Pare-feu proxy : La sécurité réseau expliquée

Read in English (Lire en Anglais).

En France, 55 pour cent des salariés ne pensent pas régulièrement à la cybersécurité et 17 pour cent avouent même ne jamais y songer [1]. Les violations de données entraînent des coûts considérables. Selon le rapport 2023 Cost of a Data Breach d'IBM, le coût moyen mondial d'une violation de données est de 4,45 millions de dollars [2].

Envisagez maintenant la possibilité de contrecarrer les menaces potentielles avant qu'elles ne se transforment en problèmes de sécurité majeurs. C'est exactement ce que peut faire un pare-feu proxy : il aide à empêcher les menaces réseau de se matérialiser. 

Lisez la suite pour en savoir plus sur le rôle du pare-feu proxy dans le renforcement de la sécurité réseau.

Qu'est-ce qu'un pare-feu proxy ?

Le modèle d'interconnexion des systèmes ouverts (OSI) est une norme conceptuelle universellement acceptée pour les réseaux informatiques. Un pare-feu proxy, qui opère au niveau de la couche application du modèle OSI, interdit toute connexion directe entre l'ordinateur d'un utilisateur et les sites internet. 

En agissant comme une passerelle, un pare-feu proxy surveille et bloque le trafic réseau pour se prémunir contre les menaces. D'autres noms pour un pare-feu proxy incluent le pare-feu d'application, le pare-feu de passerelle et le serveur proxy. 

Les principales fonctions d'un pare-feu proxy sont les suivantes :

• Limite les ressources du réseau informatique aux utilisateurs autorisés

• Inspecte le trafic de la couche application pour détecter les menaces potentielles

• Enregistre, met en cache, filtre et régule les requêtes provenant des appareils

Le saviez-vous ? Les pare-feu proxy améliorent votre expérience de navigation. En stockant les pages web mises en cache et les données de trafic des sites web fréquemment visités, un pare-feu proxy allège la charge sur la bande passante de votre réseau et permet des temps de chargement plus rapides pour les pages fréquemment consultées. 

Comment fonctionnent les pare-feu mandataires ?

Commençons par comprendre le terme « proxy » dans les pare-feux proxy. Un pare-feu proxy possède sa propre adresse IP, ce qui empêche toute communication directe entre les réseaux internes et externes. 

Selon le National Institute of Standards and Technology (NIST), une agence du ministère du commerce des États-Unis, une passerelle application-proxy « peut décider d'autoriser ou de refuser le trafic en fonction des informations contenues dans les en-têtes ou les charges utiles du protocole d'application [3] ».

Au cœur du fonctionnement d’un pare-feu proxy se trouve le protocole TCP/IP, qui est une suite étendue de protocoles définissant la manière dont les données sont transmises sur les réseaux, y compris l'internet.

L'accès à un site externe par l'intermédiaire d'un pare-feu proxy se déroule comme suit : 

1. Un utilisateur demande l'accès à l'internet par le biais d'un protocole internet spécifique. Par exemple, le protocole de transfert hypertexte (HTTP).

2. Un paquet de messages de synchronisation (SYN) est envoyé de l'adresse IP de l'utilisateur à l'adresse IP du serveur, démarrant ainsi une session internet.

3. Le pare-feu proxy envoie un paquet de messages de synchronisation-acquittement (SYN-ACK) en réponse à partir de l'adresse IP du serveur demandé, si les directives du pare-feu l'autorisent.

4. À la réception du paquet SYN-ACK, l'ordinateur de l'utilisateur envoie un paquet ACK à l'adresse IP du serveur. Ce faisant, il permet au proxy et à l'ordinateur de l'utilisateur de se connecter.

5. Pour établir une connexion TCP, le pare-feu proxy envoie un paquet SYN depuis son adresse IP au serveur externe, qui répond par un paquet SYN-ACK. Le proxy envoie ensuite un paquet ACK pour établir une connexion TCP valide entre lui-même, l'ordinateur de l'utilisateur et le serveur externe.

6. Enfin, toute demande effectuée par le biais de la connexion client-proxy et de la connexion proxy-serveur est contrôlée afin de garantir la conformité avec la politique de l'entreprise. Ce processus se répète jusqu'à ce que quelqu'un (le client ou le serveur) mette fin à la connexion.

Qui peut utiliser un pare-feu proxy ? 

Toute personne souhaitant protéger ses ressources réseau contre les accès non autorisés et maintenir son réseau sécurisé et exempt d'intrus et de trafic malveillant peut utiliser un pare-feu proxy. 

Du point de vue des entreprises, les pare-feux proxy sont généralement utilisés pour protéger les réseaux internes. Les pare-feu mandataires peuvent également contribuer à limiter l'accès à certains sites web. Par exemple, dans les écoles et les universités, un pare-feu proxy empêche les étudiants d'accéder à des sites de réseaux sociaux tels qu'Instagram, tout en leur permettant d'accéder à des sites web éducatifs.

Avantages et inconvénients de l'utilisation d'un pare-feu proxy 

Un pare-feu proxy présente plusieurs avantages. Cependant, il présente également certaines limites. Voici un aperçu de ces deux aspects.

Avantages 

• Inspection minutieuse des paquets de données entrant ou sortant d'un réseau 

• Aide à retracer et à enquêter sur les incidents de sécurité grâce à la journalisation

• Conserve les journaux d'accès afin de générer des rapports complets sur les activités des utilisateurs.

Inconvénients 

• Peut ne pas être compatible avec tous les protocoles de réseau

• Latence ou réponse tardive en cas de trafic réseau important

• L'installation et la configuration peuvent être fastidieuses.

Différence entre pare-feu proxy et pare-feu traditionnel

Les pare-feu proxy fonctionnent sur la couche application, qui correspond à la couche 7 du modèle OSI. En revanche, les pare-feu traditionnels font partie des couches réseau et transport, qui représentent les couches 3 et 4.

Les pare-feu traditionnels, tels que les pare-feu à filtrage de paquets et les passerelles au niveau du circuit, n'ont pas la capacité d'inspecter le contenu des paquets de données, ce qui les rend sensibles aux données malveillantes provenant d'adresses IP de source sûre.

Au contraire, un pare-feu proxy, de par sa nature même, examine le contenu et le contexte des paquets de données, ce qui le rend plus sûr que les pare-feu traditionnels. 

Exemples de pare-feu proxy

Les pare-feu proxy sont largement disponibles et vendus par de nombreux fournisseurs. En voici quelques exemples : 

1. Pare-feu d'application Web d'Amazon Web Services (AWS WAF)

L'AWS WAF cible les exploits web courants, tels que l'injection SQL ou le cross-site scripting (XSS), ainsi que les bots susceptibles de provoquer des temps d'arrêt. L'une des caractéristiques uniques de l'AWS WAF est la prévention de la prise de contrôle des comptes, un groupe de règles géré qui analyse la page de connexion d'une application à la recherche de tentatives d'authentification et de connexion par force brute, parmi d'autres activités de connexion suspectes.

2. Barracuda Web Application Firewall 

Le WAF de Barracuda offre une sécurité contre les attaques en ligne automatisées et ciblées. Il offre une protection contre le Top 10 de l'OWASP, les menaces Zero-Day et les attaques par déni de service (DoS) de la couche applicative, entre autres. Son modèle d'apprentissage automatique permet de détecter les « attaques de robots presque humains », tandis que l'authentification multifactorielle déjoue les tentatives de prise de contrôle de comptes par des acteurs malveillants.

Choisir le bon pare-feu : Comment faire son choix ? 

La sécurité sur le web est essentielle pour contrer les attaques en ligne. Voici quelques éléments à prendre en compte avant de choisir un pare-feu :

• Évaluation des risques : Deux options s'offrent à vous : un pare-feu traditionnel et un pare-feu de nouvelle génération. Si vos données sont sensibles ou si vous traitez régulièrement avec le monde de la finance, un pare-feu nouvelle génération, tel qu'un serveur proxy, est la meilleure solution.

• Compatibilité : Certains pare-feu peuvent ne pas être compatibles avec certains protocoles internet ou outils de sécurité d'entreprise, ce qui peut limiter leur efficacité dans la protection contre certains types d'attaques. C'est pourquoi il est toujours utile de vérifier la documentation relative à un pare-feu.

Prochaines étapes

Explorez les nuances les plus fines de la sécurité réseau avec le cours Network Security proposé par l'International Information System Security Certification Consortium (ISC)² sur Coursera. Ce cours est adapté aux débutants et vous fera découvrir les concepts de réseau, l'infrastructure de sécurité, les menaces les plus courantes, etc.