Des boîtiers aux solutions logicielles, des technologies traditionnelles aux plus hybrides, tour d'horizon des boucliers du réseau. (Vendredi 10 octobre
2003)
Ce panorama présente (cf tableau
ci-dessous) les principales solutions ou gammes de solutions de pare-feu (firewall)
du marché, qu'elles soient sous forme logicielle ou sous forme de boîtier
(appliance).
Les caractéristiques qui ont été détaillées
dans ce tableau sont tout d'abord la certification ICSA
des produits (les laboratoires ICSA - division de TruSecure - testent le niveau
de sécurité des différentes solutions du marché).
Viennent ensuite les débits supportés par la solution ainsi que
le nombre de connexions simultanées qu'elle est capable de gérer.
Ensuite,
le type de technologie est étudié. On distingue la technique de
filtrage des paquets traditionnel (analyse des en-têtes des paquets IP)
du filtrage dynamique (encore appelé stateful inspection, technique
déposée à l'origine par CheckPoint) qui analyse non seulement
les en-têtes des paquets IP, mais aussi les drapeaux et les options IP de
cet en-tête. Troisième technique, plus rare, celle du proxy applicatif
qui dépasse les couches réseaux pour protéger la couche applicative,
en cachant les machines du réseau interne derrière une adresse publique, c'est-à-dire
en coupant les connexions pour les recréer avec une nouvelle origine.
Enfin, dernier critère, celui de l'authentification des utilisateurs, prévue
par l'ensemble des acteurs (authentification faible ou forte, c'est-à-dire
à usage unique).
Gamme
d'appliances orientées connexion avec contrôle d'état qui assurent la protection
contre les DoS (Denial-of-Service ) et identifient une soixantaine de signatures
d'attaques différentes. Intègre le filtrage de contenu des applets Java et des
contrôles ActiveX.
Les
appliances (boîtiers) de Netscreen intègrent généralement
firewall, VPN et fonctions de régulation du trafic. Protègent des
intrusions, des dénis de service, attaques SYN, scanning de ports, etc.
Les droits d'accès, ainsi que les algorythmes de cryptage sont gérés
par la partie matérielle (et non logicielle).