Qu'est-ce qu'un pare-feu ?

Un pare-feu se trouve entre un réseau et Internet, contrôlant le flux de données à l'intérieur et à l'extérieur du réseau afin de stopper les menaces de sécurité potentielles.

Share facebook icon linkedin icon twitter icon email icon

Firewall

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir un pare-feu
  • Expliquez pourquoi un pare-feu doit inspecter les données entrantes et sortantes
  • Comprendre les différences entre un pare-feu proxy et un WAF

Qu'est-ce qu'un pare-feu ?

Un pare-feu est un système de sécurité qui surveille et contrôle le trafic réseau en fonction d'un ensemble de règles de sécurité. Les pare-feux se situent généralement entre un réseau approuvé et un réseau non approuvé ; le réseau non fiable est souvent Internet. Par exemple, les réseaux de bureaux utilisent souvent un pare-feu pour protéger leur réseau des menaces en ligne.

qu'est-ce qu'un pare-feu

Les pare-feux décident d'autoriser ou non le trafic entrant et sortant. Ils peuvent être intégrés au matériel, logiciels ou une combinaison des deux. Le terme « pare-feu » est en fait inspiré de la pratique de construction qui consiste à construire des murs entre ou au milieu de bâtiments pour contenir un incendie. De même, les pare-feu réseau fonctionnent pour contenir les menaces en ligne.

Pourquoi utiliser un pare-feu ?

La principale raison d'utilisation d'un pare-feu est la sécurité. Les pare-feux peuvent intercepter le trafic malveillant entrant avant qu'il n'atteigne le réseau et empêcher les informations sensibles de quitter le réseau.

Les pare-feux peuvent également être utilisés pour le filtrage de contenu. Par exemple, une école peut configurer un pare-feu pour empêcher les utilisateurs de leur réseau d'accéder à du matériel pour adultes. De même, dans certains pays, le gouvernement gère un pare-feu qui peut empêcher des personnes à l'intérieur de cet État-nation d'accéder à certaines parties d'Internet.

Cet article se concentrera sur les pare-feux configurés pour la sécurité, dont il existe plusieurs types.

Quels sont les différents types de pare-feux ?

Pare-feux basés sur proxy :

Ce sont des proxys* qui se trouvent entre les clients et les serveurs. Les clients se connectent au pare-feu et celui-ci inspecte les paquets sortants, après quoi il créera une connexion avec le destinataire prévu (le serveur Web). De même, lorsque le serveur Web tente d'envoyer une réponse au client, le pare-feu intercepte cette demande, inspecte les paquets, puis livre cette réponse dans une connexion distincte entre le pare-feu et le client. Un pare-feu basé sur un proxy empêche efficacement une connexion directe entre le client et le serveur.

Un pare-feu basé sur un proxy est un peu comme un videur dans un bar. Ce videur contrôle les clients avant qu'ils n'entrent dans le bar pour s'assurer qu'ils ne sont pas mineurs, armés ou de toute autre manière une menace pour le bar et ses clients. Le videur contrôle également les clients lorsqu'ils sortent pour s'assurer qu'ils ont un moyen sûr de rentrer chez eux et qu'ils n'ont pas l'intention de boire en conduisant.

L'inconvénient d'avoir un videur au bar est que lorsque beaucoup de gens essaient d'entrer ou de quitter le bar simultanément, il y aura une longue file d'attente et plusieurs personnes seront en retard. De même, un inconvénient majeur d'un pare-feu basé sur un proxy est qu'il peut provoquer une latence, en particulier pendant les périodes de trafic intense.

*Un proxy est un ordinateur qui sert de passerelle entre un réseau local et un réseau plus vaste, comme Internet.

Pare-feu dynamique :

En informatique, une application « dynamique » est une application qui enregistre les données des événements et interactions précédents. Un pare-feu dynamique enregistre les informations concernant les connexions ouvertes et utilise ces informations pour analyser le trafic entrant et sortant, plutôt que d'inspecter chaque paquet. Parce qu'ils n'inspectent pas chaque paquet, les pare-feux dynamiques sont plus rapides que les pare-feux basés sur proxy.

Les pare-feux dynamiques s'appuient sur beaucoup de contexte pour prendre des décisions. Par exemple, si le pare-feu enregistre les paquets sortants sur une connexion demandant un certain type de réponse, il n'autorisera les paquets entrants sur cette connexion que s'ils fournissent le type de réponse demandé.

Les pare-feux dynamiques peuvent également protéger les ports* en les gardant tous fermés, sauf si les paquets entrants demandent l'accès à un port spécifique. Cela peut atténuer une attaque appelée analyse de port.

L'une des failles connues des pare-feux dynamiques est qu'ils peuvent être manipulés en incitant un client à demander un certain type d'informations. Une fois que le client demande cette information, le pirate peut alors envoyer des paquets malveillants correspondant à ces critères via le pare-feu. Par exemple, les sites Web non sécurisés peuvent utiliser un code JavaScript pour créer ce type de demandes falsifiées à partir d'un navigateur Web.

*Un port réseau est un emplacement où les informations sont envoyées ; il ne s'agit pas d'un lieu physique mais plutôt un nœud périphérique de communication.

Pare-feux nouvelle génération (NGFW) :

Ce sont des pare-feux qui ont les capacités des pare-feux traditionnels mais qui utilisent également une multitude de fonctionnalités supplémentaires pour faire face aux menaces sur d'autres couches du modèle OSI. Certaines fonctionnalités spécifiques à NGFW incluent :

  • Sensibilisation des applications - L'activation de cette fonction permet au pare-feu de savoir quelles applications sont en cours d'exécution et quels ports ces applications utilisent. Cela peut protéger contre certains types de logiciels malveillants qui visent à tuer un processus en cours puis à s'accaparer de son port.
  • Sensibilisation à l'identité - Cela permet à un pare-feu d'appliquer des règles basées sur l'identité, telles que l'ordinateur utilisé, l'utilisateur connecté, etc.
  • Bac à
  • sable - Les pare-feux peuvent isoler des morceaux de code associés aux paquets entrants et les exécuter dans un environnement « Bac à sable » pour garantir qu'ils ne se comportent pas de manière malveillante. Les résultats de ce test de bac à sable peuvent ensuite être utilisés comme critères pour décider de laisser ou non les paquets entrer dans le réseau.

Pare-feux d'application Web (WAF) :

Alors que les pare-feux traditionnels aident à protéger les réseaux privés contre les applications Web malveillantes, les WAF aident à protéger les applications Web contre les utilisateurs malveillants. Un WAF permet de protéger les applications Web en filtrant et en surveillant le trafic HTTP entre une application Web et Internet. Il protège généralement les applications Web contre les attaques telles que la falsification intersite, le cross site scripting (XSS), l'inclusion de fichiers et l'injection SQL entre autres.

En déployant un WAF devant une application Web, un bouclier est placé entre cette dernière et Internet. Alors qu'un pare-feu basé sur un proxy protège l'identité d'une machine client en utilisant un intermédiaire, un WAF est un type de proxy inverse, qui protège le serveur de l'exposition en faisant passer les clients via le WAF avant d'atteindre le serveur.

Un WAF fonctionne à travers un ensemble de règles souvent appelées politiques. Ces politiques visent à protéger contre les failles de l'application en filtrant le trafic malveillant. La valeur d'un WAF provient en partie de la rapidité et de la facilité avec laquelle la modification de politique peut être mise en œuvre, permettant une réponse plus rapide à divers vecteurs d'attaque ; lors d'une attaque DDoS, la limitation de débit peut être rapidement mise en œuvre en modifiant les politiques WAF. Les produits WAF commerciaux comme le pare-feu d’applications Web de Cloudflare protègent quotidiennement des millions d’applications Web contre les attaques.