Créé pour fournir un langage commun aux postes connectés sur le réseau, IP n’a pas été pensé en terme de sécurité. Avec l’extension des postes présents sur les réseaux, il a vite fallu trouver un moyen de les protéger contre les attaques extérieures de toutes sortes, et de contrôler le trafic sortant, rôle du coupe-feu.
Utilisation : contrôler les flux
Le fonctionnement du coupe-feu consiste à analyser les connexions entrantes et sortantes d’un réseau local afin de bloquer ou d’autoriser leur transit selon des critères définis par l’administrateur. Une entreprise peut ainsi décider d’une politique de sécurité qui vise à limiter les accès de ses utilisateurs aux seuls services HTTP (web) ou SMTP (messagerie) en fonction de l’adresse IP de la machine source. La même entreprise peut tout aussi bien interdire les téléchargements de fichiers (logiciels, audio et vidéo) en mode FTP sur ses serveurs pour éviter les attaques, ou plus prosaïquement pour contrôler la bande passante de l’entreprise.
Principe de fonctionnement : du routeur au coupe-feu
Historiquement, le filtrage de paquets IP, simple ou par paquets, fondé sur l’analyse des trames IP, était assuré par les routeurs. L’idée est d’inspecter l’en-tête des paquets pour en connaître les adresses IP sources et cibles (niveau 3) ou d’analyser les éléments de la couche de transport (niveau 4) d’un paquet afin de connaître les ports sources et cibles (HTTP, sur le port 8080, etc.). Et, sur la base d’une liste d’accès emportant les adresses autorisées ou non, accepter la requête ou pas. Cet équipement montre vite ses limites pour filtrer des paquets IP sollicitant un service avec un port dynamique. C’est le cas de FTP, par exemple, qui utilise le port 21 pour traiter les requêtes mais qui en utilise un autre, choisi aléatoirement, pour télécharger les fichiers. De ce point de vue, le filtrage dynamique de paquets, ou stateful inspection, breveté par l’israélien Check Point, marque une avancée. En effet, le filtre des paquets s’effectue sur la base des informations contenues dans la couche 3, mais plus finement, dans la couche 4 du modèle OSI. Ce mode de filtrage crée aussi un historique des sessions en cours. Il peut ainsi continuer à laisser passer une transaction initiée à la base sur un port autorisé, même si elle se poursuit ensuite sur un numéro de port interdit par l’administrateur. Cet historique des sessions garantit aussi de bonnes performances puisque la session, autorisée une fois pour toutes, est considérée comme sûre après vérification de sa conformité aux règles de sécurité. Reste que le filtrage dynamique ne s’applique pas au niveau applicatif (niveau 7). Or, nombre d’attaques menées contre un réseau jouent sur les failles apparues dans les applications comme les serveurs de messageries SMTP ou web HTTP. Dans ce cas, on utilisera un coupe-feu de type proxy, bien plus efficace. Lorsqu’ils reçoivent un paquet IP à l’intérieur du LAN, ces coupe-feu le décomposent puis le recomposent avant de l’envoyer vers sa destination, ce qui leur permet entre autres de masquer les adresses IP des postes du réseau local. Lors de cette opération, le proxy effectue un filtrage allant jusqu’au niveau 7. Ce filtrage peut s’étendre au contrôle des commandes, de la taille des paquets ou encore de la présence d’une pièce jointe. Reste que ce mode de filtrage pèche par sa lenteur.
Acteurs : logiciels et boîtiers se partagent le marché
À l’heure actuelle, les coupe-feu sont commercialisés sous la forme de logiciels serveurs (Guardian Pro de Netguard, ISA Server de Microsoft, etc.) ou de boîtiers spécialisés (Side Winder de Secure Computing, Barricade de Privado, etc.), qui ont l’avantage d’être prêts à l’emploi et faciles à déployer. Il existe de nombreux acteurs sur le marché des coupe-feu tels que Check Point Software, Cisco, ou encore NetScreen. En 2001, ce marché a généré un chiffre d’affaires de 1,7 milliard d’euros selon Infonetics Research.
Avenir : vers plus de fonctions
L’intégration aidant, les coupe-feu deviennent les machines à tout faire des réseaux locaux. Rien d’étonnant. Tous les flux transitent par ce point nodal. Les fabricants n’hésitent pas à leur adjoindre des fonctions de RPV, d’IDS, de gestion de la bande passante ou de serveurs d’authentification forte et autres antivirus. Le plus souvent, ces adjonctions se font par des partenariats avec des fournisseurs tiers, pour multiplier les circuits de vente et les prescripteurs.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
