LES FIREWALLS

jeudi 15 novembre 2007

Analyse comparative des firewalls leaders du marché

Google

Cette partie du dossier a pour objectif de faciliter la décision d'achat d'une solution firewall. Il s'agit en fait d'une analyse comparative des solutions firewalls leaders du marché mondial. Elle a été réalisée à partir de diverses sources indépendantes:
• des documents de la NCSA (National Computer Security Association) qui évalue les solutions firewalls et qui décerne une certification (NCSA Certification) à celles qui réussissent cette évaluation
• des articles de magazines spécialisés comme Data Communications Magazine, Network World Magazine, BackOffice, VARbusiness
• des brochures d'informations diffusées par les vendeurs
Plutôt que d'effectuer une analyse minutieuse de tous les produits firewalls du marché, ce comparatif se limite au six firewalls leaders du marché car le but de cette analyse comparative est essentiellement de déterminer les critères de choix d'un firewall et non de dresser un catalogue exhaustif de toute l'offre du marché. Les produits comparés sont les suivants:
• DEC AltaVista Firewall
• CHECKPOINT Firewall-1 • CYBERGUARD Firewall • RAPTOR Eagle • SECURE COMPUTING Side Winder • TIS Gauntlet
La sélection de ces solutions firewalls s'est basée sur les faits suivants:
• Tous ces produits sont certifiés par la NCSA. • Tous ces firewalls ont été évalués récemment dans les magazines spécialisés qui effectuaient des dossiers comparatifs sur les produits firewalls. • Ce sont tous des firewalls de types passerelles d'applications basées sur les technologies d'agents proxies ou SMLI (Stateful Multi-Layer Inspection) par opposition aux filtres de paquets qui opèrent au niveau des couches basses du modèle OSI et qui ne peuvent effectuer que des filtrages d'accès très limités au niveau applicatif. • De plus, ces six passerelles applicatives disposent de toutes les fonctionnalités et caractéristiques de base à savoir:
- la capacité de gérer les accès aux services tels que HTTP, FTP,TELNET, SMTP, NNTP, RealAudio, etc…
- un très bon niveau d'inter-opérabilité leur permettant de s'insérer dans des architectures diverses et variées notamment celles présentant une DMZ (Demilitarized Zone), mais aussi de supporter des interfaces et/ou des adaptateurs pour les protocoles à grand débit
- l'authentification forte à l'aide de dispositifs électroniques complémentaires (SecureID, CryptoCard, etc…)
- le chiffrement et l’administration à distance
- la présence de dispositifs d'alarmes en cas d'incidents
Pour effectuer cet examen comparatif, les critères suivants ont été retenus :
• Sécurité
- filtrage
- risques de vulnérabilité
- capacité de détection
• Performance
- benchmarks UNIX
- benchmarks NT
• Administration
- Actions, paramétrage, facilité de mise en œuvre de la politique de sécurité
- Audit, journalisation, alarmes
• Fiabilité et flexibilité
• Valeur
- plates-formes standards
- prix
Sécurité
La sécurité est évidemment l'attribut clé dans la sélection d'un firewall. Toutes ces solutions firewalls disposent de caractéristiques particulières pour assurer une sécurité efficace. Par exemple, les six produits sélectionnés prennent des actions appropriées pour contrer des attaques de type refus de service (denial of service) qui visent à rendre le réseau inopérant en l'inondant d'informations (ping of death, SYN flooding) et/ou en altérant des tables de routages, des partitions de disques, des fichiers systèmes tels que les fichiers de journalisation des événements.
Dans ce qui suit, quelques différences clés dans la façon d'assurer la sécurité (filtrage, risques de vulnérabilité, capacité de détection et d'alerte) sont soulignées.
Le filtrage
Pour assurer une sécurité maximale, le filtrage se doit d'être le plus granulaire possible. Le tableau précédent montre que les six solutions firewalls retenues pour cette analyse comparative mettent en œuvre le filtrage de paquets. Les anti-virus et autres contrôleurs d'intégrité commence à être intégrés dans les firewalls; ce qui n'était pas encore le cas il y a peu. Les applets de type Java ou Active X peuvent renfermer des programmes dévastateurs pour un réseau si bien que, de plus en plus, les fournisseurs de solutions firewalls proposent des dispositifs capables d'intercepter et de limiter l'exécution de telles applications.
Les risques de vulnérabilité
Au cours du premier trimestre de cette année, Data Communications Magazine a mené une suite complète d'attaques contre ces firewalls dans le but de détecter d'éventuels failles en matière de sécurité. Ces tests approfondis incluaient les attaques basées sur les vulnérabilités de sendmail, FTP, NFS, NIS, NETBIOS mais aussi sur la capacité de prédiction des séquences TCP pour contrer les attaques de type IP Spoofing.
La figure ci-dessous illustre les résultats de ces travaux:
La capacité de détection
Tous les firewalls sont capables de détecter la plupart des attaques les plus communes. Seuls quelques-uns peuvent détecter le transfert de fichiers sensibles contenant des mots de passe ou le téléchargement d'arborescence complète de systèmes de fichiers. Encore moins nombreux sont ceux capables de notifier aux administrateurs systèmes et réseaux de telles intrusions en plein milieu de la nuit.
(Source: Data Communications Magazine, mars 1997)Fig. 6 3 Capacité de détection

Performance
La performance est un critère clé pour s'assurer que le firewall peut maintenir une sécurité maximale, supporter la charge tout en conservant un fonctionnement optimal.
La solution firewall se doit d'être souple, flexible, évolutive. Les administrateurs systèmes et réseaux veulent un produit compatible avec leurs besoins à savoir un firewall Internet capable de sécuriser des connections WAN (World Area Network) de type ISDN à T3 et/ou un firewall pour une architecture Intranet basée sur des liaisons Fast Ethernet voire ATM (Asynchronous Transfer Mode).
Les deux sections suivantes caractérisent les performances des différents firewalls sous UNIX et sous Windows NT.
Benchmarks UNIX
Ces benchmarks (ou tests de performance) UNIX permettent de souligner les limites des firewalls. Ils n'ont pas pour but de comparer deux à deux les firewalls sélectionnés puisque les plates-formes matérielles utilisées pour les tests sont variables.
La figure ci-dessous est issue du magazine Data Communications Magazine. Elle montre dans un ordre de priorité décroissante les firewalls suivants: DEC AltaVista Firewall, CHECKPOINT Firewall-1, CYBERGUARD Firewall, RAPTOR Eagle, TIS Gauntlet, SECURE COMPUTING Side Winder.
Benchmarks Windows NT
Ce benchmark NT compare les firewalls leaders du marché évoluant sur un même type de plate-forme. Ce test est aussi très représentatif de la robustesse et du niveau d'intégration sur Windows NT.


Administration
L'administration d'un firewall a pour but de gérer les fonctionnalités suivantes:
• renforcer la sécurité en évitant les erreurs de configuration
• détecter toutes les menaces susceptibles de nuire au réseau à protéger
• générer des alarmes appropriées
• avertir les administrateurs systèmes et réseaux en cas de danger
• réagir à une attaque d'une façon autonome
Une solution firewall doit être facile à configurer et à administrer. Une caractéristique importante d'un firewall en matière d'administration est la faculté d'administrer un ou plusieurs firewall à partir d'une localisation centralisée: c'est l'administration à distance (remote management). Ce type d'administration doit pouvoir s'effectuer au sein d'une architecture Intranet à partir d'un hôte de confiance mais aussi à partir d'un hôte plus distant appartenant à un réseau situé en dehors du périmètre de sécurité du firewall à administrer. Pour accroître le niveau de sécurité, des réseaux virtuels privés (Virtual Private Networks) peuvent être utilisés. Le cryptage des communications qui transitent sur de telles liaisons peut être mis en œuvre afin d'accroître davantage la confidentialité des informations en transit. Tous les firewalls évalués dans cette analyse comparative offrent ces fonctionnalités. Les figures suivantes comparent la qualité et le niveau de sophistication de leur implémentations.

Actions et notifications
Le tableau suivant rassemble les mécanismes d'actions et de notifications que les administrateurs systèmes et réseaux souhaitent voir déclenché par un firewall suite à un événement réseau spécifique.
Fig. 6 5 Actions et notifications Alarmes et rapports
(Source: Network World Magazine, mars 1997)Fig. 6 6 Génération d’alarmes et de rapports
Fiabilité et flexibilité
Fig. 6 7 Fiabilité et flexibilité L'architecture requise pour assurer la fiabilité (reliability) d'une solution firewall est parfois considérée comme étant exagérée. Cependant, dans certains contextes, des arrêts imprévisbles de fonctionnement du firewall sont inacceptables et ce caractère considéré exagéré, la fiabilité, devient une nécessité. La flexibilité (scalability) est aussi une caractéristique importante d'une solution firewall pour toute entreprise qui se préoccupe d'une croissance future.

ValeurLes plates-formes standards
Les plates-formes standards sont généralement préférées aux plates-formes propriétaires voire même aux systèmes d'exploitation modifiés et sécurisés (hardened OS), même si une solution propriétaire apparaît comme étant plus sûre puisque moins connue d’agresseurs tels que des pirates plus habitués à pénétrer des systèmes très répandus comme UNIX ou Windows NT. En fait, une plate-forme standard assure une meilleure pérennité de l'investissement notamment en matière de maintenance, de mise à niveau de versions pour acquérir de nouvelles fonctionnalités. Avec une solution standard, il est possible d'envisager d'utiliser des outils sécuritaires complémentaires d'un autre fournisseur ou du domaine public.
Fig. 6 8 Les plates-formes standards
Les prix
Les services de maintenance et de mise à niveau des versions, offerts par ces six fournisseurs, sont assez semblables. Le tableau suivant rassemble les prix des solutions firewalls en fonction du nombre de nœuds du réseau ou des réseaux protégés. Il s'agit de prix annoncé. Il va sans dire que c'est autour de la table des négociations que des remises plus ou moins conséquentes pourront être convenues.

0 commentaires:

Enregistrer un commentaire

Abonnement Publier les commentaires [Atom]



<< Accueil