Firewall

Un firewall, qu'il soit logiciel ou matériel, est un composant essentiel de la sécurité informatique. Le rôle principal d'un firewall est de sécuriser un réseau informatique en contrôlant le trafic entrant et sortant. Son objectif est de protéger le réseau contre les menaces potentielles en autorisant ou en bloquant le flux de données en fonction de règles prédéfinies, et il examine les paquets de données à différents niveaux (du niveau réseau au niveau application).

Filtrage du trafic : Il examine le trafic réseau pour analyser les paquets de données et décide s'ils sont autorisés à passer ou s'ils doivent être bloqués en fonction de règles de sécurité prédéfinies. Les firewalls modernes peuvent inspecter les paquets jusqu'au niveau de l'application (Application Layer Inspection).

Contrôle d'accès : Il permet de définir des règles d'accès spécifiques pour les utilisateurs, les applications, les adresses IP, les ports, etc., afin de limiter l'accès non autorisé. Les règles de contrôle d'accès peuvent également être basées sur des plages d'adresses IP ou des segments de réseau.

Protection contre les menaces : Il protège le réseau contre les attaques malveillantes telles que les intrusions, les virus, les logiciels malveillants et les attaques par déni de service (DDoS). Par exemple, un firewall peut bloquer des scans de ports ou des tentatives d'accès non autorisées provenant de sources suspectes.

Surveillance du trafic : Il offre une visibilité sur le trafic réseau en temps réel, permettant aux administrateurs de détecter les comportements anormaux ou suspects. Des alertes peuvent être configurées pour signaler des anomalies dans le flux de données.

➡️ Critères couramment utilisés pour le filtrage dans un firewall

• Adresse IP source et/ou destination
• Port source et/ou destination
• Protocole (ex : TCP, UDP)
• Application ou service (ex : HTTP, FTP)
• Utilisateur ou groupe d'utilisateurs
• Contenu (filtrage par contenu ou type de fichier)
• Temps (heure et date)

Source image

➡️ On peut trouver des firewalls dans différentes zones du réseau.

Les firewalls peuvent être déployés dans différentes zones d'un réseau, en fonction des besoins de sécurité et de la topologie du réseau.

Pare-feu périmétrique

• Le pare-feu périmétrique, également connu sous le nom de firewall frontal, est généralement déployé à la frontière entre le réseau interne d'une organisation et Internet.
• Il agit comme une première ligne de défense en filtrant le trafic entrant et sortant de l'Internet.
• C'est l'endroit où la plupart des menaces extérieures sont détectées et bloquées, comme les attaques par force brute ou les tentatives d'exploitation de failles.

Pare-feu interne

• Les pare-feu internes sont positionnés à l'intérieur du réseau de l'organisation pour contrôler le trafic entre différentes zones internes, telles que les sous-réseaux ou les segments de réseau.
• Ils permettent de limiter la communication entre les différentes parties du réseau et de renforcer la sécurité à l'intérieur de l'entreprise. Par exemple, un pare-feu interne peut restreindre les communications entre les services sensibles et les zones moins sécurisées du réseau.

Source image

➡️ On définit puis on met en place des règles sur le firewall, selon les besoins et l'infrastructure.

Source image

Source image

➡️ On utilise généralement des firewalls hardware et software.

Source image

Firewall matériel (hardware)

• Les firewalls matériels sont généralement déployés à la frontière du réseau, entre le réseau interne et Internet, pour protéger l'ensemble du réseau.
• Ils offrent une protection robuste contre les menaces provenant d'Internet, telles que les attaques DDoS, les intrusions et les tentatives d'accès non autorisées.
• Les firewalls matériels sont conçus pour une haute disponibilité et peuvent être mis en cluster pour garantir la redondance en cas de panne.
• Ils sont capables de traiter efficacement de grandes quantités de trafic réseau, ce qui les rend adaptés aux environnements à forte demande.
• Ils peuvent être gérés de manière centralisée, ce qui facilite la configuration et la maintenance dans les grands réseaux.

Firewall logiciel (software)

• Les firewalls logiciels sont installés sur des ordinateurs ou des serveurs individuels et sont utilisés pour protéger ces systèmes spécifiques ou pour créer des zones de sécurité à l'intérieur du réseau.
• Ils offrent une plus grande flexibilité en permettant une personnalisation approfondie des règles de sécurité pour répondre aux besoins spécifiques.
• Certains firewalls logiciels sont capables de surveiller et de contrôler le trafic d'applications spécifiques, offrant ainsi une sécurité granulaire.
• Ils sont souvent plus abordables que les firewalls matériels et peuvent être utilisés dans des environnements de petite ou moyenne taille.

Firewalls de nouvelle génération (NGFW)

• Les firewalls de nouvelle génération (Next-Generation Firewalls, NGFW) ajoutent des fonctionnalités supplémentaires comme l'inspection approfondie des paquets (DPI), la détection et la prévention des intrusions (IDS/IPS), et la protection contre les menaces avancées (ATP).
• Ils offrent une protection plus sophistiquée contre les menaces modernes, en intégrant également des fonctionnalités de filtrage applicatif et de surveillance des contenus chiffrés (TLS/SSL inspection).

Exemples de firewalls (logiciels)

Windows Defender Firewall

macOS application firewall

macOS : Little Snitch

Linux : netfilter ⬅ nftables (nft) / ufw / Gufw

• netfilter : Système de filtrage de paquets intégré au noyau Linux.
• nftables : Framework pour configurer netfilter.
  • nft : Interface en ligne de commandes pour le framework nftables.

• ufw (Uncomplicated Firewall) : Interface simplifiée en ligne de commandes pour configurer netfilter.

• Gufw : Interface graphique pour ufw.