Firewalls : Zoom sur leur fonctionnement et intégration à la sécurité de l'entreprise
Dans la plupart des entreprises, les firewalls ou pare-feux représentent la principale défense de périmètre. Depuis qu'ils existent, ils ont connu de nombreuses évolutions : proxy, stateful, applications Web, nouvelle génération, etc : voici un questions-réponses pour y voir plus clair.
Si les firewalls existent depuis trois décennies, ils ont radicalement évolué. Désormais, ils incluent des fonctions qui étaient autrefois vendues séparément et offrent des options d'entrée de données collectées à l'extérieur afin de déterminer plus pertinemment quel trafic réseau laisser passer et lequel bloquer. Désormais, les firewalls ne représentent qu'un des éléments indispensables de l'écosystème de défense des réseaux. Les dernières versions de firewalls sont qualifiées de firewalls d'entreprise ou de firewalls de nouvelle génération (NGFW) pour indiquer les applications possibles et signifier un ajout permanent de fonctionnalités.
1/ Qu'est-ce qu'un firewall ?
Un firewall est un dispositif réseau qui surveille les paquets entrant et sortant des réseaux. Il bloque ou autorise ce trafic en fonction des politiques établies. Au fil des années, plusieurs types de firewalls ont été développés, devenant de plus en plus complexes et tenant compte de plus en plus de paramètres pour déterminer si le trafic doit être autorisé ou non. Au départ, les firewalls servaient essentiellement à filtrer les paquets, mais les solutions les plus récentes font beaucoup plus de choses. Positionnés initialement à la frontière entre les réseaux fiables et non fiables, les firewalls sont désormais déployés pour protéger des portions internes des réseaux, par exemple les datacenters, des autres réseaux de l'entreprise. Ils sont généralement déployés en tant qu'appliances vendues par des fournisseurs, mais ils peuvent également être achetés en tant qu'appliances virtuelles, et ce sont alors des logiciels que les clients installent sur leur propre matériel.
2/ Les principaux types de firewalls
Le serveur proxy firewall
Ce firewall sert de passerelle entre les utilisateurs finaux qui interrogent les données et la source de ces données. Les périphériques hôtes se connectent au proxy et le proxy établit une connexion séparée avec la source de données. En retour, les périphériques sources établissent des connexions avec le proxy, et le proxy établit une connexion séparée avec le périphérique hôte. Avant de transmettre des paquets à une adresse de destination, le proxy peut les filtrer pour appliquer des stratégies et masquer l'emplacement du périphérique du destinataire, mais aussi pour protéger le périphérique et le réseau du destinataire. L'avantage du serveur proxy firewall c'est que les machines situées en dehors du réseau protégé ne peuvent recueillir que des informations limitées sur le réseau, car elles ne sont jamais directement connectées à celui-ci. Le principal inconvénient du serveur proxy firewall, c'est que la terminaison des connexions entrantes et la création de connexions sortantes ainsi que le filtrage entraînent des retards qui peuvent dégrader les performances. Si les temps de réponse deviennent trop lents, l'usage de certaines applications à travers le firewall peut devenir difficile.
Le firewall à états ou « stateful »
Le firewall à états améliore les performances du serveur proxy firewall. Il permet de garder la trace d'un ensemble d'informations sur les connexions et rend inutile l'inspection de chaque paquet par le firewall. Ce processus réduit considérablement le délai introduit par le firewall. En maintenant l'état des connexions, le firewall à états peut, par exemple, renoncer à inspecter les paquets entrants identifiés comme réponses aux connexions sortantes légitimes déjà inspectées. L'inspection initiale établit que la connexion est autorisée, et en préservant cet état en mémoire, le firewall peut laisser passer le trafic de cette même conversation sans inspecter chaque paquet.
Le firewall d'applications Web
Logiquement, le firewall d'applications Web (WAF) se situe entre les serveurs qui prennent en charge les applications Web et Internet, pour les protéger contre des attaques HTML spécifiques comme les attaques XSS (cross-site scripting), l'injection SQL et autres. Le WAF peut tourner sur du hardware ou dans le cloud ou même être intégré à des applications pour déterminer si le client qui essaye d'accéder au serveur peut être autorisé.
Le firewall « nouvelle génération »
Le firewall de nouvelle génération (NGFW) permet d'introduire d'autres règles que l'état des connexions et les adresses de la source et de la destination pour filtrer les paquets. Le NGFW intègre des règles précisant ce que les applications et les utilisateurs individuels sont autorisés à faire, en y ajoutant des données recueillies à partir d'autres technologies afin de prendre des décisions plus éclairées sur le trafic qu'il faut autoriser et celui qu'il faut bloquer. Par exemple, certains pare-feux NGFW effectuent un filtrage d'URL, peuvent terminer les connexions SSL (Secure Sockets Layer) et TLS (Transport Layer Security), et supportent les réseaux étendus définis par logiciel (SD-WAN) pour améliorer l'application des décisions dynamiques SD-WAN sur la connectivité.
3/ Evolution des firewalls réseau et solutions complémentaires
Parce qu'ils empêchaient le mauvais trafic d'entrer dans les réseaux d'entreprise et qu'ils protégeaient les actifs les plus précieux, les firewalls sont devenus incontournables dans l'environnement informatique de l'entreprise. Mais, comment ont-ils évolué au fil des ans ? Des fonctions, historiquement gérées par des dispositifs distincts, sont désormais intégrées dans de nombreux firewalls de nouvelle génération. Ce sont notamment :
Si les technologies de base des firewalls identifient et bloquent certains types de trafic réseau, les systèmes de prévention des intrusions (Intrusion Prevention System ou IPS) utilisent une sécurité plus granulaire comme la recherche de signature et la détection d'anomalies pour empêcher les menaces de s'introduire dans les réseaux. Longtemps délivrée par des plates-formes séparées, la fonction IPS fait de plus en plus partie des fonctions courantes du firewall.
L'inspection profonde des paquets (IPP ou DPI) s'invite...
L'inspection approfondie des paquets (Deep packet inspection ou DPI) est un mode de filtrage des paquets qui dépasse le cadre de la source et de la destination des paquets et inspecte leur contenu, révélant, par exemple, quelle application est accessible ou quel type de données est transmis. Ces informations permettent d'appliquer des politiques plus intelligentes et plus granulaires au niveau du firewall. Le DPI peut servir à bloquer ou à autoriser le trafic, mais aussi à limiter l'usage de la bande passante de certaines applications. Il pourrait également servir à protéger la propriété intellectuelle ou la fuite de données sensibles hors du réseau sécurisé.
... aux côtés des connexions SSL/TLS
Le trafic crypté par SSL résiste à l'inspection profonde des paquets, car son contenu ne peut pas être lu. Certaines NGFW peuvent terminer le trafic SSL, l'inspecter, puis créer une deuxième connexion SSL à l'adresse de destination prévue. Cette méthode peut être utilisée pour empêcher, par exemple, des employés malveillants d'envoyer des informations confidentielles en dehors du réseau sécurisé tout en permettant au trafic légitime de circuler. Même si le DPI est efficace du point de vue de la protection des données, elle peut poser question en matière de protection de la vie privée. Cette terminaison et le proxying peuvent également s'appliquer au TLS (Transport Layer Security) qui succède au SSL.
Les pièces jointes entrantes ou les communications avec des sources externes peuvent par ailleurs contenir du code malveillant. En utilisant le sandboxing, certains firewalls NGFW peuvent isoler ces pièces jointes et n'importe quel type de code qu'elles contiennent, l'exécuter et voir s'il est ou non malveillant. L'inconvénient de ce processus, c'est qu'il peut consommer beaucoup de cycles CPU et provoquer des retards perceptibles dans le trafic qui transite par le firewall. Il arrive que les NGFW intègrent d'autres fonctions. Par exemple, ils peuvent prendre en charge la saisie des données recueillies par d'autres plates-formes et les utiliser pour prendre des décisions au niveau du firewall. Ou encore, si une nouvelle signature de logiciel malveillant a été identifiée par les chercheurs, le firewall peut recueillir cette information et commencer à filtrer le trafic pour bloquer cette signature.
Gartner, qui utilisait autrefois le terme NGFW, explique maintenant que les versions précédentes des firewalls sont dépassées et qu'il désigne désormais tous les firewalls d'entreprise de NGFW.
4/ Les plus importants fournisseurs de firewall
Selon le dernier classement de Gartner, les quatre premiers fournisseurs de firewalls d'entreprise sont Checkpoint, Cisco, Fortinet et Palo Alto Networks. Sophos n'est pas loin de rejoindre le carré de tête, mais il manque encore de capacité opérationnelle et de vision d'ensemble. Selon IDC, les quatre leaders du Magic Quadrant de Gartner sont également en tête du classement en terme de chiffre d'affaires généré par leurs produits. Ensemble, au premier trimestre de l'an dernier, ils détenaient selon IDC plus de la moitié du marché des firewalls. Il y a cinq ans, ce même classement ne comprenait que Checkpoint et Palo Alto. Mais en 2017 Fortinet s'est hissé dans le groupe de tête, rejoint en 2018 par Cisco.
Parmi ces fournisseurs, Gartner a également décerné à Cisco, Fortinet et Palo Alto le Customer Choice Awards, un prix basé sur les commentaires des clients sur leurs produits. En tout, les clients ont évalué 17 fournisseurs et soumis un total de 3 406 évaluations, dont 2 943 concernaient les fournisseurs classés dans le groupe de tête. Les 12 autres fournisseurs non mentionnés ici sont AhnLab, Barracuda Networks, Forcepoint, GreyHeller, Hillstone Networks, Huawei, Juniper Networks, New H3C, Sangfor, Sonic Wall, Stormshield et Watchguard. Un autre classement des meilleurs fournisseurs de firewalls établi par Forrester prend en compte non seulement leur firewall, mais aussi son framework appelé Zero Trust, qui tient compte de tous les composants de sécurité fournis par les fournisseurs et leur degré d'intégration. Selon le rapport « The Forrester Wave : Zero Trust eXtended (ZTX) Ecosystem Providers, Q4 2018 », la dépendance aux seuls firewalls est dépassée. Selon ces critères, deux fournisseurs seulement, Palo Alto et Symantec, arrivent en tête du classement de Forrester.
