1. Performances
L’objectif de ce critère était de vérifier que l’aspect tout-en-un de ces boîtiers n’avait pas de conséquence néfaste sur les performances. Pour ce faire, nous avons simulé 128 utilisateurs internes et 24 utilisateurs
externes avec différents profils de charge (lire méthodologie). Que ce soit pour les performances nominales à vide ou pour le 90 Percentile, qui représente le temps moyen de traitement de 90 % du trafic, les boîtiers
testés ont obtenu des résultats équivalents, l’activation du coupe-feu et la mise en place d’une dizaine de règles ne produisant aucune dégradation. Il en va tout autrement après l’activation de l’IPS qui pose problème au boîtier d’ISS (temps de
réponse passant de 93 ms à 4,154 s) alors que l’opération est transparente pour celui de Netasq.
2. Administration
Globalement, ces outils nécessitent un minimum de connaissances en sécurité pour être déployés. Curieusement, seuls les boîtiers de Fortinet et d’ISS disposent d’une interface d’administration Web sécurisée par SSL, les deux
autres recourant à un outil propriétaire. Netasq se démarque par sa facilité de paramétrage des règles. À l’exception de WatchGuard, tous offrent un système de vérification de l’intégrité des règles du coupe-feu, une option de déploiement des règles
sur plusieurs boîtiers (via un outil payant le plus souvent) et proposent la création de plusieurs comptes d’administration. Seul Fortinet ne permet pas en standard la gestion de plusieurs boîtiers à partir de la même interface. Le paramétrage du
boîtier d’ISS est simple, même si l’interface est un peu lente. En revanche, aucun outil de reporting n’est prévu en standard. WatchGuard a opté pour une gestion beaucoup plus ergonomique avec, notamment, un résumé des alertes. Il en va de même pour
Fortinet, même si celui-ci ne propose pas de reporting.
3. Qualité de gestion des incidents sur l’IPS
Il s’agissait ici d’évaluer l’accessibilité, la lisibilité et l’exhaustivité des alertes remontées à l’administrateur en cas d’intrusion. Curieusement, aucun des boîtiers n’utilise une nomenclature publique de type CVE ou
bugtraq. La remontée d’informations du boîtier d’ISS est complète et claire. En revanche, aucun module ne permet de modifier automatiquement le blocage ou non d’une signature. L’équipement de Fortinet est également assez complet, sauf pour les
actions associées au déclenchement d’une alarme. Le Firebox X5000 de WatchGuard s’est aussi bien comporté tant du point de vue de la détection que de l’efficacité et des informations dans les logs. L’interface de visualisation des logs est très
riche et permet de mettre en quarantaine une machine manuellement. En revanche, le constructeur a été pénalisé pour ne pas avoir été en mesure de nous permettre de conduire l’ensemble des tests relatifs à l’IPS dans les délais impartis. Pour Netasq,
la remontée d’informations est claire, en revanche aucune référence de la signature détectée n’est disponible (par rapport à la base de signatures de l’IPS).
4. Redondance
Mis à part le boîtier d’ISS équipé d’une ventilation redondante, aucun des matériels testés ne dispose de composants redondants ni d’emplacements pour les installer. Ce constat est problématique dans la mesure où ces
équipements font office de tout-en-un et peuvent agir en coupure de réseau en cas de défaillance. Pour un maximum de sécurité, il faut donc recourir à la mise en place de deux boîtiers en redondance avec plus ou moins de succès. Ainsi, seul le
boîtier de Fortinet autorise le fonctionnement de type actif-actif avec load balancing quand tous les autres sont de type actif-passif. Quand le Firebox X5000 de WatchGuard affiche un basculement en moins d’une seconde, il en faut plus de 4
chez ISS, qui perd au passage la session FTP en cours. Pour tous les boîtiers, la configuration de la redondance est aisée.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.