Journal du Net > Solutions > Sécurité >  Sécurité > Analyses > 8 questions sur les pare-feu
Analyse
 
24/09/2007

8 questions clés pour mieux comprendre les pare-feu

Sont-ils à systématiser sur le poste de travail ? Doivent-il être uniques sur le réseau ? Protègent-il des virus ? Sont-ils un casse-tête à paramétrer ? 8 questions clés sur les pare-feu.
  Envoyer Imprimer  

 
En savoir plus
 
 
 

Le pare-feu est un composant indispensable de la sécurité informatique en entreprise. Avec l'antivirus, c'est la protection la plus déployée.

Souvent poste de douane entre le réseau et Internet, le pare-feu tient aussi un rôle plus étendu, et ses fonctionnalités ne sont pas figées. Eclaircissements sur cet outil crucial, afin de ne plus le sous-estimer, ni le surestimer.

Posséder un firewall, c'est être protégé

Le pare-feu n'est pas la panacée en sécurité. S'il est nécessaire, il ne prémunit pas contre tous les risques. Un virus ou un mail de phishing parvenant dans la messagerie d'un salarié risque d'échapper à la vigilance du firewall.

"Si vous êtes protégé d'Internet, comme il agit au niveau réseau, il va laisser passer des protocoles autorisés à l'intérieur desquels pourrait se dissimuler un virus. Il faut par conséquent une sécurité plus en profondeur, avec notamment des antivirus. La tendance est plus vers le combo de fonctionnalités que vers leur soustraction", ajoute Sylvain Roger, consultant en sécurité chez Solucom.

De même, qu'il s'agisse d'une station de travail ou d'un PC portable, le firewall ne protégera pas contre la connexion d'une clef USB non autorisée, potentiellement porteuse d'un programme malveillant. L'antivirus reste donc indispensable.

Le pare-feu est accessoire sur les postes

Un firewall personnel est au contraire une nécessité, tout particulièrement concernant les postes nomades. Dans bien des cas, ces derniers sont vecteurs de contamination du réseau local. Une politique de sécurité pourra ainsi interdire le surf direct sur Internet, et n'autoriser que la connexion à la passerelle de nomadisme de l'entreprise.

"Il est justifié de migrer vers un système à deux niveaux et des DMZ bien distinctes"
(S.Roger - Solucom)

"Pour les postes de travail classiques et les serveurs, il n'y a pas selon moi de nécessité d'un pare-feu personnel. Les entreprises vont plus par exemple vers l'intégration de sondes IPS plus globale devant permettre de limiter l'exposition des postes", estime en revanche Sylvain Roger.

Une entreprise peut-elle se satisfaire du logiciel intégré à Windows ?

En dépit d'améliorations fonctionnelles, le pare-feu embarqué de Windows, qu'il s'agisse de la version XP ou Vista, souffre encore de carences par rapport aux produits des éditeurs spécialisés.

Des lacunes en termes de performances et d'administration qui ne permettent pas son exploitation dans les grandes entreprises. Petites entreprises et particuliers peuvent toutefois y trouver leur compte.

Un niveau de firewall unique est-il suffisant ?

Les entreprises doivent de plus en plus s'interconnecter, que ce soit par exemple avec leurs clients ou leurs partenaires. Cette interconnexion accrue pousse à une plus grande ouverture au niveau périmétrique. Celle-ci se trouve alors compensée par une stratégie de défense en profondeur comprenant un découpage en zones de confiance protégées par des pare-feu distincts.

"Les architectures sont encore bien souvent à un seul niveau de firewall. Mais pour se prémunir des failles, il est justifié de migrer vers un système à deux niveaux et des DMZ bien distinctes, avec des produits d'éditeurs différents. Les grands groupes sont sur cette architecture. Pour les PME, c'est déjà plus rare", témoigne le consultant de Solucom.

Le pare-feu applicatif est le remède ultime

Après avoir filtré uniquement la couche réseau, le pare-feu capable d'examiner aussi les paquets au niveau applicatif est largement promu par les éditeurs. Celui-ci est cependant loin encore d'être généralisé, principalement pour des raisons de performance.

L'analyse de la couche applicative est en effet gourmande en ressource. Difficile de recourir à ces technologies pour se protéger d'Internet. Elles trouvent plus facilement leur utilité dans la protection de serveurs applicatifs spécifiques.

Le pare-feu matériel dépasse les versions logicielles

"Certains firewalls s'avèrent plus complexes à paramétrer, moins user friendly"
(S.Roger - Solucom)

A matériel équivalent, il n'y aurait pas de différence notable pour l'expert de Solucom. Un pare-feu logiciel Check Point et une appliance Cisco, offriraient par exemple un niveau de performance équivalent. Les faiblesses peuvent provenir d'un système d'exploitation insuffisamment durci.

Le firewall migre vers la sécurité unifiée

Le marché semble en effet tendre vers des solutions tout-en-un que sont les UTM. Le boîtier simple cédera progressivement la place aux équipements multifonctions. Compte tenu du ratio coût performance, même les grandes entreprises s'y intéressent de plus en plus, notamment pour équiper leurs filiales.

De façon comparable, les applications en sécurité locales s'orientent vers le tout-en-un. Un pare-feu peut aussi être complété par des fonctions de Host IPS et d'antivirus. Cette évolution est encouragée par la volonté de rationalisation de l'administration.

Des composants complexes à paramétrer

 
En savoir plus
 
 
 

Cela peut être vrai. Il y a des disparités entre les éditeurs et certains firewalls s'avèrent plus complexes à paramétrer, moins "user friendly". Dans tous les cas, la configuration demande une bonne connaissance de son réseau afin de pouvoir lister les flux autorisés, prévient Sylvain Roger.

En outre, le filtrage applicatif complexe le paramétrage. Il réclame en effet une connaissance plus fine à l'intérieur même des protocoles pour identifier les messages licites. Une contrainte qui peut rebuter et freiner l'adoption des pare-feu applicatifs.

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages