Questions pour les experts : pare-feux industriels

Pour de nombreux ingénieurs en contrôle (moi y compris), le sujet de la sécurité dans les réseaux peut être difficile à comprendre. Beaucoup de ressources sont écrites pour les utilisateurs à domicile ou au bureau, et les situations sont tellement variées qu’il est impossible de donner des réponses simples et garanties aux questions.

Pour la question d’aujourd’hui, j’étais curieux de connaître la présence des pare-feux dans les équipements d’automatisation. Cela m’a conduit à chercher des explications auprès d’une équipe qui fournit toujours d’excellents conseils sur le monde informatique : OnLogic. J’ai posé mes questions, et ils m’ont donné de très bonnes réponses.

 

Présentation des pare-feux

Avant d’aborder les questions, une brève explication des pare-feux pourrait être utile, surtout si ce sujet est totalement nouveau pour vous.

Essentiellement, un pare-feu est un logiciel qui examine tout le trafic attaché à un réseau (comme votre connexion wifi ou Ethernet) pour choisir quels messages autoriser et lesquels bloquer. Différents réglages de pare-feu peuvent aboutir à des réseaux ultra-sécurisés où pratiquement aucun trafic n’est autorisé, mais, bien sûr, il est très difficile d’accéder aux appareils pour la programmation. À l’autre extrême, un réseau simple et non sécurisé peut être facile à dépanner avec n’importe quel ordinateur portable, mais cela peut entraîner d’énormes risques en cybersécurité.

Vous pouvez généralement faire confiance aux appareils de votre réseau, mais vous ne devriez vraiment faire confiance à rien dans le monde extérieur (le web) à moins que cela puisse être vérifié.

 

Figure 1. Le concept de base d’un pare-feu.

 

Mais il y a beaucoup d’autres questions : comment fonctionnent les pare-feux, comment sont-ils configurés, et où sont-ils installés ? Pour ces réponses et plus encore, je me suis tourné vers mes amis d’OnLogic pour obtenir les informations suivantes.

 

1) Y a-t-il une différence entre les pare-feux pour réseaux industriels et pour réseaux domestiques/bureaux ?

Un paquet réseau TCP/IP ou autre a le même format, quel que soit son environnement. Cependant, chaque environnement a certainement ses propres besoins.

Un réseau domestique nécessite souvent rien de plus que le pare-feu intégré dans un routeur câble/DSL/fibre, qui a généralement des règles par défaut qui se traduisent approximativement par : « laissez mon téléphone sur mon wifi domestique se connecter à Internet et recevoir les réponses et le trafic associé, mais ne laissez pas des inconnus sur Internet initier des connexions vers ma télévision connectée. »

Par ailleurs, un bureau de petite à moyenne taille peut avoir un seul appareil pare-feu qui bloque le trafic inattendu, tout en permettant aux employés de se connecter aux serveurs de fichiers, imprimantes et autres services de l’entreprise.

Une entreprise mondiale avec plusieurs bureaux, sites de production et centres de données peut avoir une segmentation beaucoup plus avancée et des VPN inter-sites, et héberger à la fois des sites web publics et privés. Pour ces besoins, plusieurs pare-feux doivent être configurés pour rejeter le trafic indésirable, tout en permettant toutes les interactions nécessaires. Cela se fait tout en enregistrant simultanément les événements réseau issus des systèmes de détection d’intrusion pour les audits et analyses, ainsi que d’autres fonctionnalités avancées. L’option de pare-feu choisie par chacun de ces exemples pourrait (et devrait probablement) être très différente.

 

2) Comment les pare-feux empêchent-ils exactement l’accès à un réseau ?

Au plus simple, un pare-feu est un appareil ou une application logicielle qui limite le flux du trafic réseau. La manière dont le filtrage est réalisé dépend du type de pare-feu.

Un pare-feu réseau traditionnel inspecte les adresses IP source et destination des paquets individuels ainsi que les numéros de ports TCP ou UDP, puis consulte une configuration prédéfinie pour déterminer si le trafic doit être autorisé.

Un pare-feu stateful plus sophistiqué, au lieu de considérer chaque paquet isolément, prend en compte les paquets dans le contexte de la conversation réseau, en lisant les paquets avant et après pour déterminer si le trafic est attendu et acceptable.

Un pare-feu encore plus sophistiqué peut inspecter la logique de la couche application dans les paquets eux-mêmes. Un exemple serait un pare-feu d’application web, souvent appelé WAF, qui inspecte le trafic HTTP à la recherche de modèles d’exploitation connus ou de données inattendues dans le corps de la requête. Ce type de pare-feu peut être très puissant et efficace pour fournir une protection dans une situation où le filtrage par adresse IP ou port seul n’est pas suffisant pour à la fois permettre l’accès nécessaire tout en réduisant le risque à un niveau acceptable.

Une technologie similaire mais légèrement différente serait un système de détection d’intrusion ou système de prévention d’intrusion, généralement abrégés IDS/IPS. Comme un pare-feu, un IDS/IPS inspecte le trafic réseau, les journaux système et d’autres données disponibles. L’IDS/IPS utilise diverses heuristiques, ou algorithmes d’apprentissage, pour déterminer si le trafic est potentiellement menaçant et peut alors soit alerter une équipe de sécurité, soit agir directement (c’est la distinction entre détection et prévention). Plutôt que d’avoir un ensemble rigide de règles concernant ce qui est autorisé ou bloqué, les IDS/IPS s’appuient généralement sur des politiques mises à jour en continu. Tout comme la mise à jour d’un antivirus, un jeu de règles IDS/IPS doit être mis à jour régulièrement pour rester en avance sur les schémas de menace actifs.

 

3) Sont-ils bidirectionnels, c’est-à-dire empêchent-ils le trafic non autorisé à la fois entrant et sortant du réseau ?

Oui ! Les pare-feux peuvent être configurés pour inspecter le trafic entrant, sortant, ou les deux. Alors que traditionnellement on pense aux pare-feux comme empêchant l’accès à un réseau ou appareil, dans le paysage actuel des menaces, le filtrage sortant peut être tout aussi critique, voire plus.

Les appareils sur les réseaux industriels ont tendance à avoir des flux réseau beaucoup plus rigides que sur les réseaux utilisateurs polyvalents. Dans ce cas, la sécurité peut être significativement améliorée en mettant en œuvre un filtrage strict du trafic sortant. Considérez un appareil compromis, par exemple par une attaque de la chaîne d’approvisionnement, qui a injecté un malware dans une mise à jour. Si l’appareil est sur un réseau avec un filtrage sortant strict, il pourrait être incapable de contacter son serveur de commande et contrôle, réduisant considérablement la chance qu’il soit utilisé pour enchaîner une compromission plus large avant d’être découvert et corrigé.

 

4) Où « vit » le pare-feu ; serait-il dans un contrôleur, un switch, une passerelle ou un IPC ?

Certains contrôleurs industriels (comme les PLC, par exemple) commencent peut-être à intégrer des fonctionnalités de sécurité, mais la plupart n’ont actuellement pas de pare-feu ni de filtrage intégré, privilégiant plutôt la sécurité fonctionnelle et la performance.

Un switch réseau peut avoir certaines fonctionnalités de pare-feu, ou des « listes de contrôle d’accès », selon le switch et ses capacités dans le modèle OSI (ou modèle d’interconnexion des systèmes ouverts). Un appareil fonctionnant comme une passerelle ou un routeur aura souvent des fonctionnalités de pare-feu, voire agira comme le pare-feu principal lui-même.

Les architectures de systèmes de contrôle plus simples peuvent avoir un réseau isolé partagé entre différentes fonctions, et cela ne nécessite pas du tout un pare-feu interne. Mais plus souvent, lorsqu’un tel réseau segmenté est connecté à autre chose, c’est là qu’un pare-feu entre probablement en jeu. Cela dit, certaines architectures de systèmes de contrôle plus complexes incluent des pare-feux entre les fonctions séparées, par exemple entre les interfaces opérateur et les contrôleurs, pour se protéger contre certaines erreurs opérateur ou mauvais usages des interfaces. Ils peuvent aussi exister simplement pour protéger les interfaces réseau des contrôleurs de devoir interagir avec des paquets réseau inattendus, gardant leur performance concentrée sur leurs tâches prévues.

 

Figure 2. Un réseau isolé comme cet exemple pourrait ne pas avoir besoin d’un pare-feu interne, sauf pour empêcher un trafic excessif entre appareils ; un problème d’efficacité, pas de sécurité.

 

Dans les cas où un segment de réseau industriel est physiquement connecté à un autre réseau, comme les emails des employés ou d’autres services, ou à un autre segment de l’architecture, la passerelle entre ces réseaux serait souvent un pare-feu ou un routeur effectuant des fonctions de pare-feu.

 

5) Les pare-feux sont-ils des logiciels téléchargés et installés, c’est-à-dire que l’utilisateur final d’un contrôleur peut-il choisir certains logiciels de pare-feu, ou sont-ils installés par le fabricant ?

Les pare-feux existent sous de nombreuses formes, du logiciel pour utilisateur final au logiciel au niveau du système d’exploitation, jusqu’aux appareils informatiques industriels spécialement conçus pour l’inspection optimisée des paquets réseau.

Un ordinateur personnel sous Microsoft Windows a un pare-feu logiciel intégré, et un réseau d’entreprise peut utiliser un appareil de Cisco, Palo Alto, Fortinet, etc. pour protéger les environnements de l’entreprise. Les collections de paquets open source peuvent aussi être populaires pour le filtrage de réseaux simples à complexes.

Dans les environnements industriels, de nombreuses options sont disponibles. Par exemple, un réseau contenant des PLC et des IHM pourrait être segmenté physiquement de manière complète, où d’autres appareils informatiques, même s’ils sont physiquement proches, ne pourraient envoyer aucun trafic aux appareils d’automatisation sans brancher physiquement un autre câble, dont l’accès est souvent sous clé. Ce même environnement pourrait être connecté à un appareil pare-feu réseau avec des règles refuser par défaut, avec quelques règles autoriser pour certains appareils privilégiés afin d’ajuster la configuration des contrôleurs d’automatisation, que ce soit localement ou à distance via un VPN.

 

6) Quel contrôle l’utilisateur final a-t-il sur les réglages, et doivent-ils être mis à jour au fil du temps ?

Alors que beaucoup d’options de pare-feu tenteront d’être aussi conviviales que possible et de garder les choses derrière une interface utilisateur simple, d’autres offrent un contrôle complet sur l’inspection des paquets réseau, permettant de se concentrer aussi précisément que sur des bits spécifiques dans un paquet réseau étant 0 ou 1.

Typiquement, jusqu’à des complexités réseau avancées, un pare-feu avec options d’inspection stateful des IP source/destination, et des ports TCP ou UDP source/destination peut être suffisant.

Dans les environnements où l’équipement et la topologie changent rarement, les modifications des règles de pare-feu peuvent aussi rester inchangées pendant de longues périodes. Il peut y avoir des moments où un nouvel équipement est introduit, ou un nouvel ingénieur rejoint l’équipe, par exemple, ce qui peut nécessiter des modifications mineures de la configuration du pare-feu pour assurer l’accès nécessaire. D’autres environnements peuvent changer plus rapidement, avec l’introduction fréquente de nouveaux services, des changements de personnel, ou l’ouverture de sites, nécessitant des ajustements plus fréquents.

Même si les changements sont rares, des audits réguliers des configurations de pare-feu sont recommandés pour s’assurer qu’aucune autorisation accidentelle n’a été accordée qui pourrait entraîner une erreur, ou pire, une vulnérabilité exploitée lors d’une attaque.

 

Les pare-feux dans les réseaux industriels

Cet article n’est qu’un bref aperçu de certaines questions entourant les pare-feux et la sécurité. J’espère que cela servira de base solide pour développer davantage de compétences en principes de réseau sécurisé à l’avenir.

 

Toutes les images utilisées avec l’aimable autorisation de l’auteur