Pare-feu basé sur le réseau vs pare-feu basé sur l’hôte-Discussion et comparaison
Un « pare-feu » est l’un des dispositifs de sécurité informatique et réseau les plus populaires que les professionnels utilisent pour protéger les actifs et les réseaux informatiques de leur entreprise.
Comme une porte coupe-feu dans les bâtiments qui protège les pièces d’un éventuel incendie et arrête la propagation des flammes dans le bâtiment, le pare-feu de sécurité a une fonction similaire pour empêcher les paquets et le trafic malveillants de pénétrer et de nuire à vos actifs informatiques protégés.
Dans ce site Web, j’ai écrit des centaines d’articles autour des pare-feu Cisco ASA, qui représentent un exemple classique de pare-feu matériel basé sur le réseau.
Cependant, il existe également d’autres types de pare-feu, tels que les pare-feu basés sur l’hôte, que nous allons également discuter et comparer dans ce post.
Qu’est-ce qu’un pare-feu basé sur le réseau
Comme son nom l’indique, ce type de pare-feu est principalement utilisé pour protéger des réseaux informatiques entiers contre les attaques et aussi pour contrôler le trafic réseau afin que seuls les paquets autorisés puissent atteindre vos serveurs et vos actifs informatiques.
L’image ci-dessus montre plusieurs pare-feu Cisco ASA basés sur le réseau. Comme vous pouvez le voir, il s’agit de dispositifs matériels contenant plusieurs ports Ethernet pour se connecter à un réseau (allant des PME aux grands réseaux d’entreprise).
Ces ports sont généralement des ports 1 Gbps avec des connecteurs électriques RJ45 mais vous pouvez également trouver des ports optiques (par exemple des ports de vitesse 1 Gbps, 10 Gbps, etc.) pour se connecter à des câbles à fibre optique pour des distances plus longues et une plus grande bande passante.
Les ports physiques d’un pare-feu réseau sont connectés à des commutateurs réseau afin de mettre en œuvre le pare-feu au sein du réseau LAN.
Dans sa forme la plus simple, vous pouvez connecter plusieurs ports physiques du pare-feu à différents commutateurs de réseau afin de fournir un accès contrôlé entre différents segments de réseau.
Le cas d’utilisation le plus populaire d’un pare-feu réseau est lorsqu’il est utilisé comme dispositif de frontière Internet pour protéger le réseau local d’une entreprise de l’Internet, comme le montre le schéma ci-dessous :
Le réseau ci-dessus est l’un des cas d’utilisation les plus populaires des pare-feu réseau tels qu’ils sont utilisés dans les réseaux d’entreprise. Comme vous pouvez le voir, un port du pare-feu est connecté au réseau Switch-1 qui accueille tous les périphériques clients LAN du réseau d’entreprise.
Un autre port physique du pare-feu est connecté à un réseau différent Switch-2 qui se connecte à un serveur Web.
Donc, dans le scénario ci-dessus, nous avons réussi à séparer le serveur Web accessible au public du reste du réseau d’entreprise via l’appliance de sécurité. Il s’agit d’une bonne pratique de sécurité car si le serveur Web est compromis par un pirate, il n’y aura pas d’accès au réseau interne sécurisé protégé.
Le pare-feu doit être configuré pour permettre le trafic d’Internet vers le serveur Web à un port TCP spécifique (port 443 pour HTTPs ou port 80 pour HTTP).
Tout autre trafic sera bloqué par le pare-feu (i.En outre, le pare-feu permettra également le trafic sortant du réseau d’entreprise vers Internet afin de fournir un accès Internet aux hôtes internes du réseau local.
Comme décrit dans le cas d’utilisation ci-dessus, le pare-feu réseau est responsable de l’autorisation ou du refus des paquets réseau entre les réseaux (en utilisant les règles d’accès des couches 3 et 4 de l’OSI). Il s’agit de la fonctionnalité la plus élémentaire du pare-feu.
Les dernières générations de pare-feu (appelées « pare-feu de nouvelle génération ») inspectent également le trafic au niveau de la couche application afin d’identifier le trafic malveillant et les attaques au niveau de l’application (par exemple, les virus, les tentatives d’intrusion, les attaques par injection SQL etc etc).
Qu’est-ce qu’un pare-feu basé sur l’hôte
Comme son nom l’indique, un pare-feu basé sur l’hôte est une application logicielle installée sur des ordinateurs ou des serveurs hôtes pour les protéger des attaques.
Bien que le réseau représenté ci-dessus ne soit pas recommandé dans des scénarios réels, il illustre comment un pare-feu basé sur l’hôte est utilisé.
Notez que la meilleure option serait de combiner à la fois un pare-feu réseau et des pare-feu basés sur l’hôte pour une meilleure protection en utilisant une approche en couches.
Le pare-feu basé sur l’hôte est directement installé comme logiciel sur l’hôte et contrôle le trafic entrant et sortant vers et depuis l’hôte spécifique.
Un exemple classique de pare-feu basé sur l’hôte est le pare-feu Windows qui vient par défaut dans tous les systèmes d’exploitation Windows.
Parce que ce type de protection est lié à l’hôte lui-même, cela signifie qu’il fournit une protection à l’hôte quel que soit le réseau auquel il est connecté.
Par exemple, si vous êtes connecté à votre réseau d’entreprise, vous êtes déjà protégé par votre pare-feu réseau. Maintenant, si vous prenez votre ordinateur portable avec un pare-feu basé sur l’hôte et que vous le connectez à un réseau WiFi externe, le pare-feu fournit toujours une protection à l’ordinateur.
De plus, certains pare-feu basés sur l’hôte fournissent également une protection contre les attaques d’applications. Puisque ce type de protection est installé sur l’hôte réel, il a une visibilité sur les applications et les processus en cours d’exécution sur l’hôte, donc le pare-feu peut protéger contre les logiciels malveillants qui tentent d’infecter le système.
Un point faible de ce type de pare-feu est qu’il peut être désactivé par un attaquant qui a réussi à obtenir un accès de niveau administrateur à l’hôte.
Si l’hôte est compromis par un pirate avec des privilèges d’administrateur, le pare-feu basé sur l’hôte peut être désactivé, ce qui est impossible à faire sur les pare-feu basés sur le réseau.
Comparaison entre les pare-feu basés sur le réseau et ceux basés sur l’hôte
Caractéristiques | Pare-feu réseau | Pare-feu hôte |
Placement | À l’intérieur du réseau (soit à la la frontière/le périmètre ou à l’intérieur du LAN) | Sur chaque hôte |
Matériel/Software | Périphérique matériel | Application logicielle |
Performance | Hautes performances (bande passante, connexions simultanées, etc) | Performances moindres (puisqu’il s’agit d’un logiciel) |
Niveau de protection | Protection du réseau plus protection au niveau de l’application (si vous utilisez le pare-feu de nouvelle génération) | Protection du réseau plus protection de l’application (sur certains modèles) |
Utilisation-cas | Principalement dans les réseaux d’entreprise | Aussi bien sur les ordinateurs personnels dans les réseaux domestiques que dans les réseaux d’entreprise comme protection supplémentaire sur les hôtes. |
Segmentation du réseau | Grande segmentation et contrôle au niveau du VLAN / couche 3 mais ne peut pas restreindre le trafic entre les hôtes dans le même VLAN | Grande micro-segmentation au niveau de l’hôte même si les hôtes appartiennent au même VLAN. |
Mobilité | Une fois que le pare-feu est mis en œuvre à l’intérieur du réseau, il est très difficile de le supprimer ou de le modifier. | Haute mobilité puisqu’il est lié à chaque hôte. |
Gestion | Peut être géré à partir d’un serveur central de gestion de pare-feu ou directement sur l’appliance elle-même | Difficile à gérer lorsque des centaines d’hôtes existent dans le réseau. |
Facile à contourner | Les pare-feu de réseau ne peuvent pas être contournés par les attaquants. | Facile à contourner. Si le pirate compromet l’hôte via un exploit, le pare-feu peut être désactivé par le pirate. |
.