Académique Documents
Professionnel Documents
Culture Documents
Définition et explication
Les pare-feu créent des « goulets d'étranglement » pour canaliser le trafic Web, auxquels
ils sont ensuite examinés en fonction d'un ensemble de paramètres programmés et sur
lesquels ils agissent en conséquence. Certains pare-feu suivent également le trafic et les
connexions dans des journaux d'audit pour référencer ce qui a été autorisé ou bloqué.
Les pare-feu sont généralement utilisés pour bloquer les frontières d'un réseau privé ou
de ses périphériques hôtes. En tant que tels, les pare-feu constituent un outil de sécurité
dans la catégorie plus large du contrôle d'accès des utilisateurs. Ces barrières sont
généralement mises en place à deux endroits : sur les ordinateurs dédiés du réseau ou sur
les ordinateurs des utilisateurs et autres terminaux eux-mêmes (hôtes).
Les pare-feu sont destinés à sécuriser les réseaux privés et les dispositifs terminaux qu'ils
contiennent, appelés hôtes réseau. Les hôtes réseau sont des dispositifs qui
« communiquent » avec d'autres hôtes sur le réseau. Ils envoient et reçoivent des
données entre les réseaux internes, ainsi que des données sortantes et entrantes entre les
réseaux externes.
Les ordinateurs et autres dispositifs terminaux utilisent des réseaux pour accéder à
Internet et aux autres équipements. Toutefois, Internet est segmenté en sous-réseaux
pour des raisons de sécurité et de confidentialité. Les segments de sous-réseau de base
sont les suivants :
Les routeurs de filtrage sont des ordinateurs passerelles spécialisés placés sur un réseau
pour le segmenter. Ils sont connus comme des pare-feu domestiques au niveau du
réseau. Les deux modèles de segmentation les plus courants sont le pare-feu d’hôte filtré
et le pare-feu de sous-réseau filtré :
Les pare-feu d'hôte filtrés utilisent un routeur de filtrage unique entre les réseaux
externe et interne. Ces réseaux constituent les deux sous-réseaux de ce modèle.
Tant le périmètre du réseau que les machines hôtes elles-mêmes peuvent abriter un
pare-feu. Pour ce faire, celui-ci est placé entre un seul ordinateur et sa connexion à un
réseau privé.
Les pare-feu réseau impliquent l'application d'un ou plusieurs pare-feu entre les
réseaux externes et les réseaux privés internes. Ils régulent le trafic réseau entrant et
sortant, en séparant les réseaux publics externes, comme l'Internet mondial, des
réseaux internes comme les réseaux Wi-Fi domestiques, les Intranets d'entreprise ou
les Intranets nationaux. Les pare-feu réseau peuvent se présenter sous la forme de
l'un des types d'appareils suivants : matériel dédié, logiciel et virtuel.
Le filtrage du trafic via un pare-feu fait appel à des règles préétablies ou apprises
dynamiquement pour autoriser et refuser les tentatives de connexion. Ces règles
contrôlent la manière dont un pare-feu régule le flux du trafic Web à travers votre réseau
privé et vos périphériques informatiques privés. Quel que soit leur type, tous les pare-feu
peuvent filtrer par une combinaison des éléments suivants :
Protocoles par paquets : Le « langage » utilisé par une tentative de connexion pour
transmettre son message. Parmi les protocoles réseau que les hôtes utilisent pour
« parler » entre eux, les protocoles TCP/IP sont principalement utilisés pour
communiquer sur Internet et au sein des Intranets/sous-réseaux.
Types de pare-feu
Les différents types de pare-feu intègrent des méthodes de filtrage variées. Bien que
chaque type ait été développé pour dépasser les générations précédentes de pare-feu,
une grande part de la technologie de base a été transmise de génération en génération.
Les types de pare-feu se distinguent par leur approche des éléments suivants :
2. Règles de filtrage
3. Journaux d'audit.
Les règles de filtrage sont définies sur la base d'une liste de contrôle d'accès créée
manuellement. Elles sont très rigides et il est difficile de couvrir le trafic indésirable de
manière appropriée sans compromettre la convivialité du réseau. Le filtrage statique
nécessite une révision manuelle permanente pour être efficace. Cela peut être
envisageable sur les petits réseaux mais peut rapidement devenir difficile sur les plus
grands.
L'impossibilité de lire les protocoles d'application signifie que le contenu d'un message
livré dans un paquet ne peut être lu. Sans lecture du contenu, les pare-feu de filtrage de
paquets présentent une qualité de protection limitée.
En dehors de son approche des connexions, la passerelle au niveau du circuit peut être
similaire aux pare-feu proxy.
La connexion permanente non surveillée est dangereuse, car des moyens légitimes
pourraient ouvrir la connexion et permettre ensuite à un acteur malveillant d'entrer sans
encombre.
Ce pare-feu met à jour les règles de filtrage en fonction des événements de connexion
passés enregistrés dans la table d'état par le routeur de filtrage.
En général, les décisions de filtrage sont souvent basées sur les règles de l'administrateur
lors de la configuration de l'ordinateur et du pare-feu. Toutefois, la table d'état permet à
ces pare-feu dynamiques de prendre leurs propres décisions en fonction des interactions
précédentes qu’ils ont « apprises ». Par exemple, les types de trafic qui ont causé des
perturbations dans le passé seront filtrés à l'avenir. La souplesse de l'inspection
dynamique en a fait l'un des types de protection les plus répandus.
Pare-feu proxy
Les pare-feu à proxy, également appelés pare-feu au niveau des applications (couche 7),
ont la particularité de lire et de filtrer les protocoles d'application. Ils combinent
l'inspection au niveau des applications, ou « inspection approfondie des paquets (IAP) »,
et l'inspection dynamique.
Un pare-feu proxy est aussi proche d'une véritable barrière physique qu'il est possible de
l'être. Contrairement à d'autres types de pare-feu, il agit comme deux hôtes
supplémentaires entre les réseaux externes et les ordinateurs hôtes internes, l'un d'entre
eux servant de représentant (ou « proxy ») pour chaque réseau.
Le filtrage est basé sur les données au niveau des applications plutôt que sur les adresses
IP, les ports et les protocoles de base des paquets (UDP, ICMP) comme dans les pare-feu
basés sur les paquets. La lecture et la compréhension des protocoles FTP, HTTP, DNS et
autres permettent une investigation plus approfondie et un filtrage croisé pour de
nombreuses caractéristiques de données différentes.
À l'instar d'un vigile à l'entrée d'un bâtiment, il examine et évalue essentiellement les
données entrantes. Si aucun problème n'est détecté, les données sont autorisées à être
transmises à l'utilisateur.
L'inconvénient de ce type de sécurité renforcée est qu'elle interfère parfois avec des
données entrantes qui ne constituent pas une menace, ce qui entraîne des retards de
fonctionnement.
L'évolution des menaces continue d'exiger des solutions plus intenses, et les pare-feu de
nouvelle génération restent à la pointe de ce problème en combinant les fonctionnalités
d'un pare-feu traditionnel avec des systèmes de prévention des intrusions dans le réseau.
Les pare-feu de nouvelle génération spécifiques aux menaces sont conçus pour
examiner et identifier des menaces spécifiques, telles que les programmes malveillants
avancés, à un niveau plus fin. Plus fréquemment utilisés par les entreprises et les réseaux
sophistiqués, ils offrent une solution complète pour filtrer les menaces.
Pare-feu hybride
Comme son nom l'indique, le pare-feu hybride utilise deux types de pare-feu ou plus
dans un seul réseau privé.
De la fin des années 1980 au milieu des années 1990, chaque créateur a développé divers
composants et versions liés au pare-feu avant que celui-ci ne devienne le produit utilisé
comme base pour tous les pare-feu modernes.
À la fin des années 1980, Mogul, Reid et Vixie ont tous trois joué un rôle chez Digital
Equipment Corp (DEC) dans le développement de la technologie de filtrage des paquets
qui allait devenir une référence pour les futurs pare-feu. C'est ainsi qu'est né le concept
de filtrage des connexions externes avant qu'elles n'entrent en contact avec les
ordinateurs d'un réseau interne. Si certains considèrent ce filtre à paquets comme le
premier pare-feu, il s'agissait plutôt d'une technologie composante qui a servi de support
aux véritables systèmes pare-feu à venir.
David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick et Steven Bellovin
Marcus Ranum
De 1991 à 1992, Marcus Ranum a inventé chez DEC les proxys de sécurité qui sont
devenus un composant essentiel du premier produit pare-feu de la couche applicative, le
produit Secure External Access Link (SEAL) basé sur des proxys en 1991. Il s'agissait d'une
extension des travaux de Reid, Vixie et Mogul chez DEC, et du premier pare-feu
commercialisé.
Ces développements ont été cruciaux pour façonner le produit pare-feu que nous
connaissons aujourd'hui, chacun étant totalement ou partiellement utilisé dans de
nombreuses solutions de cybersécurité.
Une fois découverts par un acteur malveillant, votre réseau et vos appareils peuvent être
facilement trouvés, rapidement accessibles et exposés à des menaces répétées. Des
connexions Internet 24 heures sur 24 augmentent ce risque (puisque votre réseau est
accessible à tout moment).
Une protection proactive est essentielle lors de l'utilisation de tout type de réseau. Les
utilisateurs peuvent protéger leur réseau des pires dangers en utilisant un pare-feu.
Comme le filtrage du trafic peut constituer un ensemble de règles établies par les
propriétaires d'un réseau privé, cela crée des cas d'utilisation personnalisés pour les pare-
feu. Les cas d'utilisation les plus courants concernent la gestion des éléments suivants :
Infiltration d'acteurs malveillants : Les connexions non désirées provenant d'une
source au comportement étrange peuvent être bloquées. Cela peut empêcher les
écoutes et les menaces persistantes avancées (APT).
Contrôles parentaux : Les parents peuvent bloquer la consultation de contenus Web
explicites par leurs enfants.
2. Bloquer les connexions qui ne passent pas par le pare-feu : Les pare-feu de niveau
réseau ne suffiront pas à stopper les activités internes malveillantes. Des pare-feu
internes, tels que ceux basés sur l'hôte, devront être présents en plus du pare-feu
périphérique, afin de cloisonner votre réseau et de ralentir la progression des « feux »
internes.
3. Fournir une protection adéquate contre les programmes malveillants : Bien que les
connexions transportant des codes malveillants puissent être interrompues si elles ne
sont pas autorisées, une connexion jugée acceptable peut tout de même transmettre
ces menaces à votre réseau. Si un pare-feu néglige une connexion suite à une
mauvaise configuration ou à une exploitation, une suite de protection antivirus sera
toujours nécessaire pour nettoyer les programmes malveillants qui parviennent à
entrer.
Exemples de pare-feu
Dans la pratique, les applications réelles des pare-feu ont suscité à la fois des éloges et
des controverses. Bien qu'il existe une longue histoire de réussite des pare-feu, ce type de
sécurité doit être mis en œuvre correctement pour éviter ce que l’on appelle des exploits.
En outre, l’utilisation de certains pare-feu est discutable d’un point de vue éthique.
Depuis l’an 2000 environ, la Chine a mis en place des cadres de pare-feu internes pour
créer son Intranet soigneusement surveillé. Par nature, les pare-feu permettent la
création d'une version personnalisée de l'Internet mondial au sein d'une nation. Ils y
parviennent en empêchant l'utilisation ou l'accès à certains services et informations au
sein de cet Intranet national.
La Chine connaît une protestation interne permanente contre cette censure. L'utilisation
de réseaux privés virtuels et de proxies pour contourner le pare-feu national a permis à de
nombreuses personnes d'exprimer leur mécontentement.
En 2020, un pare-feu mal configuré n'était qu'une des nombreuses faiblesses de sécurité
qui ont conduit à la violation anonyme d’une agence fédérale américaine.
En 2019, un fournisseur d'exploitation de réseau électrique américain a fait les frais d’une
vulnérabilité de déni de service (DoS) que des pirates ont exploitée. Les pare-feu du
réseau périphérique sont restés bloqués dans une boucle d'exploitation de redémarrage
pendant environ dix heures.
Il a été établi par la suite qu'il s'agissait du résultat d'une vulnérabilité connue mais non
corrigée du micrologiciel des pare-feu. Une procédure standard de vérification des mises
à jour avant leur mise en œuvre n'avait pas encore été appliquée, ce qui a entraîné des
retards dans les mises à jour et un inévitable problème de sécurité. Heureusement, la
faille de sécurité n'a pas entraîné de pénétration significative du réseau.
Ces événements soulignent l'importance des mises à jour régulières des logiciels. Sans
elles, les pare-feu ne sont qu'un système de sécurité réseau de plus qui peut être exploité.
1. Mettez toujours à jour vos pare-feu dès que possible : Les correctifs de micrologiciel
(firmware) et de logiciels permettent de maintenir votre pare-feu à jour contre toute
vulnérabilité nouvellement découverte. Les utilisateurs de pare-feu personnels et
domestiques peuvent généralement effectuer une mise à jour immédiate en toute
sécurité. Les grandes entreprises devront peut-être d'abord vérifier la configuration et
la compatibilité de leur réseau. Cependant, tout le monde devrait avoir mis en place
des processus de mise à jour rapide.
2. Utilisez une protection antivirus : Les pare-feu seuls ne sont pas conçus pour arrêter
les programmes malveillants et autres infections. Ceux-ci peuvent passer outre les
protections du pare-feu, et vous aurez besoin d'une solution de sécurité conçue pour
les désactiver et les supprimer. Kaspersky Total Security peut vous protéger sur vos
appareils personnels, et nos nombreuses solutions de sécurité pour les entreprises
peuvent protéger tous les hôtes du réseau.
3. Limitez les ports et les hôtes accessibles avec une liste d'autorisation : Configurez
un refus de connexion par défaut pour le trafic entrant. Limitez les connexions
entrantes et sortantes à une liste blanche stricte d'adresses IP de confiance. Réduisez
les privilèges d'accès des utilisateurs au strict nécessaire. Il est plus facile de rester en
sécurité en autorisant l'accès lorsque cela est nécessaire que de le révoquer et de
limiter les dégâts après un incident.
4. Réseau segmenté : Les mouvements latéraux des acteurs malveillants constituent un
danger évident qui peut être freiné en limitant les communications croisées en
interne.
Kaspersky Endpoint Security a reçu trois prix AV-TEST récompensant les meilleures perfor
mances, la meilleure protection et la meilleure convivialité pour un produit de sécurité de
terminaux d'entreprise en 2021. Dans tous les tests, Kaspersky Endpoint Security a fait
preuve de performances, d'une protection et d'une convivialité exceptionnelles pour les
entreprises.
Liens associés :
À propos de nous
Découvrez pourquoi nous nous engageons à veiller à votre sécurité, en ligne et au-delà.
Restez informé
Kaspersky Standard
Kaspersky Plus
Kaspersky Premium
Cybersecurity Services
Endpoint Security