pare-feu personnel s'avère peu efficace et ralentit les performances de l'ordinateur personnel sur lequel il est installé. Les mécanismes de protection sont souvent moins efficaces qu'une solution de pare-feu spécialisée, car ils se contentent de bloquer les adresses IP et les ports. Cependant, le niveau de protection requis sur un ordinateur personnel est généralement moins élevé.
Les pare-feu personnels peuvent être intégrés gratuitement au système d'exploitation ou moyennant un coût modique. Bien que parfaitement opérationnels, il est déconseillé de les utiliser dans une entreprise, même dans une petite succursale, étant données leurs fonctions et leurs performances réduites. Ils sont néanmoins particulièrement bien adaptés pour les utilisateurs mobiles travaillant sur des ordinateurs portables.
Le tableau ci-dessous présente les fonctionnalités que les pare-feu peuvent proposer. Les capacités et les prix des pare-feu sont extrêmement variables d'un produit à l'autre. Cependant, l'absence d'une fonctionnalité particulière, surtout sur un ordinateur portable, ne revêt pas nécessairement une grande importance.
Tableau 1 : Catégorie 1 – Pare-feu personnels
Attribut du pare-feu |
Valeur |
|---|---|
Fonctions élémentaires prises en charge |
La plupart des pare-feu personnels prennent |
Configuration |
Automatique (l'option manuelle est également disponible) |
Blocage ou autorisation des adresses IP |
Oui |
Blocage ou autorisation du protocole ou des numéros de ports |
Oui |
Blocage ou autorisation des messages ICMP entrants |
Oui |
Contrôle de l'accès sortant |
Oui |
Protection applicative |
Éventuellement |
Alertes sonores ou visibles |
Éventuellement |
Journalisation des attaques |
Éventuellement |
Alertes en temps réel |
Selon le produit |
Prise en charge des VPN |
En général non |
Gestion à distance |
En général non |
Assistance du fabricant |
Grande disparité d'un produit à l'autre |
Option de grande disponibilité |
Non |
Nombre de sessions simultanées |
De 1 à 10 |
Mise à niveau par module (matériel ou logiciel) |
Non, ou restreinte |
Gamme de prix |
Coût peu élevé (gratuit dans certains cas) |
Avantages
Avantages des pare-feu personnels :
Économiques
Lorsque le nombre de licences requises est restreint, les pare-feu personnels constituent une option économique. Un pare-feu personnel est intégré aux versions de Windows XP. Il existe d'autres produits, gratuits ou peu onéreux, qui fonctionnent avec d'autres versions de Windows ou d'autres systèmes d'exploitation.Faciles à configurer
Les pare-feu personnels proposent généralement des configurations de base immédiatement opérationnelles avec des options de configuration directe.
Inconvénients
Inconvénients des pare-feu personnels :
Difficulté de centralisation de la gestion
Les pare-feu personnels doivent être configurés sur chaque client, ce qui augmente le temps de gestion.Contrôle de base uniquement
La configuration se limite généralement à un filtrage statique des paquets associé à un blocage des applications basé sur des autorisations.Restrictions des performances
Les pare-feu personnels sont conçus pour protéger individuellement des ordinateurs personnels. Leur utilisation sur un ordinateur personnel faisant office de routeur pour un réseau de faible envergure a pour effet de détériorer les performances.
Catégorie 2 – Pare-feu/routeur
En principe, les routeurs prennent en charge une ou plusieurs des fonctionnalités de pare-feu évoquées précédemment. Il peut s'agir de dispositifs d'entrée de gamme conçus pour les connexions Internet ou de dispositifs haut de gamme traditionnels. Les routeurs d'entrée de gamme offrent des fonctionnalités de pare-feu élémentaires afin de bloquer et d'autoriser des adresses IP et des numéros de port particuliers. De plus, ils utilisent la technologie NAT pour masquer les adresses IP internes. Ils proposent souvent une fonctionnalité de pare-feu en standard, optimisée pour bloquer les intrusions provenant d'Internet. Bien qu'ils ne nécessitent aucune configuration, ils peuvent être personnalisés.
Les routeurs haut de gamme peuvent être configurés pour restreindre l'accès en empêchant les intrusions les plus flagrantes, telles que les pings, et en mettant en œuvre d'autres restrictions au niveau des ports et des adresses IP par le biais de listes de contrôle d'accès (ACL, Access Control List). Ces routeurs peuvent offrir d'autres fonctionnalités de pare-feu, comme le filtrage dynamique des paquets. Dans ce type de routeur, la fonctionnalité de pare-feu est similaire à celle du dispositif de pare-feu matériel, mais à un coût moindre et avec un débit moins élevé.
Tableau 2 : Catégorie 2 – Pare-feu/routeur
Attribut du pare-feu |
Valeur |
|---|---|
Fonctions élémentaires prises en charge |
La plupart des pare-feu/routeurs prennent en charge le filtrage statique des paquets. En principe, les routeurs d'entrée de gamme prennent en charge la technologie NAT et les routeurs haut de gamme le filtrage dynamique et/ou le filtrage de la couche applicative. |
Configuration |
En général, automatique sur les routeurs d'entrée de gamme (avec des options manuelles). Souvent manuelle sur les routeurs haut de gamme. |
Blocage ou autorisation des adresses IP |
Oui |
Blocage ou autorisation du protocole ou des numéros de ports |
Oui |
Blocage ou autorisation des messages ICMP entrants |
Oui |
Contrôle de l'accès sortant |
Oui |
Protection applicative |
Éventuellement |
Alertes sonores ou visibles |
En général |
Journalisation des attaques |
Dans la plupart des cas |
Alertes en temps réel |
Dans la plupart des cas |
Prise en charge des VPN |
Fréquente sur les routeurs d'entrée de gamme, moins courante sur les routeurs haut de gamme. Des dispositifs ou serveurs spécialisés distincts sont disponibles pour cette tâche. |
Gestion à distance |
Oui |
Assistance du fabricant |
Généralement limitée pour les routeurs d'entrée de gamme et satisfaisante pour les routeurs haut de gamme. |
Option de grande disponibilité |
Entrée de gamme : non |
Nombre de sessions simultanées |
10 – 1 000 |
Mise à niveau par module (matériel ou logiciel) |
Entrée de gamme : non |
Gamme de prix |
De faible à élevé |
Avantages
Avantages des pare-feu/routeurs :
Solution économique
L'activation d'une fonction de pare-feu/routeur existante peut être sans conséquence au niveau du prix du routeur et ne nécessite aucun matériel supplémentaire.La configuration peut être affinée
La configuration du pare-feu/routeur peut être effectuée lorsque le routeur est configuré pour une exploitation normale, ce qui permet de réduire le temps de gestion. Cette solution convient particulièrement aux petites filiales car le matériel du réseau et l'administration sont simplifiés.Protection de l'investissement
Aucune formation supplémentaire n'est requise, car le personnel connaît la configuration et la gestion du pare-feu. Le câblage réseau est simplifié, du fait qu'aucun autre matériel n'est installé, ce qui simplifie également la gestion du réseau.
Inconvénients
Inconvénients des pare-feu/routeurs :
Fonctions restreintes
En général, les routeurs d'entrée de gamme n'offrent que des fonctionnalités de pare-feu élémentaires. Les routeurs haut de gamme proposent des fonctionnalités plus sophistiquées, mais peuvent nécessiter une configuration plus étendue. Cette configuration s'effectue essentiellement en ajoutant des contrôles faciles à oublier, ce qui complique singulièrement les choses.Contrôle de base uniquement
La configuration se limite généralement à un filtrage statique des paquets associé à un blocage des applications basé sur des autorisations.Impact sur les performances
L'utilisation d'un routeur comme pare-feu détériore et ralentit ses performances de routage, qui constitue pourtant sa mission principale.Performances du fichier journal
L'utilisation d'un fichier journal pour consigner les activités inhabituelles peut sérieusement réduire les performances du routeur, surtout lorsqu'il est soumis à une attaque.
Catégorie 3 – Pare-feu matériel d'entrée de gamme
Les dispositifs Plug-and-Play constituent l'entrée de gamme du marché des pare-feu matériels et ne nécessitent qu'une configuration réduite, voire aucune. Ces dispositifs intègrent souvent une fonctionnalité de réseau privé virtuel et/ou de commutateur. Ils conviennent pour les petites entreprises, ainsi que pour une utilisation interne dans les grandes entreprises. Ils offrent généralement des capacités de filtrage statique et de gestion à distance élémentaire. Les dispositifs fabriqués par les grands constructeurs peuvent être équipés du même logiciel que leurs homologues haut de gamme, offrant ainsi une voie d'évolution.
Tableau 3 : Catégorie 3 – Pare-feu matériel d'entrée de gamme
Attribut du pare-feu |
Valeur |
|---|---|
Fonctions élémentaires prises en charge |
La plupart des pare-feu matériels d'entrée de gamme prennent en charge le filtrage statique des paquets et la technologie NAT. Ils peuvent également proposer le filtrage dynamique et/ou le filtrage de la couche applicative. |
Configuration |
Automatique (l'option manuelle est également disponible) |
Blocage ou autorisation des adresses IP |
Oui |
Blocage ou autorisation du protocole ou des numéros de ports |
Oui |
Blocage ou autorisation des messages ICMP entrants |
Oui |
Contrôle de l'accès sortant |
Oui |
Protection applicative |
En général non |
Alertes sonores ou visibles |
En général non |
Journalisation des attaques |
En général non |
Alertes en temps réel |
En général non |
Prise en charge des VPN |
Parfois |
Gestion à distance |
Oui |
Assistance du fabricant |
Limitée |
Option de grande disponibilité |
En général non |
Nombre de sessions simultanées |
> 10–7 500 |
Mise à niveau par module (matériel ou logiciel) |
Limitée |
Gamme de prix |
Faible |
Avantages
Avantages des pare-feu matériels d'entrée de gamme :
Prix modique
Les pare-feu d'entrée de gamme représentent un investissement modique.Configuration simple
Quasiment aucune configuration n'est requise.
Inconvénients
Inconvénients des pare-feu matériels d'entrée de gamme :
Fonctions restreintes
En général, les pare-feu matériels d'entrée de gamme n'offrent que des fonctions simples. Ils ne peuvent pas être utilisés en parallèle à des fins de redondance.Faible débit
Les pare-feu matériels d'entrée de gamme ne sont pas conçus pour des connexions à haut débit, ce qui peut provoquer des encombrements.Support limité du fabricant
Ces articles étant peu onéreux, l'assistance du fabricant se limite généralement à une adresse de courrier électronique et/ou un site Web.Mise à niveau limitée
Aucune mise à niveau du matériel n'est généralement prévue, bien que des mises à niveau du microprogramme soient régulièrement disponibles.
Catégorie 4 – Pare-feu matériel haut de gamme
Les dispositifs haut de gamme du marché des pare-feu matériels offrent d'excellentes performances et des produits très fiables, qui conviennent parfaitement aux entreprises ou aux fournisseurs d'accès. Ils offrent en général le meilleur niveau de protection sans affecter les performances du réseau.
La fiabilité peut être obtenue en ajoutant un second pare-feu, qui assure une veille active et maintient à jour la table des connexions par le biais d'une synchronisation automatique des états.
Nous vous recommandons d'installer des pare-feu dans tous les réseaux connectés à Internet, car des intrusions se produisent constamment, qu'il s'agisse d'attaques DoS, de vols ou de corruptions de données. Pensez aux pare-feu matériels haut de gamme pour les sièges sociaux ou les sites centraux.
Tableau 4 : Catégorie 4 – Pare-feu matériel haut de gamme
Attribut du pare-feu |
Valeur |
|---|---|
Fonctions élémentaires prises en charge |
La plupart des pare-feu matériels haut de gamme prennent en charge le filtrage statique des paquets et la technologie NAT. Ils peuvent également proposer le filtrage dynamique et/ou le filtrage de la couche applicative. |
Configuration |
Manuelle, en général |
Blocage ou autorisation des adresses IP |
Oui |
Blocage ou autorisation du protocole ou des numéros de ports |
Oui |
Blocage ou autorisation des messages ICMP entrants |
Oui |
Contrôle de l'accès sortant |
Oui |
Protection applicative |
Éventuellement |
Alertes sonores ou visibles |
Oui |
Journalisation des attaques |
Oui |
Alertes en temps réel |
Oui |
Prise en charge des VPN |
Éventuellement |
Gestion à distance |
Oui |
Assistance du fabricant |
Bonne |
Option de grande disponibilité |
Oui |
Nombre de sessions simultanées |
> 7 500–500 000 |
Mise à niveau par module (matériel ou logiciel) |
Oui |
Gamme de prix |
Élevée |
Avantages
Avantages des pare-feu matériels haut de gamme :
Excellentes performances
Les pare-feu matériels haut de gamme visent un seul objectif et garantissent une protection optimale contre les intrusions tout en nuisant le moins possible aux performances.Grande disponibilité
Les pare-feu matériels haut de gamme peuvent être interconnectés pour améliorer la disponibilité et l'équilibre de la charge.Systèmes modulaires
Le matériel et le logiciel peuvent être mis à jour en fonction des besoins. Au niveau du matériel, il peut s'agir de ports Ethernet supplémentaires, alors que de nouvelles méthodes d'intrusion peuvent être détectées au niveau du logiciel.Gestion à distance
Les pare-feu matériels haut de gamme offrent des fonctions de gestion à distance plus sophistiquées que leurs homologues d'entrée de gamme.Fiabilité
Les pare-feu matériels haut de gamme peuvent être équipés de fonctions garantissant la disponibilité et la fiabilité, comme la veille active en présence d'un second dispositif.Filtrage de la couche applicative
Contrairement à leurs homologues d'entrée de gamme, qui n'opèrent généralement qu'un filtrage à la couche 3 ou 4 du modèle OSI, les pare-feu matériels haut de gamme assurent le filtrage des couches 5 à 7 des applications connues.
Inconvénients
Inconvénients des pare-feu matériels haut de gamme :
Coût élevé
Les prix des pare-feu matériels haut de gamme sont généralement assez élevés. Bien qu'il soit possible d'en acheter un à partir de 80 euros, le prix d'un pare-feu d'entreprise est bien plus élevé et dépend souvent du nombre de sessions simultanées, du débit et des exigences de disponibilité.Gestion et configuration complexes
Comme cette catégorie de pare-feu offre des capacités supérieures à celles de leurs homologues d'entrée de gamme, elle est également plus difficile à configurer et à gérer.
Catégorie 5 – Pare-feu/serveur haut de gamme
Les pare-feu/serveurs haut de gamme ajoutent une capacité de pare-feu à un serveur haut de gamme, garantissant ainsi aux systèmes logiciels et matériels standard une protection rapide et efficace. Cette approche offre l'avantage de recourir à des logiciels et matériels familiers, ce qui permet de réduire le nombre de composants, de simplifier la formation et la gestion, et d'accroître la fiabilité et les possibilités d'extension. La plupart des pare-feu matériels haut de gamme sont mis en œuvre sur des plates-formes matérielles standard exécutant un système d'exploitation standard (masqué) et par conséquent diffèrent peu, tant au niveau de la technique que des performances, d'un pare-feu/serveur. Néanmoins, comme le système d'exploitation est toujours visible, la fonction de pare-feu/serveur peut être mise à niveau et rendue plus résiliente par des techniques telles que le « clustering ».
Comme le pare-feu/serveur est un serveur qui exécute un système d'exploitation courant, il est possible d'ajouter au pare-feu des fonctionnalités et des logiciels supplémentaires provenant de plusieurs fournisseurs (et pas uniquement d'un seul fournisseur, comme avec le pare-feu matériel). La connaissance du système d'exploitation peut également faciliter la mise en place d'une protection efficace, car certaines catégories nécessitent une grande expertise pour réaliser une configuration correcte.
Cette catégorie est particulièrement adaptée lorsqu'un investissement important a été réalisé dans une plate-forme matérielle ou logicielle, car l'utilisation de la même plate-forme pour le pare-feu simplifie la gestion. La capacité de mise en cache de cette catégorie peut également se révéler d'une grande efficacité.
Tableau 5 : Catégorie 5 – Pare-feu/serveur haut de gamme
Attribut du pare-feu |
Valeur |
|---|---|
Fonctions prises en charge |
La plupart des pare-feu/serveurs haut de gamme prennent en charge le filtrage statique des paquets et la technologie NAT. Ils peuvent également proposer le filtrage dynamique et/ou le filtrage de la couche applicative. |
Configuration |
Manuelle, en général |
Blocage ou autorisation des adresses IP |
Oui |
Blocage ou autorisation du protocole ou des numéros de ports |
Oui |
Blocage ou autorisation des messages ICMP entrants |
Oui |
Contrôle de l'accès sortant |
Oui |
Protection applicative |
Éventuellement |
Alertes sonores/visuelles |
Oui |
Journalisation des attaques |
Oui |
Alertes en temps réel |
Oui |
Prise en charge des VPN |
Éventuellement |
Gestion à distance |
Oui |
Assistance du fabricant |
Bonne |
Option de grande disponibilité |
Oui |
Nombre de sessions simultanées |
> 50 000 (sur plusieurs segments de réseau) |
Mise à niveau par module (matériel ou logiciel) |
Oui |
Autres |
Système d'exploitation courant |
Gamme de prix |
Élevée |
Avantages
Avantages des pare-feu/serveurs :
Excellentes performances
Lorsqu'il est exécuté sur un serveur correctement dimensionné, ce type de pare-feu offre d'excellentes performances.Intégration et consolidation des services
Les serveurs/pare-feu peuvent exploiter les fonctionnalités du système d'exploitation sur lequel ils sont exécutés. Par exemple, un logiciel de pare-feu exécuté sur Microsoft Windows Server™ 2003 peut utiliser la fonctionnalité d'équilibrage de la charge réseau intégrée au système d'exploitation. Le pare-feu peut également faire office de serveur VPN, en utilisant là encore la fonctionnalité correspondante du système d'exploitation Windows Server 2003.Disponibilité, fiabilité et capacité d'évolution
Dans la mesure où le pare-feu fonctionne sur un ordinateur personnel standard, il bénéficie de la disponibilité, de la fiabilité et de la capacité d'évolution inhérentes à la plate-forme.
Inconvénients
Inconvénients des pare-feu/serveurs :
Besoin d'un matériel haut de gamme
Pour des raisons de performance, la plupart des pare-feu/serveurs nécessitent un matériel haut de gamme en termes d'unité centrale, de mémoire et d'interfaces réseau.Vulnérables
Du fait qu'ils fonctionnent sur des systèmes d'exploitation largement répandus, les pare-feu/serveurs sont exposés aux failles de ces systèmes et d'autres logiciels présents sur le serveur. Bien que ce soit le cas également pour les pare-feu matériels, leurs systèmes d'exploitation sont nettement moins connus des agresseurs.
Utilisation du pare-feu interne
Un pare-feu interne contrôle les accès au/depuis le réseau interne. Les types d'utilisateurs existants sont les suivants :
Approuvés
Employés de l'entreprise, notamment les utilisateurs internes qui accèdent à la zone du périmètre ou à Internet, et les utilisateurs externes, tels que les employés des succursales, les utilisateurs distants ou les télétravailleurs.Semi-approuvés
Partenaires commerciaux de l'entreprise, qui bénéficient d'un niveau de confiance supérieur à celui des utilisateurs non approuvés, quoique généralement inférieur à celui du personnel de l'entreprise.Non approuvés
Il s'agit, par exemple, des utilisateurs du site Web public de l'organisation.
En principe, les utilisateurs non approuvés d'Internet ne devraient accéder qu'à vos serveurs Web dans votre zone de périmètre. S'ils ont besoin d'accéder à vos serveurs internes, par exemple pour consulter les niveaux des stocks, le serveur Web approuvé recherche l'information pour eux, de sorte que les utilisateurs non approuvés ne doivent jamais être autorisés à traverser le pare-feu interne.
Différents critères sont à prendre en compte lorsque vous sélectionnez la catégorie de pare-feu qui sera utilisée dans cette capacité. Le tableau suivant en dresse la liste :
Tableau 6. Critères intervenant dans le choix de la catégorie de pare-feu interne
Aspect |
Caractéristiques habituelles d'un pare-feu mis en œuvre dans cette capacité |
|---|---|
Fonctions de pare-feu requises par l'administrateur de sécurité. |
Il s'agit d'un compromis entre le niveau de sécurité requis, le coût et la baisse éventuelle de performances résultant du renforcement de la sécurité. Tandis qu'un grand nombre d'entreprises recherchent une sécurité maximale pour leur pare-feu interne, certaines d'entre elles ne sont pas disposées à accepter la réduction de performances qui en résulte. Ce peut être le cas, par exemple, des sites Web qui génèrent un important trafic et ne pratiquent pas de commerce électronique. Ces sites peuvent privilégier le débit par rapport au niveau de sécurité, en mettant en place un filtrage statique des paquets au lieu d'un filtrage de la couche applicative. |
Choix d'un type de dispositif (physique dédié à la fonction de pare-feu ou disposant d'autres fonctions ou pare-feu logique sur un dispositif physique). |
Cela dépend du niveau de performance requis, de la sensibilité des données et de la fréquence d'accès requise depuis la zone du périmètre. |
Facilité de gestion du dispositif, conformément aux spécifications de l'architecture de gestion de l'entreprise |
Une certaine forme de journalisation est généralement effectuée et un mécanisme de surveillance des événements est souvent nécessaire. Vous pouvez décider de ne pas autoriser l'administration à distance afin d'éviter qu'un utilisateur malveillant ne prenne le contrôle du dispositif à distance. |
Les conditions de débit seront probablement déterminées par les administrateurs de service et de réseau à l'intérieur de l'organisation. |
Ces conditions peuvent varier d'un environnement à l'autre, mais le débit global du réseau disponible dépend de la puissance du matériel du dispositif ou du serveur et des fonctions de pare-feu utilisées. |
Conditions de disponibilité. |
Là encore, cela dépend des exigences d'accès à partir des serveurs Web. S'ils ont pour fonction principale de traiter les demandes d'informations satisfaites en fournissant des pages Web, le flux vers les réseaux internes sera lent. Cependant, de hauts niveaux de disponibilité seront nécessaires pour un site de commerce électronique. |
Règles applicables aux pare-feu internes
Les pare-feu internes surveillent le trafic entre le périmètre et les zones internes sécurisées. Les exigences techniques des pare-feu internes sont beaucoup plus complexes que celles des pare-feu de périmètre, étant donnée la complexité des types de trafics et des flux entre ces réseaux.
Cette section fait référence aux « bastions Internet ». Il s'agit de serveurs situés à l'intérieur de votre réseau de périmètre qui fournissent des services aux utilisateurs internes et externes. Par exemple, les serveurs Web et les serveurs VPN sont des bastions Internet. En général, les règles suivantes (par défaut ou configurées) doivent être mises en œuvre au niveau du pare-feu interne :
Bloquer tous les paquets par défaut.
Sur l'interface du périmètre, bloquer les paquets entrants qui semblent provenir d'une adresse IP interne afin d'empêcher l'usurpation d'adresse.
Sur l'interface interne, bloquer les paquets sortants qui semblent provenir d'une adresse IP externe afin de limiter les dégâts d'une attaque interne.
Autoriser les requêtes de type UDP et la réponse des serveurs DNS internes au bastion Internet de résolution DNS.
Autoriser les requêtes de type UDP et les réponses du bastion Internet de résolution DNS aux serveurs DNS internes.
Autoriser les requêtes de type TCP des serveurs DNS internes au bastion Internet de résolution DNS, y compris les réponses à ces requêtes.
Autoriser les requêtes de type TCP du bastion Internet de résolution DNS aux serveurs DNS internes, y compris les réponses à ces requêtes.
Autoriser les transferts de zone entre le bastion Internet d'annonce DNS et les hôtes serveurs DNS internes.
Autoriser le courrier sortant du serveur de messagerie SMTP interne vers le bastion Internet SMTP sortant.
Autoriser le courrier entrant du bastion Internet SMTP entrant vers le serveur de messagerie SMTP interne.
Autoriser le trafic en provenance de la partie « back end » des serveurs VPN à atteindre les hôtes internes et les réponses à revenir aux serveurs VPN.
Autoriser le trafic d'authentification vers les serveurs RADUIS sur le réseau interne et les réponses à revenir aux serveurs VPN.
Tous les accès Web sortants des clients internes traversent un serveur proxy et les réponses leur sont renvoyées.
Prendre en charge le trafic d'authentification de domaine Microsoft Windows 2000/2003 entre des segments de réseau pour le domaine de périmètre et le domaine interne.
Prendre en charge au moins cinq segments de réseau.
Effectuer une inspection dynamique des paquets entre tous les segments de réseau qu'ils relient (pare-feu de la couche du circuit – couches 3 et 4).
Prendre en charge des fonctionnalités de haute disponibilité, telles que le basculement dynamique en cas de panne.
Acheminer le trafic entre les segments de réseau connectés sans utiliser la technologie NAT (Network Address Translation).
Conditions matérielles
Les exigences matérielles d'un pare-feu diffèrent selon qu'il s'agit d'un pare-feu logiciel ou matériel, comme indiqué ci-dessous.
Pare-feu matériel
Ces dispositifs exécutent généralement du code spécialisé sur une plate-forme matérielle personnalisée. Leur taille (et leur prix) dépendent du nombre de connexions qu'ils peuvent gérer et de la complexité du logiciel à exécuter.Pare-feu logiciel
Ces dispositifs sont également configurés en fonction du nombre de connexions simultanées et de la complexité du logiciel de pare-feu. Des calculateurs permettent de mesurer la vitesse du processeur, la taille de la mémoire et l'espace disque nécessaire pour un serveur, en fonction du nombre de connexions prises en charge. Vous devez également tenir compte des autres logiciels éventuellement présents sur le pare-feu/serveur, comme le logiciel d'équilibrage de la charge et le logiciel de VPN. Tenez compte aussi des méthodes de calibrage en amont et vers l'extérieur. Ces méthodes permettent non seulement d'augmenter la puissance du système en ajoutant d'autres processeurs, de la mémoire et des cartes réseau, mais également d'utiliser plusieurs systèmes et l'équilibrage de la charge pour répartir la fonctionnalité de pare-feu entre eux. Certains produits tirent parti du traitement multiprocesseur symétrique (SMP, Symmetrical MultiProcessing) pour améliorer les performances. Le service d'équilibrage de la charge réseau de Windows Server 2003 offre à certains pare-feu logiciels des améliorations en termes d'efficacité, de performances, de tolérance de pannes et de disponibilité.
Disponibilité
Pour augmenter la disponibilité du pare-feu, celui-ci peut être mis en œuvre sous la forme d'un pare-feu unique avec ou sans composants redondants ou d'une paire de pare-feu redondants intégrant un mécanisme de basculement en cas de panne et/ou d'équilibrage de la charge. Les avantages et les inconvénients de ces options sont présentés ci-après.
Pare-feu unique sans composants redondants
La figure suivante montre un pare-feu unique sans composants redondants :
.gif "Pare-feu unique sans composants redondants")
Figure 2
Pare-feu unique sans composants redondants
Avantages
Avantages d'un pare-feu unique :
Prix modique
Du fait de l'utilisation d'un seul pare-feu, le coût du matériel et de la licence est peu élevé.Gestion simplifiée
La gestion est simplifiée, car le site ou l'entreprise ne dispose que d'un seul pare-feu.Source unique de journalisation
Toute la journalisation du trafic concerne un seul dispositif.
Inconvénients
Inconvénients d'un pare-feu unique sans redondance :
Point de défaillance isolé
Il existe un point de défaillance isolé pour l'accès entrant et/ou sortant.Encombrement éventuel du trafic
Un pare-feu unique peut constituer un goulet d'étranglement pour le trafic, en fonction du nombre de connexions et du débit requis.
Pare-feu unique avec composants redondants
La figure suivante montre un pare-feu unique avec composants redondants :
.gif "Pare-feu unique sans composants redondants")
Figure 3
Pare-feu unique avec composants redondants
Avantages
Avantages d'un pare-feu unique :
Prix modique
Du fait de l'utilisation d'un seul pare-feu, le coût du matériel et de la licence est peu élevé. Les frais inhérents aux composants redondants, comme une alimentation, sont raisonnables.Gestion simplifiée
La gestion est simplifiée, car le site ou l'entreprise ne dispose que d'un seul pare-feu.Source unique de journalisation
Toute la journalisation du trafic concerne un seul dispositif.
Inconvénients
Inconvénients d'un pare-feu unique :
Point de défaillance isolé
Selon le nombre de composants redondants, il peut toujours exister un point de défaillance isolé pour l'accès entrant et/ou sortant.Coût
Le coût est plus élevé pour un pare-feu avec redondance, d'autant qu'il peut être nécessaire de changer de catégorie de pare-feu pour prendre en charge la fonction de redondance.Encombrement éventuel du trafic
Un pare-feu unique peut constituer un goulet d'étranglement pour le trafic, en fonction du nombre de connexions et du débit requis.
Pare-feu à tolérance de pannes
Un jeu de pare-feu à tolérance de pannes comprend un mécanisme qui duplique chacun des pare-feu, comme illustré dans la figure suivante :
.gif "Pare-feu à tolérance de pannes")
Figure 4
Pare-feu à tolérance de pannes
Avantages
Avantages d'un jeu de pare-feu à tolérance de pannes :
Résistance aux pannes
L'utilisation de paires de serveurs ou de dispositifs peut aider à atteindre le niveau de tolérance aux pannes requis.Journalisation centralisée du trafic
La journalisation du trafic est plus fiable car l'un des pare-feu ou les deux peuvent journaliser l'activité vers l'autre partenaire ou un serveur distinct.Possibilité de partage des états
En fonction du produit, les pare-feu de ce jeu peuvent être capables de partager l'état des sessions.
Inconvénients
Inconvénients d'un jeu de pare-feu à tolérance de pannes :
Complexité accrue
L'installation et la prise en charge de ce type de solution est plus complexe du fait des trajets multiples du trafic sur le réseau.Configuration complexe
La séparation des règles des pare-feu peut produire des brèches non sécurisées et entraîner des problèmes de prise en charge si la configuration n'est pas effectuée correctement.Coût plus élevé
Comme au moins deux pare-feu sont nécessaires, le coût est supérieur à celui d'un pare-feu unique.
Configuration des pare-feu à tolérance de pannes
Lors de l'implantation d'un jeu de pare-feu à tolérance de pannes (souvent appelé « cluster »), il est possible de distinguer deux approches, explicitées dans les sections suivantes :
Jeu de pare-feu à tolérance de pannes actif/passif
Dans un jeu de pare-feu à tolérance de pannes actif/passif, un dispositif (également appelé nœud actif) gère la totalité du trafic tandis que l'autre (le nœud passif) ne transmet aucun trafic et n'effectue aucun filtrage, mais reste néanmoins actif en surveillant l'état du nœud actif. En général, chaque nœud communique sa disponibilité et/ou l'état de sa connexion à son nœud partenaire. Cette communication, souvent appelée pulsation (heartbeat), est échangée plusieurs fois par seconde entre les systèmes afin de vérifier que les connexions sont bien gérées par le nœud partenaire. Si le nœud passif ne reçoit aucune pulsation du nœud actif après un intervalle de temps défini par l'utilisateur, le nœud passif considère que le nœud actif est défaillant et devient alors actif. Un jeu de pare-feu à tolérance de pannes actif/passif est illustré dans la figure suivante :
.gif "Jeu de pare-feu à tolérance de pannes actif/passif")
Figure 5
Jeu de pare-feu à tolérance de pannes actif/passif
Avantages
Avantages d'un jeu de pare-feu à tolérance de pannes actif/passif
Configuration simple
Cette configuration est plus simple à mettre en œuvre et à dépanner que l'option suivante, actif/actif, car un seul trajet est actif sur le réseau à un moment donné.Charge prévisible en cas de basculement
Comme la totalité du trafic bascule sur le nœud passif en cas de panne, il est facile de prévoir le trafic qu'aura à gérer le nœud passif.
Inconvénients
Inconvénients d'un jeu de pare-feu à tolérance de pannes actif/passif
- Utilisation inefficace
Le jeu de pare-feu à tolérance de pannes actif/passif est improductif dans la mesure où, dans le cadre d'une utilisation normale, le nœud passif n'offre aucune fonctionnalité utile au réseau et n'augmente pas le débit.
Jeu de pare-feu à tolérance de pannes actif/actif
Dans un jeu de pare-feu à tolérance de pannes actif/actif, deux nœuds ou plus examinent activement toutes les requêtes envoyées à une adresse IP virtuelle partagée par tous les nœuds. La charge est distribuée entre les nœuds par le biais d'algorithmes spécifiques au mécanisme de tolérance de pannes utilisé ou d'une configuration utilisateur statique. Quelle que soit la méthode utilisée, chaque nœud filtre activement différents trafics. En cas de panne de l'un des nœuds, les autres nœuds distribuent le traitement de la charge qui incombait jusqu'alors au nœud défaillant. La figure suivante illustre un jeu de pare-feu à tolérance de pannes actif/actif :
.gif "Jeu de pare-feu à tolérance de pannes actif/actif")
Figure 6
Jeu de pare-feu à tolérance de pannes actif/actif
Avantages
Avantages d'un jeu de pare-feu à tolérance de pannes actif/actif
Meilleure efficacité
Comme tous les pare-feu fournissent un service au réseau, leur utilisation est plus efficace.Débit plus important
Dans le cadre d'une utilisation normale, cette configuration permet de gérer des trafics plus denses que la configuration actif/passif, car tous les pare-feu peuvent simultanément fournir un service au réseau.
Inconvénients
Inconvénients d'un jeu de pare-feu à tolérance de pannes actif/actif
Possibilité de surcharge
En cas de défaillance d'un des nœuds, les ressources matérielles des autres nœuds peuvent se révéler insuffisantes pour gérer l'ensemble du trafic. En conséquence, il est important d'anticiper, sachant qu'une baisse des performances peut se produire lorsque les nœuds fiables prennent en charge le trafic du nœud défaillant.Complexité accrue
Comme le trafic réseau peut emprunter plusieurs chemins, le dépannage est plus complexe.
Sécurité
La sécurité des produits de pare-feu revêt une importance souveraine. Bien qu'il n'existe aucun standard pour la sécurité des pare-feu, l'ICSA (International Computer Security Association), un organisme indépendant des fournisseurs, conduit un programme de certification visant à tester la sécurité des produits de pare-feu disponibles dans le commerce. L'ICSA teste un nombre significatif de produits de pare-feu actuellement disponibles sur le marché. Pour plus d'informations, visitez le site Web à l'adresse suivante :
La conformité des pare-feu aux standards de sécurité requis doit faire l'objet d'une attention toute particulière. Un moyen d'y parvenir consiste à choisir un pare-feu certifié par l'ICSA. En outre, les performances du pare-feu choisi doivent être documentées. Plusieurs bases de données de failles de sécurité sont disponibles sur Internet. Consultez-les afin de vous informer sur les vulnérabilités du produit que vous envisagez d'acheter. Malheureusement, aucun produit (matériel ou logiciel) n'est exempt de bogues. Vous devez non seulement déterminer le nombre et la gravité des bogues affectant le produit que vous envisagez d'acheter, mais également évaluer la réactivité du fournisseur face aux vulnérabilités.
Capacité d'évolution
Cette section traite de l'exigence d'évolutivité d'une solution de pare-feu. L'évolutivité des pare-feu est largement tributaire des performances des dispositifs utilisés. Il est judicieux de sélectionner un type de pare-feu capable d'évoluer afin de s'adapter aux scénarios auxquels il sera confronté. Il existe deux façons de réaliser l'évolutivité :
Évolution verticale (montée en charge)
Que le pare-feu soit un dispositif matériel ou une solution logicielle exécutée sur un serveur, il est possible d'atteindre différents degrés d'évolutivité en augmentant la quantité de mémoire, la puissance de traitement des processeurs et le débit des interfaces réseau. Cependant, il existe une limite à l'évolution verticale de chaque dispositif ou serveur. Par exemple, si vous achetez un serveur équipé de deux emplacements pour quatre processeurs et que vous commencez avec deux, vous ne pourrez jamais ajouter plus de deux processeurs.Évolution horizontale (ajout de composants)
Une fois qu'un serveur a évolué verticalement jusqu'à sa limite, l'évolution horizontale devient importante. La plupart des pare-feu (matériels et logiciels) peuvent évoluer horizontalement en recourant à une certaine forme d'équilibrage de la charge. Dans un tel scénario, plusieurs serveurs sont organisés en cluster et assimilés à un seul et unique serveur par les clients du réseau. Ce scénario est comparable à celui du cluster actif/actif décrit à la section « Disponibilité » de ce module. La technologie utilisée pour offrir cette fonctionnalité peut différer de celle précédemment décrite, en fonction du fournisseur.
L'évolution verticale des pare-feu matériels peut s'avérer difficile. Cependant, certains fabricants de pare-feu matériel proposent des solutions d'évolution horizontale permettant d'empiler leurs dispositifs afin de les faire fonctionner à l'unisson et d'équilibrer la charge.
Certains pare-feu logiciels sont conçus pour évoluer verticalement en ajoutant des processeurs. Le traitement multiprocesseur est contrôlé par le système d'exploitation sous-jacent et le logiciel du pare-feu n'a pas besoin de connaître l'existence des processeurs supplémentaires. Cependant, pour tirer pleinement parti du multitraitement, le logiciel du pare-feu doit être capable de fonctionner en multitâche. Cette approche permet de faire évoluer des dispositifs simples ou redondants, contrairement aux pare-feu matériels ou de type dispositif, qui doivent généralement se conformer aux limitations matérielles qui leur ont été assignées par le fabricant. La plupart des pare-feu de type dispositif sont classifiés en fonction du nombre de connexions simultanées qu'ils peuvent gérer. Les dispositifs matériels ont souvent besoin d'être remplacés si les exigences de connexion dépassent ce qui est permis par le modèle d'évolution fixe du dispositif.
Comme indiqué précédemment, la tolérance de pannes peut être intégrée au système d'exploitation d'un pare-feu/serveur. Dans le cas d'un pare-feu matériel, la tolérance de pannes représente généralement un coût supplémentaire.
Consolidation
La consolidation désigne l'ajout du service de pare-feu à un autre dispositif ou l'ajout d'autres services au pare-feu. La consolidation offre les avantages suivants :
Diminution du prix d'achat
L'ajout du service de pare-feu à un autre service, par exemple à un routeur, évite d'avoir à acheter un dispositif matériel, mais ne dispense pas d'acheter le logiciel du pare-feu. De même, l'ajout d'autres services au pare-feu évite d'avoir à acheter du matériel supplémentaire.Réduction des coûts de stock et de gestion
La réduction du nombre de dispositifs matériels permet de réduire les coûts d'exploitation. La diminution du nombre de mises à niveau matérielles requises simplifie le câblage et la gestion.Meilleures performances
En fonction du type de consolidation réalisé, un gain de performance est possible. Par exemple, l'ajout de la mise en cache de serveur Web au pare-feu diminue le nombre de dispositifs supplémentaires requis et accélère la communication entre les services par rapport à un câble Ethernet.
Exemples de consolidation :
Ajout de services de pare-feu à un routeur
La plupart des routeurs disposent d'un service de pare-feu intégré. Les capacités de ce service de pare-feu peuvent être très simples pour les routeurs d'entrée de gamme, mais elles sont généralement extrêmement performantes pour les routeurs haut de gamme. Votre réseau interne est probablement équipé d'au moins un routeur qui relie les segments Ethernet entre eux. L'intégration du pare-feu au sein de ce réseau permet de réduire les coûts. Même si vous mettez en œuvre des pare-feu spécifiques, l'ajout de certaines fonctionnalités de pare-feu à vos routeurs peut contribuer à limiter les intrusions internes.Ajout de services de pare-feu au commutateur interne
En fonction du commutateur interne que vous utilisez, il peut être possible d'y ajouter le pare-feu interne sous forme de « lame », ce qui permet de réduire les coûts tout en améliorant les performances.
Lorsque vous envisagez d'intégrer d'autres services au même serveur ou dispositif de pare-feu, veillez à ce qu'aucun des services ne risque de perturber la disponibilité, la sécurité ou la facilité de gestion du pare-feu. Les performances en particulier constituent un aspect important, car la charge supplémentaire générée par les services ne peut que les détériorer.
Une autre approche de la consolidation des services sur le dispositif ou le serveur qui fournit le service de pare-feu consiste à consolider un dispositif matériel de pare-feu sous forme de lame (serveurs en racks). Cette approche est généralement moins onéreuse qu'un pare-feu autonome, quel qu'en soit le type, et permet de tirer parti des fonctionnalités de disponibilité du commutateur, telles que les alimentations en double. Cette configuration est également plus facile à gérer, car elle ne concerne pas un dispositif distinct. En outre, cette solution est généralement plus rapide, car elle utilise le bus du commutateur, et non le câblage externe.
Standards et conseils
La plupart des protocoles Internet qui utilisent Ipv4 (Internet Protocol version 4) peuvent être protégés par un pare-feu. Cela est valable pour les protocoles de bas niveau, tels que TCP et UDP, comme pour les protocoles de haut niveau, tels que HTTP, SMTP et FTP. Avant d'acheter un produit de pare-feu, assurez-vous qu'il prend en charge le type de trafic requis. Certains pare-feu peuvent également interpréter le protocole GRE utilisé pour l'encapsulation PPTP (Point-to-Point Tunneling Protocol) dans certaines mises en œuvre VPN.
Certains pare-feu intègrent des filtres applicatifs pour des protocoles tels que HTTP, SSL, DNS, FTP, SOCKS v4, RPC, SMTP, H. 323 et POP (Post Office Protocol).
Réfléchissez également à l'avenir du protocole TCP/IP et à IPv6, et demandez-vous si cela doit constituer un impératif pour un pare-feu, même si vous utilisez actuellement le protocole IPv4.
Résumé
Ce module vous a proposé une méthode pratique pour choisir les produits de pare-feu qui répondent le mieux à vos besoins. Cette méthode couvre tous les aspects de la conception des pare-feu, y compris les différents processus d'évaluation et de classification nécessaires pour trouver une solution.
Aucun pare-feu n'offre une sécurité parfaite. La seule façon de protéger votre réseau contre les attaques électroniques lancées depuis l'extérieur consiste à bâtir un rempart entre lui et tous les autres systèmes et réseaux. Vous obtiendrez certes un réseau sécurisé, mais il sera quasiment inutilisable. Les pare-feu vous permettent de mettre en œuvre un niveau de sécurité approprié lorsque vous connectez votre réseau à un réseau externe ou lorsque vous interconnectez deux réseaux internes.
Les stratégies et les processus de conception de pare-feu décrits dans ce module ne sont à envisager que dans le cadre d'une stratégie de sécurité globale. Un pare-feu efficace n'offre qu'un intérêt limité si des failles existent dans d'autres parties du réseau. La sécurité doit s'appliquer à chacun des composants du réseau. Une politique de sécurité permettant de gérer les risques inhérents à l'environnement doit être définie pour tous les composants.
Références
De plus amples informations sur la conception et le déploiement des services de pare-feu sont disponibles aux adresses URL suivantes :
Pour obtenir des informations détaillées sur la sécurité de Windows Server 2003, consultez le module « Windows Server 2003 Security Center » à l'adresse URL suivante : www.microsoft.com/technet/security/prodtech/windows/win2003/
Les ressources de sécurité du SANS (SysAdmin, Audit, Network, and Security) Institute sont disponibles sur le site Web suivant : www.sans.org
Le CERT (Computer Emergency Response Team), un organisme qui enregistre et publie des alertes de sécurité ainsi qu'un centre d'expertise dans le domaine de la sécurité, est accessible à l'adresse URL suivante : www.cert.org
Pour en savoir plus
Présentation technique de la sécurité de Windows Server 2003 | Présentation de la discipline de gestion du risque de sécurité (SRMD) | Sécurité du pare-feu de base | Description du pare-feu de connexion Internet de Windows XP | Configuration du pare-feu de connexion Internet IPv6 | ISA Server : le pare-feu d'entreprise (informations techniques) | La rubrique Sécurité de TechNet | Formations et certifications Microsoft sur la Sécurité