Passer au contenu

Armure complète chez Arkoon

Après trois ans d’existence, la start-up française peut se targuer de fournir une défense multiniveau mêlant pare-feu et antivirus en plus d’une protection du contenu améliorée.

Créé en 2000, la société lyonnaise n’aura pas tardé à se faire une place au soleil. Arkoon revendique un chiffre d’affaires de 5 millions d’euros pour 2003, avec huit cents clients pour deux mille équipements
vendus depuis sa création.Elle fabrique des pare-feu de type stateful inspection sous la forme de boîtiers dédiés, avec un Linux sécurisé qui apparaît de manière transparente à l’utilisateur. En fait, ces boîtiers sont plus
qu’un simple pare-feu. Une protection multiniveau a été conçue, dès le départ, grâce à l’architecture SSA (Security scalable architecture) et au moteur modulaire Fast (Fast applicative shield
technology
).L’antivirus, présent depuis 2000, est le fruit d’un partenariat avec Sophos, mais d’autres acteurs pourraient entrer en lice. En décembre 2003, Arkoon a annoncé Fast In Line IDPS (Intrusion detection and
prevention system
), destiné à renforcer la détection et la prévention des intrusions.

Une analyse applicative complète en mode coupure

On cumule alors les technologies d’un pare-feu multiniveau, les fonctionnalités d’un
IDS-IPS en ligne, et une amélioration du filtrage applicatif et de contenu. IDPS fonctionne au-dessus du moteur Fast et fournit une analyse applicative complète en mode coupure. Les
signatures tiennent compte de l’état de la session, et possèdent un poids. Mais il n’y a pas d’import des signatures de
Snort, un IDS open source.Arkoon propose un moteur de type stateful inspection pour les niveaux 3 et 4 du
modèle OSI, avec une protection contre les dénis de service et une analyse des niveaux 5 à 7 des principaux protocoles applicatifs (HTTP, SMTP, POP 3, Imap 4,
etc.). Une vérification de la conformité des protocoles aux RFC (Request for comments) est opérée, ainsi que l’usage attendu.‘ Le debug de SMTP est refusé par défaut, car cela traduit souvent une attaque ‘, souligne Daniel Fages, directeur R&D d’Arkoon. Certaines extensions propriétaires des protocoles, comme le
POP 3 de Netscape, sont prises en compte. Sans être aussi complet qu’un reverse proxy ou que la technologie neuronale
Intelliwall, de Bee Ware, les attaques simples de type XSS (Cross site scripting) ou SQL Injection sont gérées.Dans la même philosophie, les attaques de type LDAP Injection devraient être rapidement prises en charge. D’ici à la fin de l’année, le filtrage de contenu Soap devrait être réalisé à travers l’API Fast Protocol, et
le filtrage XML à travers l’API Fast Content Filtering. ‘ L’appel à des Asic pour de l’XML pourra être envisagé plus tard ‘, indique-t-on chez Arkoon.

Un plan de route étoffé

La société fonctionne en mode noyau afin de doper les performances. Deux exceptions sont cependant à noter : l’antivirus et le relais H.323 pour la VoIP. ‘ L’un de nos objectifs est de supprimer les
relais ‘
, note Daniel Fages. Fait appréciable, le protocole Icap devrait bientôt être supporté en mode Respmod pour le filtrage d’URL, ainsi qu’en mode Reqmod. Sur le plan de route d’Arkoon sont également
prévus la haute disponibilité en mode actif-actif et le failover VPN, un point faible actuellement.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager