mer, 04/09/2013 - 12:42
Un firewall est un outil qui a pour but de sécuriser au maximum le réseau local de l’entreprise, de détecter les tentatives d’intrusion et d’y parer le mieux possible. Il offre un contrôle sur le trafic et permet d’analyser, de sécuriser et de gérer le trafic réseau. Par Frédéric Braibant, Consultant Sécurité, Nomios.
Les environnements informatiques évoluent à un rythme très soutenu. Il en est de même pour les attaques qui se perfectionnent et deviennent de plus en plus complexes. Dans le but de proposer une protection efficace, les firewalls dit de « Next Generation » réalisent désormais le contrôle des applications qui s’ajoutent ainsi aux fonctionnalités de contrôle d’accès offertes par les firewalls traditionnels.
L’intégration de ces derniers est-elle plus complexe ? La réponse se trouve tout simplement être le principal concept du Firewall de « Next Generation », l’écriture de politiques de sécurité basées sur des applications et plus uniquement sur des ports TCP/UDP. Bien évidemment, il est techniquement possible d’effectuer un déploiement dit « statefull » c’est-à-dire en utilisant les (seuls) critères d’adressage et de ports mais cela n’a pas sens.
Cette technologie d’inspection date d’une quinzaine d’années. A cette époque, de part le faible nombre d’applications, il était aisé d’associer (de manière arbitraire) un port TCP/UDP à une application. Aujourd’hui, la multitude d’applications orientées web, la montée en force du Software As a Service font que ce modèle est dépassé et présente un risque important pour les entreprises.
Un firewall de « Next Generation » permet donc de mettre en place une politique de contrôle basé sur un « Default Deny » au niveau de l’application et non plus au niveau des ports TCP/UDP. De ce fait, il est alors possible d’appliquer pleinement la politique de filtrage positionnée dans une PSSI (Politique de Sécurité du Système d’Information) mais surtout de l’enrichir avec les nouvelles capacités disponibles. Non seulement, il est possible de dire que le flux port 25 est bien du flux SMTP mais on peut aller au-delà en indiquant, par exemple, que seule l’équipe commerciale peut accéder à l’application Salesforce. Il y a donc généralement un travail d’écriture de la politique de flux (ou de réécriture si elle est présente) à réaliser en amont de l’intégration à proprement parlé.
La migration d’un firewall traditionnel vers un firewall Next Generation est généralement l’occasion d’épurer la politique et de la durcir en supprimant les règles trop permissives et les règles inutiles qui se sont accumulées au fil des années en créant une politique exploitable basée sur les applications. Il est tout à fait possible de travailler en amont de la migration. L’autre approche consiste à migrer à isopérimètre et ensuite de s’appuyer, post migration, sur la détection applicative pour durcir et épurer la politique de sécurité.
Lors de l’intégration ou de la migration vers un firewall de « Next Generation », il est nécessaire et impératif d’effectuer un travail de définition ou de révision de la politique de filtrage pour être en mesure d’utiliser pleinement les capacités de filtrage applicatives de la solution.
Frédéric Braibant, Consultant Sécurité, Nomios
A propos de l'auteur