Passer au contenu

Le type de coupe-feu définit le niveau de sécurité

Aujourd’hui, on distingue sur le marché trois technologies principales de coupe-feu : l’analyse de paquets dynamique, le Stateful Inspection, de Check Point, et les proxies. Chacune a ses avantages et ses inconvénients. Certains choix étant complémentaires, il est indispensable de bien saisir les subtilités de chaque technologie.

Selon la dernière étude américaine conjointe du CSI (Computer Security Institute) et du FBI, 96 % des entreprises qui disposent d’un coupe-feu ne sont pas pour autant protégées contre les intrusions des pirates sur leur réseau. Est-ce à dire que les coupe-feu sont devenus inutiles ? Non, bien sûr. Les auteurs du best-seller Halte aux hackers (éditions Eyrolles) estiment “qu’un coupe-feu bien configuré peut se révéler incroyablement difficile à percer”.Rappelons la définition d’un coupe-feu (nous exclurons ici les outils personnels) : “C’est un composant ou un ensemble de composants restreignant l’accès entre un réseau internet ou d’autres ensembles de réseaux [source : La sécurité sur internet : Firewalls, de Chapman et Zwicky, éditions O’Reilly]. On le retrouve dans les routeurs, les commutateurs, les systèmes d’exploitation ou à travers des logiciels dédiés, insérés ou non dans des boîtiers – la grande tendance de ces dernières années. Que l’on mette en ?”uvre un ou plusieurs coupe-feu, un quasi-gratuit ou de multiples à plusieurs dizaines de milliers d’euros l’unité, il convient, au préalable, de bien appréhender la technologie employée pour anticiper ce que le coupe-feu pourra analyser – et, surtout, ne pas analyser.Les principales architectures de coupe-feu qui sont présentes sur le marché sont les suivantes : le filtrage dynamique de paquets, appelé aussi stateful, les proxies et la technologie Stateful Inspection, inventée par Check Point Software – qui a séduit beaucoup d’autres acteurs, qui opèrent alors en “Stateful Inspection like” avec, à la clé, certains avantages ou inconvénients par rapport à la technologie propre à Check Point.Le filtrage dynamique de paquets, qui diffère grandement de la technologie promue par Check Point, tient compte de l’état des sessions (d’où son nom, stateful). La charge utile du paquet IP examiné n’est cependant pas prise en compte. On retrouve ce type de technologie dans le noyau 2.4 de Linux, ou encore, avec des améliorations, dans eTrust Firewall, de Computer Associates. eTrust Firewall se distingue par une bonne administration, et peut être complété par eTrust Content Inspection, pour analyser la charge utile, par exemple.Avec les pare-feu proxies, appelés également mandataires d’application, on passe à la couche applicative du modèle OSI. Ils fonctionnent en cassant le modèle client-serveur de la communication, interdisant, ainsi, une connexion directe du client au serveur. La charge utile est par la suite analysée. Même s’il existe des proxies génériques, ce type de coupe-feu adopte un proxy par protocole (HTTP, FTP, DNS, SMTP, H.323, Telnet…). Comme la communication TCP-IP est “cassée” pour être ensuite reconstruite, et que les opérations se passent au niveau applicatif, un proxy est forcément plus lent qu’un filtrage de paquets classique ou que la technologie Stateful Inspection.

Les proxies, un très haut niveau de sécurité

Toutefois, des progrès ont été réalisés dans ce domaine grâce à la prise en compte de l’architecture SMP (traitement symétrique multiprocesseur) des matériels et grâce à une gestion multithread. Il en découle une granularité plus grande ; on peut également vérifier la taille des adresses URL, ou encore, filtrer des caractères pour se protéger contre certaines attaques de type Buffer Overflow (saturation des mémoires tampons). Certains experts considèrent que les proxies offrent le plus haut de niveau de sécurité. La fameuse agence fédérale américaine NSA (National Security Agency) ne retient que des coupe-feu de type proxy pour surveiller les points stratégiques de ses propres réseaux. Secure Computing, CyberGuard, Symantec et WatchGuard proposent ce type de coupe-feu.

Des technologies à mélanger

Quant à Check Point Software, il est l’inventeur de la technologie Stateful Inspection. En théorie, celle-ci vise à offrir la vitesse du filtrage de paquets (niveau 3) avec la qualité de l’analyse applicative des proxies (niveau 7), sans casser le modèle client-serveur de la communication. Le problème est que, historiquement, entre les analyses énoncées par l’éditeur (au niveau 7 ou non) et la réalité, il y a eu plus qu’un simple écart. Il suffit, pour s’en convaincre, de lire les études sur FireWall-1 4.1 (jusqu’à SP-2), de Lance Spitzner, expert mondialement reconnu en sécurité, ou encore, les travaux de Dug Song, de l’université du Michigan, associé à Thomas Lopatic et John McDonald.Depuis, Check Point a amélioré, en grande partie, la situation avec son architecture Next Generation ; mais celle-ci nécessite, pour certaines analyses au niveau applicatif, un appel à Security Server. Cela évoque des proxies même si “ce n’est pas le cas, sur le plan de l’architecture”, explique Thierry Karsenti, directeur technique pour l’Europe du Sud, de Check Point Software. L’analyse des paquets IP est en mode espace utilisateur et non en espace noyau, ce qui a évidemment un impact sur les performances. Thierry Karsenti cite quelques exemples : “Vérifier la nature du flux HTTP, ainsi que bloquer des URL spécifiques, peut être effectué en mode noyau. Le filtrage d’un code Java ou la redirection des flux vers un serveur tiers (type passerelle antivirus) fait appel au Security Server en mode User space.”Beaucoup de solutions du marché s’appuient sur une technologie de type Stateful Inspection, à l’instar de Netscreen, Microsoft ISA Server, SonicWALL, ou encore, Cisco avec PIX. Toutefois, des différences existent avec le concept originel de Check Point Software. PIX met en ?”uvre une analyse de contenu pour une douzaine de protocoles sans pour autant offrir une personnalisation de la configuration. Il sera ainsi impossible d’interdire ou d’autoriser un GET ou un POST HTTP. Le discours de Pascal Delprat, consultant en sécurité chez Cisco est, à ce sujet, très clair : “Si une analyse de contenu plus poussée est nécessaire, nous conseillons de prendre, en sus, des solutions de partenaires, comme WebSense ou Finjan.” Notons enfin que certains éditeurs de coupe-feu mêlent les grandes technologies précédemment passées en revue. Ainsi, Netscreen utilise des proxies sélectifs pour faire face aux dénis de service, mais s’appuie également sur une technologie de type Stateful Inspection avec une analyse au niveau applicatif plutôt complète. En conclusion, il ne faudra pas hésiter à mélanger les technologies de coupe-feu en fonction des besoins de sécurité de l’entreprise.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager