Le filtrage de paquets

La démarche classique est toujours d'examiner les paquets reçus (datagrammes) pour vérifier leur légitimité :

• adresse IP de l'émetteur,
• adresse IP du récepteur,
• numéro de port accédé,
• type de paquet (TCP, UDP, ...).

La passerelle applicative

Plus rigide, donc plus efficace, mais plus difficile à mettre en oeuvre, le filtrage applicatif surveille le trafic application par application.

Méthode stateful

Les différentes techniques stateful surveillent le trafic relatif à une session. Pour cela, le firewall gère en mémoire une table des différentes sessions actives à un moment donné. Lorsque le paquet n'est pas attribuable à une session connue, il fait l'objet d'un examen approfondi.
Il est dès lors plus difficile pour un hacker de s'immiscer dans le trafic et de se faire passer pour l'un des interlocuteurs (voir le Dossier Sécurité logique - Intrusions : firewall, proxy.).
CheckPoint a proposé le premier système de ce type et déposé le nom Stateful Inspection.

Deep inspection

L'une des techniques d'intrusion consiste à envoyer des paquets aberrants qui perturbent le fonctionnement des systèmes de contrôle. L'une d'elles consiste, par exemple, à envoyer des paquets ou des éléments de paquet trop longs ou trop nombreux, ce qui permet souvent d'écrire dans une endroit non prévu des mémoires des machines (buffer overflow).
La Deep Inspection, introduite par Netscreen, ajoute à une technologie stateful, la vérification de la conformité des paquets aux différentes et nombreuses normes (http, FTP, SMTP, DNS , IMAP..), permettant ainsi d'assurer la protection contre plus de 250 attaques au niveau des applications et contre des déviations de protocole ciblant les principaux services Internet, tels que les ressources liées au Web, au courrier électronique et au transfert de fichiers.

VPN

Le VPN, qui emprunte les voies publiques d'Internet pour relier deux sites de l'entreprise, constitue bien sûr un risque potentiel majeur.
Les dangers sont de 3 types :

• accéder directement aux applications de l'entreprise comme un site ou un salarié distant,
• accéder aux données des postes nomades,
• utiliser la connexion VPN, pirater un poste nomade et se faire passer pour lui pour pénétrer dans l'entreprise malgré les dispositifs de sécurité.

Le premier danger est généralement combattu par les systèmes de défense classiques (firewall, identification...). Le second, plus courant, est lui aussi combattu par des méthodes classiques et ne représente pas un enjeu de taille (seules les données individuelles sont menacées).
Il en est autrement pour l'attaque sophistiquée, improbable mais dangereuse via un poste client. C'est pourquoi des solutions simples à mettre en oeuvre permettent maintenant de protéger les sites individuels ou de petite taille avec des dispositifs aussi performants que les réseaux d'entreprise (Check Point VPN-1 Edge par ex.).