Qu’est-ce qu’un Stateful Firewall ?

Les pare-feu dynamiques interceptent les paquets au niveau de la couche réseau, puis déduisent et analysent les données de toutes les couches de communication afin d'améliorer la sécurité. Des informations sur l'état de la connexion et d'autres données contextuelles sont stockées et mises à jour de manière dynamique. Cela fournit un contexte précieux pour évaluer les futures tentatives de communication.

Get a Personal Firewall Demo Benchmark de sécurité Miercom 2024 NGFW

Comment fonctionne le pare-feu dynamique ?

Les ordinateurs utilisent des protocoles bien définis pour communiquer sur le réseau local et sur l'internet.

Il s'agit notamment des protocoles de transport de la couche inférieure, tels que TCP et UDP, et des protocoles de la couche d'application supérieure, tels que HTTP et FTP.

Les pare-feu avec état inspectent les paquets du réseau, en suivant l'état des connexions à l'aide de ce que l'on sait des protocoles utilisés dans la connexion au réseau. Par exemple, le protocole TCP est un protocole orienté connexion avec un contrôle d'erreur pour assurer la livraison des paquets.

Une connexion TCP entre un client et un serveur commence par une poignée de main à trois voies pour établir la connexion. Un paquet est envoyé par un client avec un drapeau SYN (synchronisation) placé dans le paquet. Le serveur qui reçoit le paquet comprend qu'il s'agit d'une tentative d'établissement d'une connexion et répond par un paquet avec les drapeaux SYN et ACK (acknowledge). Lorsque le client reçoit ce paquet, il répond par un ACK pour commencer à communiquer sur la connexion.

C'est le début d'une connexion que d'autres protocoles utilisent ensuite pour transmettre des données ou communiquer.

Par exemple, le navigateur du client peut utiliser la connexion TCP établie pour transmettre le protocole web, HTTP GET, afin d'obtenir le contenu d'une page web.

 

Lorsque la connexion est établie, on dit que l'état est établi. À la fin de la connexion, le client et le serveur mettent fin à la connexion en utilisant des drapeaux dans le protocole comme FIN (finish). Lorsque la connexion passe de l'état ouvert à l'état établi, les pare-feu dynamiques stockent les informations relatives à l'état et au contexte dans des tableaux et les mettent à jour de manière dynamique au fur et à mesure que la communication progresse. Les informations stockées dans les tables d'état fournissent des données cumulatives qui peuvent être utilisées pour évaluer les connexions futures.

 

Pour les protocoles sans état tels que UDP, le pare-feu dynamique crée et stocke des données contextuelles qui n'existent pas dans le protocole lui-même. Cela permet au pare-feu de suivre une connexion virtuelle au-dessus de la connexion UDP plutôt que de traiter chaque paquet de demande et de réponse entre une application client et une application serveur comme une communication individuelle.

Exemple FTP

Les sessions FTP utilisent plus d'une connexion. L'une est une connexion de commande et l'autre est une connexion de données par laquelle les données transitent.

Stateful firewalls examine the FTP command connection for requests from the client to the server. For instance, the client may create a data connection using an FTP PORT command. This packet contains the port number of the data connection, which a stateful firewall will extract and save in a table along with the client and server IP addresses and server port.4

Lorsque la connexion de données est établie, elle doit utiliser les adresses IP et les ports contenus dans cette table de connexion. Un pare-feu dynamique utilisera ces données pour vérifier que toute tentative de connexion aux données FTP répond à une requête valide. Une fois la connexion fermée, l'enregistrement est supprimé du tableau et les ports sont bloqués, ce qui empêche tout trafic non autorisé.

Avec ou sans état

Un pare-feu sans état évalue chaque paquet individuellement. Il peut inspecter les adresses IP source et destination ainsi que les ports d'un paquet et le filtrer sur la base de listes de contrôle d'accès (ACL) simples. Par exemple, un pare-feu sans état peut mettre en œuvre une politique de "refus par défaut" pour la plupart du trafic entrant, n'autorisant que les connexions à des systèmes particuliers, tels que les serveurs web et de messagerie. Par exemple, autoriser les connexions à des adresses IP spécifiques sur les ports TCP 80 (HTTP) et 443 (HTTPS) pour le web et sur le port TCP 25 (SMTP) pour le courrier électronique.

Les pare-feu dynamiques, quant à eux, suivent et examinent une connexion dans son ensemble. Ils suivent l'état actuel des protocoles avec état, comme TCP, et créent une superposition de connexions virtuelles pour les connexions telles que UDP.

Les pare-feu avec état ont les mêmes capacités que les pare-feu sans état, mais ils sont également capables de détecter et d'autoriser dynamiquement les communications application, ce qui n'est pas le cas des pare-feu sans état. Les pare-feu sans état ne sont pas conscients de application, c'est-à-dire qu'ils ne peuvent pas comprendre le contexte d'une communication donnée.

pare-feu avec Check Point

Le pare-feu de Check Point est intégré dans la pile réseau du noyau du système d'exploitation. Il se situe dans la couche logicielle la plus basse, entre la carte d'interface réseau physique (couche 2) et la couche la plus basse de la pile de protocoles réseau, généralement IP.

En s'insérant entre les composants physiques et logiciels de la pile réseau d'un système, le pare-feu étatique Check Point garantit une visibilité totale sur l'ensemble du trafic entrant et sortant du système. Aucun paquet n'est traité par l'une des couches supérieures de la pile de protocoles tant que le pare-feu n'a pas vérifié que le paquet est conforme à la politique de contrôle d'accès à la sécurité du réseau.

Le pare-feu dynamique Check Point offre un certain nombre d'avantages précieux, notamment

  • Extensible : L'implémentation de l'inspection dynamique de Check Point prend en charge des centaines de application, de services et de protocoles prédéfinis, plus que n'importe quel autre fournisseur de pare-feu.
  • Performance: La conception simple et efficace du pare-feu Check Point permet d'obtenir des performances optimales en fonctionnant à l'intérieur du noyau du système d'exploitation. Cela permet de réduire les frais généraux de traitement et d'éliminer la nécessité de changer de contexte. En outre, la mise en cache et les tables de hachage sont utilisées pour stocker et accéder efficacement aux données. Enfin, l'inspection des paquets du pare-feu est optimisée pour garantir une utilisation optimale des interfaces réseau modernes, des processeurs et des systèmes d'exploitation.
  • Évolutif : L'hyperscale, en un mot, est la capacité d'une architecture technologique à s'adapter à la demande croissante du système. Check Point Maestro apporte l'agilité, l'évolutivité et l'élasticité du cloud sur site avec un clustering N+1 efficace basé sur la technologie HyperSync de Check Point, qui maximise les capacités des pare-feu existants. Plusieurs pare-feu de Check Point peuvent être empilés, ce qui permet d'obtenir des gains de performance presque linéaires avec chaque pare-feu supplémentaire ajouté à la grappe.

Check Point’s next-generation firewalls (NGFW) intègrent les caractéristiques d'un pare-feu dynamique avec d'autres fonctionnalités essentielles de sécurité du réseau. Pour en savoir plus sur ce qu'il faut rechercher dans un FNGF, consultez le site suivant ce guide de l'acheteur. Vous êtes également invités à demandez un démo gratuit pour voir les NGFW de Check Point en action.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK