Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

lundi 5 décembre 2016

Sécurisation au niveau réseau (1): firewall

La sécurisation des systèmes informatiques d'une entreprise ou d'une administration commence avec la sécurisation au niveau réseau. Le firewall est à ce sujet un outil indispensable
Twitter Facebook Delicious
Mis à jour le 24/01/2005 | Imprimer | Envoyer

Définition

Le rôle du firewall est d'assurer un périmètre de protection entre le réseau interne à l'entreprise et le monde extérieur. Basé sur des technologies d'analyse des paquets à l'entrée du périmètre protégé, le firewall permet ou interdit l'accès de et vers ce périmètre.

Composé d'équipements matériels et/ou logiciels, le firewall va réaliser les tâches suivantes:

  • bloquer l'accès à des services non autorisés,
  • interdire l'accès à des systèmes,
  • protéger contre les attaques de type DoS (Deni de service),
  • etc.

Les firewalls peuvent intégrer des techniques de détection d'intrusions et peuvent envoyer des alertes afin de prévenir les équipes de surveillance technique. Ces équipements prennent en compte un ensemble de règles qui doivent être définies en fonction des besoins d'une entreprise ou d'une administration.

Les meilleurs firewalls incluent des modules pour:

  • le scan antivirus,
  • les proxies de messagerie instantanée,
  • les protections spécifiques pour le serveur de nom de domaine (DNS), le serveur sortant de courrier (SMTP) et les transferts de fichier (FTP),
  • décrypter des sessions SSL afin de pouvoir réaliser une inspection et un filtrage de contenu avant de rétablir la session SSL (cette fonctionalité est assurée seulement par quelques nouveaux produits).

Architecture simple

Firewall: architecture simple

Architectures complexes

Une architecture plus complexe délimite une zone DMZ et une zone LAN interne contenant le backoffice et utilisant un seul firewall.

Firewall: architecture complexe

Si la sécurisation est très importante, l'environnement LAN interne doit être sécurisé au maximum. On choisira une architecture basée sur 2 firewalls.

Firewall: architecture complexe avec 2 firewalls

Cette dernière architecture est notamment conseillée pour l'intégration d'applications: le serveur Web est placé dans la zone DMZ et les serveurs bases de données sont placés dans la zone LAN.

Architecture DMZ trois tiers

Une autre architecture de qualité est obtenue en applicant le principe de DMZ trois tiers (trois couches). Celles-ci isolent trois périmètres distincts.

Firewall: architecture DMZ trois tiers

Une variante de cette architecture consiste à créer une sécurisation forte en isolant plusieurs périmètres internes protégés par firewalls:

Firewall: sécurisation forte avec périmètres internes

La cas particulier des ordinateurs portables et des équipements mobiles

La sécurisation des ordinateurs portables qui se connectent à un réseau à partir de n'importe quel endroit (gare, aéroport, avion, café, hôtel, centre de conférence, etc.) constitue un problème bien spécifique. Cette sécurisation doit faire l'objet d'une attention particulière pour plusieurs raisons:

  • les utilisateurs prennent rarement la précaution de protéger ces terminaux par un mot de passe,
  • si le mot de passe existe, il est souvent facile à deviner,
  • l'utilisateur courant dispose le plus souvent des droits d'administrateur,
  • les ordinateurs portables sont l'une des cibles préférées des voleurs,
  • on y trouve souvent des informations confidentielles de l'entreprise ou de l'administration. Ces ordinateurs sont souvent la cible de professionnels qui ont intérêt à voler ces informations (physiquement ou virtuellement) pour agir contre l'organisation concernée ou rendre publique ces informations confidentielles.
  • etc.

Ces ordinateurs doivent être munis de firewalls personnels afin de les protéger. Contre les vols physiques, la vigilance et les règles de sécurité classiques sont évidemment d'application.

Le marché des Firewalls

Il existe sur le marché une série de bons produits. Le choix d'un produit plutôt qu'un autre est toujours lié aux budgets et au degré de protection souhaité. Parmi les sociétés fournissant ce type de produits, on relèvera notamment:

  • Juniper Networks Lien externe
    http://www.juniper.net
  • WatchGuard Lien externe
    http://www.watchguard.com
  • CyberGuard Lien externe
    Solutions to address your security concerns and needs be it for the interest of the general public, the business premises or the individual homes
    http://www.cyberguard.com.my
  • Symantec Lien externe
    Société spécialisée dans la sécurité informatique. Elle produit notamment le célèbre programme anti-virus "Norton"
    http://www.symantec.com
  • SonicWALL Lien externe
    http://www.sonicwall.com
  • Cisco Belgium Lien externe
    Cisco is the worldwide leader in networking that transforms how people connect, communicate and collaborate
    http://www.cisco.com/web/BE
  • Zone Labs Lien externe
    http://www.zonelabs.com
  • Sygate Lien externe
    http://www.sygate.com

Il existe également des produits Open Source, tels que:

Portail de la Région wallonne