PARE-FEU (FIREWALL) ET SYSTÈMES DE PRÉVENTION DES INTRUSIONS
Dans ce cours, nous allons examiner les rôles de deux différents types d’appareils réseau firewall et IPS :
- Le pare-feu, qui se fait appeler « Firewall » en anglais.
- Et l’IPS (Intrusion Prevention Systems), qui est un système de prévention des intrusions.
Ces deux appareils fonctionnent pour sécuriser les réseaux, mais avec des objectifs et des approches légèrement différentes.
Nous allons donc examiner la principale fonctionnalité des pare-feu et des IPS.
PARE-FEU (FIREWALL) TRADITIONNELS
Traditionnellement, un pare-feu se trouve sur le chemin de paquets IP, afin qu’il puisse choisir les paquets à rejeter ou à autoriser.
Ce qui signifie que le pare-feu protège le réseau contre divers problèmes, en n'autorisant que le trafic légitime à entrer et sortir du réseau.
En fait, dans le fond, un « firewalls » fonctionne comme un routeur configuré avec des ACL (Access Control List), sauf qu’en plus d’effectuer la fonction de filtrage de paquets, il aura de nombreuses autres options possibles, basées sur la sécurité.
Le schéma nous montre une conception réseau qui utilise un pare-feu physique. Dans l’exemple, il s’agit d’un appareil Cisco ASA qui est connecté directement à un routeur, et ce routeur est connecté à Internet.
Dans cette config, tout le trafic d'entreprise à destination ou en provenance d'Internet passerait obligatoirement par le pare-feu.
Et c’est lui qui choisit le type de paquets à laisser passer, en fonction de ses propres règles.
Alors même si le pare-feu fonctionne comme un routeur, au niveau du filtrage de paquet, il a tout de même des fonctionnalités de sécurité bien plus évoluées qu’un routeur traditionnel.
Nous allons maintenant détailler les principales fonctions qu’un firewall utilise pour choisir s’il doit autoriser ou non un paquet :
- Comme pour les ACL sur un routeur, le firewall fait correspondre les adresses IP source et de destination.
- Il peut aussi, comme les routeurs, identifier les applications en faisant correspondre les ports TCP et UDP.
- Contrairement à un routeur, le firewall peut surveiller les flux de la couche application pour savoir quels ports TCP et UDP sont utilisés.
- Il est aussi capable d’examiner une adresse web, pour décider d'autoriser ou de refuser le téléchargement de la page Web.
- Et il conserve toutes les informations sur chaque paquet qui ont transité, et de ce fait, on pourra prendre de futures décisions sur le filtrage des paquets en fonction de l’historique. C’est ce qu’on appelle de l’inspection avec état (stateful Inspection) ou bien un pare-feu avec état (stateful firewall)
La principale différence entre les ACL’s d’un routeur et un pare-feu, c’est que ce dernier est capable de prévenir une variété d'attaques, grâce à son filtrage de sécurité.
Il est important de confier la sécurité à un firewall plutôt qu’à un routeur, pour que ce dernier se concentre plutôt sur le routage de paquets.
De plus, le routeur ne peut pas prendre le temps de garder un historique de filtrage pour modifier ses prochaines décisions…
Tandis que le Pare-feu se focus principalement sur la sécurité du réseau et permet d’enregistrer toutes les infos sur les paquets qui ont transité. Ce qui lui permet de modifier ses futures décisions de filtrage.
L’avantage de ce type de filtrage avec état (stateful Inspection), c’est que par exemple, si une personne malveillante utilise une simple attaque par déni de service (DoS) sur un serveur web, en envoyant de nombreuses demandes de connexion TCP, eh bien le pare-feu « avec état » (stateful firewall), en s’aidant de son propre historique, pourrait alors commencer à filtrer ce type de paquets. Cela permettra au serveur Web de survivre à l’attaque.
Un pare-feu dynamique peut suivre le nombre de connexions TCP par seconde.
C'est-à-dire qu’il enregistre des informations d'état basées sur des paquets antérieurs, y compris le nombre de demandes de connexion TCP de chaque adresse IP cliente à chaque adresse serveur.
C’est pourquoi, lors d’une attaque par déni de service (DoS), il est en mesure de :
- Remarquer un grand nombre de connexions TCP
- Vérifier ses informations d'état
- Et de filtrer les paquets trop répétitifs.
Tandis qu'un pare-feu sans état ou bien un routeur avec des ACL’s n'auraient aucun historique pour se rendre compte qu’une attaque par déni de service se produit.
ZONES DE SÉCURITÉ
Les Firewall’s filtrent non seulement les paquets, mais font également très attention à l'hôte qui initie les communications.
Ils utilisent une logique qui considère l'hôte, en observant ces segments TCP.
Par exemple, sur le schéma, pour que les pc des utilisateurs de gauche puissent accéder au serveur web se trouvant derrière internet, il faut ouvrir une route.
Le problème, c’est que l’entreprise ne souhaite pas que des utilisateurs qui se trouvent sur le réseau du serveur web puissent accéder par exemple à leur serveur de paie.
C’est là qu’intervient le pare-feu, car ils utilisent un concept en forme de zone, c’est-à-dire qu’il y a des règles qui définissent quel hôte peut initier des connexions d'une zone à une autre.
L’avantage de segmenter en plusieurs zones, c’est que le pare-feu peut placer plusieurs de ces interfaces dans une même zone dans le but de récupérer les règles de sécurité de la zone.
Sur le schéma, la zone intérieure qui est celle de l’entreprise est considérée comme étant dans une zone distincte par rapport aux interfaces connectées vers Internet.
Par exemple, on pourrait placer une règle sur le Firewall, qui autoriserait les hôtes de la zone intérieurs à établir des connexions avec les hôtes de la zone à l'extérieur sur un ensemble de ports spécifiques, comme le port 80 pour le HTTP.
Juste avec cette règle, les utilisateurs de gauche peuvent démarrer des sessions avec le serveur web situé sur internet.
Et comme les pare-feu interdisent généralement tout le trafic, hormis celui de ces propres règles, eh bien les utilisateurs d’un autre réseau ne pourraient pas établir de session sur le réseau de l’entreprise.
La plupart des entreprises disposent donc d’une zone intérieure et extérieure. Elles peuvent aussi avoir une troisième zone qui se nomme : la zone DMZ (DeMilitarized Zone).
Il s’agit d’une zone de sécurité du pare-feu, utilisée pour placer des serveurs qui doivent être disponibles par des utilisateurs de l’internet.
Sur le schéma, on voit la zone DMZ qui contient 2 serveurs web, connectée directement au pare-feu.
Le pare-feu devra donc avoir une règle qui permet aux utilisateurs de la zone extérieure d'établir des connexions avec les serveurs Web de l’entreprise, dans la DMZ.
Le fait de séparer les serveurs Web dans la DMZ permet à l’entreprise d’empêcher les utilisateurs d’Internet d’accéder aux périphériques de la zone intérieure.
Ils se retrouvent donc isoler de toute attaque.
SYSTÈMES DE PRÉVENTION DES INTRUSIONS (IPS)
Traditionnellement, un pare-feu fonctionne avec un ensemble de règles configurées par l’admin réseau.
Un système de prévention des intrusions, ou IPS, filtre aussi les paquets, mais il prend en plus des décisions basées sur une logique différente.
L'IPS télécharge d'abord une base de données qui provient du fournisseur, un peu comme le ferait un antivirus.
Cette base de données contient un ensemble de signatures d’exploitation.
Ce qui lui permet d’analyser les paquets plus en profondeur, avec les dernières sécurités du jour.
Contrairement au firewall où c’est l’admin réseau qui définit les règles, sur un IPS, ses propres règles qu’on appelle des signatures sont gérées par son fournisseur.
Ces signatures lui permettent de rechercher différents types d’attaques comme :
- Les attaques DoS
- DDoS
- Les Vers
- Et les Virus
Le principe de base est identique au fonctionnement d’un antivirus sur un pc utilisateur, sauf que l'IPS réagira plus rapidement aux nouvelles menaces, dans le but de protéger les hôtes.
Retrouver de nombreuses vidéos de cours sur la chaîne Youtube Formip :
