Qu'est-ce que

Pare-feu

?

Histoire des pare-feux

La Digital Equipment Corporation a développé le premier pare-feu en 1988. Il s'agissait d'un simple pare-feu à filtre de paquets. Les pare-feux à filtre de paquets inspectent les paquets de données lors de leur passage entre la source et la destination. Si un paquet correspond à une règle de sécurité, le pare-feu le supprime et envoie une réponse d'erreur à la source.

Au début des années 90, Bell Labs a inventé la deuxième génération de pare-feux. Ces pare-feux utilisaient des filtres dynamiques et étaient également appelés passerelles au niveau des circuits. Ils fonctionnaient de la même manière que le pare-feu de première génération, mais il s'agissait d'une version améliorée. Les pare-feux dotés d'un filtrage dynamique mémorisent les informations relatives aux paquets précédents et utilisent le contexte pour plus de sécurité.

La troisième génération de trafic Internet filtré par pare-feu a été utilisée dans la couche applicative. La première version a été publiée en 1993 et s'appelait Firewall Toolkit (FWTK). Ces pare-feux étaient conviviaux pour la première fois, permettant même à des personnes non techniques de définir des règles de pare-feu. Ils comprenaient également les applications et les protocoles et pouvaient prévenir les menaces que le filtrage de paquets laissait passer, tout comme les données malveillantes ciblées par des applications provenant d'une source fiable.

Depuis, de nombreuses avancées ont été réalisées en matière de technologie de pare-feu. La plupart des pare-feux utilisent toujours l'analyse de la couche applicative, mais les techniques utilisées pour l'analyse se sont améliorées. Examinons ensuite les types courants de pare-feux modernes.

Types de pare-feux

L'objectif de chaque pare-feu est de protéger un réseau contre le trafic malveillant, mais les pare-feux peuvent y parvenir de différentes manières, avec des niveaux d'efficacité variables. Le type de menaces auquel un réseau est exposé a évolué et s'est multiplié au fil des ans et la technologie des pare-feux a évolué pour suivre le rythme.

Filtrage des paquets

Le premier pare-feu utilisait le filtrage des paquets. Les pare-feux à filtre de paquets inspectent les paquets de données à l'aide d'une liste de contrôle d'accès pour déterminer quels paquets seront inspectés et quelles actions seront effectuées lorsqu'un paquet correspond à une règle. Les pare-feux peuvent filtrer les paquets par adresse IP source et de destination, protocole et port source et destination. Ils se répartissent en deux catégories : les apatrides et les apatrides. Les filtres de paquets sans état n'utilisent aucun historique ni aucun contexte pour déterminer si un paquet peut être malveillant alors qu'un filtre avec état le fait.

Pare-feu proxy

Les pare-feux proxy sont des pare-feux au niveau de l'application. Ils jouent le rôle d'intermédiaire entre les systèmes d'envoi et de réception. Les demandes sont envoyées au pare-feu qui détermine s'il autorisera ou non le trafic à passer. Les pare-feux proxy sont souvent utilisés pour le trafic HTTP et FTP et utilisent une inspection approfondie et dynamique des paquets pour détecter le trafic malveillant.

Pare-feu de traduction d'adresses réseau (NAT)

Un pare-feu NAT préserve la confidentialité des adresses IP des appareils du réseau interne en permettant à tous les appareils du réseau de se connecter à Internet à l'aide d'une seule adresse IP. Cela empêche les attaquants de scanner le réseau et d'obtenir des informations sur des appareils spécifiques qu'ils peuvent utiliser pour une attaque plus ciblée. Les pare-feux NAT servent également d'intermédiaire entre les deux systèmes finaux, de la même manière que les pare-feux proxy.

Pare-feu à inspection multicouche dynamique (SMLI)

Les pare-feux SMLI filtrent les paquets au niveau des couches réseau, transport et application et comparent les paquets entrants aux paquets fiables connus. Les pare-feux SMLI filtrent l'intégralité des paquets à chaque couche et n'autorisent que les paquets qui passent par chaque filtre. Étant dynamiques, ils filtrent également les paquets en fonction du contexte et s'assurent également que les sources et les destinations sont fiables.

Pare-feu de nouvelle génération (NGFW)

Les pare-feux de nouvelle génération ont amélioré la technologie de pare-feu en ajoutant des technologies de sécurité supplémentaires aux fonctionnalités de pare-feu traditionnelles. Parmi les fonctionnalités que vous trouverez dans ces pare-feux, citons l'analyse antivirus, l'inspection des données cryptées, la détection des applications, les informations sur les menaces fournies par le cloud et la prévention intégrée des intrusions. Ils utilisent également l'inspection approfondie des paquets (DPI) pour examiner les données contenues dans le paquet lui-même et pas seulement les en-têtes comme les pare-feux traditionnels.

Les pare-feux ne suffisent pas

Les pare-feux défendent le périmètre de votre entreprise et protègent votre réseau contre les attaques externes, mais la plupart des plus importantes violations de données dans l'histoire, cela ne s'est pas produit à la suite d'attaques extérieures. Ces violations provenaient d'attaques internes telles que des escroqueries par hameçonnage. Un pare-feu ne peut pas empêcher quelqu'un de télécharger une pièce jointe à un e-mail.

Les pare-feux ne filtrent pas le trafic interne. Ainsi, une fois qu'un attaquant pénètre dans votre réseau, il est libre de se déplacer. Les attaques par rançongiciel sont efficaces grâce à cette liberté et ne peuvent pas arrêter toutes les applications d'un réseau.

La solution à ce problème est Segmentation Zero Trust, y compris microsegmentation, qui peut protéger un réseau jusqu'au niveau de charge de travail en définissant des politiques de sécurité pour des segments d'application spécifiques. Cela signifie que les attaquants qui peuvent accéder à une machine du réseau n'auront accès à aucune autre ressource, empêchant ainsi le mouvement latéral des menaces. La microsegmentation peut non seulement pallier les défauts des pare-feux, mais lorsqu'elle est mise en œuvre à l'échelle du réseau, elle peut éliminer complètement le besoin d'un pare-feu.

Conclusion

Le pare-feu a été inventé à la fin des années 80 pour protéger les réseaux du trafic malveillant en surveillant le trafic entrant et sortant. Ils ont évolué au fil des ans pour faire face à des attaques de plus en plus sophistiquées et ont joué un rôle essentiel dans sécurité du réseau. Mais les attaquants modernes ont trouvé des moyens de contourner les pare-feux de défense périmétriques et ont commis d'importantes violations de données à l'intérieur de ce périmètre. Les entreprises ont besoin d'une sécurité réseau plus avancée, telle que la microsegmentation, pour empêcher les attaques au niveau des machines virtuelles, des appareils et des ressources.

En savoir plus

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Ready to learn more about Zero Trust Segmentation?