En termes simples, un mandataire est une personne autorisée à représenter quelqu'un d'autre. Dans les réseaux informatiques, les proxys sont des appareils de réseau autorisés à se connecter à un serveur au nom d'un client.
Un exemple typique est celui d'un serveur proxy ou d'un pare-feu proxy qui établit une connexion au nom d'un employé interne de l'entreprise vers un site web ou une autre application. Il existe également des proxys inversés qui connectent des clients externes à des actifs hébergés par l'entreprise, par exemple en connectant des utilisateurs distants à un site web intranet et à un serveur de fichiers et de courrier électronique interne via un portail web de l'entreprise. logiciel malveillant peut également agir comme un proxy non autorisé. Lisez par exemple le réseau de serveurs proxy de la famille Ramnit logiciel malveillant, décrit par l'équipe de Recherche aux Check Point (cp<r>).
Examinons de plus près ce qu'est un proxy firewall, comment il fonctionne et quelle est la différence entre un proxy firewall et les Pare-feu de nouvelle génération (NGFW) d'aujourd'hui.
Si tous les pare-feu proxy sont des serveurs proxy, tous les serveurs proxy ne sont pas des pare-feu proxy. Ils servent tous deux d'intermédiaires entre les serveurs et les clients. Chacun d'eux peut mettre en cache des pages web pour réduire l'encombrement du réseau et tous deux dissimulent au serveur des informations sur l'utilisateur. Un pare-feu proxy effectue une inspection plus approfondie du trafic réseau afin d'identifier le trafic potentiellement malveillant et de s'en protéger.
Si vous avez travaillé dans une grande entreprise, vous avez peut-être l'habitude de configurer votre ordinateur portable pour qu'il utilise un fichier proxy PAC (Proxy Auto-Configuration) ou de spécifier l'adresse IP du serveur proxy de l'entreprise. Les navigateurs et autres sites application utilisent ces paramètres du système d'exploitation pour diriger le trafic vers le serveur proxy.
Le navigateur web se connecte au serveur proxy, qui intercepte la connexion et établit une autre connexion au site web de destination au nom du client si la connexion est autorisée par la politique. Cela permet au pare-feu proxy d'inspecter les paquets au sein de la connexion. Le principal protocole pris en charge est le trafic web HTTP(S), mais d'autres protocoles, tels que FTP, peuvent également être pris en charge en fonction des capacités du pare-feu proxy.
Les principales caractéristiques d'un pare-feu proxy sont les suivantes
Les pare-feu par procuration diffèrent des autres types de pare-feu sur plusieurs points, notamment les suivants :
Les pare-feu proxy sont conçus pour inspecter un petit ensemble de trafic spécifique à une application. D'autres pare-feu effectuent également une inspection approfondie des paquets, mais ont toujours appliqué une politique basée sur l'adresse IP et le port ou l'adresse du service, par exemple. Ports TCP 80 (HTTP) et 443 (HTTPS) pour le web.
Le filtrage simple au niveau de l'IP et des ports est le domaine des premiers filtres de paquets ou des pare-feu qui appliquent des listes de contrôle d'accès (ACL) simples. Cependant, les LCA peuvent devenir assez longs et difficiles à comprendre pour les humains.
Les pare-feu dynamiques sont allés plus loin et ont apporté la connaissance des protocoles au contrôle du trafic. Par exemple, le protocole FTP (File Transfer Protocol) comporte des connexions distinctes pour le contrôle (port TCP 20) et les données (port TCP 21). Pour le transfert de données, le port peut également être un port arbitraire parmi l'ensemble des ports disponibles, qui sont au total un peu moins de 60 000. Le port choisi entre le client et le serveur est communiqué via la connexion de contrôle FTP.
Les pare-feu dynamiques qui surveillent la connexion de contrôle FTP peuvent autoriser le transfert de données de manière dynamique. En termes de politique, cela signifie que les administrateurs chargés de la sécurité n'ont qu'à spécifier que le protocole FTP est autorisé entre les hôtes. Il n'est pas nécessaire d'ouvrir une plage de ports plus large dans une liste ACL.
Au fur et à mesure que d'autres technologies progressaient, telles que le filtrage d'URL, le contrôle application, la détection et la prévention des intrusions (IDS/IPS) et le sandboxing, elles ont été intégrées au pare-feu, ce qui a donné naissance à un appareil de sécurité réseau polyvalent.
Si le nom a changé au fur et à mesure que le pare-feu évoluait vers la passerelle Secure Web (SWG), l'UTM (Unified Threat Management) et le Pare-feu de nouvelle génération (NGFW), son emplacement dans le réseau, lui, n'a probablement pas changé. Les serveurs proxy et les pare-feu proxy sont généralement déployés en tant qu'appareil réseau transparent vers lequel le trafic est dirigé.
D'autre part, les pare-feu sont plus généralement déployés en ligne en tant qu'appareil frontalier transparent aux limites du réseau. Ces pare-feu effectuent également une traduction d'adresses réseau (NAT) de bas niveau entre les réseaux, participent au routage à l'aide de protocoles de routage statiques ou dynamiques et terminent également les connexions de réseau privé virtuel (RVP) de client à site et de site à site. En général, cela est totalement transparent pour les utilisateurs finaux, mais ils peuvent également intercepter des connexions telles que les connexions web cryptées SSL/TLS et le courrier électronique tel que SMTP en agissant en tant qu'agent de transport de messages (MTA).
Une chose que les proxy pare-feu font et que les NGFW ne font pas, c'est de mettre en cache le trafic web pour améliorer les performances. Le manque de performance peut être l'un des inconvénients du pare-feu proxy par rapport aux NGFW. En outre, il est difficile de se tenir au courant des changements. application changent tellement application que le filtrage peut parfois s'interrompre, ce qui se traduit par une mauvaise expérience utilisateur. De même, ils peuvent devenir un point de défaillance unique et provoquer des interruptions du réseau.
Un autre problème des appareils de réseau hors bande tels que les pare-feu proxy est qu'ils reposent sur la configuration du proxy ou du fichier PAC sur le client. Les utilisateurs sont souvent en mesure de le faire manuellement, ce qui permet de contourner assez facilement le serveur proxy. De même, les utilisateurs ambitieux peuvent utiliser une application non prise en charge par le pare-feu proxy et contourner ainsi la politique de sécurité de l'entreprise.
Les pare-feu de Check Point, l'un des premiers pare-feu avec état, ont évolué au fur et à mesure de l'apparition de nouvelles menaces. Le pare-feu Check Point d'aujourd'hui remplace avantageusement les pare-feu proxy et les serveurs proxy, permettant aux entreprises de consolider les technologies de sécurité réseau au sein d'un appareil réseau multifonction hautement évolutif et fiable.
Les NGFW de Check Point sont également disponibles dans le déploiement de votre choix ; pour des déploiements en ligne routés ou en pont, sur site en tant qu'appareil physique, dans les sites privés et publics cloud en tant qu'appareil virtuel, et en tant que pare-feu-as-a-Service (FWaaS) déployé en tant que composant de sécurité dans un modèle SASE (Secure Access Service Edge). Les autres services de sécurité inclus dans le modèle SASE sont Zero Trust réseau Access(ZTNA) pour fournir un accès sécurisé au site de l'entreprise application et CASB (cloud access security broker) pour protéger de manière native les suites de productivité bureautique et de messagerie en nuage application.
Pour en savoir plus sur ce qu'il faut rechercher dans une solution NGFW ou SASE, consultez ce guide de l'acheteur. Vous pouvez également démonter un produit Check Point NGFW ou SASE dès aujourd'hui.