Objectifs de certification

IINS 100-105

  • 1.1 Principes courants de sécurité

    • 1.1.a Décrire la confidentialité, l’intégrité, la disponibilité (CIA)
    • 1.1.b Décrire la technologie SIEM
    • 1.1.c Identifier les termes courants de sécurité
    • 1.1.d Identifier les zones courants de sécurité du réseau
  • 5.4 Mettre en œuvre un pare-feu basé sur une zone

    • 5.4.a Zone à zone
    • 5.4.b Self zone

Concepts Pare-feu Firewall

1. Introduction au concept de pare-feu

Un pare-feu (firewall) protège des tentatives de connexion directe venant d’un réseau comme Internet. Par contre, il laisse entrer le retour légitime du trafic initié d’une zone de confiance comme un LAN. Il tient compte de l’état des sessions de couche 4 établies (TCP, UDP, ICMP, etc.). On parle alors de pare-feu à état.

Symboles pare-feu firewall
Topologie pare-feu avec DMZ

Quelques éléments essentiels sont à retenir concernant les pare-feux

  • Dans un système d’information, les politiques de filtrage et de contrôle du trafic sont placées sur un matériel ou un logiciel intermédiaire communément appelé pare-feu (firewall).
  • Cet élément du réseau a pour fonction d’examiner et filtrer le trafic qui le traverse.
  • On peut le considérer comme une fonctionnalité d’un réseau sécurisé : la fonctionnalité pare-feu
  • L’idée qui prévaut à ce type de fonctionnalité est le contrôle des flux du réseau TCP/IP.
  • Le pare-feu limite le taux de paquets et de connexions actives. Il reconnaît les flux applicatifs.
  • Se placer au milieu du routage TCP/IP, il fait office de routeur
  • Il agit au minimum au niveau de la couche 4 (L4) mais il peut inspecter du trafic L7 (Web Application Firewall)
  • Il ne faut pas le confondre avec le routeur NAT

2. Objectifs d’un pare-feu

Il a pour objectifs de répondre aux menaces et attaques suivantes, de manière non-exhaustive :

  • Usurpation d’identité
  • La manipulation d’informations
  • Les attaques de déni de service (DoS/DDoS)
  • Les attaques par code malicieux
  • La fuite d’information
  • Les accès non-autorisé (en vue d’élévation de privilège)
  • Les attaques de reconnaissance, d’homme du milieu, l’exploitation de TCP/IP

3. Ce que le pare-feu ne fait pas

Le pare-feu est central dans une architecture sécurisée mais :

  • Il ne protège pas des menaces internes.
  • Il n’applique pas tout seul les politiques de sécurité et leur surveillance.
  • Il n’établit pas la connectivité par défaut.
  • Le filtrage peut intervenir à tous les niveaux TCP/IP de manière très fine.

4. Fonctionnement

  • Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent.
  • Généralement, les zones de confiance incluent l’Internet (une zone dont la confiance est nulle) et au moins un réseau interne (une zone dont la confiance est plus importante).
  • Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents niveaux de confiance, grâce à l’application de la politique de sécurité et d’un modèle de connexion basé sur le principe du moindre privilège.
  • Un pare-feu fait souvent office de routeur et permet ainsi d’isoler le réseau en plusieurs zones de sécurité appelées zones démilitarisées ou DMZ. Ces zones sont séparées suivant le niveau de confiance qu’on leur porte.

5. Zone de confiance sur un pare-feu

Un organisation du réseau en zones composées d’interfaces permet d’abstraire les règles de filtrages.

Zones de confiance

À titre d’exemple, les politiques de filtrage des applications pourrait être facilement mis en oeuvre quelque soit le protocole de transport IPv4 ou IPv6.

Aussi les politiques de sécurité appliquée sur les pare-feux sont alors plus lisibles, plus faciles à auditer et à gérer.

6. Niveau de confiance

  • Le niveau de confiance est la certitude que les utilisateurs vont respecter les politiques de sécurité de l’organisation.
  • Ces politiques de sécurité sont édictées dans un document écrit de manière générale. Ces recommandations touchent tous les éléments de sécurité de l’organisation et sont traduites particulièrement sur les pare-feu en différentes règles de filtrage.
  • On notera que le pare-feu n’examine que le trafic qui le traverse et ne protège en rien des attaques internes, notamment sur le LAN.

7. Politiques de filtrage

  • Selon les besoins, on placera les politiques de filtrage à différents endroits du réseau, au minimum sur chaque hôte contrôlé (pare-feu local) et en bordure du réseau administré sur le pare-feu. Ces emplacements peuvent être distribué dans la topologie selon sa complexité.
  • Pour éviter qu’il ne devienne un point unique de rupture, on s’efforcera d’assurer la redondance des pare-feu. On placera plusieurs pare-feu dans l’architecture du réseau à des fins de contrôle au plus proche d’une zone ou pour répartir la charge.

8. Filtrage

  • La configuration d’un pare-feu consiste la plupart du temps en un ensemble de règles qui déterminent une action de rejet ou d’autorisation du trafic qui passe les interfaces du pare-feu en fonction de certains critères tels que :
  • l’origine et la destination du trafic,
  • des informations d’un protocole de couche 3 (IPv4, IPv6, ARP, etc.),
  • des informations d’un protocole de couche 4 (ICMP, TCP, UDP, ESP, AH, etc.)
  • et/ou des informations d’un protocole applicatif (HTTP, SMTP, DNS, etc.).

9. Décision de filtrage

  • Les règles sont appliquées en fonction de la direction du trafic entrant ou sortant sur une interface, avant ou après le processus de routage des paquets. Cette dernière réalité diffère selon le logiciel ou le matériel choisi pour remplir ces tâches.
  • Ici l’exemple de la table filter de Netfilter :
filter table

10. Règles

  • Chaque règle est examinée selon son ordonnancement.
  • Si le trafic ne correspond pas à la première règle, la seconde règle est évaluée et ainsi de suite.
  • Lorsqu’il y a correspondance entre les critères de la règle et le trafic, l’action définie est exécutée et les règles suivantes ne sont pas examinées.
  • La terminologie des actions usuelles peuvent être accept, permit, deny, block, reject, drop, ou similaires.
  • En général, un ensemble de règles se termine par le refus de tout trafic, soit en dernier recours le refus du trafic qui traverse le pare-feu. Ce comportement habituellement défini par défaut ou de manière implicite refuse tout trafic pour lequel il n’y avait pas de correspondance dans les règles précédentes.

11. Politique de filtrage typique

On peut résumer des politiques de filtrage typique.

  • LAN > WAN
  • WAN X LAN
  • LAN > DMZ
  • DMZ X LAN
  • WAN X DMZ (sauf TCP80 par exemple)
  • DMZ > WAN

12. Marché des pare-feux

Définition du marché

The enterprise network firewall market represented by this Magic Quadrant is still composed primarily of purpose-built appliances for securing enterprise corporate networks. Products must be able to support single-enterprise firewall deployments and large and/or complex deployments, including branch offices, multitiered demilitarized zones (DMZs), traditional “big firewall” data center placements and, increasingly, the option to include virtual versions for the data center. Customers should also have the option to deploy versions within Amazon Web Services (AWS) and Microsoft Azure public cloud environments, and they should see the ability to support Google Cloud on the vendor roadmap within the next 12 months. These products are accompanied by highly scalable (and granular) management and reporting consoles, and there is a range of offerings to support the network edge, the data center, branch offices, and deployments within virtualized servers and the public cloud. All vendors in this market should support fine-grained application and user control. In effect, all vendors in the enterprise firewall market have what Gartner has called “next-generation firewalls (NGFWs)”; in essence, there is no longer a “next generation” in the firewall market.

Planning Stratégique

Virtualized versions of enterprise network firewalls will reach 10% of market revenue by year-end 2020, up from less than 5% today.

By year-end 2020, 25% of new firewalls sold will include integration with a cloud-based cloud access security broker (CASB), primarily connected through APIs.

By 2020, 50% of new enterprise firewalls deployed will be used for outbound TLS inspection, up from less than 10% today.

Magic Quadrant for Enterprise Network Firewalls 2017

Magic Quadrant for Enterprise Network Firewalls 2017

Source : Magic Quadrant for Enterprise Network Firewalls 2017

Magic Quadrant for Unified Threat Management (SMB Multifunction Firewalls) 2017

Gartner defines the unified threat management (UTM) market as multifunction network security products used by small or midsize businesses (SMBs). Typically, midsize businesses have 100 to 1,000 employees (see Note 1). UTM vendors continually add new functions on the UTM platforms, and therefore they encompass the feature set of many other network security solutions, including, but not limited to:

  • Enterprise firewall
  • Intrusion prevention systems (IPSs)
  • Remote access
  • Routing and WAN connectivity
  • Secure web gateway
  • Secure email gateway
Magic Quadrant for Unified Threat Management (SMB Multifunction Firewalls) 2017

Source : Magic Quadrant for Unified Threat Management (SMB Multifunction Firewalls) 2017

Laisser un commentaire