Payer un coupe-feu à l’adresse IP ne se justifie pas : que l’on filtre pour dix postes ou pour mille, cela ne change rien”, s’exclame Michel Maudet, directeur technique de Linagora. Ce faisant, il dénonce le paiement à géométrie variable pratiqué par les éditeurs et dont le marché du coupe-feu fait souvent les frais. Face à cet abus, les solutions basées sur les logiciels libres permettent de filtrer un nombre illimité d’adresses IP, sans souci des limitations de licence.
Une réelle souplesse de configuration
Depuis la version 2.4 du noyau Linux, Netfilter assume des fonctions de coupe-feu, équivalentes à celles des meilleurs produits commerciaux. Il en est de même pour FreeBSD ou encore OpenBSD. Il s’agit là de véritables coupe-feu dynamiques, capables d’assurer la traduction ou le filtrage par état d’adresses et de faire office de routeurs. Et comme ils fonctionnent sur un OS libre, ils bénéficient aussi de sa souplesse de configuration : on peut affiner le noyau de Linux afin de le spécialiser dans sa tâche. Cela est impossible avec un outil basé sur un OS propriétaire : “Le problème d’un coupe-feu pour Windows, c’est que la moitié de ce que l’on installe sert à régler les problèmes de l’OS, seule l’autre moitié concerne vraiment le coupe-feu. Avec une solution libre, on adapte l’OS à la tâche”, confirme Yann Bizeul, consultant chez Linagora. Ainsi, il n’est pas rare de rencontrer des PC Intel de série faisant fonctionner un noyau Linux optimisé et sécurisé et ne servant que de coupe-feu. Les fabricants de coupe-feu matériels ne s’y trompent d’ailleurs pas : Linux est très souvent au coeur de leurs produits (Symantec Security Gateway et Raptor Firewall, WatchGuard Firebox, etc.). Tous utilisent une version personnalisée du noyau Linux et embarquent aussi un serveur web libre pour l’administration.Mais ces outils n’en sont pas parfaits pour autant. “La haute disponibilité est loin d’être acquise en mode par état, bien que cela fonctionne parfaitement en mode sans état. Et il manque de vraies consoles d’administration centralisée”, reconnaît Benoît Picaud, consultant sécurité chez IdealX. Si les développeurs ne semblent pas pressés de régler ce problème-là, ils s’ouvrent cependant aux hauts débits et à la redondance. Car c’est sur ces critères et celui des consoles d’administration centralisée que les éditeurs commerciaux tentent bien souvent de faire la différence.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.