Passer au contenu

Soyez vigilants dans le choix de votre coupe-feu

Difficile de mettre en échec des coupe-feu aujourd’hui, tant la technologie semble maîtrisée. Mais, la solution 100 % sécurisée n’existe pas. Ce qu’a cherché à démontrer notre laboratoire en testant trois logiciels.

Depuis la fin des années 90, le coupe-feu a constitué le seul véritable filtre de protection entre le réseau local et un autre réseau non sécurisé, tel internet. Il contrôle et protège aussi bien les utilisateurs que les serveurs. La prise en compte de fonctions VPN (Virtual Private network) visant à assurer la protection des travailleurs nomades représente la seule évolution majeure et récente de ce secteur. Pour gagner en efficacité, il est possible de coupler les coupe-feu à des outils de détection d’intrusion (IDS pour Intrusion Detection System), ainsi qu’à des services d’audit et de surveillance des vulnérabilités. Reste à savoir si, intrinsèquement, les coupe-feu sont réellement efficaces.Une tâche à laquelle se sont attelés les ingénieurs de notre laboratoire, en évaluant 3 modèles logiciels : Firewall-1 NG de Check Point Software ; eTrust Firewall Enterprise Edition 3.1 de Computer Associates ; et enfin, Enterprise Firewall 7.0 de Symantec. Destinés à des entreprises de taille moyenne, ces coupe-feu s’installent sur des serveurs fonctionnant sous Windows 2000.Pour mesurer leur performance, le nombre d’utilisateurs simultanés a été fixé à 500 lors de nos tests. À noter : chacun de ces outils utilise une technologie différente, même si tous constituent des versions récentes, dotées en standard de fonctions VPN. Grand absent de ce banc d’essai, MatraNet/EADS Telecom a estimé que la dernière version de son coupe-feu M>Wall destinée aux serveurs Windows 2000 n’était pas encore assez stable.

Check Point confirme sa position de leader

Le Firewall-1 NG de Check Point offre la plus grande richesse en matière de gestion des règles. Il autorise en outre un paramétrage très fin des contenus inspectés. Configurables, ses journaux d’activité se révèlent particulièrement exhaustifs ; l’analyse porte jusqu’au traitement du contenu des paquets.Seuls bémols, la fonction de reporting reste optionnelle et la prise en main du logiciel se révèle plus complexe que celle de ses concurrents, en raison d’une plus grande richesse fonctionnelle.

L’importance de l’inspection de niveau 7

Par ailleurs, les ingénieurs de notre laboratoire ont évalué la facilité de mise en ?”uvre des coupe-feu et leur paramétrage initial, des manipulations assez simples dans l’ensemble, excepté pour le Firewall-1 NG. Quant aux mécanismes d’authentification pris en charge, l’outil de Check Point se distingue de ses concurrents par une compatibilité avec la plupart des protocoles (Radius, Tacacs, base NDS, Bindery, base Windows NT, LDAP, etc.).En ce qui concerne l’administration des règles, les tests ont mis en lumière les faiblesses d’eTrust Firewall Enterprise Edition 3.1 de Computer Associates. Ce dernier souffre de l’absence d’analyse de contenu des paquets. Quant à l’inspection de données, Checkpoint travaille sur les paquets au niveau 3. Ils sont stockés comme dans une mémoire tampon dans laquelle le logiciel extrait la couche données pour effectuer une analyse équivalente à celle du niveau 7.Les produits de Check Point et de Symantec autorisent un vaste choix de réglages HTTP. Mention particulière décernée à Enterprise Firewall 7.0 de Symantec. Son algorithme Best Fit évite en effet de se soucier de l’ordonnance des règles en appliquant la plus pertinente.

Une faille critique non détectée chez Computer Associates

Le critère concernant l’exploitation du coupe-feu prend en compte l’ensemble des outils mis à la disposition de l’administrateur pour une utilisation au quotidien. Côté reporting, les fonctions proposées par les trois produits restent assez limitées. Check Point commercialise d’ailleurs une suite plus complète, baptisée Reporting Tools, qui fait l’objet d’une licence supplémentaire, et qui n’a pas été testée. La gestion des logs se révèle satisfaisante sur l’ensemble des produits, avec un léger avantage pour le Firewall-1 NG.Nos ingénieurs ont également déterminé le niveau de protection obtenu sur le serveur hébergeant le coupe-feu et sur un serveur web placé derrière, grâce à un scanner d’origine ISS. Activé depuis internet, le scanner a d’ailleurs détecté une faille critique sur le serveur web lors de l’utilisation d’eTrust Firewall Enterprise Edition 3.1, une constatation d’autant plus rédhibitoire que la faille a été recensée depuis plus d’un an ! Enfin, notre laboratoire a mesuré le ralentissement induit par les coupe-feu lors du routage et de l’inspection des paquets.Les solutions de Check Point et de Computer Associates enregistrent des moyennes légèrement inférieures à celles obtenues avec un simple routeur sous Windows 2000, qui constitue notre référence. Les coupe-feu n’utilisent pas les routines de routage de Windows, ce qui explique que 90 % des pages web demandées soient servies plus rapidement avec Firewall-1 NG et eTrust Firewall Enterprise Edition 3.1. Le logiciel de Symantec, quant à lui, affiche des performances très moyennes : pour délivrer une page web, il se révèle en effet 10 fois moins rapide que le routeur seul.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


La rédaction