DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Cinquante Nuances de Pare-feu

Cinquante Nuances de Pare-feu

Aujourd’hui, nous commençons une série d’articles dédiés à divers types de pare-feux. Ce sera une série en 4 parties. Nous commencerons par examiner les catégories de base des modes de traitement des pare-feux et donner un aperçu des modes de pare-feu. Dans les articles suivants, nous approfondirons les pare-feux de niveau application : WAF et DAF.

Dans cet article d’ouverture, nous allons discuter des types de pare-feux les plus utilisés, de leurs avantages et inconvénients potentiels ainsi que de passer en revue les tendances actuelles et les perspectives de l’évolution de cette technologie.

Le pare-feu est la première ligne de défense contre les attaques externes et internes et un composant fondamental d’une stratégie de sécurité complète. Les pare-feux sont utilisés pour empêcher l’accès non autorisé aux ressources locales, jouant un rôle crucial dans un système de sécurité de l’information à plusieurs niveaux. Ils peuvent être mis en œuvre en matériel et en logiciel, ou une combinaison des deux. Ils analysent et filtrent tout le trafic entrant et sortant à travers un point de contrôle de sécurité concentré et bloquent les requêtes qui ne répondent pas aux critères de sécurité spécifiés.

En général, il existe deux principales technologies, selon lesquelles les pare-feux peuvent être catégorisés : le filtrage de paquets et le filtrage de la couche application. Chaque type de pare-feu filtre et contrôle le trafic réseau de manière différente, mais ces deux technologies peuvent partiellement se chevaucher et peuvent être mises en œuvre ensemble dans un système.

Pare-feu à Filtrage de Paquets

La plupart des dispositifs réseau utilisent la technologie de filtrage. Les filtres de paquets sont le mécanisme de contrôle du trafic le plus basique, opérant au niveau du réseau. Ils permettent de faire passer ou de bloquer les paquets en fonction des attributs de l’en-tête du paquet : protocoles, adresses source et de destination ou numéros de port. Dans certains cas, d’autres attributs de l’en-tête sont analysés, par exemple, pour déterminer si le paquet fait partie d’une nouvelle connexion ou d’une connexion existante. Les filtres de paquets sont mis en œuvre à l’aide de listes de contrôle d’accès (ACL). Lorsqu’un paquet atteint l’interface du routeur, il est d’abord déterminé si le paquet peut être livré ou non, puis il est vérifié pour conformité avec les règles existantes établies – ACL.

Les règles de filtrage sont déterminées selon l’un des principes suivants :

1) Tout ce qui n’est pas explicitement interdit est autorisé

Dans ce cas, le pare-feu permet aux paquets de passer tant qu’ils ne correspondent pas à une règle de blocage. Cette approche est plus permissive et facilite l’administration. Néanmoins, ne pas définir toutes les règles nécessaires entraîne une configuration incorrecte et entraîne l’inefficacité de l’outil de sécurité.

2) Tout ce qui n’est pas explicitement autorisé est interdit

Dans ce cas, le pare-feu refuse le passage des paquets à moins qu’ils ne répondent à une règle de filtrage positive. Ce principe offre un niveau de protection plus élevé. Du point de vue de la sécurité, cette option, dans laquelle le passage des paquets déterminé est autorisé et tout le reste est bloqué, serait plus préférable. D’une part, cette approche accélère le processus de configuration, car le nombre de paquets non autorisés est généralement beaucoup plus élevé que le nombre de paquets autorisés. D’autre part, chaque type d’interaction autorisée nécessite une ou plusieurs règles.

Avantages :
* Le filtrage de paquets est la technologie de pare-feu la plus rapide et elle est largement répandue.
* Par défaut, les pare-feux réseau sont inclus dans la plupart des systèmes d’exploitation et appareils réseaux.
* Lors de la création de règles de filtrage, il est possible d’utiliser des informations extérieures aux attributs de l’en-tête, par exemple, l’heure et la date du passage du paquet réseau.

Inconvénients :
* Le filtrage de paquets est la technologie de pare-feu la moins sécurisée car il n’inspecte pas le trafic au niveau de l’application, ce qui entraîne une large gamme de vulnérabilités de sécurité.
* Les filtres de paquets fonctionnent uniquement avec les en-têtes et n’inspectent pas la charge utile du paquet, permettant l’accès à travers le pare-feu avec un minimum de scrutation.
* Les filtres de paquets ne suivent pas l’état des connexions et peuvent donc permettre un paquet d’une source qui n’a pas de sessions actives à ce moment.
* Une configuration correcte nécessite une compétence élevée en administration système et une compréhension approfondie de la pile de protocoles TCP/IP.
* Les filtres de paquets ne disposent pas de mécanismes d’audit des événements ou d’alerte.

Pare-feu d’Application

Les pare-feux d’application opèrent au niveau de la couche application de la pile TCP/IP. Ils incluent des logiciels et agissent comme un intermédiaire entre le client et le serveur. Le filtrage au niveau de la couche application permet d’éliminer la communication directe entre deux nœuds. Ce type de pare-feu intercepte les paquets se déplaçant vers ou depuis une application et bloque les requêtes malveillantes en fonction des informations spécifiques de l’application. Il désassemble un paquet et analyse son contenu, y compris la charge utile, pour détecter des incohérences, des commandes invalides ou malveillantes.

Avantages :
* Le filtrage au niveau de l’application offre le meilleur niveau de sécurité. Contrairement aux filtres de paquets, les pare-feux d’application sont capables d’inspecter non seulement l’en-tête mais l’ensemble du paquet réseau pour déceler un contenu inapproprié. L’inspection approfondie du trafic entrant et sortant assure un plus grand degré de contrôle granulaire.
* Les pare-feux d’application permettent une journalisation plus détaillée. Les informations de journal sont très utiles pour l’analyse des incidents de sécurité et la mise en œuvre des politiques.
* Les pare-feux d’application ont des règles de filtrage moins compliquées.

Inconvénients :
* Tous les avantages mentionnés viennent avec un coût plus élevé.
* Les pare-feux d’application ne brillent pas en termes de vitesse et de performance. L’examen en profondeur du contenu des paquets prend plus de temps que le filtrage traditionnel des paquets, ralentissant considérablement les performances du réseau, affectant négativement le débit.

Parmi les pare-feux de couche application, on trouve les WAF (pare-feux d’applications web) conçus pour protéger les applications web et les serveurs contre les attaques basées sur le web ; les DAF (pare-feux d’accès aux bases de données) visant à protéger les bases de données ; les pare-feux d’application DNS, etc.

Aperçu des Modes de Pare-feu

Pare-feu Proxy

Un pare-feu proxy agit comme un intermédiaire entre un client et un serveur réel, établissant la connexion au nom du client. Afin d’obtenir du contenu à partir des hôtes de serveur externe, le client envoie des requêtes au pare-feu, qui à son tour initie une nouvelle connexion basée sur la requête reçue. Les requêtes sont évaluées selon l’ensemble de règles existant, puis le pare-feu bloque ou autorise la connexion. Si la requête ne contient pas de paramètres interdits, le pare-feu accorde l’accès au serveur d’origine. Après avoir reçu une réponse du serveur, le pare-feu la valide et, si la réponse est acceptée, la transmet au client qui a initié la requête. Le filtrage est mis en œuvre en fonction de nombreux paramètres, y compris les adresses IP source et de destination, les pièces jointes, l’heure de la requête, etc.

Le pare-feu proxy est le type de pare-feu le plus fiable. Il assure un niveau de sécurité accru grâce au filtrage profond des paquets, au contrôle des requêtes et à la journalisation détaillée. Le pare-feu proxy n’autorise jamais la communication directe entre un client interne et le serveur réel du service externe ou le transfert direct de paquets entre deux nœuds. De cette manière, les adresses IP internes sont protégées des serveurs externes et il y a une possibilité minimale que quelqu’un puisse analyser la topologie de l’intranet en utilisant les informations contenues dans les paquets entrants et sortants.

Grâce aux enregistrements d’audit, les administrateurs peuvent surveiller l’activité des utilisateurs et identifier les tentatives de violation des politiques de sécurité du pare-feu. La mise en cache permet de réduire le trafic, d’équilibrer la charge et de diminuer le temps d’accès à l’information pour le client.

Pare-feu Proxy Inverse

En général, un proxy inverse est un serveur web régulier avec quelques fonctionnalités supplémentaires, y compris la redirection d’URL. Le pare-feu proxy inverse fonctionne de la même manière qu’un proxy de transfert, à la seule différence qu’un proxy inverse est utilisé pour protéger les serveurs et non les clients. Le proxy inverse réside également entre le client et le serveur réel, mais il est transparent pour le client et agit au nom d’un serveur web. Les clients ne voient pas le proxy inverse, tout semble comme s’ils s’adressaient directement au serveur web, contrairement au proxy de transfert où les clients savent qu’ils se connectent à travers un proxy.

Lorsqu’un proxy inverse reçoit une requête d’un client, il ne la traite pas, mais la redirige vers un autre serveur ou un ensemble de serveurs et renvoie la réponse au client. La transmission des requêtes à un ensemble de serveurs permet d’augmenter les performances et d’équilibrer la charge. Le proxy inverse met également en cache les données pour réduire la charge sur le réseau ou le serveur. Pour maintenir son anonymat, le pare-feu proxy inverse intercepte les requêtes avant qu’elles n’atteignent le serveur.

Pare-feu Proxy Transparent

Le proxy transparent est également connu sous le nom de Bump in the Wire. Il réside sur la passerelle et intercepte les requêtes des clients. Les clients ont l’impression qu’ils se connectent au serveur réel, ils ignorent qu’il existe un serveur proxy qui médie leurs requêtes. Le proxy transparent met également en cache le contenu et ne nécessite aucune configuration côté client. Dans ce mode, le pare-feu est capable de filtrer le trafic entre les hôtes.

Pare-feu de Nouvelle Génération

À mesure que le marché des pare-feux réseau d’entreprise continue d’évoluer, les fournisseurs de logiciels cherchent des moyens d’aller au-delà des capacités traditionnelles des pare-feux et d’ajouter des fonctionnalités qui augmenteraient considérablement l’efficacité et l’efficience des pare-feux. Le pare-feu de nouvelle génération est un système intégré qui combine la technologie de pare-feu traditionnelle avec d’autres fonctionnalités de sécurité réseau telles que l’inspection approfondie des paquets (DPI), le système intégré de prévention des intrusions (IPS), l’inspection SSL et SSH, la détection des malwares basée sur la réputation, etc.

Les pare-feux de nouvelle génération sont censés intégrer plusieurs fonctionnalités clés :
* contrôle continu des applications et protection contre les attaques et intrusions sophistiquées;
* capacités de pare-feu d’entreprise traditionnelles : analyse des paquets, filtrage et redirection du trafic, authentification des connexions, blocage des protocoles et du contenu, chiffrement des données, etc.;
* audit et analyse avancés du trafic, y compris les applications;
* intégration avec des systèmes et applications d’entreprise tiers (SIEM, systèmes de gestion de données, etc.);
* collection régulièrement mise à jour de descriptions d’applications et de menaces potentielles.

Progressivement, de plus en plus d’organisations déplacent leurs opérations vers le cloud et adoptent des technologies de virtualisation des données. Avec cela, les pare-feux de nouvelle génération sont de plus en plus demandés, mais le principal facteur affectant le développement du marché est le coût élevé du déploiement et du support initial du système. Les petites et moyennes entreprises hésitent à investir dans cette technologie. C’est pourquoi les fournisseurs qui desservent ce marché se concentrent principalement sur les grandes entreprises.

Pare-feu de Base de Données DataSunrise

DataSunrise Database Firewall fonctionne en mode proxy inverse avec le mode transparent en cours de déploiement. Le pare-feu DataSunrise est un pare-feu d’accès aux bases de données et met en œuvre un audit détaillé et un filtrage des requêtes pour assurer un niveau avancé de contrôle et de sécurité des bases de données.

DataSunrise prend en charge toutes les principales bases de données et entrepôts de données tels que Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata et plus encore. Vous êtes invités à télécharger une version d’essai gratuite si vous souhaitez l’installer dans vos locaux. Si vous êtes utilisateur de cloud et utilisez votre base de données sur Amazon AWS ou Microsoft Azure, vous pouvez l’obtenir sur AWS marketplace ou Azure marketplace.

 

Dans le prochain article, dédié aux pare-feux d’applications web (WAF), nous allons parler de pourquoi les entreprises portent une attention particulière à cette technologie et de comment elle se distingue des pare-feux réseau traditionnels, des pare-feux de nouvelle génération (NGFW) et des systèmes de prévention des intrusions (IPS).

 

Suivant

WAF. Un chevalier en armure brillante

WAF. Un chevalier en armure brillante

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]