Le pare-feu matériel : le système de sécurité externe

Même les débutants en in­for­ma­tique savent que cela fait partie du concept de sécurité global d’un or­di­na­teur, mais qu’est-ce qu’un pare-feu exac­te­ment ? Un pare-feu (ou firewall en anglais) protège sim­ple­ment un or­di­na­teur ou un réseau d’or­di­na­teurs des in­tru­sions en pro­ve­nance d’un réseau tiers ou externe.

Bien évi­dem­ment c’est en réalité un peu plus complexe et long pour décrire l’ensemble des ca­rac­té­ris­tiques de ce système de sécurité qui est bien utile. Le système du pare-feu est basé sur un composant logiciel dont l’ins­tal­la­tion révèle si le pare-feu fonc­tionne comme un pare-feu personnel ou un pare-feu externe. Le premier est bien connu comme étant un logiciel de défense pour les or­di­na­teurs privés, le second est la plupart du temps utilisé pour sécuriser un système entier de réseaux. Nous allons voir en quoi ces deux systèmes sont dif­fé­rents et quelles méthodes ils utilisent res­pec­ti­ve­ment pour protéger les or­di­na­teurs et les réseaux :

La plus grande dif­fé­rence entre ces deux types de pare-feu se situe au niveau du composant utilisé : un pare-feu personnel (également connu sous le nom de pare-feu logiciel) est un simple logiciel installé sur l’or­di­na­teur pour le protéger. Une fois installé, ce programme filtre et vérifie le trafic des données entre l’or­di­na­teur et le réseau, con­trô­lant les com­mu­ni­ca­tions entrantes et sortantes. À la dif­fé­rence du pare-feu externe, il n’y a pas de sé­pa­ra­tion physique entre le pare-feu logiciel et les ap­pli­ca­tions : tous sont en effet sur le même système. Certains systèmes d’ex­ploi­ta­tion comme Windows four­nis­sent au­to­ma­ti­que­ment un pare-feu de ce type.

En revanche, un pare-feu externe (ou pare-feu matériel) est une com­bi­nai­son entre des com­po­sants matériels et logiciels. Il est situé entre dif­fé­rents réseaux in­for­ma­tiques et surveille le trafic des données circulant entre ces réseaux. Un pare-feu externe est un élément physique de l’équi­pe­ment relié à un or­di­na­teur (tandis que le pare-feu logiciel est installé dans un or­di­na­teur), c’est donc pour cela que l‘on parle aussi de pare-feu matériel. En d’autres termes, un pare-feu externe est un dis­po­si­tif autonome qui, avec l’aide des in­ter­faces des réseaux intégrées, relie dif­fé­rents réseaux ou plusieurs or­di­na­teurs avec un autre. Et afin de contrôler le trafic, des pro­grammes de pare-feu et parfois des systèmes d’ex­ploi­ta­tion sont installés sur l’appareil.

Les pare-feu externes sont beaucoup plus complexes que les pare-feu per­son­nels (ou pare-feu logiciels). C’est aussi pour cette raison que cette option est la plus onéreuse mais offre en con­tre­par­tie une solution de sécurité bien plus stable et per­for­mante. En effet, puisque le pare-feu ne fonc­tionne pas sur le système comme un logiciel, il est plus difficile de le déjouer. Alors qu’un pare-feu personnel, c’est-à-dire un simple logiciel, peut être sim­ple­ment désactivé, laissant le système entier sans défense. Une attaque similaire sur un pare-feu matériel conduit à l’arrêt total du dis­po­si­tif, ce qui bloque au­to­ma­ti­que­ment à la fois le trafic entrant et sortant jusqu’au re­dé­mar­rage de l’appareil.

La sécurité renforcée et accrue du pare-feu matériel est la raison prin­ci­pale de son uti­li­sa­tion pri­vi­lé­giée par les centres de données, mais aussi pour les systèmes in­for­ma­tiques qui né­ces­si­tent une pro­tec­tion complète. Pour cette raison, il n’est pas rare de voir, pour le trafic de données sensibles comme les réseaux de sociétés privés, l’uti­li­sa­tion des pare-feu externes pro­fes­sion­nels, avec ou sans serveur. De plus, installer des pare-feu logiciels in­di­vi­duel­le­ment pour chaque or­di­na­teur de­man­de­rait un effort important et de nom­breuses con­fi­gu­ra­tions. Par ailleurs, cela ris­que­rait ra­pi­de­ment de couter assez cher, puisque chaque or­di­na­teur né­ces­si­te­rait une licence propre pour l’ins­tal­la­tion du logiciel. Et comme nous l’avons mentionné pré­cé­dem­ment, il y a surtout un risque au niveau de la sécurité.

Les pare-feu per­son­nels sont re­com­man­dés pour une uti­li­sa­tion privée sur un or­di­na­teur personnel, puisqu’il peut gé­né­ra­le­ment être fa­ci­le­ment et ra­pi­de­ment configuré même par des uti­li­sa­teurs inex­pé­ri­men­tés. De petits bureaux ou en­tre­prises avec un réseau plus important peuvent toutefois utiliser également un pare-feu logiciel, à condition bien sûr de le con­fi­gu­rer cor­rec­te­ment. Mais si le budget né­ces­saire et les con­nais­sances en termes d’ins­tal­la­tion sont dis­po­nibles, l’option d’utiliser un pare-feu matériel est également re­com­man­dée. Un pare feu externe, comme nous l’avons mentionné plus haut, est surtout utile pour protéger les échanges de données sensibles. Il protège donc le réseau qui est connecté à Internet. Le connecter à un réseau privé ad­di­tion­nel, qui constitue une menace po­ten­tielle de sécurité est aussi possible. En principe, le pare-feu matériel peut être configuré in­di­vi­duel­le­ment en ins­tal­lant un logiciel pare-feu cor­res­pon­dant à un dis­po­si­tif approprié ren­for­çant le système d’ex­ploi­ta­tion, ce qui le rend presque in­vul­né­rable aux agres­sions ex­té­rieures. Ceci est seulement réa­li­sable en utilisant les pro­grammes re­com­man­dés par le système d’ex­ploi­ta­tion. Une option plus simple consiste à utiliser une Appliance de pare-feu. Il s’agit d’un système complet composé de matériel, de systèmes d’ex­ploi­ta­tion et de logiciels pare-feu spé­cia­le­ment adaptés. Ci-dessous nous allons dif­fé­ren­cier les trois types :

• Le pont pare-feu : deux segments de réseau phy­si­que­ment séparés sont reliés entre eux au niveau de la couche Liaison (couche 2) du modèle OSI, ce qui rend le pare-feu quasiment invisible et inac­ces­sible. Les données entrantes et sortantes sont trans­mises uni­que­ment si elles se trouvent au niveau inférieur. Pour filtrer les adresses IP et les ports, le pont pare-feu peut con­trai­re­ment au pont classique traiter les couches su­pé­rieures de protocole.

• Routage pare-feu : le pare-feu avec routeur est le type de pare-feu matériel le plus com­mu­né­ment utilisé notamment pour un usage privé et personnel comme par exemple le routeur DSL. Con­trai­re­ment au pare-feu de pont, il fonc­tionne di­rec­te­ment sur la couche Réseau (couche 3) ou une couche haute et filtre di­rec­te­ment les adresses IP et les ports. Cependant cela signifie que le pare-feu est visible par n’importe qui et donc po­ten­tiel­le­ment vul­né­rable aux attaques.

• Pare-feu proxy : ce pare-feu fonc­tionne comme un proxy entre la source et la des­ti­na­tion du réseau. Les systèmes des deux côtés du réseau n’éta­blis­sent pas de connexion directe et ne reçoivent ainsi pas tous les paquets créés di­rec­te­ment par le système cible. Cela entrave gran­de­ment les hackers dans la recherche de lo­ca­li­sa­tion du réseau protégé d’une en­tre­prise. Le pare-feu proxy fonc­tionne sur la couche Ap­pli­ca­tion (couche 7) : il est ainsi plus facile de prendre des décisions spé­ci­fiques de sécurité qu’avec le pare-feu pont ou le pare-feu avec routeur. Toutefois, cela entraine une perte au niveau de la per­for­mance et ce dis­po­si­tif nécessite surtout une bonne expertise pour la con­fi­gu­ra­tion.

Le filtrage des paquets joue un rôle important au niveau des fonctions des dif­fé­rents pare-feu matériels cor­res­pon­dants. Ainsi, le pare-feu décide sur la base de la con­fi­gu­ra­tion manuelle des règles, quels sont les paquets de données qui sont transmis et lesquels ne le sont pas. Pour cela, le pare-feu opère sur les couches 3 et 4 du modèle OSI, c’est à dire la couche Réseau et la couche Transport, et vérifie la lo­ca­li­sa­tion des paquets dans l’en-tête du protocole cor­res­pon­dant. Ici par exemple il est possible que les adresses IP exactes ou les ports soient bloqués ou alors autorisés par les règles.

Avec l’aide d’un pont mentionné plus haut ou d’un com­mu­ta­teur, qui est une sorte d’extension d’un pont, le filtrage des paquets de données peut être réalisé sur la couche Liaison (couche 2 du modèle OSI). Là, le filtrage des paquets n’est pas réalisé sur la base des adresses IP, mais sur la base des adresses MAC, utilisées pour l’adressage matériel.

De plus, par extension, les pare-feu peuvent filtrer avec des méthodes de vé­ri­fi­ca­tion orientées sur l’état (SPI, Stateful Packet Ins­pec­tion, en français pare-feu à états). Pour cela, le filtrage des paquets qui est nor­ma­le­ment limité aux couches 3 et 4 incorpore également la couche Ap­pli­ca­tion (couche 7). Mais con­trai­re­ment au pare-feu proxy qui a aussi accès à cette couche, le pare feu à états (SPI) ne permet pas de modifier les données.