La plupart des entreprises ont déjà installé des produits de périmètre comme des pare-feu classiques et des systèmes de détection d'intrusion (IDS, intrusion detection systems) comme couches de sécurité supplémentaires. Les pare-feu classiques fonctionnent au niveau TCP/IP et n'inspectent que les en-têtes de TCP, IP, UDP et autres protocoles au
Pare-feu de contenu : La sécurité en profondeur
niveau réseau pour déterminer
les paquets à autoriser ou à
refuser. Par conséquent, les pare-feu
classiques ne bloquent l’accès qu’à certains
ports et à certaines adresses IP
parce que ce genre d’information est le
seul disponible dans l’en-tête. Si vous
voulez protéger les données qui entrent
dans votre système ou en sortent,
il faut des pare-feu basés sur le réseau
et le contenu, qui inspectent la totalité
du paquets, y compris le chargement
utile de données, pour déterminer si
une requête est autorisée. Un pare-feu
classique n’inspecte qu’environ 10 % d’un paquet normal, comme le montre
la figure 1, tandis qu’un pare-feu de
contenu inspecte en principe beaucoup
plus d’informations – presque
100 % du contenu du paquet – pour
prendre sa décision d’acceptation ou
de rejet.
Comme les pare-feu de contenu
inspectent la charge utile de données,
on peut les utiliser pour appliquer des
stratégies de sécurité fondées sur des
règles de gestion et des concepts sémantiques.
Cette approche de la sécurité
est bien plus puissante que le seul
blocage des ports et des adresses IP.
On aurait pu empêcher un pirate d’injecter
une chaîne DROP TABLE customers
comme argument dans la procédure
stockée sp_update-company_
customers, en utilisant un pare-feu
XML ou SQL chargé d’inspecter le
contenu du paquet. Il existe beaucoup
d’autres genres de pare-feu de
contenu, selon le protocole que les requêtes
utilisent.
Un pare-feu XML inspecte les paquets
reçus par l’intermédiaire du serveur
Web et extrait des fragments XML,
en analysant le XML dans les fragments
et en appliquant les règles de sécurité
que vous avez établies d’après les éléments,
l’information de frappe et les
données à l’intérieur des tags. Les
pare-feu de contenu se situent sur la
même ligne que les flux de communication
qu’ils contrôlent. Par exemple,
les pare-feu SQL s’insèrent entre le serveur
d’applications et le serveur de
base de données, comme le montre la
figure 2. Dans cette figure, le code applicatif
fonctionnant dans le serveur
d’applications se connecte à la base de
données pas seulement par l’intermédiaire
d’un pare-feu classique qui fait
partie de la DMZ (demilitarized zone)
mais aussi au travers d’un pare-feu
SQL. Le principal rôle du pare-feu SQL
est de protéger le bien le plus précieux
de la plupart des entreprises : les données
applicatives stockées dans la base
de données. Comme les pare-feu XML,
les pare-feu SQL pratiquent l’inspection
au niveau du contenu, mais ils inspectent
le code SQL qui accède à la
base de données et la modifie, plutôt
que les messages qui entrent dans le
serveur Web.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
