Pare-feu
Un pare-feu est un mécanisme de sécurité réseau, matériel ou logiciel, qui contrôle le trafic entrant et sortant selon un ensemble de règles prédéfinies.
Un pare-feu constitue une véritable barrière entre un réseau de confiance et d'autres réseaux de confiance nulle, comme Internet, ou moins sécurisés, tels que le réseau d'un détaillant situé en dehors de l'environnement de données des détenteurs de cartes. A ce titre, il contrôle l'accès aux ressources d'un réseau via un modèle de contrôle positif. Autrement dit, seul transite par le réseau le trafic autorisé dans la politique de sécurité ; tout le reste se voit refuser l'accès.
Historique et types des pare-feu
La sécurité informatique a emprunté le terme pare-feu au domaine de la lutte et de la prévention contre les incendies, où un pare-feu est un obstacle destiné à contenir la propagation du feu.
Dès que les entreprises ont commencé à abandonner les ordinateurs mainframe au profit du modèle client-serveur, le contrôle des accès au serveur est devenu une nécessité absolue. Avant l'apparition des pare-feu à la fin des années 1980, la sécurité du réseau ne pouvait être assurée que par le seul dispositif qui existait, à savoir les listes de contrôle des accès (ACL) résidant sur les routeurs. Les ACL permettaient d'identifier les adresses IP pour lesquelles l'accès au réseau était autorisé ou refusé.
Avec le succès croissant d'Internet et l'explosion de la connectivité réseau qui en a résulté, il était évident que ce type de filtrage ne suffirait plus à écarter le trafic malveillant dans la mesure où seules quelques informations de base concernant le réseau étaient contenues dans les en-têtes de paquet. En 1992, Digital Equipment Corp. a commercialisé le tout premier pare-feu, sous le nom de DEC SEAL. Depuis cette date, la technologie de pare-feu n'a cessé d'évoluer afin de contrecarrer les cyberattaques devenues de plus en plus sophistiquées.
Pare-feu de paquets
Les tout premiers pare-feu étaient de simples filtres de paquets qui inspectaient chaque paquet transitant entre les ordinateurs, via Internet. Lorsqu'un paquet passe par un pare-feu de type filtre de paquets, sa source, son adresse de destination, son protocole, son numéro de port de destination sont comparés à une liste de règles préconfigurées du pare-feu.
Tous les paquets qui ne sont pas explicitement autorisés sur le réseau sont rejetés (c'est-à-dire non transmis à leur destination). Par exemple, si une règle du pare-feu est configurée de façon à bloquer un accès Telnet, le pare-feu rejette les paquets destinés au numéro de port TCP 23, port sur lequel l'application serveur Telnet est à l'écoute.
Les pare-feu de type filtre de paquets fonctionnent essentiellement sur les trois premières couches du modèle OSI (physique, liaison de données et réseau), bien que la couche transport soit utilisée pour obtenir les numéros des ports de la source et de la destination. S'ils sont généralement rapides et efficaces, ils n'ont aucun moyen d'indiquer si un paquet fait partie d'un flux de trafic existant. Puisqu'ils traitent chaque paquet séparément, cela les rend plus vulnérables aux attaques par usurpation d'identité et les empêche de prendre des décisions plus complexes en fonction du stade où en sont les communications entre hôtes.
Pare-feu à états
Pour reconnaître l'état de la connexion d'un paquet, un pare-feu doit enregistrer toutes les communications qui transitent par lui afin de s'assurer qu'il a assez d'informations pour savoir si un paquet se situe au début d'une nouvelle connexion, fait partie d'une connexion existante ou ne relève d'aucune connexion. C'est ce qu'on appelle une « inspection à états des paquets ». L'inspection à états a fait sa première apparition en 1994 avec le logiciel pare-feu de Check Point Software : FireWall-1. A la fin des années 1990, c'était devenu une caractéristique courante des pare-feu.
Ces informations supplémentaires permettent d'accorder ou de rejeter l'accès en fonction de l'historique du paquet, résumé dans une table d'états, et d'accélérer le traitement des paquets.
Les paquets qui, d'après la table d'états du pare-feu, appartiennent à une connexion existante peuvent passer sans autre analyse. Si un paquet ne correspond à aucune connexion existante, il est analysé selon l'ensemble de règles définies pour les nouvelles connexions.
Pare-feu applicatifs
Alors que les attaques contre les serveurs Web se faisaient de plus en plus courantes, il devenait de plus en plus nécessaire qu'un pare-feu soit en mesure de protéger les serveurs et les applications qui s'y exécutaient, sans se limiter aux ressources réseau sous-jacentes. Les pare-feu applicatifs ont vu le jour en 1999, ce qui a permis d'inspecter et de filtrer les paquets sur l'ensemble du modèle OSI, jusqu'à la couche application.
Le filtrage s'effectuant au niveau de la couche application, il est possible de bloquer du contenu spécifique, tel que des programmes malveillants connus ou certains sites Web, et de savoir à quel moment l'usage d'applications et de protocoles, comme HTTP, FTP et DNS est détourné.
La technologie des pare-feu est désormais présente dans de nombreux périphériques. Dans une grande majorité, les routeurs qui transmettent les données entre réseaux intègrent un pare-feu ; de même, les systèmes d'exploitation d'ordinateur personnel sont dotés de logiciels pare-feu. Les pare-feu matériel proposent aussi des fonctionnalités supplémentaires telles que le routage de base vers le réseau interne qu'ils protègent.
Pare-feu de type proxy
Les pare-feu de type serveur proxy interviennent également au niveau de la couche application du pare-feu. Ils se substituent à une application réseau spécifique pour mieux la protéger et traiter à sa place toutes les requêtes transitant d'un réseau à un autre.
Un pare-feu proxy empêche toute connexion directe entre les deux extrémités du pare-feu. Les deux extrémités sont obligées d'ouvrir la session via le proxy, qui peut bloquer ou autoriser le trafic selon son ensemble de règles. Un service proxy doit être exécuté pour chaque type d'application Internet que le pare-feu a pour mission de protéger (un proxy HTTP par exemple pour les services Web).
Pare-feu à l'ère du sans-périmètre
Le rôle d'un pare-feu est d'empêcher le trafic malveillant d'atteindre les ressources qu'il protège. Certains experts de la sécurité estiment qu'il s'agit d'un mécanisme obsolète qui ne suffit plus à assurer la protection des informations et des ressources sur lesquelles il réside.
ls expliquent que si les pare-feu ont encore un rôle à jouer, les réseaux d'aujourd'hui font intervenir tellement de points d'entrée et de types différents d'utilisateurs qu'il serait préférable de renforcer le contrôle d'accès et la sécurité au niveau de l'hôte pour garantir la sécurité du réseau.
Les stratégies de virtualisation, telles que VDI (Virtual Desktop Infrastructure) peuvent réagir de manière dynamique à différents scénarios en offrant un contrôle d'accès sur mesure des applications, fichiers, contenus Web et pièces jointes d'e-mail en fonction du rôle de l'utilisateur, de l'emplacement, de l'appareil et de la connexion. Cette approche de la sécurité assure une protection supplémentaire qu'un pare-feu ne peut pas assurer.
Mais, la sécurité des informations exige une défense en profondeur, et les pare-feu offrent toujours une protection bas niveau essentielle, ainsi que d'importantes fonctions de journalisation et d'audit.