Pourquoi mettre en oeuvre un firewall ? Première brique de votre défense numérique.

Pourquoi filtrer ?

Les menaces contre les systèmes d'information sont multiples, qu'il s'agisse de menaces externes, ou parfois internes à l'entreprise, intentionnelles ou non, il est devenu vital de prêter une attention permanente à la sécurité de ces réseaux. Un grand nombre de ces menaces prennent la forme d'une attaque directe contre une machine. Qu'il s'agisse d'un commutateur réseau, d'un serveur ou d'une simple station de travail, tout système expose différents services que les attaquants peuvent exploiter afin de compromettre la machine.

Une autre variété de menace est indirecte : la machine n'est plus compromise directement par une attaque réseau originaire de l'extérieur, mais par son propre utilisateur. Il peut s'agir par exemple d'un virus déclenché en ouvrant un document ou un lien internet malicieux. Dans ce cas, l'attaque en elle même n'est pas toujours détectable, mais ses conséquences sont visibles : envoi de spam, participation à des attaques massives de déni de service (DDOS), etc. Dans la plupart des cas, une attaque informatique transite par un composant réseau. Les parefeu (firewalls) sont des équipements qui viennent se placer sur le chemin réseau entre les machines et l'extérieur, et qui sont capables de détecter les utilisations anormales et menaces et de bloquer. On parle également de filtre réseau. C’est ce que nous déployons dans nos offres d’hébergement.

Routage et filtrage:

La notion de firewall, est souvent liée à celle de routage c'est à dire l'acheminement des flux réseau entre les différentes machines. En effet on ne peut raisonnablement installer des systèmes complexes de filtrage réseau sur chaque machine. De plus, en cas de compromission il est indispensable de pouvoir observer le comportement d'une machine de l'extérieur, car les propres systèmes de sécurité de la machine compromise ne sont plus dignes de confiance. Les firewalls sont donc généralement installés sur des équipements de routage, dont ils sont une partie intégrante. Ce qui signifie que le routage peut être modifié par une décision du firewall, et que le firewall appliquera des règles de filtrage différentes selon l'origine et la destination du trafic.

Ainsi, tout le trafic à destination d'un réseau distant sera soumis au filtrage. L'équipement de routage devient alors le point central de filtrage, même si on continue généralement à appliquer un filtrage supplémentaire sur chaque machine, car en matière de sécurité, la redondance n'est pas superflue. On parle alors de défense en profondeur (ANSSI)

Politique de filtrage

Un des principes de base de la sécurité réseau est la notion de zone. La plupart des réseaux peuvent être découpés en zones pour lesquelles une même politique de sécurité s'applique. Ces zones correspondent très souvent à des sous-réseaux, c'est à dire des ensembles de machines qui communiquent directement entre elles sans passer par un routeur. Si une zone peut être composée d'un ou plusieurs sous-réseaux, il est rare qu'un même sous-réseau fasse partie de plusieurs zones, en particulier lorsque la majorité du filtrage est effectué par les routeurs.

Les zones se caractérisent généralement par leur niveau de confiance. Ainsi, le réseau de l'entreprise est généralement considéré comme plus sûr que l'Internet, mais moins sûr que le sous-réseau dédié aux serveurs. On peut généralement résumer la configuration des firewalls à une politique de filtrage, qui décrit simplement les interactions entre les zones

La politique de filtrage réseau n'est bien sûr qu'un sous-ensemble de la politique de sécurité de l'entreprise, et n'assure pas à elle seule la sécurité de l'ensemble des ressources informatiques.

On peut par exemple découper le réseau d’une entreprise en zones :

  • Zone Extérieure : Toutes les machines en dehors de l’entreprise (WAN/INTERNET)
  • Zone Lan : Toute la partie interne du réseau d’entreprise, qui peut être redécoupée en zone suivant des critères de sensibilité, sécurité.
  • Zone dédiée : Par exemple, une zone hébergeant les postes de la comptabilité, un service R&D, les serveurs de l’entreprise.
image implantation de différentes zones réseaux

En fonction de ces zones on va autoriser ou non les machines à accéder à internet. Par exemple:

  • La zone lan hébergeant les salariés peut accéder à internet avec un contrôle de pertinence des sites accédés.
  • Des zones peuvent sous certaines conditions accéder à des sites clairement identifiés, comme par exemple su le schéma la zone comptabilité.
  • On peut par exemple ajouter une zone supplémentaire appelée DMZ (Zone démilitarisée) pour rendre certains services accessibles de l’extérieur (Mail, DNS, FTP, etc ...)
  • Quand à la zone hébergeant les serveurs, elle ne peut pas accéder à l’extérieur. Elle peut par exemple mettre à jour des machines en DMZ, un serveur DNS esclave, un serveur FTP pour mettre à disposition des documents.etc ...
  • La zone de médiation va permettre de mettre en place un IDS, d'instancier des flux VPN pour interconnecter des sites entre-eux,

Tous ces différents filtrages sont effectués a différents niveaux suivant le composant mis en œuvre. Un firewall réseau filtre les niveaux 3 (IP) et 4 (Transport), un firewall applicatif le niveau 7. Nous pouvons mettre en place ces différentes solutions pour protéger vos serveurs ou vos sites, ou vos entreprises.

Nos coordonnées :
Nous contacter (+33) 02 90 38 04 42
Numéro non surtaxé

Vous pouvez nous joindre à ce numéro à nos heures de bureau. N'hésitez pas à utiliser l'interface de tchat en bas à droite, nous répondrons à vos interrogations.

Par Email contact@uxware.bzh

Vous pouvez nous joindre par email. N'hésitez pas à détailler au maximum votre demande, c'est indispensable pour établir un devis précis. Nous vous reconctactons trés rapidement.

Notre Support Support Technique

Vous pouvez contactez le support technique par le biais du numéros figurant sur votre interface. Vous pouvez également ouvrir un ticket pour toute demande technique.