Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Florian Malecki, Dell SonicWALL : Pare-feu nouvelle génération : sécuriser sans compromettre les performances

mars 2013 par Florian Malecki, Head of Product Marketing - EMEA, Dell SonicWALL

Trouver l’équilibre entre performances réseau et sécurité est un défi auquel sont souvent confrontés les responsables informatiques des grandes et des moyennes entreprises. Si la sécurité est une exigence vitale, elle ne doit pas se faire au détriment du débit et de la productivité. Un problème épineux auquel l’avènement des pare-feu nouvelle génération a apporté la solution.

Les pare-feu d’ancienne génération présentent aujourd’hui un réel risque pour la sécurité des entreprises. Leur technologie est obsolète dans la mesure où ils sont incapables d’inspecter la charge utile des données de paquets diffusés par les cybercriminels modernes.

De nombreux fournisseurs font l’éloge des débits du filtrage dynamique uniquement, mais la vraie mesure de la sécurité et des performances se reflète dans le débit et l’efficacité du filtrage applicatif. Pour remédier à cette lacune, beaucoup de fournisseurs de pare-feu ont adopté la méthode d’analyse utilisée par les solutions d’antivirus de bureau classiques : placer les fichiers téléchargés dans la mémoire tampon puis les analyser à la recherche de malwares. L’inconvénient de cette méthode est qu’elle se traduit non seulement par une latence élevée, mais comporte également des risques importants puisque la capacité de la mémoire temporaire peut limiter la taille des fichiers.

Définir les pare-feu nouvelle génération

Essentiellement, un pare-feu nouvelle génération applique la technologie de filtrage applicatif (DPI) en intégrant des systèmes de prévention des intrusions (IPS) ainsi que l’intelligence et le contrôle applicatifs pour visualiser le contenu des données acheminées et traitées.

Le groupe Gartner définit un pare-feu nouvelle génération comme « une plate-forme réseau intégrée, sans impact sur le débit, qui analyse le trafic en profondeur et bloque les attaques. » Gartner précise par ailleurs qu’un pare-feu nouvelle génération devrait fournir au minimum :

• une configuration bump-in-the-wire linéaire transparente ;
• les fonctionnalités standard des pare-feu de première génération, par ex. traduction d’adresses réseau (NAT), filtrage dynamique, réseau privé virtuel (VPN), etc. ;
• un moteur IPS intégré à base de signatures ;
• l’identification des applications, la visibilité totale de la pile et un contrôle granulaire ;
• la possibilité d’incorporer des informations extérieures au pare-feu, par ex. des règles basées sur un annuaire, des listes noires, des listes blanches, etc. ;
• la possibilité d’une mise à niveau pour inclure de futures sources d’informations et menaces ;
• le déchiffrement SSL pour identifier les applications chiffrées indésirables.

L’évolution des pare-feu nouvelle génération

La génération des pare-feu à filtrage dynamique abordait la sécurité dans un monde où les malwares n’étaient pas un problème majeur et où les pages Web étaient simplement destinées à être lues. Les ports, adresses IP et protocoles étaient les facteurs clés à gérer. Mais avec l’évolution d’Internet, la possibilité d’offrir du contenu dynamique depuis le serveur et les navigateurs clients a donné naissance à une myriade d’applications regroupées sous l’appellation Web 2.0.

Les applications modernes (Salesforce.com, SharePoint, Farmville...) fonctionnent désormais toutes sur le port TCP 80 ainsi qu’en chiffrement SSL (port TCP 443). Un pare-feu nouvelle génération filtre la charge utile des paquets et recherche instantanément les signatures correspondant à des activités pernicieuses (vulnérabilités connues, exploits, virus et malwares). Le DPI permet également aux administrateurs de créer des règles très précises d’autorisation et de refus pour contrôler des applications et des sites Web particuliers. Etant donné que le contenu des paquets est filtré, il est aussi possible d’exporter toutes sortes d’informations statistiques. Par conséquent, les administrateurs peuvent désormais facilement tirer parti des analyses de trafic pour planifier les capacités, résoudre les problèmes ou surveiller ce que fait chaque employé tout au long de la journée. Les pare-feu actuels opèrent au niveau des couches 2, 3, 4, 5, 6 et 7 du modèle OSI.

Les besoins de l’entreprise

Les entreprises sont confrontées à un chaos d’applications. Les communications par réseau ne se basent plus simplement sur des applications de stockage/retransmission comme les e-mails, mais se sont développées pour englober des outils de collaboration en temps réel ainsi que des applications Web 2.0, de messagerie instantanée (IM), poste à poste, VoIP, de diffusion multimédia ou encore de téléconférence, soit autant de voies de passage pour des attaques potentielles. De nombreuses entreprises ne peuvent pas faire la différence entre les applications utilisées sur leurs réseaux à des fins commerciales légitimes et celles qui ne sont pas essentielles et ne font qu’entraver la bande passante, voire présentent un danger.

De nos jours, les services informatiques doivent fournir des solutions professionnelles indispensables tout en gérant l’utilisation improductive, et souvent dangereuse (du point de vue de la sécurité), d’applications Web par les employés. En termes de bande passante, la priorité doit être accordée aux applications vitales, tandis que les médias sociaux et autres jeux en ligne doivent pouvoir être limités, voire totalement bloqués. De plus, les entreprises s’exposent à des amendes, des pénalités et des pertes commerciales en cas de non-respect des normes et de la réglementation en matière de sécurité.

Dans les entreprises aujourd’hui, la protection et les performances vont de pair. Elles ne peuvent plus tolérer la sécurité lacunaire fournie par les anciens pare-feu à filtrage dynamique, pas plus que les encombrements du réseau associés à certains pare-feu nouvelle génération. Toute lenteur au niveau des performances du pare-feu ou du réseau peut nuire à la qualité des applications collaboratives et sensibles aux délais avec des répercussions délétères sur les niveaux de service et la productivité. Pire encore : certains services informatiques désactivent même des fonctionnalités de leurs solutions de sécurité réseau pour éviter un ralentissement des performances.

Les structures grandes et petites, dans le secteur public comme dans le secteur privé, sont exposées à de nouvelles menaces dues aux vulnérabilités des applications couramment utilisées. C’est le vilain petit secret du joli monde des réseaux sociaux et de l’interconnexion : ils font le lit des malwares et les cybercriminels sont postés dans tous les coins à l’affût de leurs victimes qui ne se doutent de rien. Parallèlement, les employés utilisent les ordinateurs du bureau et de leur domicile pour les blogs, le réseautage, les messageries, les vidéos, la musique, les jeux, les achats et les e-mails. Les applications telles que la diffusion vidéo, le poste à poste (P2P) et les applications hébergées ou sur le cloud exposent les entreprises à d’éventuelles infiltrations, pertes de données et indisponibilités. En plus d’introduire des menaces, ces applications minent la productivité et détournent la précieuse bande passante réseau des applications vitales. Et surtout, les entreprises ont besoin d’outils pour garantir de la bande passante aux applications essentielles. Elles requièrent une intelligence et un contrôle applicatifs pour protéger le trafic entrant et sortant, tout en assurant la rapidité et la sécurité indispensables à un environnement de travail productif.

Les avantages des pare-feu nouvelle génération

Les pare-feu nouvelle génération assurent l’intelligence et le contrôle applicatifs, la prévention des intrusions, la protection anti-malware et le filtrage SSL à des vitesses multi-gigabits. De plus, leur évolutivité leur permet de s’adapter aux réseaux les plus performants.

Les pare-feu nouvelle génération les plus robustes permettent aux administrateurs de contrôler et de gérer à la fois les applications professionnelles et non professionnelles afin de garantir la productivité du réseau et des utilisateurs, et ils sont capables d’analyser des fichiers de taille illimitée à travers n’importe quel port, sans dégrader la sécurité ni les performances. Le nombre de fichiers simultanés ou de flux de réseau ne constitue pas de limitation non plus. Ainsi, les fichiers infectés n’ont aucune chance de passer inaperçus même lorsque le pare-feu est fortement sollicité. De plus, les pare-feu nouvelle génération peuvent appliquer toutes les technologies de sécurité et de contrôle applicatif au trafic chiffré en SSL pour que ce dernier ne devienne pas un nouveau vecteur de malwares sur le réseau.

Les administrateurs informatiques sur le point de choisir un pare-feu à filtrage applicatif doivent savoir qu’il existe différentes approches en termes d’architectures de processeurs dans le monde des pare-feu nouvelle génération. Certains ont opté pour des processeurs généralistes associés à des coprocesseurs de sécurité séparés. D’autres ont choisi de concevoir et de fabriquer des plates-formes ASIC (Application-Specific Integrated Circuits). Chez Dell SonicWALL, nous avons implémenté une architecture multiprocesseur pour permettre à nos solutions d’accélérer le traitement du trafic réseau. L’essentiel pour les administrateurs informatiques est de s’assurer que la solution de pare-feu nouvelle génération qu’ils choisissent est entièrement compatible avec les exigences futures de leur réseau, qu’elle fournit les meilleures performances, les services d’analyse et de visibilité du réseau les plus utiles, et qu’elle est facile à implémenter et à administrer.


« Defining the Next-Generation Firewall », Gartner RAS Core Research Note G00171540, John Pescatore, Greg Young, 12 octobre 2009, R3210 04102010


Voir les articles précédents

    

Voir les articles suivants