Pare-feu nouvelle génération : sécuriser sans compromettre les performances

Trouver l’équilibre entre performances réseau et sécurité est un défi auquel sont souvent confrontés les responsables informatiques des grandes et des moyennes entreprises.

Trouver l’équilibre entre performances réseau et sécurité est un défi auquel sont souvent confrontés les responsables informatiques des petites et moyennes  entreprises. La sécurité est une exigence vitale, elle ne doit pas se faire au détriment du débit et de la productivité. Un problème épineux auquel lavènement des pare-feu nouvelle génération a apporté la solution.
Les pare-feu d
ancienne génération présentent aujourdhui un réel risque pour la sécurité des entreprises. Leur technologie est obsolète dans la mesure où ils sont incapables dinspecter la charge utile des données de paquets diffusés par les cybercriminels modernes.
De nombreux fournisseurs font l
’éloge des débits du filtrage dynamique uniquement, mais la vraie mesure de la sécurité et des performances se reflète dans le débit et lefficacité du filtrage applicatif. Pour remédier à cette lacune, beaucoup de fournisseurs de pare-feu ont adopté la méthode danalyse utilisée par les solutions dantivirus de bureau classiques : placer les fichiers téléchargés dans la mémoire tampon puis les analyser à la recherche de malwares. Linconvénient de cette méthode est quelle se traduit non seulement par une latence élevée, mais comporte également des risques importants puisque la capacité de la mémoire temporaire peut limiter la taille des fichiers.

Définir les pare-feu nouvelle génération

Essentiellement, un pare-feu nouvelle génération applique la technologie de filtrage applicatif (DPI) en intégrant des systèmes de prévention des intrusions (IPS) ainsi que lintelligence et le contrôle applicatifs pour visualiser le contenu des données acheminées et traitées.
Le groupe Gartner d
éfinit un pare-feu nouvelle génération comme « une plate-forme réseau intégrée, sans impact sur le débit, qui analyse le trafic en profondeur et bloque les attaques. »[1] Gartner précise par ailleurs quun pare-feu nouvelle génération devrait fournir au minimum :

* une configuration bump-in-the-wire linéaire transparente ;
* les fonctionnalités standard des pare-feu de première génération, par ex. traduction dadresses réseau (NAT), filtrage dynamique, réseau privé virtuel (VPN), etc. ;
*
un moteur IPS intégré à base de signatures ;
*
lidentification des applications, la visibilité totale de la pile et un contrôle granulaire ;
* la possibilit
é dincorporer des informations extérieures au pare-feu, par ex. des règles basées sur un annuaire, des listes noires, des listes blanches, etc. ;
* la possibilit
é dune mise à niveau pour inclure de futures sources dinformations et menaces ;
*
le déchiffrement SSL pour identifier les applications chiffrées indésirables.

L’évolution des pare-feu nouvelle génération

La génération des pare-feu à filtrage dynamique abordait la sécurité dans un monde où les malwares n’étaient pas un problème majeur et où les pages Web étaient simplement destinées à être lues. Les ports, adresses IP et protocoles étaient les facteurs clés à gérer. Mais avec l’évolution dInternet, la possibilité doffrir du contenu dynamique depuis le serveur et les navigateurs clients a donné naissance à une myriade dapplications regroupées sous lappellation Web 2.0.
Les applications modernes (Salesforce.com, SharePoint, Farmville...) fonctionnent d
ésormais toutes sur le port TCP 80 ainsi quen chiffrement SSL (port TCP 443). Un pare-feu nouvelle génération filtre la charge utile des paquets et recherche instantanément les signatures correspondant à des activités pernicieuses (vulnérabilités connues, exploits, virus et malwares). Le DPI permet également aux administrateurs de créer des règles très précises dautorisation et de refus pour contrôler des applications et des sites Web particuliers. Etant donné que le contenu des paquets est filtré, il est aussi possible dexporter toutes sortes dinformations statistiques.
Par cons
équent, les administrateurs peuvent désormais facilement tirer parti des analyses de trafic pour planifier les capacités, résoudre les problèmes ou surveiller ce que fait chaque employé tout au long de la journée. Les pare-feu actuels opèrent au niveau des couches 2, 3, 4, 5, 6 et 7 du modèle OSI.

Les besoins de lentreprise

Les entreprises sont confrontées à un chaos dapplications. Les communications par réseau ne se basent plus simplement sur des applications de stockage/retransmission comme les e-mails, mais se sont développées pour englober des outils de collaboration en temps réel ainsi que des applications Web 2.0, de messagerie instantanée (IM), poste à poste, VoIP, de diffusion multimédia ou encore de téléconférence, soit autant de voies de passage pour des attaques potentielles.
De nombreuses entreprises ne peuvent pas faire la diff
érence entre les applications utilisées sur leurs réseaux à des fins commerciales légitimes et celles qui ne sont pas essentielles et ne font quentraver la bande passante, voire présentent un danger.

De nos jours, les services informatiques doivent fournir des solutions professionnelles indispensables tout en gérant lutilisation improductive, et souvent dangereuse (du point de vue de la sécurité), dapplications Web par les employés. En termes de bande passante, la priorité doit être accordée aux applications vitales, tandis que les médias sociaux et autres jeux en ligne doivent pouvoir être limités, voire totalement bloqués. De plus, les entreprises sexposent à des amendes, des pénalités et des pertes commerciales en cas de non-respect des normes et de la réglementation en matière de sécurité.
Dans les entreprises aujourd
hui, la protection et les performances vont de pair. Elles ne peuvent plus tolérer la sécurité lacunaire fournie par les anciens pare-feu à filtrage dynamique, pas plus que les encombrements du réseau associés à certains pare-feu nouvelle génération. Toute lenteur au niveau des performances du pare-feu ou du réseau peut nuire à la qualité des applications collaboratives et sensibles aux délais avec des répercussions délétères sur les niveaux de service et la productivité. Pire encore : certains services informatiques désactivent même des fonctionnalités de leurs solutions de sécurité réseau pour éviter un ralentissement des performances.
Les structures grandes et petites, dans le secteur public comme dans le secteur priv
é, sont exposées à de nouvelles menaces dues aux vulnérabilités des applications couramment utilisées.
C
est le vilain petit secret du joli monde des réseaux sociaux et de linterconnexion : ils font le lit des malwares et les cybercriminels sont postés dans tous les coins à laffût de leurs victimes qui ne se doutent de rien. Parallèlement, les employés utilisent les ordinateurs du bureau et de leur domicile pour les blogs, le réseautage, les messageries, les vidéos, la musique, les jeux, les achats et les e-mails.
Les applications telles que la diffusion vid
éo, le poste à poste (P2P) et les applications hébergées ou sur le cloud exposent les entreprises à d’éventuelles infiltrations, pertes de données et indisponibilités. En plus dintroduire des menaces, ces applications minent la productivité et détournent la précieuse bande passante réseau des applications vitales. Et surtout, les entreprises ont besoin doutils pour garantir de la bande passante aux applications essentielles. Elles requièrent une intelligence et un contrôle applicatifs pour protéger le trafic entrant et sortant, tout en assurant la rapidité et la sécurité indispensables à un environnement de travail productif.

Les avantages des pare-feu nouvelle génération

Les pare-feu nouvelle génération assurent lintelligence et le contrôle applicatifs, la prévention des intrusions, la protection anti-malware et le filtrage SSL à des vitesses multi-gigabits. De plus, leur évolutivité leur permet de sadapter aux réseaux les plus performants.
Les pare-feu nouvelle g
énération les plus robustes permettent aux administrateurs de contrôler et de gérer à la fois les applications professionnelles et non professionnelles afin de garantir la productivité du réseau et des utilisateurs, et ils sont capables danalyser des fichiers de taille illimitée à travers nimporte quel port, sans dégrader la sécurité ni les performances. Le nombre de fichiers simultanés ou de flux de réseau ne constitue pas de limitation non plus. Ainsi, les fichiers infectés nont aucune chance de passer inaperçus même lorsque le pare-feu est fortement sollicité. De plus, les pare-feu nouvelle génération peuvent appliquer toutes les technologies de sécurité et de contrôle applicatif au trafic chiffré en SSL pour que ce dernier ne devienne pas un nouveau vecteur de malwares sur le réseau.
Les administrateurs informatiques sur le point de choisir un pare-feu
à filtrage applicatif doivent savoir quil existe différentes approches en termes darchitectures de processeurs dans le monde des pare-feu nouvelle génération. Certains ont opté pour des processeurs généralistes associés à des coprocesseurs de sécurité séparés. Dautres ont choisi de concevoir et de fabriquer des plates-formes ASIC (Application-Specific Integrated Circuits). Chez Dell SonicWALL, nous avons implémenté une architecture multiprocesseur pour permettre à nos solutions daccélérer le traitement du trafic réseau. Lessentiel pour les administrateurs informatiques est de sassurer que la solution de pare-feu nouvelle génération quils choisissent est entièrement compatible avec les exigences futures de leur réseau, quelle fournit les meilleures performances, les services danalyse et de visibilité du réseau les plus utiles, et quelle est facile à implémenter et à administrer.

 

Test connexion