Quelle est l'innovation d'un pare-feu "nouvelle génération" ?

Le bon vieux pare-feu a bien évolué depuis l’époque de l’inspection des paquets. Quel est l'apport des nouvelles générations ?

Le bon vieux pare-feu a bien évolué depuis l’époque de l’inspection des paquets. Pour ceux qui s’en souviennent, les tout premiers firewalls ont été conçus par Digital Equipment Corporation (le fameux et feu DEC) à la fin des années 80. Ces premiers pare-feu étaient, pour l’essentiel, actifs sur les quatre premières couches du modèle OSI. Ils interceptaient le trafic réseau pour inspecter chaque paquet individuellement et s’assurer de leur conformité à certaines règles prédéfinies (adresses ou port de la source et de la destination par exemple), pour ensuite relayer ou non les paquets.
Cette méthode d’inspection du trafic était certes rapide mais a été rapidement identifiée comme particulièrement consommatrice de ressources, ce qui a incité l’émergence des pare-feu « circuits », plus connus sous l’appellation de pare-feu stateful, dont le pionnier est Check Point Software Technologies. Cette nouvelle génération de pare-feu (qui n’a d’ailleurs plus rien de nouveau aujourd’hui) inspectait plus précisément les en-têtes au niveau de la couche de transport et dressait l’inventaire des connexions actives, permettant ainsi d’utiliser« l’état »d’une connexion (nouvelle, active, non-existante) pour définir une règle. Pour la petite histoire, avec l’apparition du pare-feu stateful, le classique pare-feu de filtrage de paquets s’est vu affubler du sobriquet de « stateless ».
Les innovations en matière de pare-feu se sont enchaînées depuis pour aboutir aux fameux pare-feu « Nouvelle Génération » d’aujourd’hui. Les développements ont été essentiellement réalisés de manière transversale, avec un renforcement des fonctionnalités classiques, auxquels se sont greffés des services de prévention et de détection d’intrusion, de gestion des contenus et des utilisateurs, pour, in fine, concrétiser l’UTM (Unified Threath Management) actuel.
Les pare-feu applicatifs ont connu une avancée majeure avec la sortie du premier pare-feu open source, le Firewall Toolkit (FWTK) proposé par Trusted Information Systems en 1993, bien que l’idée d’un pare-feu actif sur la couche 7 soit, encore une fois, à mettre au crédit de DEC, qui avait proposé SEAL en 1991. Cette troisième génération de technologie de pare-feu positionne l’inspection de paquets au niveau de la couche applicative, la couche 7 du modèle OSI. Ainsi, si les informations sur les connexions et leur statut peuvent être utilisées pour définir des règles, ces dernières peuvent désormais intégrer des informations liées à des opérations menées dans le cadre d’un protocole précis, comme autoriser une requête GET sur HTTP, mais refuser un POST.

Trusted Information Systems a commercialisé FWTK sous l’appellation commerciale Gauntlet Firewall. Le pare-feu Gauntlet constitue sans doute le premier pare-feu commercial dit de Nouvelle Génération qui associe l’authentification des utilisateurs, le filtrage des URL et le pare-feu applicatif, avec des proxys applicatifs personnalisables, et cela, il y a déjà plus de 10 ans.
Beaucoup de professionnels de la sécurité considèrent le pare-feu comme une solution économique pour pallier certaines pratiques de sécurité contestables, et notamment la sécurité peu efficace des hôtes. Il est indéniable que la maîtrise des coûts est un élément essentiel pour les entreprises. Il est tout aussi vrai que l’avènement de la virtualisation et du Cloud a révolutionné l’infrastructure réseau, mais il n’efface néanmoins pas le besoin d’un périmètre de contrôle robuste pour ces nouveaux environnements. Le modèle de la sécurité multicouche a donc encore de beaux jours devant lui.
Pour ces raisons, le pare-feu Nouvelle Génération est appelé à poursuivre son évolution. Les nouvelles offres intègrent des technologies autrefois plus rares telles que, notamment, la prévention des intrusions, l’inspection des paquets ou encore l’authentification des utilisateurs, au sein d’une plateforme matérielle unifiée et aux performances élevées.
Reste à savoir comment nommer les prochaines évolutions d’un pare-feu qui se dit déjà Nouvelle Génération…