les 5 minutes du professeur Audenard - épisode 11 : le one arm firewall


[FR] les 5 minutes du professeur Audenard... par orange_business

Le firewall est le composant classique que toute personne dans la sécurité se doit de comprendre et de maîtriser. Un firewall est un équipement ou un système permettant de matérialiser un perimètre, une ligne de démarcation ou encore une frontière entre deux segments de réseaux ou groupes de machines.

pas de bras, pas de chocolat !

Afin qu'un firewall puisse jouer son rôle de grand contrôleur, il se doit d'avoir des "pattes" ou "bras" (en anglais c'est "arm"). Les "pattes" du firewall peuvent avoir des têtes/formes différentes selon le type de firewall, qu'il soit purement logiciel ou physique.

firewall logiciel sur poste de travail ou serveur

Dans le cas d'un firewall logiciel à installer sur un poste de travail ou un serveur, l'une des deux interfaces (celle en interne) est présente de façon logique : c'est via elle que les applications vont accéder (ou être accédées) au réseau. L'autre patte du firewall étant naturellement assimilée à l'interface réseau de sortie (wifi ou le cable ethernet).

Dans un tel mode de fonctionnement, le firewall ne protège qu'un seul serveur/poste.

du firewall classique à deux pattes à la pieuvre

Dans la littérature (cf. les schémas d'architecture d'école ou bouquins "pour débuter"), le firewall possède deux pattes ou interfaces réseaux physiques : celle marquée "externe" (ou Internet, ou WAN) et une autre marquée "interne" (ou LAN). L'utilisation de chacune d'elles est assez évidente, je vous évite l'enfonçage de portes (grandes) ouvertes.

Dans la vraie vie, les firewalls en entreprise possèdent plus de deux interfaces physiques : genre 4, 8 voire plus. Mais en fait, grâce à la "magie" des VLANs (les LAN virtuels) il est possible d'associer plusieurs interfaces logiques à une interface physique.

Dans ce mode, le firewall va donc protéger (plutôt séparer) des segments réseaux.

tout passe par le firewall sinon c'est pas sécurisé !

"Tous les flux doivent passer via le firewall sinon ça craint, c'est pas sécurisé" : c'est ce que vous dira tout bon architecte sécurité qui se respecte. Sur le fond, il (ou elle) aura raison. Après il y a la théorie et la pratique... Car dans la réalité mettre des firewalls partout en coupure n'est pas toujours faisable pour plein de raisons.

un bras c'est mieux que pas de bras !

Parmi les raisons qui motivent (ou expliquent) de bypasser un firewall on va retrouver :

  • les performances du firewall ne sont pas à la hauteur (il y en a des gros et puissants mais ils coûtent souvent des fortunes...)
  • ou alors le firewall ne sait pas gérer correctement les flux (genre des flux voix VoIP en RTP utilisant des ports dynamiques...)

Donc des fois, il arrive que l'on retienne un déploiement en mode "one-arm" (le firewall à "un bras") et c'est au niveau de la couche de routage ou de commutation qu'une sélection de 1er niveau va être effectuée (c'est-à-dire définir ce qui devra passer ou non via le firewall).

Le routeur ou le switch va donc devenir un élément important de la gestion du périmètre sécurité : Il devra donc être intégré comme tel dans la politique de sécurité et géré comme tel. Si ce n'est pas le cas, alors ça craint... Car le risque est le que le firewall soit totalement bypassé : méfiance et vigilance seront donc de mise.

un firewall à un bras (one-arm firewall) : bullshit y'en a quand même deux !

On peut se dire qu'à minima un firewall doit avoir deux "pattes/bras"... et ben non. Les firewalls à "une patte" ca existe, même si c'est un peu un abus de langage (ou plutôt un "flou" entre le monde physique et logiciel pour être précis).

Et oui, en fait un "one-arm firewall" ne le sera que pour des architectes : en réalité on retrouvera deux pattes (une pour les flux "'entrants" et une autre pour les flux sortants). Il faut donc comprendre que le "one-arm firewall" est un terme à prendre au 2nd degré. L'important est de bien garder présent à l'esprit que le switch (ou le routeur) sur lequel le firewall est connecté fait partie intégrante de la politique de gestion des flux

Jean-François

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens