Maintenant que vous savez ce qu’est un firewall et comment l’on définit une politique de sécurité, voyons de quelles façons vous pouvez positionner votre firewall. On parle en fait d’architecture, car il n’y a pas qu’une seule façon de faire et chaque architecture répond à un besoin précis, que nous allons voir dans ce chapitre.
Allez, c’est parti.
Appliquez la bonne architecture en fonction de vos besoins
Comme pour les politiques de sécurité, il n’existe pas une architecture parfaite vous permettant de sécuriser n’importe quelle entreprise. En effet, vous devrez adapter votre architecture aux besoins de votre entreprise ou celle de votre client.
Il faudra, pour cela, prendre en compte :
Son matériel : a-t-il des serveurs ?
Ses besoins : ses serveurs sont-ils accessibles depuis Internet ?
Le degré de confidentialité de ses données : possède-t-il les données personnelles de ses clients ?
Le risque : est-ce une entreprise à risque (qu’un pirate voudrait plus particulièrement attaquer qu’un autre) ?
Le besoin de contrôle : quel contrôle votre client veut-il avoir sur ce qui se passe sur son réseau ?
Vous allez découvrir tout de suite qu’il existe de nombreuses architectures vous permettant de répondre aux besoins de votre client.
L’architecture simple (couche réseau et transport)
C’est l’architecture que vous avez déjà pu voir lors du premier chapitre.
Le firewall est simplement positionné entre le LAN et le WAN.
C’est l’architecture la plus connue et la plus utilisée :
On filtre au niveau des adresses IP (couche 3) et des ports TCP/UDP (couche 4).
On autorise les règles définies dans la politique de sécurité.
Cette solution est peu coûteuse, un hardware peu puissant combiné à un firewall open source est suffisant.
Il faut que l’administrateur cloud et infrastructure ait une bonne connaissance des règles à appliquer.
Elle ne permet pas de filtrage sur les services tels que HTTP ou FTP (il est impossible d'empêcher du peer-to-peer par exemple).
Je vous conseille d’utiliser cette architecture lorsque le client ne possède pas de serveur interne ouvert sur l’extérieur.
L’architecture proxy (couche application)
Il s’agit en fait, de la même architecture mais on ajoute un filtre, au niveau de la couche applicative. On va donc pouvoir filtrer des protocoles tel que HTTP et non pas le port HTTP (80, 443). Ceci va par exemple vous permettre d'empêcher l’utilisation du peer-to-peer.
Au fait, c’est quoi un proxy ?
Grâce à cette architecture, vous contrôlez donc l’utilisation complète du réseau (application, bande passante) par utilisateur.
Pour résumer cette architecture :
Filtre la couche applicative et donc les protocoles HTTP et autre.
Contrôle le réseau par utilisateur et donc permet de garder un historique.
Permet de faire circuler le trafic HTTP et FTP via le proxy, en cas d’attaque, l’attaque se ferait sur le proxy et non sur le poste utilisateur.
Permet de voir les attaques potentielles (IDS que nous verrons plus tard dans ce cours).
Est très coûteux, plus vous avez d’utilisateurs et plus votre connexion Internet est puissante, plus vous devrez avoir un firewall puissant. Il faudra dans ce cas un investissement beaucoup plus conséquent que pour firewall de couches 3 et 4. Je me suis déjà retrouvé à configurer cette architecture avec le matériel existant d’un client, le firewall n’étant pas assez puissant nous n’avons pas eu d’autres choix que de revenir en arrière et d’acheter un nouveau routeur. L’ordre de prix peut passer de 1 à 10.
Enfin, notez qu’il est tout à fait possible de combiner le filtrage de niveau réseau et transport et filtrage de niveau applicatif.
Je vous conseille d’utiliser cette architecture pour un client ayant besoin de contrôler l’utilisation de son réseau, comme une école par exemple ou un réseau wifi libre-service. C’est dans ces cas-là que l’on trouve le plus souvent des utilisateurs dangereux (pirates), imprudents (téléchargements) ou dans l'illégalité (peer-to-peer).
La zone démilitarisée (DMZ)
La DMZ est une architecture qui permet de sécuriser votre réseau local, alors même que vous voulez le rendre accessible sur Internet.
Imaginez que votre client souhaite vendre ses produits sur le Web, vous configurerez le PAT ( regardez notre cours sur CISCO ici) sur le routeur relié à Internet. Mais en rendant son serveur accessible depuis Internet, vous rendez son LAN vulnérable aux attaques venues de l’extérieur.
La DMZ vous permet de rendre votre serveur accessible sur le Web tout en sécurisant votre LAN. Ceci est possible grâce à l’ajout d’un deuxième firewall entre le LAN et les serveurs. L’idée est la suivante :
une règle permet au Web de se rendre sur le serveur, par le routeur/firewall externe. L’accès est autorisé selon le protocole voulu (HTTP par exemple). Tous les autres services doivent être désactivés et la connexion ssh ne doit pas pouvoir se faire depuis le WAN.
Une autre règle permet au LAN de se rendre sur le serveur (par SSH par exemple), tout en empêchant le serveur de se rendre sur le LAN. Ainsi, même s’il venait à se faire pirater, le serveur ne pourrait pas contaminer le LAN.
Notez qu’il est encore une fois possible d’y ajouter les concepts des deux premières architectures.
Vous l’avez compris, mais je vous le redis quand même, c’est cette architecture que je vous conseille d’utiliser si votre client dispose d’un serveur accessible depuis le WEB.
Vous pouvez ajouter à toutes ces architectures l’architecture NAT que vous pouvez consulter ici. Le NAT, en cachant les adresses IP du LAN, protège les utilisateurs contre les attaques directes et contre l’écoute du réseau depuis l’extérieur.
Voilà, vous avez pu, au cours de cette première partie, mieux visualiser ce qu’est un firewall et ce qu’il peut faire. Avec les quelques architectures vues dans ce chapitre, vous pouvez de plus répondre à la majorité des besoins que vous rencontrerez dans votre carrière. Dans la prochaine partie, vous rentrerez un peu plus au cœur des firewalls et apprendrez à rédiger des règles firewall ainsi qu’à vous protéger contre les principales attaques.
Ce qu’il faut retenir
Il n’existe pas d’architecture parfaite, mais une architecture en fonction des besoins.
L’architecture simple, basée sur les couches réseau et transport vous permet de filtrer un grand nombre d’attaques et est très peu coûteux. Cependant, vous ne pouvez pas filtrer au niveau applicatif.
L’architecture par proxy, basée sur la couche applicative, vous permet justement de filtrer sur les protocoles tels que HTTP, ou FTP. Elle vous permet aussi de voir d'éventuelles attaques et de journaliser les actions des utilisateurs locaux. Elle est cependant très coûteuse et le firewall doit, par conséquent, être bien dimensionné.
L’architecture DMZ vous permet de rendre un serveur accessible depuis le Web et de sécuriser votre LAN, grâce à l’ajout d’un deuxième routeur/firewall.
L’architecture NAT protège aussi le LAN contre les attaques directes et contre l’écoute du réseau.