Un pare-feu ne doit que filtrer
Le choix d'un pare-feu demeure complexe si l'on n'a pas identifié avec soin les besoins de sécurité de l'entreprise. En premier lieu, il faut définir une politique de sécurité puis seulement faire l'analyse des produits répondant aux besoins exprimés.
Conseil :
Cédric Llorens, Laurent Levier, Denis Valois dans « Tableaux de bord de la sécurité réseau »
présentent les principaux critères à considérer pour le choix de produits de filtrage :
• Quels sont les moyens d'administration du pare-feu (gestion, interface utilisateur, accès distants, rôles, etc.) ?
• Quelles sont les possibilités d'audit des règles de filtrage implémentées et des journaux d'activité (vérification de la consistance des règles de filtrage, vérification des dernières sauvegardes des journaux d'activité, intégrité des fichiers contenant les règles de sécurité, etc.) ?
• Quel est le niveau de détail des règles de filtrage ?
• Quelles sont les options offertes pour gérer et archiver les journaux d'activité du pare-feu ? Quels sont les indicateurs d'état du processus de gestion de ces journaux ?
• Quelles sont les réactions du pare-feu en cas de problème (perte d'un lien de connexion, perte d'intégrité de la base de règles de filtrage, etc.) ?
• Quelles sont les interfaces possibles avec d'autres équipements de sécurité, tels les systèmes de détection d'intrusion, d'authentification des utilisateurs, de détection des virus, etc. ?
• Quels sont les mécanismes offerts pour mettre en place une architecture de pare-feu à haute disponibilité ?
• Quelles sont les dernières vulnérabilités ou faiblesses de sécurité qui ont été détectées sur le pare-feu ? La fourniture de correctifs de sécurité est-elle rapide ?
• Quelles sont les certifications de sécurité qui ont été attribuées au pare-feu ?
Remarque :
Le filtrage de paquets n'est pas un mécanisme de sécurité au sens strict du terme. Il permet avant tout de limiter en amont le trafic non autorisé ou autorisé.
Beaucoup de produits disponibles sur le marché cumulent les possibilités de filtrage (fonctions de filtrage de paquets ou/et de passerelle applicative).
Il semble préférable de séparer dans ses équipements dédiés les éléments de sécurité ayant des objectifs différents.
Par exemple :
¤ un routeur en charge de faire suivre le trafic de données,
¤ un pare-feu en charge de filtrer ce trafic (contrôle d'accès)
¤ le boîtier de chiffrement en charge de chiffrer ce trafic (confidentialité).
Le filtrage du trafic au sein d'un équipement réseau à des fins de détection de virus ou autre détourne l'équipement réseau de sa vocation première et engendre un faux sentiment de sécurité. Il faut, là encore, dédier des équipements spécifiques à la détection des intrusions et des virus.
