WEBVTT 00:00.660 --> 00:02.700 Formateur : Bien que les routeurs puissent utiliser les 00:02.700 --> 00:05.280 listes de contrôle d'accès pour assurer un certain filtrage de la protection 00:05.280 --> 00:08.100 de nos réseaux, c'est un dispositif spécialisé, appelé pare-feu, qui excelle 00:08.100 --> 00:10.680 dans l'utilisation des listes de contrôle d'accès. 00:10.680 --> 00:13.230 Les listes de contrôle d'accès sont très importantes 00:13.230 --> 00:14.820 pour sécuriser nos réseaux contre 00:14.820 --> 00:16.440 le trafic indésirable. 00:16.440 --> 00:17.820 Une grande partie des déclarations 00:17.820 --> 00:20.520 d'autorisation et de refus que nous utilisons dans nos listes de 00:20.520 --> 00:23.430 contrôle d'accès sont basées sur les numéros de port, car ceux-ci sont 00:23.430 --> 00:26.130 directement liés à une application ou à un service que nous souhaitons 00:26.130 --> 00:27.540 autoriser ou bloquer. 00:27.540 --> 00:30.270 Les listes de contrôle d'accès (ACL) sont des ensembles de règles 00:30.270 --> 00:32.400 placées sur les pare-feu, les routeurs et d'autres 00:32.400 --> 00:34.800 dispositifs d'infrastructure réseau qui autorisent ou 00:34.800 --> 00:37.380 non le trafic à travers une interface particulière. 00:37.380 --> 00:39.210 Ces ensembles de règles contrôleront le 00:39.210 --> 00:41.610 flux de trafic entrant ou sortant de nos réseaux. 00:41.610 --> 00:44.490 Pour configurer la liste de contrôle d'accès sur nos pare-feux, 00:44.490 --> 00:46.620 nous allons utiliser soit une interface web, soit 00:46.620 --> 00:49.140 une interface de ligne de commande textuelle. 00:49.140 --> 00:50.760 Lors de la configuration de ces ACL, il 00:50.760 --> 00:52.500 est important de se rappeler que l'ordre 00:52.500 --> 00:54.483 dans lequel elles sont énumérées spécifie l'ordre 00:54.483 --> 00:57.780 des actions qui sont prises sur un élément particulier du trafic. 00:57.780 --> 01:00.540 Les actions sont toujours effectuées de haut en bas à l'intérieur 01:00.540 --> 01:02.280 d'une liste de contrôle d'accès. 01:02.280 --> 01:04.320 Le trafic est comparé à la première règle, 01:04.320 --> 01:06.180 et s'il correspond aux conditions de l'action 01:06.180 --> 01:08.160 à appliquer, celle-ci sera exécutée, et 01:08.160 --> 01:10.470 aucune autre ACL ne sera vérifiée. 01:10.470 --> 01:11.310 C'est pourquoi les 01:11.310 --> 01:13.590 règles les plus spécifiques doivent toujours être 01:13.590 --> 01:14.820 placées en tête de liste, les 01:14.820 --> 01:17.730 règles plus génériques étant placées en fin de liste. 01:17.730 --> 01:20.040 Désormais, les routeurs peuvent assurer une sécurité de base à l'aide 01:20.040 --> 01:22.530 de ces listes de contrôle d'accès et de ces règles de filtrage. 01:22.530 --> 01:24.870 Mais ce sont nos pare-feu de réseau qui sont le 01:24.870 --> 01:26.130 plus souvent utilisés pour 01:26.130 --> 01:29.670 la sécurité du réseau et le blocage et l'autorisation en bloc. 01:29.670 --> 01:31.890 Les pare-feu peuvent être des appareils matériels 01:31.890 --> 01:34.860 ou des logiciels spécialisés installés sur un client ou un serveur 01:34.860 --> 01:36.540 pour remplir cette fonction. 01:36.540 --> 01:38.910 Le rôle principal d'un pare-feu est d'inspecter et de 01:38.910 --> 01:40.590 contrôler le trafic qui tente d'entrer 01:40.590 --> 01:42.450 ou de sortir des limites d'un réseau. 01:42.450 --> 01:44.340 Il existe de nombreux types de pare-feu, notamment 01:44.340 --> 01:47.430 les pare-feu à filtrage de paquets, les pare-feu avec état, les pare-feu proxy, 01:47.430 --> 01:51.180 les pare-feu à filtrage dynamique de paquets et les pare-feu proxy du noyau. 01:51.180 --> 01:53.880 Chaque type de pare-feu se concentre sur une inspection 01:53.880 --> 01:56.370 plus ou moins approfondie du trafic. 01:56.370 --> 01:58.890 Comme pour tout ce qui concerne la sécurité des réseaux, il 01:58.890 --> 02:01.230 y aura un compromis sur les performances en fonction de 02:01.230 --> 02:02.700 la profondeur de l'inspection. 02:02.700 --> 02:05.070 Si un pare-feu effectue une inspection plus approfondie, 02:05.070 --> 02:07.470 l'appareil peut atteindre un débit aussi élevé, car 02:07.470 --> 02:10.080 il lui faudra plus de temps pour passer en revue chacune de 02:10.080 --> 02:12.990 ces règles ACL et inspecter chacun de ces paquets. 02:12.990 --> 02:15.390 Cela peut avoir un impact négatif sur l'efficacité de notre 02:15.390 --> 02:17.400 réseau et augmenter la latence du réseau. 02:17.400 --> 02:20.370 Aujourd'hui, parce que les pare-feu font partie intégrante des dispositifs 02:20.370 --> 02:22.890 de sécurité de nos réseaux, ils évoluent constamment pour nous offrir 02:22.890 --> 02:25.620 de meilleures fonctionnalités et une plus grande sécurité. 02:25.620 --> 02:27.780 Il est important de noter que de nombreuses 02:27.780 --> 02:29.070 organisations ont migré 02:29.070 --> 02:32.400 vers un pare-feu de gestion unifiée des menaces (UTM). 02:32.400 --> 02:34.950 Les dispositifs de gestion unifiée des menaces permettent de 02:34.950 --> 02:37.110 réaliser de nombreuses fonctions de sécurité au sein 02:37.110 --> 02:39.420 d'un seul dispositif ou d'une seule appliance réseau. 02:39.420 --> 02:41.340 Ces dispositifs intègrent les fonctionnalités 02:41.340 --> 02:44.580 de plusieurs dispositifs spécialisés, tels que les pare-feu de réseau, les 02:44.580 --> 02:47.550 systèmes de prévention des intrusions de réseau, les antivirus et antispam 02:47.550 --> 02:50.820 de passerelle, la concentration des réseaux privés virtuels, le filtrage de 02:50.820 --> 02:54.360 contenu, l'équilibrage de la charge et la prévention de la perte de données, le tout 02:54.360 --> 02:56.970 au sein d'un seul et même appareil de réseau. 02:56.970 --> 02:58.890 Ces dispositifs de gestion unifiée des menaces présentent 02:58.890 --> 03:00.390 également de nombreux avantages, tels que 03:00.390 --> 03:02.130 la réduction du nombre de dispositifs que les techniciens 03:02.130 --> 03:05.130 doivent apprendre à connaître, utiliser et entretenir. 03:05.130 --> 03:07.020 Cela peut contribuer à réduire le coût global 03:07.020 --> 03:08.460 de la mise en place de ces protections, 03:08.460 --> 03:11.070 mais il y aura toujours des inconvénients. 03:11.070 --> 03:11.910 Le principal problème 03:11.910 --> 03:15.210 des dispositifs UTM est qu'ils constituent un point de défaillance unique. 03:15.210 --> 03:16.980 Si le dispositif tombe en panne, par exemple, 03:16.980 --> 03:18.930 nous ne perdons plus seulement notre pare-feu. 03:18.930 --> 03:21.300 Nous perdons maintenant notre pare-feu, notre antivirus, 03:21.300 --> 03:24.060 notre système de prévention des intrusions, etc. 03:24.060 --> 03:25.890 L'ensemble de notre système de sécurité peut être regroupé 03:25.890 --> 03:28.200 dans ce seul dispositif, ce qui signifie que si nous le perdons, nous 03:28.200 --> 03:30.300 perdons l'ensemble de notre système de sécurité. 03:30.300 --> 03:32.520 Notre organisation doit donc prendre en compte 03:32.520 --> 03:34.860 les avantages et les inconvénients de la gestion 03:34.860 --> 03:37.440 unifiée des menaces avant de décider de l'intégrer 03:37.440 --> 03:39.210 dans son architecture. 03:39.210 --> 03:42.870 Parmi les avantages de l'utilisation d'un UTM, citons la réduction des coûts initiaux, de la maintenance 03:42.870 --> 03:44.580 et de la consommation d'énergie. 03:44.580 --> 03:46.140 Toutes ces fonctions sont regroupées 03:46.140 --> 03:48.180 dans un seul appareil monté en rack. 03:48.180 --> 03:50.370 Ils seront également plus faciles à installer et à configurer 03:50.370 --> 03:53.580 que s'il fallait installer plusieurs dispositifs pour chaque fonction. 03:53.580 --> 03:55.230 De plus, ils peuvent être entièrement intégrés, 03:55.230 --> 03:57.090 ce qui présente également de nombreux avantages. 03:57.090 --> 03:59.040 L'inconvénient majeur est qu'ils constituent 03:59.040 --> 04:00.300 un point de défaillance unique, 04:00.300 --> 04:02.250 qu'ils manquent souvent des détails fournis 04:02.250 --> 04:03.660 par un outil plus spécialisé et 04:03.660 --> 04:06.840 que leurs performances ne sont souvent pas aussi efficaces que celles 04:06.840 --> 04:09.090 d'un dispositif à fonction unique. 04:09.090 --> 04:11.640 Si les dispositifs UTM fonctionnent bien pour la plupart, ils utilisent 04:11.640 --> 04:13.860 des moteurs individuels distincts pour chaque fonction 04:13.860 --> 04:15.870 qu'ils tentent d'exécuter dans le cadre de leurs inspections 04:15.870 --> 04:17.490 de sécurité. 04:17.490 --> 04:19.590 En revanche, lorsque vous utilisez un pare-feu de nouvelle 04:19.590 --> 04:22.110 génération, vous utilisez un seul moteur plus efficace. 04:22.110 --> 04:23.430 Par conséquent, si la vitesse et l'efficacité 04:23.430 --> 04:25.470 du réseau sont les principales préoccupations de votre 04:25.470 --> 04:26.640 entreprise, vous devriez envisager 04:26.640 --> 04:29.250 d'utiliser un pare-feu de nouvelle génération plutôt qu'un dispositif 04:29.250 --> 04:32.010 de gestion unifiée des menaces. 04:32.010 --> 04:33.870 Si votre organisation opte pour un dispositif 04:33.870 --> 04:35.790 de gestion unifiée des menaces, vous le placerez 04:35.790 --> 04:37.680 entre votre réseau local et la connexion 04:37.680 --> 04:39.240 à l'internet, comme s'il s'agissait 04:39.240 --> 04:42.630 d'un pare-feu dans une configuration en ligne. 04:42.630 --> 04:44.880 Comme vous pouvez le constater, il existe un grand nombre de choix 04:44.880 --> 04:46.710 différents en matière de pare-feu lorsque vous concevez 04:46.710 --> 04:48.363 l'architecture de votre réseau.