Les firewalls (coupe-feu) constitue un type de sécurité par réseau très efficace. Dans le bâtiment un coupe-feu est conçu pour éviter qu’un incendie ne se répande d’une partie de l’immeuble aux autres. En théorie un firewall sert à la même chose : il empêche les attaques provenant d’une zone non sure de se répandre à l’intérieur du réseau interne. En pratique il ressemble plus aux douves d’un château médiéval. Il répond aux objectifs suivants :
- Il restreint l’accès à un point précis ;
- Il empêche les agresseurs de s’approcher des autres défenses ;
- Il restreint la sortie à un point précis.
Un firewall est le plus souvent installé au point ou le réseau interne est connecté à Internet mais il peut également servir à protéger une ressource critique de l’entreprise des attaques en provenance du réseau interne.
Tout le trafic provenant ou partant du réseau interne passe ainsi à travers le firewall qui a ainsi la possibilité de vérifier que le trafic est acceptable, c'est-à-dire que celui-ci est conforme à la politique de sécurité du site.
Le firewall se comporte comme un séparateur, un limiteur et un analyseur de flux. Il s’agit la plupart du temps d’un ensemble de composants matériels et logiciels.
Ce type de firewalls travaille sur la composition même des paquets réseaux (couche réseau du modèle OSI).Ces firewalls analysent les paquets entrants/sortants suivant leur type, leurs adresses source et destination ainsi que les ports utilisés. Travaillant directement sur la couche IP, ces sont très peu gourmands en mémoire. Il est à noter que s’ils sont totalement transparents pour les utilisateurs il n'y a pas d'authentification possible des dits utilisateurs car seule l’adresse IP source est connue du firewall. Les firewalls à filtrage de paquets peuvent être soit stateless (pas de suivi des connexions) ou stateful (suivi des connexions TCP/IP).
Les firewalls proxy (ou firewalls applicatifs) ont un mode de fonctionnement différent des firewalls à filtrage de paquets. Chaque requête traversant le firewall sera prise en compte par le firewall qui se chargera d’aller chercher l’information. Ces firewalls permettent l’authentification des utilisateurs mais nécessitent une configuration spécifique sur chaque client. Il est à noter que ces firewalls sont des gros consommateurs de ressources informatiques.
Ce type de firewall ne travaille pas sur les flux applicatifs mais rétablisse, à chaque connexion, la connexion vers l'extérieur. Ce type de firewall est peu utilisé désormais. Il est à noter que ces firewalls ne réalisent pas d’authentification des utilisateurs même s’ils ont la capacité d’enregistrer les coordonnées de l'utilisateur qui a demandé la connexion.
Le firewall se comporte comme un goulet d’étranglement et tout le trafic entrant et sortant doit passer par ce point de contrôle. Le firewall permet de concentrer les mesures de sécurité en un point unique.
Le firewall joue le rôle d’un agent de circulation pour l’ensemble des flux. Il applique la politique de sécurité de l’entreprise et ne permet qu’aux services « approuvés » de traverser et uniquement dans le cadre des règles qui leur ont été affectées.
Le firewall constitue un bon lieu de collecte d’informations sur l’utilisation des systèmes et du réseau. Le firewall, point d’accès unique peut enregistrer ce qui se produit entre le réseau protégé et l’extérieur.
S’il est vrai qu’un firewall peut permettre de protéger l’entreprise d’une attaque externe, les utilisateurs internes ayant accès à une ressource non protégée peuvent voler ou détruire des données sans jamais approcher du firewall. C’est pourquoi toutes les ressources internes sensibles doivent faire l’objet d’une protection par firewall !
Un firewall ne peut contrôler efficacement que le trafic qui passe par lui : il ne peut systématiquement rien faire contre les connexions qui lui échappe ! Il est fréquent de constater que des utilisateurs « experts » ou des administrateurs mettent en place leur propres « entrées de service » à l’intérieur du réseau (mise en place de modem activés en réception par exemple).
Un firewall est destiné à protéger le réseau de l’entreprise contre des menaces connues. S’il est bien conçu, il peut également protéger contre de nouvelles menaces (en interdisant par exemple tous les services sauf ceux considérés surs). Aucun firewall ne peut cependant défendre un site contre toutes les nouvelles menaces qui apparaissent. Les agresseurs découvrent régulièrement de nouvelles manières d’attaquer. La mise en place d’un firewall doit impérativement s’accompagner d’une politique de mise à jour régulière !
L’examen des flux traversant un firewall s’effectue surtout par examen des adresses source et destination ainsi que des numéros de port mais pas sur le détail des données. Même avec un filtrage de paquets sophistiqués la protection contre les virus à l’aide d’un firewall est difficilement réalisable : le nombre de virus existants ainsi que le nombre de façons de se camoufler au sein des données est trop important.
La détection d’un virus par examens des paquets transitant au travers d’un firewall demanderait :
- de savoir que le paquet fait partie d’un programme exécutable ;
- de savoir à quoi le programme non infesté devrait ressembler ;
- de savoir que le changement est du à un virus.
Cette détection étant quasiment impossible à réaliser (et non réalisé à ce jour), la mise en place d’un firewall doit s’accompagner de la mise en place d’anti-virus spécifiques à chacun des flux traversant le firewall et pouvant servir de support à virus.