Un pare-feu sans état est un pare-feu qui ne stocke pas d'informations sur l'état actuel d'une connexion réseau. Au lieu de cela, il évalue chaque paquet individuellement et tente de déterminer s'il est autorisé ou non en fonction des données qu'il contient.
L'objectif d'un pare-feu est de limiter l'accès à un réseau protégé. Un pare-feu est installé en ligne avec le trafic entrant et sortant du réseau protégé, ce qui lui permet d'inspecter chaque paquet entrant ou sortant. Le pare-feu prend la décision d'autoriser ou de rejeter un paquet sur la base de son ensemble de règles intégré.
Bien qu'il existe différents types de pare-feu, un pare-feu sans état est un pare-feu qui évalue chaque paquet uniquement sur la base des données qu'il contient, normalement l'en-tête du paquet. L'en-tête du paquet contient des adresses IP, des numéros de port et d'autres informations que le pare-feu peut utiliser pour déterminer si le paquet est autorisé ou non.
Un pare-feu peut être configuré avec des règles qui limitent l'ensemble des adresses IP autorisées à accéder au réseau protégé ou qui n'autorisent que certains protocoles réseau à entrer ou sortir du réseau. Par exemple, un pare-feu sans état peut être configuré pour autoriser les connexions HTTPS entrantes mais bloquer les connexions SSH entrantes. De même, un pare-feu peut être configuré pour bloquer le trafic en provenance de certaines régions géographiques ou d'adresses IP connues pour être mauvaises.
Les pare-feu sans état sont généralement définis par opposition aux pare-feu avec état. La principale différence entre ces deux types de pare-feu réside dans le fait que les pare-feu avec état suivent certaines informations sur l'état actuel d'une connexion réseau active, alors que les pare-feu sans état ne le font pas.
Ce point est important car il permet aux pare-feu dynamiques d'identifier et de bloquer le trafic apparemment légitime mais malveillant. Par exemple, la poignée de main TCP implique un paquet SYN du client suivi d'un paquet SYN/ACK du serveur suivi d'un paquet ACK du client. Si un attaquant envoie un paquet ACK à un serveur d'entreprise qui n'est pas une réponse à un SYN/ACK, un pare-feu avec état le bloquera, mais un pare-feu sans état ne le fera pas. Cela signifie que les pare-feu sans état négligeront certains types d'analyses de réseau et d'autres attaques que les pare-feu avec état pourraient détecter et bloquer.
Un pare-feu sans état est conçu pour traiter uniquement les en-têtes des paquets et ne stocke aucun état. Cela présente un certain nombre d'avantages, dont les suivants :
Cependant, si un pare-feu sans état présente des avantages, ceux-ci sont contrebalancés par des inconvénients importants. Les pare-feu sans état sont incapables de détecter de nombreux types d'attaques courantes, notamment les suivantes :
Les pare-feu sans état peuvent être plus efficaces que les pare-feu avec état. Cependant, ils sont totalement aveugles à la plupart des attaques modernes et n'apportent qu'une valeur limitée à l'organisation.
Le choix du bon pare-feu est essentiel à la réussite du programme de cybersécurité d'une organisation. Pour se protéger contre les menaces modernes, la seule option est un Pare-feu de nouvelle génération (NGFW) qui intègre de multiples capacités de sécurité pour une visibilité approfondie de la sécurité et une prévention efficace des menaces. Pour en savoir plus sur ce qu'il faut rechercher dans un pare-feu, consultez ce guide d'achat des NGFW.
Check Point propose une gamme de NGFWs conçus pour répondre aux besoins uniques de toute organisation. Pour en savoir plus sur les capacités de Check Point NGFWs et identifier le bon choix pour votre organisation, inscrivez-vous dès aujourd'hui à une démonstration gratuite.