Passer au contenu

Les critères de sélection

Installation, paramétrageLa procédure d’installation s’est effectuée sans problème pour les trois coupe-feu testés, même si le paramétrage du logiciel de Check Point, doté d’une multitude d’options,…

Installation, paramétrage

La procédure d’installation s’est effectuée sans problème pour les trois coupe-feu testés, même si le paramétrage du logiciel de Check Point, doté d’une multitude d’options, a pris plus de temps. Signalons de grandes différences en ce qui concerne la gestion de mécanismes d’authentification (Radius, Tacas, base NDS, base Windows NT, Bindery, etc.), qui est très riche pour le FireWall-1 NG de Check Point, légèrement moins complète pour l’Enterprise Firewall 7.0 de Symantec, et succincte pour l’eTrust Firewall Enterprise Edition 3.1 de Computer Associates.



























































 Les résultats 
 Classement     Commentaires     Note (sur 5) 
         
 FireWall-1 NG, de Check Point     Le seul logiciel à ne pas proposer d’assitant d’installation. Toutefois sa mise en ?”uvre reste simple. Il autorise l’envoi de traps SNMP ainsi que le déclenchement de scripts lors d’événements déterminés. Excellent sur le plan de l’authentification.     8,5 
         
 Enterprise Firewall 7.0, de Symantec     Un assistant simplifie l’installation et le paramétrage. Des traps peuvent être générés sur alerte. C’est le seul logiciel à proposer en standard les fonctions de RPV.     8,2 
         
 eTrust Firewall Enterprise Edition 3.1, de Computer Associates     Son assistant d’installation bien conçu propose de nombreuses options. Il est possible d’envoyer des traps SNMP et de déclencher des scripts sur des événements. En termes d’authentification, il ne prend en compte que Radius et la base Windows NT.     6,9 
 




Administration des règles

Une politique fine de sécurité nécessite la mise en place et une hiérarchisation de règles de filtrage. Les trois produits n’adoptent pas les mêmes choix technologiques. Check Point et Symantec ont choisi l’analyse du contenu des paquets de données, d’où une plus grande richesse de règles au niveau HTTP. Symantec dispose d’un outil supplémentaire, Best-Fit, permettant une sélection automatique de la règle la plus pertinente pour chaque paquet en cours d’analyse. Pour les trois logiciels, la déclaration d’une règle s’effectue simplement, qu’elle s’applique à un groupe d’utilisateurs, à un type d’adresses IP, à un réseau particulier.



























































 Les résultats 
 Classement     Commentaires     Note (sur 5) 
         
 FireWall-1 NG, de Check Point     Bien que les possibilités de création de règles soient très étendues, leur déclaration reste très aisée, même pour les situations complexes. Les règles de filtrage ActiveX et JavaScript sont prédéfinies. Les autres règles doivent être paramétrées manuellement.     7,8 
         
 Enterprise Firewall 7.0, de Symantec     L’administrateur a la possibilité de laisser l’algorithme Best-Fit sélectionner la meilleure règle à utiliser en fonction de la nature des données entrantes. L’ordre des règles n’a donc aucune importance.     7,2 
         
 eTrust Firewall Enterprise Edition 3.1, de Computer Associates     Les filtrages traditionnels (ActiveX, JavaScript, IPP, ICQ, Gator, etc.) ne sont pas pris en compte par le logiciel. Les règles établies doivent être placées dans un ordre précis pour ne pas perturber le comportement du coupe-feu.     3,9 
 




Exploitation

Le reporting (informations de trafic sur un protocole, un groupe d’adresses, etc.) n’est pas le point fort de ces trois logiciels. Seul l’eTrust Firewall Enterprise Edition 3.0 de CA propose en standard des fonctions dédiées, bien qu’assez limitées. Le FireWall-1 NG de Check Point, en revanche, se révèle très performant pour le traitement des log (journal des événements du coupe-feu). Il dispose d’une application permettant, entre autres, une gestion améliorée des log anciens. On retrouve cette fonction de traitement des log dans les deux produits concurrents, mais beaucoup mois souple d’utilisation.



























































 Les résultats 
 Classement     Commentaires     Note (sur 5) 
         
 FireWall-1 NG, de Check Point     La gestion des log est assurée par un module séparé (Log Viewer). L’outil de reporting (Reporting Tools) est optionnel. La majorité des alertes déclenchent une action prédéfinie ou définie par script.     7,5 
         
 eTrust Firewall Enterprise Edition 3.1, de Computer Associates     Seul logiciel à disposer d’un module de reporting. L’export des informations se fait au format CSV. Il est impossible d’associer une action à certaines alertes (désactivation du coupe-feu ou d’un service, par exemple).     6,7 
         
 Enterprise Firewall 7.0, de Symantec     Les informations contenues dans les log sont incomplètes, ou peu claires. Pas d’outil de reporting, même en option. Les alertes majeures déclenchent une action prédéfinie ou définie par script.     6,4 
 




Niveau de protection

Lors de nos tests de résistance aux agressions (déni de service, spoofing, back doors, buffer overflows, misconfiguration, brute force, distributed attack, etc.), les trois coupe-feu ont tous, à un moment ou un autre, montré des défaillances. Un premier test dit L4 (routeur et commutateur) ciblait le coupe-feu de l’intérieur et de l’extérieur. Le second test (L5 NT Web) provoquait des attaques sur le coupe-feu (de l’extérieur et de l’intérieur), ainsi que sur le serveur présent dans la DMZ. Le niveau de gravité des failles n’était toutefois pas équivalent. Le FireWall-1 NG de Check Point, par exemple, n’a été pris en défaut que sur deux attaques de niveau faible. En revanche, le logiciel de Computer Associates a été incapable de bloquer une attaque de niveau critique, connue pourtant depuis près de deux ans par les spécialistes. Enfin, l’Entreprise Firewall 7.0 de Symantec affiche un bilan satisfaisant, même s’il n’a pu empêcher deux attaques de niveau moyen.



























































 Les résultats 
 Classement     Commentaires     Note (sur 5) 
         
 FireWall-1 NG, de Check Point     Failles (nombre d’echecs) pour le test L4 – niveau critique : 0 ; niveau moyen : 0 ; niveau faible : 1. Failles pour le test L5 – niveau critique : 0 ; niveau moyen : 0 ; niveau faible : 1.     9,9 
         
 Enterprise Firewall 7.0, de Symantec     Failles pour le test L4 – niveau critique : 0 ; niveau moyen : 0 ; niveau faible : 0. Failles pour le test L5 – niveau critique : 0 ; niveau moyen : 2 ; niveau faible : 2.     9,5 
         
 eTrust Firewall Enterprise Edition 3.1, de Computer Associates     Failles pour le test L4 – niveau critique : 0 ; niveau moyen : 1 ; niveau faible : 1. Failles pour le test L5 – niveau critique : 1 ; niveau moyen : 2 ; niveau faible : 2.     5,8 
 




Influence sur les débits

C’est l’Enterprise Firewall 7.0 de Symantec qui crée la mauvaise surprise : son inspection du trafic ralentit de huit à dix fois le débit de notre plate-forme de référence (sans coupe-feu), selon le nombre d’utilisateurs (48 ou 96) connectés. Les autres produits ne ralentissent en rien les performances de la plate-forme, et parfois même les améliorent. Ce paradoxe s’explique par le fait que les logiciels, lors de leur ins- tallation, occultent certaines fonctions de Windows au profit de leurs propres modules.



























































 Les résultats 
 Classement     Commentaires     Note (sur 5) 
         
 FireWall-1 NG, de Check Point     Temps de réponse moyen d’une transaction (en secondes) : avec 48 utilisateurs : 0,0428 ; avec 96 utilisateurs : 0,0888.     8,8 
         
 eTrust Firewall Enterprise Edition 3.1, de Computer Associates     Temps de réponse moyen d’une transaction (en secondes) : avec 48 utilisateurs : 0,0618 ; avec 96 utilisateurs : 0,1238.     7,7 
         
 Enterprise Firewall 7.0, de Symantec     Temps de réponse moyen d’une transaction (en secondes) : avec 48 utilisateurs : 0,2433 ; avec 96 utilisateurs : 0,6202.     1,1 
 



🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Christophe Le Péru