> Sécurité > Pare-feu nouvelle génération et multiplication des sources de menaces

Pare-feu nouvelle génération et multiplication des sources de menaces

Sécurité - Par Florian Malecki - Publié le 27 octobre 2015
email

Une étude Dell révèle une recrudescence du trafic malveillant basé sur les protocoles HTTPS ainsi qu’une augmentation de 100 % des attaques des systèmes SCADA en 2014 par rapport à 2013, tandis que d’après Verizon, 700 millions de données auraient été compromises à travers le monde en 2014.

Pare-feu nouvelle génération et multiplication des sources de menaces

Le nombre, la sophistication et la diversité des menaces ne cessant de croître, la sécurité informatique se trouve pousser toujours davantage au cœur des décisions stratégiques des entreprises. Pour protéger efficacement leur réseau, les routeurs et switches embarquent des technologies et pare-feu permettant de répondre aux besoins en constante évolution des entreprises et aux exigences en termes de sécurité IT.   

Il est bien plus difficile de dimensionner à la hausse des dispositifs de sécurité que des routeurs ou des switches. Un routeur consulte l’adresse IP de destination uniquement, une valeur de longueur fixe de 32 ou 128 bits, tandis qu’un switch se fonde sur une adresse MAC d’une longueur fixe de 48 bits, par consultation de l’adresse MAC de destination et ajout de l’adresse MAC source à une table. En plus d’avoir une longueur fixe, ces valeurs figurent toujours à la même place d’une trame de données.

Les routeurs et les switches utilisent des puces de silicium depuis le début ; des puces sur mesure ont été conçues avec des transistors qui forment des portes logiques de type NAND (Non And, Non Et) ou OR (Ou). Ces portes logiques sont raccordées sur une puce. On appelle ces puces des circuits intégrés programmables (ASIC, Application Specific Integrated Circuits).

Un circuit ASIC de routeur et de switch est formé en logique câblée, comme le sont les composants électroniques d’un circuit intégré d’un vieux poste de télévision. Mais contrairement aux téléviseurs à tube cathodique, ces circuits ASIC traitent des données numériques. Ils extraient des adresses IP et MAC à très grande vitesse ou peuvent consulter des tables de routage et de transfert en temps réel. Par temps réel, il faut comprendre que le temps d’exécution d’une fonction est toujours le même, quel que soit le délai de chargement et d’exécution.

Les limites des circuits ASIC en termes de sécurité

Les circuits ASIC présentent quelques inconvénients : tout d’abord, une fois sortis d’usine, on ne peut plus les changer. Ensuite, le délai de développement d’un circuit ASIC est long. Les circuits ASIC sont simulés par logiciel mais ne peuvent être testés qu’une fois l’échantillon produit. Or cela coûte très cher de produire des échantillons, si bien que la phase de test du circuit ASIC par émulation logicielle avant même de produire le premier échantillon dure longtemps. Cela signifie que la technologie utilisée dans un circuit ASIC peut dater de deux ou trois ans avant que le circuit ASIC entre en production. Enfin, les coûts de développement de circuits ASIC sont si élevés qu’ils en deviennent dissuasifs pour la production de petits volumes et de versions évolutives. Le même circuit ASIC doit être amorti sur plusieurs années. Au moins cinq ans séparent deux générations de circuits ASIC, surtout pour ceux spécifiques aux produits d’un seul fabricant avec de petits volumes de production.

Si cette approche convient pour des routeurs et des switches qui n’évoluent pas tellement en dix ou vingt ans, sachant que les fournisseurs en produisent toujours aujourd’hui qui ont une durée de service supérieure à dix ans, elle ne peut pas s’appliquer au domaine de la sécurité où de nouvelles menaces surgissent chaque minute. Les cyberattaques ne s’embarrassent pas de longueur fixe ni de position fixe dans une trame de données. Pour quelque raison que ce soit, la RFC3514, proposant d’indiquer l’aspect malveillant des paquets IPv4 dans leur entête, n’a pas été majoritairement adopté par la communauté des experts informatiques.

La solution est donc d’utiliser des microprocesseurs. Les microprocesseurs sont totalement flexibles et peuvent être programmés dans une instance pour exécuter différentes tâches. Les premiers pare-feu étaient équipés de processeurs utilisés dans les technologies de bureau, Intel i386 et aussi PowerPC. Dans les premiers temps, les pare-feu étaient des extensions des routeurs ou switches. Les règles de sécurité correspondaient aux adresses IP source et de destination, à l’ID de protocole IP, et aux ports source et de destination des protocoles UDP et TCP ; des valeurs de longueur fixe qui figuraient toutes à la même place d’une trame de données. Ces processeurs génériques avaient beau être programmables, ils n’étaient pas rapides et, selon le système d’exploitation sur lequel ils tournaient, pas très prévisibles au niveau du timing. Les utilisateurs déploraient alors des effets notables de retard et de scintillement entre les paquets. Les fournisseurs de systèmes de sécurité se sont inspirés des routeurs et des switches et ont créé des circuits ASIC pour l’extraction de valeur, la consultation de table et la commutation de paquet. Du temps des pare-feu à inspection d’état (sateful), les systèmes équipés de circuits ASIC donnaient entière satisfaction.

La technologie de filtrage de paquet et d’inspection en profondeur des paquets

La fonction SPI (Stateful Packet Inspection) de filtrage de paquet traque l’état de connexion TCP entre un client et le socket d’un serveur. Un socket désigne la combinaison d’un protocole IP et d’un port. Les deux protocoles les plus fréquents sont UDP sans état et TCP avec état. L’inspection d’état contrôlait l’accès entre sockets, autrement dit entre les clients et les applications de serveurs. Le problème avec le filtrage de paquet avec état – SPI –  aujourd’hui est que le trafic utilise peu de sockets et que les clients ont besoin d’accéder à bien plus de serveurs. D’autres applications comme le partage de fichiers peer-to-peer (P2P) peuvent utiliser n’importe quel socket. Un client interne opère, par exemple, quasiment toutes ses connexions sur HTTP et HTTPS et a besoin d’accéder à tout l’Internet. De plus, une attaque malveillante peut emprunter une connexion légitime, comme dans le cas de la visite d’un site d’actualités de renom qui propose une bannière publicitaire où peut se cacher du code malveillant (waterholing).

Les technologies DPI (Deep Packet Inspection) d’inspection en profondeur des paquets circulant sur un réseau permettent de filtrer le flux des données entre un client et un serveur. Cette technique DPI peut identifier l’application indépendamment des sockets et peut rechercher du code malveillant dans le flux de données, ou catégoriser des applications et du contenu. Si le DPI était au départ une technologie complémentaire au SPI, il a depuis remplacé complètement la fonction SPI qui n’est plus efficace pour bloquer les menaces ou contrôler les flux de trafic.

Les pare-feu de nouvelle génération (NGFW, Next-Generation Firewall) embarquent la fonctionnalité DPI, et notamment les services courants d’identification de l’utilisateur, d’application et du contenu, ceux de prévention d’intrusion, d’antivirus de passerelle, de délimitation de périmètre de sécurité (geo fencing), de détection de botnet, de contrôle de la bande passante, etc. Le déchiffrement SSL au niveau du client est également de plus en plus important pour pouvoir examiner la charge utile du flux de données. Dans le sillage des derniers cas de divulgation des données confidentielles de sites Web, la tendance est à l’intensification du chiffrement et pourrait, selon certaines prévisions, concerner les deux tiers de tous les sites d’ici la fin de l’année prochaine.

L’inspection DPI n’est pas facilement applicable sur les puces en silicium, comme d’ailleurs les fonctions secondaires en général. Les systèmes DPI ont souvent recours à des coprocesseurs matériels pour les besoins de cryptage, de correspondances, de consultation de table et de framing. Les circuits ASIC sur-mesure créés spécifiquement pour tel fournisseur s’avèrent moins répandus aujourd’hui en raison du coût de développement prohibitif. Il arrive que les fournisseurs utilisent plutôt des puces programmables ou FPGA (Field Programmable Arrays) dont le cycle de développement est court mais avec des performances qui sont aussi nettement inférieures à celles d’un système ASIC, et qui présentent peu d’avantages par rapport aux processeurs multicœurs modernes. Les fournisseurs contraints d’utiliser des circuits ASIC optent pour une autre stratégie qui consiste à ajouter un cœur de microprocesseur à leur puce en silicium. Mais ces ajouts a posteriori ne délivrent pas des performances satisfaisantes pour une assurer une sécurité efficace.

Déployer une plateforme de sécurité sans lien avec les installations préexistantes

Pour résumer : l’inspection d’état (SPI) ne suffit plus à protéger efficacement un réseau. La technique DPI ne convient que pour certaines fonctions secondaires répétitives des circuits ASIC, mais le développement de circuit ASIC sur-mesure coûte cher avec des cycles d’amortissement sur plusieurs années. D’un autre côté, les processeurs de PC de bureau et de serveurs sont trop lents pour supporter l’inspection DPI au-delà de quelques Gbit/s. Ils reviennent cher également et consomment beaucoup d’énergie, ce qui empêche de les packager de façon dense, et a pour effet d’abaisser le seuil maximum de rendement du système. Afin de maintenir des performances optimales et délivrer des services de DPI (Deep Packet Inspection) et de DPI SSL de très haut niveau, certains constructeurs proposent désormais des solutions reposant sur des systems-on-a-chip (SoC) Cavium Octeon embarquant jusqu’à 32 cœurs individuels de type MIPS64.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Sécurité - Par Florian Malecki - Publié le 27 octobre 2015