Le pare-feu matériel : le système de sécurité externe

Même les débutants en informatique savent que cela fait partie du concept de sécurité global d’un ordinateur, mais qu’est-ce qu’un pare-feu exactement ? Un pare-feu (ou firewall en anglais) protège simplement un ordinateur ou un réseau d’ordinateurs des intrusions en provenance d’un réseau tiers ou externe.

Bien évidemment c’est en réalité un peu plus complexe et long pour décrire l’ensemble des caractéristiques de ce système de sécurité qui est bien utile. Le système du pare-feu est basé sur un composant logiciel dont l’installation révèle si le pare-feu fonctionne comme un pare-feu personnel ou un pare-feu externe. Le premier est bien connu comme étant un logiciel de défense pour les ordinateurs privés, le second est la plupart du temps utilisé pour sécuriser un système entier de réseaux. Nous allons voir en quoi ces deux systèmes sont différents et quelles méthodes ils utilisent respectivement pour protéger les ordinateurs et les réseaux :

La plus grande différence entre ces deux types de pare-feu se situe au niveau du composant utilisé : un pare-feu personnel (également connu sous le nom de pare-feu logiciel) est un simple logiciel installé sur l’ordinateur pour le protéger. Une fois installé, ce programme filtre et vérifie le trafic des données entre l’ordinateur et le réseau, contrôlant les communications entrantes et sortantes. À la différence du pare-feu externe, il n’y a pas de séparation physique entre le pare-feu logiciel et les applications : tous sont en effet sur le même système. Certains systèmes d’exploitation comme Windows fournissent automatiquement un pare-feu de ce type.

En revanche, un pare-feu externe (ou pare-feu matériel) est une combinaison entre des composants matériels et logiciels. Il est situé entre différents réseaux informatiques et surveille le trafic des données circulant entre ces réseaux. Un pare-feu externe est un élément physique de l’équipement relié à un ordinateur (tandis que le pare-feu logiciel est installé dans un ordinateur), c’est donc pour cela que l‘on parle aussi de pare-feu matériel. En d’autres termes, un pare-feu externe est un dispositif autonome qui, avec l’aide des interfaces des réseaux intégrées, relie différents réseaux ou plusieurs ordinateurs avec un autre. Et afin de contrôler le trafic, des programmes de pare-feu et parfois des systèmes d’exploitation sont installés sur l’appareil.

Les pare-feu externes sont beaucoup plus complexes que les pare-feu personnels (ou pare-feu logiciels). C’est aussi pour cette raison que cette option est la plus onéreuse mais offre en contrepartie une solution de sécurité bien plus stable et performante. En effet, puisque le pare-feu ne fonctionne pas sur le système comme un logiciel, il est plus difficile de le déjouer. Alors qu’un pare-feu personnel, c’est-à-dire un simple logiciel, peut être simplement désactivé, laissant le système entier sans défense. Une attaque similaire sur un pare-feu matériel conduit à l’arrêt total du dispositif, ce qui bloque automatiquement à la fois le trafic entrant et sortant jusqu’au redémarrage de l’appareil.

La sécurité renforcée et accrue du pare-feu matériel est la raison principale de son utilisation privilégiée par les centres de données, mais aussi pour les systèmes informatiques qui nécessitent une protection complète. Pour cette raison, il n’est pas rare de voir, pour le trafic de données sensibles comme les réseaux de sociétés privés, l’utilisation des pare-feu externes professionnels, avec ou sans serveur. De plus, installer des pare-feu logiciels individuellement pour chaque ordinateur demanderait un effort important et de nombreuses configurations. Par ailleurs, cela risquerait rapidement de couter assez cher, puisque chaque ordinateur nécessiterait une licence propre pour l’installation du logiciel. Et comme nous l’avons mentionné précédemment, il y a surtout un risque au niveau de la sécurité.

Les pare-feu personnels sont recommandés pour une utilisation privée sur un ordinateur personnel, puisqu’il peut généralement être facilement et rapidement configuré même par des utilisateurs inexpérimentés. De petits bureaux ou entreprises avec un réseau plus important peuvent toutefois utiliser également un pare-feu logiciel, à condition bien sûr de le configurer correctement. Mais si le budget nécessaire et les connaissances en termes d’installation sont disponibles, l’option d’utiliser un pare-feu matériel est également recommandée. Un pare feu externe, comme nous l’avons mentionné plus haut, est surtout utile pour protéger les échanges de données sensibles. Il protège donc le réseau qui est connecté à Internet. Le connecter à un réseau privé additionnel, qui constitue une menace potentielle de sécurité est aussi possible. En principe, le pare-feu matériel peut être configuré individuellement en installant un logiciel pare-feu correspondant à un dispositif approprié renforçant le système d’exploitation, ce qui le rend presque invulnérable aux agressions extérieures. Ceci est seulement réalisable en utilisant les programmes recommandés par le système d’exploitation. Une option plus simple consiste à utiliser une Appliance de pare-feu. Il s’agit d’un système complet composé de matériel, de systèmes d’exploitation et de logiciels pare-feu spécialement adaptés. Ci-dessous nous allons différencier les trois types :

• Le pont pare-feu : deux segments de réseau physiquement séparés sont reliés entre eux au niveau de la couche Liaison (couche 2) du modèle OSI, ce qui rend le pare-feu quasiment invisible et inaccessible. Les données entrantes et sortantes sont transmises uniquement si elles se trouvent au niveau inférieur. Pour filtrer les adresses IP et les ports, le pont pare-feu peut contrairement au pont classique traiter les couches supérieures de protocole.

• Routage pare-feu : le pare-feu avec routeur est le type de pare-feu matériel le plus communément utilisé notamment pour un usage privé et personnel comme par exemple le routeur DSL. Contrairement au pare-feu de pont, il fonctionne directement sur la couche Réseau (couche 3) ou une couche haute et filtre directement les adresses IP et les ports. Cependant cela signifie que le pare-feu est visible par n’importe qui et donc potentiellement vulnérable aux attaques.

• Pare-feu proxy : ce pare-feu fonctionne comme un proxy entre la source et la destination du réseau. Les systèmes des deux côtés du réseau n’établissent pas de connexion directe et ne reçoivent ainsi pas tous les paquets créés directement par le système cible. Cela entrave grandement les hackers dans la recherche de localisation du réseau protégé d’une entreprise. Le pare-feu proxy fonctionne sur la couche Application (couche 7) : il est ainsi plus facile de prendre des décisions spécifiques de sécurité qu’avec le pare-feu pont ou le pare-feu avec routeur. Toutefois, cela entraine une perte au niveau de la performance et ce dispositif nécessite surtout une bonne expertise pour la configuration.

Le filtrage des paquets joue un rôle important au niveau des fonctions des différents pare-feu matériels correspondants. Ainsi, le pare-feu décide sur la base de la configuration manuelle des règles, quels sont les paquets de données qui sont transmis et lesquels ne le sont pas. Pour cela, le pare-feu opère sur les couches 3 et 4 du modèle OSI, c’est à dire la couche Réseau et la couche Transport, et vérifie la localisation des paquets dans l’en-tête du protocole correspondant. Ici par exemple il est possible que les adresses IP exactes ou les ports soient bloqués ou alors autorisés par les règles.

Avec l’aide d’un pont mentionné plus haut ou d’un commutateur, qui est une sorte d’extension d’un pont, le filtrage des paquets de données peut être réalisé sur la couche Liaison (couche 2 du modèle OSI). Là, le filtrage des paquets n’est pas réalisé sur la base des adresses IP, mais sur la base des adresses MAC, utilisées pour l’adressage matériel.

De plus, par extension, les pare-feu peuvent filtrer avec des méthodes de vérification orientées sur l’état (SPI, Stateful Packet Inspection, en français pare-feu à états). Pour cela, le filtrage des paquets qui est normalement limité aux couches 3 et 4 incorpore également la couche Application (couche 7). Mais contrairement au pare-feu proxy qui a aussi accès à cette couche, le pare feu à états (SPI) ne permet pas de modifier les données.