Historiquement, la sécurité informatique se résumait à installer un antivirus (le vaccin magique contre les maladies des ordinateurs) et un firewall (le videur des portes d’entrée de l’ordinateur sur internet). Aujourd’hui, à l’heure de l’hyperconnexion, les cyberattaques se sont multipliées et ne se résument plus aux simples virus destructeurs de données. Donc les antivirus et les firewall ont évolué en conséquence. Dans cet article, nous nous concentrerons sur ces derniers et en particulier sur les NGFW (Next Generation Firewall).
C’est quoi un Firewall ?
Dans les grandes lignes, un Firewall (ou pare-feu en français) est un logiciel et/ou matériel permettant de contrôler et surveiller les applications et flux de données.
Ainsi, il regarde chaque paquet indépendamment des autres et le compare à une liste de règles préconfigurées. Notons que ce filtrage de paquets est dynamique. Jusqu’ici, nous avons une définition du Firewall dit de première génération. Nous étudierons les NGFW (Next Generation Firewall) en détail plus bas.
Lorsque le Firewall est matériel, nous parlons généralement d’un boitier qui se place entre le routeur et le reste du réseau privé. Ainsi, toute connexion devra passer par le boitier et le trafic pourra être correctement contrôlé. Sinon, si le Firewall est logiciel, une machine devra héberger le service (par exemple PFSense) et ainsi pouvoir surveiller les flux entrants et sortants du réseau.
Quoi qu’il en soit, surveiller le trafic ne suffit pas, il faut ensuite lui appliquer des règles. De ce fait, il faut définir un certain nombre de règles en fonction de la politique de sécurité de l’entreprise. En conséquence, le Firewall va vérifier la source et la destination de chaque paquet et identifier si cet échange est validé par les règles. De plus, il vérifie que chaque paquet est bien la suite ou la réponse d’un autre.
Mais alors, quelles fonctionnalités un NGFW peut-il apporter ?
C’est quoi un NGFW ?
Les NGFW (Next Generation Firewall) sont la dernière génération de Firewall. En français, nous les appelons les pare-feu applicatifs.
Ils vérifient non seulement la complète conformité d’un paquet, mais aussi qu’il correspond bien au protocole attendu. Donc un paquet qui veut passer par le port TCP 80 devra utiliser le protocole HTTP. De même, ils permettent de faire une gestion de la qualité de service (QOS : Quality Of Service), du blocage d’URLs, de l’inspection de paquet en profondeur (DPI : Deep packet inspection), de l’inspection SSL/SSH ou encore de la détection de logiciels malveillants. Les options sont tellement nombreuses, que la configuration d’un tel dispositif peut devenir très complexe et nécessite l’intervention de spécialistes.
En somme, les NGFW ont la capacité de comprendre et prendre des décisions en analysant les détails du trafic. Cela à deux incidences majeures : premièrement un traitement gourmand en temps de calcul (en fonction du débit). Deuxièmement, un besoin de mises à jour régulières afin de pouvoir contrer les dernières menaces. D’ailleurs, Palo Alto Networks, un des leaders du NGFW et de la cybersécurité publie régulièrement des mises à jour de son logiciel PAN-OS. Nous avons fait un article à ce sujet que vous pouvez retrouver ici.
Dans l’état actuel des choses, les Firewall de première génération ont tendance à disparaître au profit des NGFW (Next Generation Firewall) bien qu’ils soient encore présents sur certains routeurs ou systèmes d’exploitations. Grâce à leurs systèmes de filtrage beaucoup plus avancé et leurs « compréhensions » du trafic, les NGFW agissent véritablement comme un premier mur de protection pour votre entreprise, avant même que les données arrivent sur votre réseau. Mais comme toujours en cybersécurité, ce n’est pas une solution miracle et elle n’est efficace que si la politique de sécurité de l’entreprise est clairement définie et en complément d’autres solutions, comme l’implémentation du trio gagnant de la protection mail.
Devensys Cybersecurity - The Blog 