Le réseau Internet est souvent utilisé pour réaliser l'interconnexion permanente de sites distants. Cette interconnexion est sécurisée par l’installation de réseaux virtuels privés : les "VPN" (pour "Virtual Private Network"). Mais quel protocole utiliser pour son VPN, et pourquoi une fonction de firewall positionnée derrière le boitier VPN peut offrir un meilleur niveau de sécurité ? Le Professeur Audenard vous explique.
quel protocole pour son VPN : IPSEC ou bien SSL ?
Cela dépend du contexte. Dans le cas d’interconnexions permanentes entre des sites distants, on utilise très souvent le protocole IPSEC. En revanche, les connexions temporaires depuis une tablette ou un ordinateur portable induisent l’utilisation du protocole SSL. Mais il ne s’agit pas d’une règle établie. Le choix de protocole est notamment lié aux contraintes techniques et aux habitudes du responsable de la mise en œuvre.
filtrer les flux au sein du tunnel VPN
Une connexion VPN entre deux sites permet de faire passer des flux de données sécurisés via des algorithmes de chiffrement (AES, ...). Un firewall positionné devant le boitier VPN peut vérifier la nature du flux (IPSEC ou SSL) mais reste inefficace pour l’analyse des échanges chiffrés. De même, un boitier de détection d'intrusion (IPS ou IDS) serait totalement aveugle, laissant passer les attaques transitant dans le tunnel VPN.
C'est pourquoi, un firewall doit se positionner derrière le boitier VPN. Il sera alors en mesure de bloquer des communications non-autorisées entre deux sites. De même, un IPS ou un IDS situé derrière le boitier VPN saura analyser les flux déchiffrés pour bloquer ces éventuelles attaques.
détails de mise en œuvre
Certains systèmes proposent ces deux fonctions intégrée (VPN + Firewall). Cependant, elles peuvent être séparées pour répartir la charge de traitement et éviter que les fonctions de VPN ne viennent dégrader les performances du firewall (ou l'inverse).
Notez que ce filtrage est souvent inexistant pour les interconnexions entre des sites d'une même entreprise. C'est bien dommage car il permet de renforcer le niveau de sécurité global d'un réseau d'entreprise.
Dans le prochain épisode des 5 minutes du Prof Audenard, je vous dirais tout sur le "firewall statefull".
A bientôt.
Jean-François (Jeff) Audenard
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens