Différences entre WAF et pare-feu réseau

À l’ère moderne des cyberattaques sophistiquées et de l’innovation numérique, il est essentiel pour les entreprises de comprendre les menaces auxquelles elles sont confrontées et ce contre quoi leurs défenses de sécurité les protègent. C’est particulièrement le cas avec les pare-feux, car les pare-feux applicatifs Web et les pare-feux réseau protègent les organisations contre différents types d’attaques. Il est donc important de comprendre comment un pare-feu réseau est différent d’un pare-feu applicatif Web, et comment prévenir les attaques Web et les attaques réseau plus larges.

Traditionnellement, les entreprises ont protégé leurs données et leurs utilisateurs avec des pare-feux réseau, qui manquent de flexibilité et de transparence pour se protéger contre les menaces de sécurité modernes. Mais l’essor des solutions BYOD (Bring Your Own Device), cloud public et SaaS (Software-as-a-Service) implique qu’elles ajoutent un pare-feu applicatif Web (WAF) à leur stratégie de sécurité. Cela augmente la protection contre les attaques visant les applications Web, qui sont stockées sur un serveur distant, délivrées sur Internet via une interface de navigateur et constituent des cibles attrayantes pour les hackers.

Un WAF informatique protège les applications Web en ciblant le trafic HTTP (Hypertext Transfer Protocol). Il diffère d’un pare-feu informatique standard, qui fournit une barrière entre le trafic réseau externe et interne.

Un WAF informatique se situe entre les utilisateurs externes et les applications Web pour analyser toutes les communications HTTP. Il détecte et bloque ensuite les demandes malveillantes avant qu’elles n’atteignent les utilisateurs ou les applications Web. Par conséquent, les WAF sécurisent les applications Web et les serveurs Web stratégiques contre les menaces zero-day et autres attaques sur la couche applicative. Cela est de plus en plus important à mesure que les entreprises évoluent en de nouvelles initiatives numériques, ce qui peut laisser de nouvelles applications Web et de nouvelles interfaces de programmation d’applications (API) vulnérables aux attaques.

Un pare-feu réseau protège un LAN sécurisé contre tout accès non autorisé afin d’empêcher le risque d’attaques. Son objectif principal est de créer une zone sécurisée séparée d’une zone moins sécurisée et de contrôler les communications entre les deux. Sans cela, tout ordinateur doté d’une adresse IP (Internet Protocol) publique est accessible en dehors du réseau et peut être exposé à un risque d’attaque.

Les pare-feux réseau traditionnels neutralisent ou empêchent l’accès non autorisé aux réseaux privés. Les règles de pare-feu informatique définissent le trafic autorisé sur le réseau, et toutes les autres tentatives d’accès sont bloquées. Parmi les exemples de trafic réseau bloqué : les utilisateurs non autorisés et les attaques provenant d’utilisateurs ou de dispositifs situés dans des zones moins sécurisées.

Un WAF informatique cible spécifiquement le trafic applicatif. Il protège le trafic HTTP et HTTPS (Hypertext Transfer Protocol Secure) et les applications dans les zones Internet du réseau. Cela protège les entreprises contre les menaces telles que les attaques XSS (Cross-site scripting), les attaques par DDoS et les attaques par injection SQL.

La principale différence technique entre le pare-feu au niveau de l’application et le pare-feu au niveau du réseau est la couche de sécurité sur laquelle ils opèrent. Celles-ci sont définies par le modèle d’interconnexion des systèmes ouverts (OSI), qui caractérise et normalise les fonctions de communication au sein des systèmes informatiques et de télécommunication. 

Les WAF protègent des attaques sur la couche 7 du modèle OSI, qui est le niveau applicatif. Cela inclut les attaques contre des applications telles qu’Ajax, ActiveX et JavaScript, ainsi que la manipulation des cookies, l’injection SQL et les attaques par URL. Ils ciblent également les protocoles d’application Web HTTP et HTTPS, qui sont utilisés pour connecter les navigateurs Web et les serveurs Web. 

Par exemple, une attaque DDoS de couche 7 envoie une saturation de trafic à la couche du serveur où les pages Web sont générées et livrées en réponse aux demandes HTTP. Un WAF informatique neutralise cela en agissant comme un proxy inverse qui protège le serveur ciblé du trafic malveillant et filtre les demandes pour identifier l’utilisation des outils DDoS. 

Les pare-feux réseau fonctionnent sur les couches 3 et 4 du modèle OSI, qui protègent le transfert de données et le trafic réseau. Cela inclut les attaques contre le DNS (Domain Name System) et le protocole FTP (File Transfer Protocol), ainsi que le protocole SMTP (Simple Mail Transfer Protocol), SSH (Secure Shell) et Telnet.

Les solutions WAF informatiques protègent les entreprises contre les attaques Web ciblant les applications. Sans pare-feu applicatif, les hackers pourraient infiltrer le réseau plus large à travers les vulnérabilités des applications Web. Les WAF protègent les entreprises des attaques Web courantes telles que :

• Le déni de service direct : tentative de perturber un réseau, un service ou un serveur en le submergeant par une saturation du trafic Internet. Cette attaque vise à épuiser les ressources de sa cible et peut être difficile à défendre, car le trafic n’est pas toujours manifestement malveillant.
• L’injection SQL : type d’attaque par injection qui permet aux hackers d’exécuter des instructions SQL malveillantes, qui contrôlent le serveur de base de données derrière une application Web. Cela permet aux assaillants de contourner l’authentification et l’autorisation de pages Web et de récupérer le contenu de la base de données SQL, puis d’ajouter, de modifier et de supprimer ses enregistrements. Les cybercriminels peuvent utiliser une injection SQL pour accéder aux informations des clients, aux données personnelles et à la propriété intellectuelle. Ce type d’attaque a été cité comme la première menace pour la sécurité des applications Web dans le Top 10 OWASP en 2017.
• Le XSS : vulnérabilité de sécurité Web qui permet aux assaillants de compromettre les interactions des utilisateurs avec les applications. Elle permet à l’assaillant de contourner la règle de même origine, qui sépare différents sites Web. Par conséquent, l’assaillant peut se faire passer pour un véritable utilisateur et accéder aux données et ressources pour lesquelles il a l’autorisation. 

Les pare-feux réseau protègent contre les accès non autorisés et le trafic entrant et sortant du réseau. Ils protègent contre les attaques à l’échelle du réseau visant les dispositifs et les systèmes qui se connectent à Internet. Les exemples d’attaques de réseau fréquemment utilisées comprennent :

• L’accès non autorisé : assaillants accédant à un réseau sans autorisation. Cela se fait généralement grâce au vol d’identifiants et à des comptes compromis à la suite de l’utilisation de mots de passe faibles, à l’ingénierie sociale et aux menaces internes.
• Les attaques MITM (Man-in-the-middle) : les assaillants interceptent le trafic entre le réseau et les sites externes ou au sein du réseau lui-même. Cela est souvent le résultat de protocoles de communication non sécurisés permettant aux assaillants de voler des données lors de la transmission, puis d’obtenir des identifiants d’utilisateur et de détourner des comptes d’utilisateur.
• L’escalade de privilèges : les assaillants accèdent à un réseau, puis utilisent l’escalade de privilèges pour étendre leur portée plus profondément dans le système. Ils peuvent le faire horizontalement, en obtenant l’accès à des systèmes adjacents, ou verticalement en obtenant des privilèges plus élevés au sein du même système.

Les pare-feux réseau standard et les WAF protègent contre différents types de menaces, il est donc essentiel de choisir le bon type de pare-feu. Un pare-feu réseau seul ne protégera pas les entreprises contre les attaques visant les pages Web, qui ne peuvent être évitées que grâce aux capacités WAF. Par conséquent, sans pare-feu applicatif, les entreprises pourraient exposer leur réseau aux attaques en raison des vulnérabilités des applications Web. Cependant, un WAF informatique ne peut pas protéger contre les attaques au niveau de la couche réseau, il doit donc venir en complément d’un pare-feu réseau plutôt que de le remplacer. 

Les solutions Web et réseau fonctionnent sur différentes couches et protègent contre différents types de trafic. Ainsi, plutôt que de se concurrencer, ils se complètent. Un pare-feu réseau protège généralement un plus large éventail de types de trafic, tandis qu’un WAF informatique traite une menace spécifique que l’approche traditionnelle ne peut pas couvrir. Il est donc conseillé d’avoir les deux solutions, en particulier si les systèmes d’exploitation d’une entreprise fonctionnent en étroite collaboration avec le Web.

Plutôt que de sélectionner l’un ou l’autre, la difficulté consiste à sélectionner le système WAF qui convient le mieux aux besoins de l’entreprise. Le WAF doit disposer d’un accélérateur matériel, doit surveiller le trafic et bloquer les tentatives malveillantes, être hautement disponible et évolutif pour maintenir les performances à mesure que l’entreprise se développe.

L’achat de produits de pare-feu distincts pour protéger chaque couche de sécurité est coûteux et peu commode. Cela conduit les entreprises à chercher des solutions complètes comme les pare-feux informatiques nouvelle génération (NGFW).  Les NGFW combinent généralement les capacités des pare-feux réseau et des WAF dans un système géré de manière centralisée. Ils fournissent également un contexte supplémentaire aux règles de sécurité, ce qui est essentiel pour protéger les entreprises contre les menaces de sécurité modernes. 

Les NGFW sont des systèmes contextuels qui utilisent des informations telles que l’identité, l’heure et l’emplacement pour confirmer qu’un utilisateur est bien celui qu’il prétend être. Ces renseignements supplémentaires permettent aux entreprises de prendre des décisions plus éclairées et plus intelligentes concernant l’accès des utilisateurs. Ces solutions comprennent également des fonctionnalités telles qu’un antivirus, un antimalware, des systèmes de prévention des intrusions et le filtrage des URL. Cela simplifie et améliore l’efficacité des règles de sécurité face aux menaces de plus en plus sophistiquées auxquelles les entreprises sont confrontées.

Disposer d’une vue complète de la sécurité numérique est souvent plus facile et plus rentable. Cependant, il est essentiel de s’assurer qu’un NGFW couvre bien toutes les bases de la protection des applications réseau et Web. Les WAF jouent un rôle spécifique dans la protection des applications Web contre l’injection de code, la signature de cookies, les pages d’erreur personnalisées, la falsification de demande et le chiffrement d’URL. Il peut donc être nécessaire d’utiliser un NGFW en conjonction avec un WAF informatique dédié comme FortiWeb.

Fortinet protège les applications Web contre les attaques exploitant les vulnérabilités connues et inconnues. Notre solution FortiWeb suit l’évolution rapide des applications Web des entreprises pour s’assurer qu’elles restent protégées chaque fois qu’elles déploient de nouvelles fonctionnalités, exposent de nouvelles API Web et mettent à jour les API existantes.

FortiWeb fournit une protection complète pour prémunir les entreprises contre toutes les menaces de sécurité, de la protection contre les DDoS et la validation de protocole aux signatures d’attaques d’applications, la neutralisation des bots et la réputation IP. Elle utilise également le Machine Learning pour créer et alimenter un modèle qui identifie les comportements utilisateurs considérés comme légitimes. Ce même modèle détecte également le trafic malveillant bien plus rapidement que la plupart des outils WAF qui exigent des processus manuels.

Pour plus d’informations sur l’approche de Fortinet en matière de pare-feu réseau par rapport au WAF, lisez notre note d’information sur le WAF et l’IPS.