4 avril 2013

Firewalls : de la défense périmétrique à la défense en profondeur

Firewall

Les firewalls ou pare-feu sont un élément essentiel mais non suffisant de la protection du système d’information. Première barrière pour protéger le réseau des attaques externes, cet élément historique de la sécurité du SI a connu de nombreuses évolutions technologiques depuis les quinze dernières années. Ainsi le pare-feu qui était au départ une simple protection périmétrique, est devenu un élément parmi un ensemble plus vaste qu’on peut qualifier de défense en profondeur du système d’information.

 

Un bref historique

 

Au commencement étaient les routeurs filtrants, avec des routeurs réseaux qui permettaient d’effectuer un simple filtrage au niveau 3 du modèle OSI, c’est à dire au niveau IP, ainsi que partiellement au niveau 4 (connexions TCP) par le moyen de listes de contrôles d’accès (ACL).

Puis sont apparus des pare-feux plus évolués, qui gèrent l’ensemble des protocoles réseaux de niveau 3 et 4 (protocoles de routage, TCP, UDP).

Enfin une petite révolution fut l’avènement des statefull firewalls, c’est à dire des pare-feux gardant une table d’état des connexions TCP actives. Cela permit d’établir des règles de sécurité dynamiques, en rejetant les paquets qui ne correspondent pas à des connexions déjà établies.

 

Un élément incontournable de la sécurité périmétrique…

Aujourd’hui le pare feu est l’un des éléments essentiels de la sécurité réseau. Tous les principaux pare-feux du marché sont statefull, gèrent le niveau 3 et 4, et apportent ainsi un premier niveau de défense périmétrique. Un pare-feu permet :

  • De dissimuler la topologie du réseau et les services vulnérables.
  • De différencier le trafic entrant et sortant.
  • De délimiter des zones de confiance: réseau local, DMZ…
  • De constituer un point d’accès distant pour l’interconnexion des réseaux d’entreprise par les connexions VPN IPSEC.

Il est utile de rappeler que les règles de sécurité implémentées sur un pare feu doivent être le résultat d’une politique de sécurité, et non pas l’inverse ! Il est nécessaire au préalable d’effectuer une analyse de risque qui va conduire à déterminer la criticité des ressources, les menaces potentielles et le niveau de risque résiduel.

Dans la pratique, on voit souvent les règles de sécurité d’un pare-feu s’additionner dans le temps jusqu’à parfois devenir obsolètes. Il est donc important d’auditer ces règles régulièrement, par exemple tous les 6 mois, pour s’assurer qu’elles sont toujours en accord avec la politique de sécurité.

 

… Qui trouve ses limites avec l’avènement du WEB et le BYOD

Malgré le premier niveau de protection qu’il apporte, le pare-feu ne peut répondre à de nombreuses menaces qui sont apparues ces dernières années. Ainsi la généralisation de l’accès internet ouvre une brèche dans les politiques de filtrage : le port 80, toujours autorisé pour l’accès internet des postes de travail, et toujours relayé vers les serveurs web, est un point de passage privilégié pour les attaquants.

Un pare feu avec filtrage classique de niveau 3 et 4 ne peut contrer efficacement les attaques suivantes :

  • La contamination d’un poste de travail qui rencontre une faille XSS en surfant sur internet.
  • Les attaques de niveau applicatives vers les serveurs Web.
  • Les courriels avec des pièces jointes infectées ou pourriels, qui vont êtres relayés au moins jusqu’au serveur de mail interne.
  • La mobilité et le BYOD entrainent le risque de la connexion au réseau local d’un poste de travail ou terminal contaminé par un virus.
  • Le trafic chiffré avec SSL/TLS permet de faire passer du trafic malveillant sans possibilité de contrôle.

 

UTM ou l’empilement des services

La réponse des fabricants de pare-feu pour lutter contre ces menaces a été l’UTM : Unified Threat Management. Derrière ce terme marketing on trouve en fait la possibilité de filtrer les paquets jusqu’au niveau 7 (applicatif) du modèle OSI. En analysant le trafic à la volée, et en le comparant à des bases de signature ou des modèles heuristiques, UTM permet d’accumuler sur un unique point du réseau les services suivants :

  • Filtrage au niveau IP et transport
  • Filtrage applicatif avec analyse du trafic HTTP, FTP, VoIP, P2P…
  • IPS (Intrusion Prevention system) qui va détecter ou bloquer les attaques connues à partir d’une base de signature
  • Antivirus et Antispam
  • Filtrage des URLs

Ces fonctionnalités peuvent sembler intéressantes puisqu’elles proposent un service « tout en un ». Cependant il y a plusieurs inconvénients à utiliser tous les services d’UTM sur un firewall.

En premier lieu la performance réseau. Un firewall est un point d’entrée critique exposé à un trafic très important. Déchiffrer tous les flux peut poser des problèmes de performance.

Ensuite, cela pose un problème d’architecture sécurité. En effet cumuler toutes les fonctionnalités de sécurité sur un seul point du réseau constitue un Single Point of Failure (SPF). L’indisponibilité ou la compromission du pare-feu pourrait ainsi compromettre toute la sécurité du réseau.

 

La défense en profondeur appliquée aux systèmes d’information

La défense en profondeur est un concept emprunté aux militaires qui peut très bien s’appliquer à la sécurité du SI. Ce concept implique :

  • De cumuler plusieurs lignes de défense indépendantes : la compromission d’un niveau de défense ne doit pas entrainer la chute des autres ;
  • D’implémenter la sécurité du SI à tous les niveaux : réseau, système et applicatif ;
  • De définir des périmètres de sécurité homogènes et cohérents par la création de différents niveaux de DMZ ;
  • De prévoir des plans de secours et de reprise d’activité en cas de sinistre pour chaque équipement.

Ainsi il est typiquement recommandé d’avoir au moins 3 lignes de défense différentes. En matière de pare feux il est évidemment recommandé de ne pas faire reposer toute son architecture sur une seule marque ou un seul modèle.

Dans cette optique la réponse aux menaces énoncées plus haut ne réside pas dans l’implémentation d’un firewall « suréquipé » avec de l’UTM, mais plutôt dans la segmentation des réponses aux menaces.

On va donc trouver sur le réseau, différents types d’équipements en plus du firewall classique de niveau 3 et 4 :

  • IPS (Intrusion Prevention System) qui va détecter ou bloquer les attaques connues à partir d’une base de signature.
  • Proxy filtrant les URLs.
  • Pare-feu authentifiant pour gérer les accès à des zones particulières.
  • Services d’antivirus et d’antispam au niveau des serveurs de mail.
  • Web Application Firewall (WAF).

Ainsi un IPS pourra venir en complément du firewall dans une DMZ frontale pour analyser le trafic. Selon les cas, le trafic identifié comme malveillant pourra soit donner lieu à une alerte, soit être bloqué si l’IPS est configuré en « coupure ». Le filtrage d’URLs sera, lui aussi assuré par un proxy dédié.

Le cas de la mobilité en entreprise avec le BYOD pose un problème spécifique. En effet la sécurité d’un poste de travail mobile n’est plus maitrisée quand il sort du réseau de l’entreprise. Le poste peut donc potentiellement être infecté et constituer un « cheval de Troie » lors de sa reconnexion au réseau. Pour traiter ce cas l’entreprise peut tester la conformité du poste mobile avant qu’il ne se connecte au réseau : c’est le NAC (Network Access Control). Le NAC impose la connexion des équipements sur un VLAN spécifique, l’authentification par protocole 802.1x, et le diagnostic de l’état de l’équipement avec un agent spécifique. Il faut également penser au MDM (Mobile Device Management) pour la gestion de la flotte des téléphones mobiles. On peut voir à ce sujet l’article suivant : Le MDM et les risques du BYOD.

Enfin la réponse aux failles applicatives sur serveurs web a donné naissance à une nouvelle génération de firewalls applicatifs de niveau 7.

 

Les Web Applications Firewalls (WAF)

Un Web Application Firewall est un firewall qui va être dédié au filtrage des requêtes à destination d’un serveur Web. Il agit généralement en position de reverse-proxy, typiquement placé dans une DMZ publique, avec le serveur web placé lui dans une DMZ privée.

Le WAF va venir en rupture de protocole, pour gérer toutes les requêtes HTTP ou HTTPS, et servir de point de terminaison SSL. Le but du jeu est de reconnaître les requêtes malformées qui correspondent à des attaques, comme par exemple les injections SQL. Pour cela il existe deux types de modèles de sécurité implémentés sur un WAF :

  • La liste blanche: « tout ce qui n’est pas explicitement autorisé est interdit ». Ce modèle est le plus efficace, mais peut se révéler complexe à mettre en œuvre devant le nombre de requêtes possibles à destination d’un serveur Web. Il existe alors la possibilité de configurer le WAF en mode d’apprentissage pour déterminer les règles à implémenter.
  • La liste noire: tout ce qui n’est pas interdit est autorisé : dans ce cas on repose uniquement sur une base de modèles d’attaques qui doivent êtres détectées à la volée. On peut constater une différence concurrentielle entre les constructeurs, les meilleurs proposant les bases de signature d’attaques les plus complètes et efficaces.

La configuration des règles de sécurité est particulièrement importante pour d’une part éviter les faux positifs, et d’autre part éliminer le maximum de requêtes malformées.

Les WAFs, bien qu’étant des équipements relativement nouveaux, commencent à s’imposer en tant qu’élément de protection centralisé des serveurs applicatifs.

 

Conclusion

On voit que les pare feux qui ne proposaient au départ qu’un filtrage de niveau 3 et 4 sont devenus beaucoup plus complets et peuvent maintenant effectuer un filtrage à tous les niveaux du modèle OSI, et en particulier aux niveaux 6 et 7 pour permettre la terminaison SSL et l’analyse de protocoles.

Au delà du rôle classique de protection périmétrique et de terminaison VPN qui reste essentiel, on trouve maintenant toute une gamme d’équipements qui vont permettre d’implémenter les concepts de défense en profondeur.

 

Sources :

MISC N°64, dossier : « Firewall, grande muraille de Chine ou ligne Maginot ? »

MISC N°66 : « NAC, le Firewall 3.0 ? »

ANSSI : « La défense en profondeur appliquée aux systèmes d’information »

CLUSIF : « défense en profondeur des applications web »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *