Sorry, you need to enable JavaScript to visit this website.

les 5 minutes du professeur Audenard - épisode 11 : le one arm firewall

les 5 minutes du professeur Audenard - épisode 11 : le one arm firewall
2012-04-232013-04-10sériesfr
Dans quelles situations faut-il déployer un firewall à une seule patte ? Qu'est-ce-que cela veut dire, quels sont les principes de fonctionnement et les conséquences d'un point de vue sécurité. Rien de magique avec les 5 minutes du professeur Audenard ! Principes de fonctionnement du RAID...
Publié le 23 Avril, 2012 par Jean-François Audenard dans séries
les 5 minutes du professeur audenard


[FR] les 5 minutes du professeur Audenard... par orange_business

Le firewall est le composant classique que toute personne dans la sécurité se doit de comprendre et de maîtriser. Un firewall est un équipement ou un système permettant de matérialiser un perimètre, une ligne de démarcation ou encore une frontière entre deux segments de réseaux ou groupes de machines.

pas de bras, pas de chocolat !

Afin qu'un firewall puisse jouer son rôle de grand contrôleur, il se doit d'avoir des "pattes" ou "bras" (en anglais c'est "arm"). Les "pattes" du firewall peuvent avoir des têtes/formes différentes selon le type de firewall, qu'il soit purement logiciel ou physique.

firewall logiciel sur poste de travail ou serveur

Dans le cas d'un firewall logiciel à installer sur un poste de travail ou un serveur, l'une des deux interfaces (celle en interne) est présente de façon logique : c'est via elle que les applications vont accéder (ou être accédées) au réseau. L'autre patte du firewall étant naturellement assimilée à l'interface réseau de sortie (wifi ou le cable ethernet).

Dans un tel mode de fonctionnement, le firewall ne protège qu'un seul serveur/poste.

du firewall classique à deux pattes à la pieuvre

Dans la littérature (cf. les schémas d'architecture d'école ou bouquins "pour débuter"), le firewall possède deux pattes ou interfaces réseaux physiques : celle marquée "externe" (ou Internet, ou WAN) et une autre marquée "interne" (ou LAN). L'utilisation de chacune d'elles est assez évidente, je vous évite l'enfonçage de portes (grandes) ouvertes.

Dans la vraie vie, les firewalls en entreprise possèdent plus de deux interfaces physiques : genre 4, 8 voire plus. Mais en fait, grâce à la "magie" des VLANs (les LAN virtuels) il est possible d'associer plusieurs interfaces logiques à une interface physique.

Dans ce mode, le firewall va donc protéger (plutôt séparer) des segments réseaux.

tout passe par le firewall sinon c'est pas sécurisé !

"Tous les flux doivent passer via le firewall sinon ça craint, c'est pas sécurisé" : c'est ce que vous dira tout bon architecte sécurité qui se respecte. Sur le fond, il (ou elle) aura raison. Après il y a la théorie et la pratique... Car dans la réalité mettre des firewalls partout en coupure n'est pas toujours faisable pour plein de raisons.

un bras c'est mieux que pas de bras !

Parmi les raisons qui motivent (ou expliquent) de bypasser un firewall on va retrouver :

  • les performances du firewall ne sont pas à la hauteur (il y en a des gros et puissants mais ils coûtent souvent des fortunes...)
  • ou alors le firewall ne sait pas gérer correctement les flux (genre des flux voix VoIP en RTP utilisant des ports dynamiques...)

Donc des fois, il arrive que l'on retienne un déploiement en mode "one-arm" (le firewall à "un bras") et c'est au niveau de la couche de routage ou de commutation qu'une sélection de 1er niveau va être effectuée (c'est-à-dire définir ce qui devra passer ou non via le firewall).

Le routeur ou le switch va donc devenir un élément important de la gestion du périmètre sécurité : Il devra donc être intégré comme tel dans la politique de sécurité et géré comme tel. Si ce n'est pas le cas, alors ça craint... Car le risque est le que le firewall soit totalement bypassé : méfiance et vigilance seront donc de mise.

un firewall à un bras (one-arm firewall) : bullshit y'en a quand même deux !

On peut se dire qu'à minima un firewall doit avoir deux "pattes/bras"... et ben non. Les firewalls à "une patte" ca existe, même si c'est un peu un abus de langage (ou plutôt un "flou" entre le monde physique et logiciel pour être précis).

Et oui, en fait un "one-arm firewall" ne le sera que pour des architectes : en réalité on retrouvera deux pattes (une pour les flux "'entrants" et une autre pour les flux sortants). Il faut donc comprendre que le "one-arm firewall" est un terme à prendre au 2nd degré. L'important est de bien garder présent à l'esprit que le switch (ou le routeur) sur lequel le firewall est connecté fait partie intégrante de la politique de gestion des flux

Jean-François

2 commentaires

  • 2 Mai, 2012
    2012-05-02
    par
    Salut Daniel.
    Effectivement, les déploiements de load-balancers sont souvent mis en mode "one-arm" surtout quand les flux ne sont pas tous à load-balancer... Au même titre que les switchs ou routeurs, un tel load-balancer est donc partie prenante de la politique de sécurité globale. Merci pour cette précision qui qui vient enrichir le débat !
    JF.
  • 2 Mai, 2012
    2012-05-02
    par
    Daniel
    Le vrai "one-arm" Firewall pourrait être celui qui fait du "NAT on a stick"... mais c'est assez rare de voir ça. On peut (presque) toujours réaliser une configuration propre.
    D'autre part, si on considère que certains load-balancers (parfois en mode reverse-proxy) participent aussi à la sécurité, il n'est pas rare de les exploiter en mode "one-arm".

ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.