Le pare-feu d'un routeur est-il suffisant pour un usage domestique ?

Pour un usage domestique ordinaire, oui : un routeur dynamique avec des paramètres par défaut bloque le trafic entrant non sollicité, qui constitue la principale menace externe. Associez-le à un pare-feu de système d’exploitation raisonnable sur chaque appareil et vous avez couvert les bases. Les pare-feu d'entreprise ajoutent des fonctionnalités (IPS, contrôle des applications, concentrateur VPN) dont un usage domestique n'a généralement pas besoin.

Un VPN contourne-t-il un pare-feu ?

De l’intérieur, oui : le trafic sortant vers le point de terminaison VPN est un flux autorisé ; tout le reste passe à l’intérieur de ce tunnel. La plupart des pare-feu d'entreprise bloquent les ports VPN courants spécifiquement pour cette raison. De l’extérieur, non : le pare-feu abandonne toujours le trafic entrant non sollicité vers le service VPN, sauf autorisation explicite.

Quelle est la différence entre un pare-feu et un IPS ?

Un pare-feu autorise ou bloque en fonction de règles sur les en-têtes (et de plus en plus de charges utiles). Un IPS (Intrusion Prevention System) inspecte activement le trafic à la recherche de modèles d'attaque ou d'anomalies connus et peut bloquer en cas de détection. Les pare-feu modernes intègrent des fonctionnalités IPS ; conceptuellement, ce sont des caractéristiques distinctes.

Puis-je simplement désactiver le pare-feu pour résoudre un problème de connexion ?

Ne le faites pas, même temporairement. Si une connexion nécessite la désactivation du pare-feu, un port ou une règle spécifique doit être ouvert : recherchez lequel. La désactivation du pare-feu pendant le « débogage » a été le début de nombreux incidents réels.

Qu'est-ce qu'un pare-feu d'applications Web ?

Un WAF est un pare-feu spécialisé qui comprend HTTP. Il inspecte les chemins d'URL, les en-têtes, les corps de requête et les cookies, et applique des règles contre les modèles d'attaque connus (injection SQL, XSS, injection de commandes). Il s'exécute devant des applications Web, souvent dans le cadre d'un CDN comme Cloudflare ou AWS WAF. Il complète plutôt qu'il ne remplace les pare-feu de couche réseau.

Les pare-feu expliqués : filtrage de paquets, inspection dynamique et ce que fait réellement la sécurité réseau moderne

Un pare-feu est le plus ancien élément de sécurité réseau encore largement utilisé, et le terme s'est étendu pour couvrir tout, depuis un routeur domestique de 30 $ jusqu'à un appareil d'entreprise d'un million de dollars. Comprendre ce que chaque génération fait réellement – et ne fait pas – explique pourquoi « nous avons un pare-feu » n'est presque jamais une réponse suffisante à une question de sécurité.

Le corps complet de l’article est fourni en anglais ci-dessous.

A firewall est un système qui contrôle le trafic réseau entre deux zones sur la base d'un ensemble de règles. Le trafic est autorisé, refusé ou transformé ; les zones sont généralement « à l'intérieur » (un réseau de confiance) et « à l'extérieur » (l'Internet public), bien que la microsegmentation moderne comporte de nombreuses zones. numéros de port et protocoles. Autorisez TCP/443 à 198.51.100.0/24, refusez tout le reste. Pas cher et rapide ; ne peut pas distinguer le trafic de retour des nouvelles connexions.

Inspection étatique (années 1990). Suit l'état des connexions TCP. « Autoriser le trafic de retour pour les connexions établies » devient possible, améliorant considérablement la précision et la sécurité des règles. Le Check Point FireWall-1 a été le pionnier en 1993.

Pare-feu de couche application (années 2000). Inspectez la charge utile, pas seulement les en-têtes. Les pare-feu compatibles HTTP (pare-feu d'application Web) comprennent les URL, les méthodes et les cookies et peuvent appliquer des politiques telles que « seul le POST est autorisé à /api/login ». Palo Alto, Fortinet, Check Point, Cisco vendent tous des variantes.

Zero Trust / identité (années 2020). L'autorisation est basée sur la demande, basée sur l'identité de l'utilisateur, la posture de l'appareil et la politique dynamique, et non sur la zone réseau. La fonction de pare-feu se fond dans des proxys d'accès plus larges (Cloudflare Access, Zscaler, BeyondCorp).

La structure des règles de base

Chaque règle de pare-feu comporte à peu près les mêmes champs :

Source — IP ou plage, parfois interface
Destination — IP ou plage
Protocole — TCP, UDP, ICMP, ESP, etc.
Port source — généralement n'importe quel
Destination port — le service auquel vous accédez
Action — ALLOW, DENY, LOG, REJECT

Les règles sont évaluées de haut en bas. Le premier match gagne, donc l’ordre compte. Le modèle traditionnel : autoriser des exceptions spécifiques, puis refuser par défaut.

Stateful vs stateless : pourquoi la distinction est importante

Un filtre sans état doit autoriser les deux sens d'une connexion TCP séparément. Autoriser TCP/443 sortant ; autoriser les réponses TCP/443 entrantes avec le bit ACK défini. La règle entrante autorise tout paquet avec ACK, y compris les paquets de sonde non sollicités conçus avec ce bit. De vrais attaquants l'utilisent depuis des années. Un pare-feu dynamique

A suit chaque connexion selon ses 5 tuples (IP source, port source, IP de destination, port de destination, protocole) et se souvient de la direction dans laquelle elle a démarré. Le trafic de retour est comparé à la table de connexion ; les paquets non sollicités qui prétendent être des réponses n'ont aucune entrée et sont abandonnés. En fait, tous les pare-feu modernes sont avec état.

Pare-feu hôte par rapport aux pare-feu réseau

A pare-feu hôte s'exécute sur le point final lui-même - Pare-feu Windows, pf sur macOS, nftables/iptables sous Linux. Filtre le trafic au niveau de la pile réseau du système d'exploitation avant que les applications ne le voient. Facile à contourner si le point final est compromis, mais arrête l'analyse réseau opportuniste. Le pare-feu réseau

A s'exécute sur une appliance dédiée ou un routeur virtuel entre les zones réseau. Voit tout le trafic traversant la frontière. Ne peut pas être contourné sans compromettre le pare-feu lui-même. Les deux sont complémentaires ; la défense en profondeur utilise les deux.

Erreurs courantes du pare-feu

Autorisation implicite. Une liste de règles qui se termine sans refus explicite hérite de la stratégie par défaut, qui sur certains produits est « autoriser ». Catastrophique.
Autoriser tout depuis "interne". Une fois qu'un attaquant est à l'intérieur du périmètre, le pare-feu n'a plus rien à faire. La confiance zéro suppose que le périmètre est déjà violé.
Règles obsolètes. Règles accumulées au fil des années, faisant référence aux adresses IP qui ont changé et aux projets terminés. Chaque règle est une surface d’attaque ; auditez-les.
Trusting ports sources. Les ports sources sont éphémères et choisis par le client. Les règles qui autorisent un port source spécifique peuvent être déclenchées par toute personne choisissant ce port.
ICMP quilt-block. Supprime les messages dont dépend la découverte de la MTU du chemin, cassant ainsi les gros paquets sur certains chemins. Autorisez les types ICMP 3 (destination inaccessible) et 11 (temps dépassé) au minimum.

Là où les pare-feu échouent aujourd'hui

Les charges de travail Cloud changent fréquemment d'adresse IP, le trafic crypté résiste au DPI, les applications utilisent le port 443 pour tout et les utilisateurs se connectent depuis des cafés et des hôtels au lieu de bureaux d'entreprise. Le pare-feu périmétrique classique ne voit plus la majeure partie du trafic important. La réponse est multicouche : proxys conscients de l'identité pour les utilisateurs, maillage de services pour le service à service, micro-segmentation au niveau de l'hôte partout. Le pare-feu n'a pas disparu ; il s'est multiplié et s'est rapproché de chaque charge de travail.

Questions fréquemment posées

Le pare-feu d'un routeur est-il suffisant pour un usage domestique ?: Pour un usage domestique ordinaire, oui : un routeur dynamique avec des paramètres par défaut bloque le trafic entrant non sollicité, qui constitue la principale menace externe. Associez-le à un pare-feu de système d’exploitation raisonnable sur chaque appareil et vous avez couvert les bases. Les pare-feu d'entreprise ajoutent des fonctionnalités (IPS, contrôle des applications, concentrateur VPN) dont un usage domestique n'a généralement pas besoin.
Un VPN contourne-t-il un pare-feu ?: De l’intérieur, oui : le trafic sortant vers le point de terminaison VPN est un flux autorisé ; tout le reste passe à l’intérieur de ce tunnel. La plupart des pare-feu d'entreprise bloquent les ports VPN courants spécifiquement pour cette raison. De l’extérieur, non : le pare-feu abandonne toujours le trafic entrant non sollicité vers le service VPN, sauf autorisation explicite.
Quelle est la différence entre un pare-feu et un IPS ?: Un pare-feu autorise ou bloque en fonction de règles sur les en-têtes (et de plus en plus de charges utiles). Un IPS (Intrusion Prevention System) inspecte activement le trafic à la recherche de modèles d'attaque ou d'anomalies connus et peut bloquer en cas de détection. Les pare-feu modernes intègrent des fonctionnalités IPS ; conceptuellement, ce sont des caractéristiques distinctes.
Puis-je simplement désactiver le pare-feu pour résoudre un problème de connexion ?: Ne le faites pas, même temporairement. Si une connexion nécessite la désactivation du pare-feu, un port ou une règle spécifique doit être ouvert : recherchez lequel. La désactivation du pare-feu pendant le « débogage » a été le début de nombreux incidents réels.
Qu'est-ce qu'un pare-feu d'applications Web ?: Un WAF est un pare-feu spécialisé qui comprend HTTP. Il inspecte les chemins d'URL, les en-têtes, les corps de requête et les cookies, et applique des règles contre les modèles d'attaque connus (injection SQL, XSS, injection de commandes). Il s'exécute devant des applications Web, souvent dans le cadre d'un CDN comme Cloudflare ou AWS WAF. Il complète plutôt qu'il ne remplace les pare-feu de couche réseau.