Qu'est-ce qu'un pare-feu ?

Un pare-feu est érigé entre un réseau et Internet. Il contrôle le flux de données à l'intérieur et à l'extérieur du réseau afin de stopper les menaces de sécurité potentielles.

Share facebook icon linkedin icon twitter icon email icon

Pare-feu

Objectifs d’apprentissage

Après avoir lu cet article, vous :

  • Définir un pare-feu
  • Expliquez pourquoi un pare-feu doit inspecter les données entrantes et sortantes
  • Comprendre les différences entre un pare-feu proxy et un WAF

Qu'est-ce qu'un pare-feu ?

Un pare-feu est un système de sécurité qui surveille et contrôle le trafic réseau en fonction d'un ensemble de règles de sécurité. Les pare-feux se dressent généralement entre un réseau de confiance et un réseau sans relation de confiance. Le réseau non fiable est souvent Internet. Par exemple, les réseaux de bureaux utilisent souvent un pare-feu pour protéger leur réseau des menaces en ligne.

qu'est-ce qu'un pare-feu

Les pare-feux décident d'autoriser ou non le trafic entrant et sortant. Ils peuvent être intégrés au matériel, aux logiciels ou à une combinaison des deux. Le terme « pare-feu » est en fait inspiré de la pratique de construction qui consiste à construire des murs entre les bâtiments ou au milieu des bâtiments pour contenir un incendie. De même, les pare-feux réseau sont destinés à contenir les menaces en ligne.

Pourquoi utiliser un pare-feu ?

L'utilisation principale d'un pare-feu est la sécurité. Les pare-feux peuvent intercepter le trafic malveillant entrant avant qu'il n'atteigne le réseau et empêcher les informations sensibles de quitter le réseau.

Les pare-feux peuvent également être utilisés pour le filtrage de contenu. Par exemple, une école peut configurer un pare-feu pour empêcher les utilisateurs de son réseau d'accéder à du matériel pour adultes. De même, dans certains pays, le gouvernement gère un pare-feu qui peut empêcher des personnes à l'intérieur de ce pays d'accéder à certaines parties d'Internet.

Cet article se concentrera sur les pare-feux configurés pour la sécurité, dont il existe plusieurs types.

Quels sont les différents types de pare-feux ?

Pare-feux basés sur un proxy :

Ce sont des proxys* qui se dressent entre les clients et les serveurs. Les clients se connectent au pare-feu et le pare-feu inspecte les paquets sortants, après quoi il crée une connexion avec le destinataire prévu (le serveur web). De même, lorsque le serveur web tente d'envoyer une réponse au client, le pare-feu intercepte cette requête, inspecte les paquets, puis livre cette réponse dans une connexion distincte entre le pare-feu et le client. Un pare-feu basé sur un proxy empêche efficacement une connexion directe entre le client et le serveur.

Un pare-feu basé sur proxy est un peu comme un videur dans un boîte de nuit. Ce videur contrôle les clients avant qu'ils n'entrent dans l'établissement pour s'assurer qu'ils ne sont pas mineurs, qu'ils n'ont pas d'armes ou qu'ils ne constituent une menace de quelque nature pour la boîte de nuit et ses clients. Le videur contrôle également les clients qui sortent de l'établissement pour s'assurer qu'ils ont un moyen sûr de rentrer chez eux et qu'ils n'ont pas l'intention de conduire en état d'ivresse.

L'inconvénient d'avoir un videur tient au fait que lorsque beaucoup de personnes essaient d'entrer ou de quitter le bar simultanément, une longue file se crée et plusieurs personnes doivent attendre. De même, l'inconvénient majeur d'un pare-feu basé sur un proxy est qu'il peut provoquer une latence, en particulier pendant les périodes de trafic intense.

*Un proxy est un ordinateur qui sert de passerelle entre un réseau local et un réseau plus vaste, comme Internet.

Pare-feux avec état :

En informatique, une application « dynamique » est une application qui enregistre les données des événements et interactions précédents. Un pare-feu dynamique enregistre les informations concernant les connexions ouvertes et utilise ces informations pour analyser le trafic entrant et sortant, plutôt que d'inspecter chaque paquet. Parce qu'ils n'inspectent pas chaque paquet, les pare-feux dynamiques sont plus rapides que les pare-feux basés sur proxy.

Les pare-feux dynamiques s'appuient sur beaucoup de contexte pour prendre des décisions. Par exemple, si le pare-feu enregistre les paquets sortants sur une connexion demandant un certain type de réponse, il n'autorisera les paquets entrants sur cette connexion que s'ils fournissent le type de réponse demandé.

Les pare-feux avec état peuvent également protéger les ports* en les gardant tous fermés, sauf si les paquets entrants demandent l'accès à un port spécifique. Cela peut atténuer une attaque dite de balayage de ports (port scanning).

L'une des vulnérabilités connues des pare-feux dynamiques est qu'ils peuvent être manipulés en incitant un client à demander un certain type d'informations. Une fois que le client demande cette réponse, le pirate peut alors envoyer des paquets malveillants correspondant à ces critères via le pare-feu. Par exemple, les sites web non sécurisés peuvent utiliser un code JavaScript pour créer ce type de demandes falsifiées à partir d'un navigateur web.

*Un port réseau est un emplacement où les informations sont envoyées. Il ne s'agit pas d'un lieu physique mais plutôt d'un point d'extrémité de communications.

Pare-feux nouvelle génération (NGFW) :

Ce sont des pare-feux qui ont les capacités des pare-feux traditionnels mais qui utilisent également une multitude de fonctionnalités supplémentaires pour faire face aux menaces sur d'autres couches du modèle OSI. Certaines fonctionnalités spécifiques à NGFW sont les suivantes :

  • Identification des applications (Application awareness) - L'activation de cette fonctionnalité permet au pare-feu de savoir quelles applications sont en cours d'exécution et quels ports ces applications utilisent. Cela peut protéger contre certains types de logiciels malveillants qui visent à tuer un processus en cours puis à s'emparer de son port.
  • Prise en charge des identités (Identity awareness) - Cela permet à un pare-feu d'appliquer des règles basées sur l'identité, par exemple quel ordinateur est utilisé, quel utilisateur est connecté, etc.
  • Sandboxing - Les pare-feux peuvent isoler des parties de code associées aux paquets entrants et les exécuter dans un environnement dit de « Bac à sable » (sandbox) pour garantir qu'ils ne se comportent pas de manière malveillante. Les résultats de ce test de bac à sable peuvent ensuite être utilisés comme critères pour décider de laisser ou non les paquets entrer dans le réseau.

Pare-feux d'applications Web (WAF) :

Alors que les pare-feux traditionnels aident à protéger les réseaux privés contre les applications web malveillantes, les WAF aident à protéger les applications web contre les utilisateurs malveillants. Un WAF permet de protéger les applications web en filtrant et en surveillant le trafic HTTP entre une application web et Internet. Il protège généralement les applications web contre les attaques du type falsification des requêtes inter-site (cross-site forgery), cross site scripting (XSS), inclusion de fichiers et injection SQL entre autres.

En déployant un WAF devant une application web, un bouclier est placé entre cette application et Internet. Alors qu'un pare-feu basé sur un proxy protège l'identité d'une machine client en utilisant un intermédiaire, un WAF est un type de proxy inverse qui protège le serveur de l'exposition en faisant passer les clients via le WAF avant d'atteindre le serveur.

Un WAF fonctionne à travers un ensemble de règles souvent appelées politiques. Ces politiques visent à protéger contre les vulnérabilités de l'application en filtrant le trafic malveillant. La valeur d'un WAF provient en partie de la rapidité et de la facilité avec laquelle la modification de politique peut être mise en œuvre, en permettant une réponse plus rapide à divers vecteurs d'attaque. Lors d'une attaque DDoS, le rate limiting peut être rapidement mise en œuvre en modifiant les politiques WAF. Les produits WAF commerciaux comme le pare-feu d’applications web de Cloudflare protègent quotidiennement des millions d’applications web contre les attaques.