Pare-feu nouvelle génération : sécuriser sans compromettre les performances
Trouver l’équilibre entre performances réseau et sécurité est un défi auquel sont souvent confrontés les responsables informatiques des grandes et des moyennes entreprises.
Trouver l’équilibre entre performances réseau et sécurité est un défi auquel
sont souvent confrontés les responsables informatiques des petites et moyennes entreprises. La sécurité est une
exigence vitale, elle ne doit pas se faire au détriment
du débit et de
la productivité. Un problème épineux
auquel l’avènement des pare-feu nouvelle génération a apporté la
solution.
Les pare-feu d’ancienne génération présentent
aujourd’hui un réel risque pour la sécurité des
entreprises. Leur technologie est obsolète dans la mesure où ils sont
incapables d’inspecter la charge utile des données de
paquets diffusés par les cybercriminels modernes.
De nombreux fournisseurs font l’éloge des
débits du filtrage dynamique uniquement, mais la vraie
mesure de la sécurité et des performances se reflète dans
le débit et l’efficacité du filtrage applicatif. Pour remédier à cette
lacune, beaucoup de fournisseurs de pare-feu ont adopté la méthode d’analyse
utilisée par les solutions d’antivirus de bureau classiques : placer
les fichiers téléchargés dans la mémoire
tampon puis les analyser à la recherche de malwares. L’inconvénient de
cette méthode est qu’elle se traduit non seulement par une
latence élevée, mais comporte également
des risques importants puisque la capacité de la mémoire temporaire peut limiter la taille
des fichiers.
Définir les pare-feu nouvelle génération
Essentiellement, un pare-feu nouvelle génération
applique la technologie de filtrage applicatif (DPI) en intégrant des
systèmes de prévention des intrusions (IPS) ainsi que
l’intelligence et le contrôle applicatifs pour visualiser le
contenu des données acheminées et traitées.
Le groupe Gartner définit un pare-feu nouvelle génération
comme « une plate-forme réseau intégrée, sans impact sur le débit, qui
analyse le trafic en profondeur et bloque les attaques. »[1] Gartner précise par
ailleurs qu’un pare-feu nouvelle génération devrait fournir au minimum :
* une
configuration bump-in-the-wire linéaire transparente ;
* les
fonctionnalités standard des pare-feu de première génération,
par ex. traduction d’adresses réseau
(NAT), filtrage dynamique, réseau privé virtuel (VPN), etc. ;
* un moteur
IPS intégré à base de signatures ;
* l’identification
des applications, la visibilité totale de la pile et un contrôle
granulaire ;
* la
possibilité d’incorporer des informations extérieures
au pare-feu, par ex. des règles basées sur un annuaire, des listes noires,
des listes blanches, etc. ;
* la possibilité d’une mise à niveau pour inclure de futures sources
d’informations et menaces ;
* le déchiffrement SSL pour identifier les
applications chiffrées indésirables.
L’évolution des pare-feu nouvelle génération
La génération des pare-feu à filtrage
dynamique abordait la sécurité dans un monde où les
malwares n’étaient pas un problème majeur et où les
pages Web étaient simplement destinées à être lues. Les ports, adresses IP et
protocoles étaient les facteurs clés à gérer. Mais avec l’évolution
d’Internet, la possibilité d’offrir du contenu dynamique depuis le
serveur et les navigateurs clients a donné naissance à une
myriade d’applications regroupées sous l’appellation Web 2.0.
Les applications modernes (Salesforce.com, SharePoint,
Farmville...) fonctionnent désormais toutes sur le port TCP 80 ainsi
qu’en chiffrement SSL (port TCP 443). Un pare-feu nouvelle génération
filtre la charge utile des paquets et recherche instantanément les
signatures correspondant à des activités
pernicieuses (vulnérabilités connues, exploits, virus et
malwares). Le DPI permet également aux administrateurs de créer des règles très précises d’autorisation
et de refus pour contrôler des applications et des sites Web
particuliers. Etant donné que le contenu des paquets est filtré, il est
aussi possible d’exporter toutes sortes d’informations statistiques.
Par conséquent,
les administrateurs peuvent désormais facilement tirer parti des
analyses de trafic pour planifier les capacités, résoudre les problèmes ou
surveiller ce que fait chaque employé tout au long de la journée. Les
pare-feu actuels opèrent au niveau des couches 2, 3, 4, 5,
6 et 7 du modèle OSI.
Les besoins de l’entreprise
Les entreprises sont confrontées à un chaos
d’applications. Les communications par réseau ne
se basent plus simplement sur des applications de stockage/retransmission comme
les e-mails, mais se sont développées pour englober des outils de
collaboration en temps réel ainsi que des applications Web 2.0,
de messagerie instantanée (IM), poste à poste,
VoIP, de diffusion multimédia ou encore de téléconférence,
soit autant de voies de passage pour des attaques potentielles.
De nombreuses
entreprises ne peuvent pas faire la différence entre les applications utilisées sur leurs
réseaux à des fins commerciales légitimes
et celles qui ne sont pas essentielles et ne font qu’entraver
la bande passante, voire présentent un danger.
De nos jours, les services informatiques doivent fournir
des solutions professionnelles indispensables tout en gérant l’utilisation
improductive, et souvent dangereuse (du point de vue de la sécurité), d’applications
Web par les employés. En termes de bande passante, la priorité doit être
accordée aux applications vitales, tandis que les médias
sociaux et autres jeux en ligne doivent pouvoir être limités, voire totalement bloqués. De
plus, les entreprises s’exposent à des amendes, des pénalités et des
pertes commerciales en cas de non-respect des normes et de la réglementation
en matière de sécurité.
Dans les entreprises aujourd’hui, la
protection et les performances vont de pair. Elles ne peuvent plus tolérer la sécurité
lacunaire fournie par les anciens pare-feu à filtrage dynamique, pas plus que les
encombrements du réseau associés à certains pare-feu nouvelle génération.
Toute lenteur au niveau des performances du pare-feu ou du réseau peut
nuire à la qualité des applications collaboratives et
sensibles aux délais avec des répercussions délétères sur
les niveaux de service et la productivité. Pire encore :
certains services informatiques désactivent même des
fonctionnalités de leurs solutions de sécurité réseau pour éviter un
ralentissement des performances.
Les structures grandes et petites, dans le secteur public
comme dans le secteur privé, sont exposées à de
nouvelles menaces dues aux vulnérabilités des applications couramment utilisées.
C’est le
vilain petit secret du joli monde des réseaux sociaux et de l’interconnexion : ils
font le lit des malwares et les cybercriminels sont postés dans
tous les coins à l’affût de leurs victimes qui ne se doutent
de rien. Parallèlement, les employés utilisent les ordinateurs du bureau
et de leur domicile pour les blogs, le réseautage, les messageries, les vidéos, la
musique, les jeux, les achats et les e-mails.
Les applications telles que la
diffusion vidéo, le poste à poste (P2P) et les applications hébergées ou sur
le cloud exposent les entreprises à d’éventuelles infiltrations, pertes de
données et indisponibilités. En plus d’introduire
des menaces, ces applications minent la productivité et détournent
la précieuse bande passante réseau des applications vitales. Et
surtout, les entreprises ont besoin d’outils pour garantir de la bande
passante aux applications essentielles. Elles requièrent une
intelligence et un contrôle applicatifs pour protéger le
trafic entrant et sortant, tout en assurant la rapidité et la sécurité
indispensables à un environnement de travail productif.
Les avantages des pare-feu nouvelle génération
Les pare-feu nouvelle génération assurent l’intelligence
et le contrôle applicatifs, la prévention des intrusions, la protection
anti-malware et le filtrage SSL à des vitesses multi-gigabits. De plus,
leur évolutivité leur permet de s’adapter
aux réseaux les plus performants.
Les pare-feu nouvelle génération les plus robustes permettent aux
administrateurs de contrôler et de gérer à la fois
les applications professionnelles et non professionnelles afin de garantir la
productivité du réseau et des utilisateurs, et ils sont
capables d’analyser des fichiers de taille illimitée à travers
n’importe quel port, sans dégrader la sécurité ni les
performances. Le nombre de fichiers simultanés ou de flux de réseau ne
constitue pas de limitation non plus. Ainsi, les fichiers infectés n’ont
aucune chance de passer inaperçus même lorsque le pare-feu est fortement
sollicité. De plus, les pare-feu nouvelle génération
peuvent appliquer toutes les technologies de sécurité et de contrôle
applicatif au trafic chiffré en SSL pour que ce dernier ne devienne
pas un nouveau vecteur de malwares sur le réseau.
Les administrateurs informatiques sur le point de choisir
un pare-feu à filtrage applicatif doivent savoir qu’il existe
différentes approches en termes d’architectures
de processeurs dans le monde des pare-feu nouvelle génération.
Certains ont opté pour des processeurs généralistes associés à des
coprocesseurs de sécurité séparés. D’autres ont choisi de concevoir et de
fabriquer des plates-formes ASIC (Application-Specific Integrated Circuits).
Chez Dell SonicWALL, nous avons implémenté une architecture multiprocesseur pour
permettre à nos solutions d’accélérer le traitement du trafic réseau. L’essentiel
pour les administrateurs informatiques est de s’assurer que la solution de pare-feu
nouvelle génération qu’ils choisissent est entièrement
compatible avec les exigences futures de leur réseau, qu’elle fournit les meilleures
performances, les services d’analyse et de visibilité du réseau les
plus utiles, et qu’elle est facile à implémenter et à
administrer.