Comment le pare-feu SPI protège-t-il le trafic réseau

17 mai 2021 By Nick Anderson Commentaires 5 minutes

Un pare-feu est un élément important de la sécurité du réseau qui examine le trafic réseau et décide qu'il est censé vous atteindre. Les pare-feu existent depuis les débuts d'Internet, alors qu'ils étaient naissants dans la détection et la capacité d'arrêter le trafic non sollicité. Au fil du temps, avec un matériel puissant, les pare-feu sont devenus plus forts.

Votre système d'exploitation dispose d'un pare-feu pour vérifier quel trafic est autorisé à communiquer avec Internet. Et votre routeur dispose d'un pare-feu intégré qui vérifie le trafic entrant pour voir s'il est légitime. La sécurité du réseau sera durement touchée en l'absence de pare-feu.

SPI est un type de pare-feu qui fait plus qu'une simple analyse de base pour déterminer quels paquets de données sont autorisés à entrer. Qu'est-ce qu'un pare-feu SPI ? Découvrez-le dans notre blog.

Obtenez FastestVPN

Qu'est-ce que le pare-feu SPI ?

SPI signifie Stateful Packet Inspection. Il s'agit d'un pare-feu avancé pour assurer la sécurité du réseau.

Les pare-feu sans état ou le filtrage de paquets vérifient uniquement l'adresse IP source et de destination, ainsi que le port source/destination et permettent au trafic entrant de communiquer avec le bon périphérique sur le réseau. Nous avons expliqué dans notre précédent blogs comment transférer et pourquoi il peut être nécessaire pour certaines activités (jeux, par exemple) pour la meilleure expérience. Un pare-feu avec état en comparaison est plus complet. Mais d'abord, comprenons comment fonctionne NAT.

Qu'est-ce que le NAT?

La traduction d'adresses réseau est une partie de votre routeur qui conserve un enregistrement de toutes les demandes sortantes dans la table NAT. Il note l'adresse IP de chaque appareil, le port qu'il a utilisé, ainsi que l'adresse IP de destination et le port auquel il souhaite se connecter via Internet.

Il mappe ensuite votre appareil à une adresse IP unique, également appelée passerelle, attribuée par le Fournisseur de service Internet (ISP). Parce qu'il y a un nombre fini d'adresses IP que nous avons presque épuisées, cette approche nous fait gagner le temps nécessaire avant que les adresses IPv4 ne soient épuisées. Vous pouvez en savoir plus sur les adresses IPv4 ici.

Le pare-feu NAT est un pare-feu sans état qui ne suit que certaines règles pour approuver/refuser l'entrée des paquets de données.

Comment fonctionne un pare-feu SPI ?

Le trafic réseau se déplace en petits morceaux appelés paquets de données. Votre communication avec un ami sur Internet est basée sur une série de paquets de données. Chaque paquet de données contient des informations qui sont transportées, puis construites à sa destination.

Au lieu de simplement surveiller les adresses source et de destination, un pare-feu SPI contrôle le contexte des paquets de données. Il vérifie certaines choses comme si le paquet de données appartient à une session active établie après une poignée de main TCP. Cela fonctionne avec les deux TCP et UDP. Dans le cas d'UDP, qui transfère des paquets de données sans recevoir d'accusé de réception, il suit la configuration (durée autorisée de la session, par exemple).

Le pare-feu SPI possède sa propre mémoire qu'il utilise pour conserver un enregistrement des paquets de données précédents et utilise la table d'état pour déterminer si le paquet suivant fait partie de la série. Il sait quelle application a demandé à se connecter à Internet et s'attend à entendre une réponse du serveur Web. Le pare-feu SPI rejettera le paquet de données si certaines conditions ne sont pas remplies.

Par exemple, lorsque vous demandez l'ouverture d'un site Web, le pare-feu SPI enregistrera cette demande dans sa mémoire. La réponse entrante sera donc de confiance car elle connaît une application interne qui lui est demandée. SPI est utile car il peut ouvrir/fermer des ports pour permettre au trafic de traverser le NAT, ce qu'un pare-feu sans état ne peut pas.

C'est utile pour la sécurité de base où le pare-feu rejettera les paquets de données contenant des logiciels malveillants et ne faisant pas partie de la série envoyée par un mauvais acteur.

Le processus pour fournir ce type de sécurité présente une pénalité de performance.

SPI contre DPI

Inspection approfondie des paquets (DPI) est un pare-feu plus avancé actuellement utilisé. Il fonctionne à un niveau plus profond sur le modèle OSI que le pare-feu SPI. Là où SPI vérifie les paquets de données en vérifiant des éléments tels que l'en-tête du paquet, la source, la connexion active, entre autres, DPI décompose le paquet de données. Nous parlons en fait d'examiner la charge utile pour vérifier qu'elle respecte les règles définies.

Le DPI est beaucoup plus puissant. Les administrateurs réseau peuvent déployer DPI pour vérifier certaines signatures telles que malware, ou pour bloquer le trafic contenant certains mots. Il améliore la sécurité du réseau en garantissant non seulement que les paquets de données font partie d'une communication sécurisée. Et qu'un hacker n'a pas glissé de malware dans la charge utile.

Mais il a un problème flagrant : la vitesse. Le DPI est plus avancé mais aussi plus exigeant. Cela nécessite plus de puissance de traitement et de temps car les paquets de données doivent être déconstruits puis reconstruits.

Le DPI est utilisé pour la surveillance nationale. Des pays comme la Chine utilisent DPI dans son Grand Pare-feu de Chine pour bloquer certains trafics ; c'est pourquoi tant de sites Web et de services VOIP sont inaccessibles dans le pays.

Conclusion – SPI limite-t-il le VPN ?

SPI n'interfère pas avec un VPN. Lorsque vous installez FastestVPN, il fait une exception dans le pare-feu de l'application. Le pare-feu SPI sait qu'une application de confiance a demandé à se connecter à Internet. Et inversement, il autorise le trafic entrant depuis le serveur VPN.

FastestVPNLa fonctionnalité anti-malware de fonctionne comme une sorte de pare-feu. Il vérifie les domaines contre les domaines malveillants signalés et les empêche de s'ouvrir.