Passer au contenu

ZyWALL 70 UTM de ZyXEL : un boîtier de sécurité perfectible

Le matériel de ZyXEL offre des capacités de filtrage d’intrusion et de virus acceptables. Mais l’antipourriel n’a pas fonctionné lors des tests.

Notre laboratoire a testé le boîtier de sécurité multifonction ZyWALL 70 UTM de ZyXEL. Cet équipement embarque un coupe-feu, un serveur de réseaux privés virtuels (RPV) IPSec, et propose des fonctions de filtrage de pourriels et
d’URL. Un détecteur d’intrusion (IDS) et un antivirus, disposés sur une carte dédiée (TurboCard), complètent le dispositif.

Configuration : des règles prédéfinies facilitent l’installation

Notre laboratoire a évalué la facilité d’installation, la pertinence de l’IDS, de l’antipourriel et de l’antivirus. Il a également étudié les fonctions du RPV et du filtrage d’URL.Notre plate-forme de tests simule un réseau local, un réseau étendu, ainsi qu’une DMZ. Pour générer un trafic sur le réseau local, l’injecteur de charge Load-Runner de Mercury a simulé l’existence de huit clients Web. Un serveur FTP,
un client Skype et une console d’administration ont également été installés. L’envoi de courriels s’effectue en DMZ, à l’aide d’un relais SMTP et d’un serveur Iperf. Enfin, notre laboratoire a simulé un trafic provenant du réseau étendu. Intuitive,
l’interface d’administration Web du ZyWALL 70 UTM est accessible par authentification et mot de passe. Un assistant permet de configurer le lien WAN et le RPV.Malgré cela, la mise en place du RPV nécessite quelques connaissances techniques. Par défaut, le coupe-feu ainsi que le détecteur d’intrusion proposent des règles prédéfinies et des catégories d’attaques à bloquer (Exploit,
buffer overflow, etc.). Le paramétrage étendu du coupe-feu et du détecteur d’intrusion repose sur la sélection des interfaces (WAN, WLAN, LAN, VLAN, DMZ) depuis lesquelles et à destination desquelles des règles de filtrage
(blocage ou autorisation) doivent être activées.Les règles de filtrage, du LAN vers le WAN par exemple, sont ensuite précisées interface par interface. Le nouveau microcode testé (version 4.01) embarque un tableau de bord avec une vision synthétique des dernières mises à jour, des
alertes, etc. Ces dernières peuvent être envoyées via le protocole SMTP ou par pop-up. De nombreux rapports sont proposés, notamment sous forme graphique.

Performances : filtrage correct des intrusions et des virus

Le détecteur d’intrusion est plutôt efficace. Nous avons réalisé différentes attaques : accès non autorisé (directory traversal), attaque par ‘ force brute ‘ pour la recherche de
paramètres d’accès (HTTP), injection SQL. Bilan, les deux premières attaques sont identifiées, et les sessions interrompues. Toutefois, les fiches informatives de l’incident sont succinctes, et le libellé reste flou. Plus gênant, l’attaque de type
SQL Injection n’a été ni journalisée ni bloquée.Pour sa part, l’analyse de ports (Nmap sneaky) a bien été bloquée, et la fiche en ligne qui décrit l’incident est très explicite. Surprenant, l’antipourriel n’a pas fonctionné, à cause d’un bug logiciel. De fait, aucun spam sur les
499 expédiés n’a été bloqué. Le correctif transmis par ZyXEL n’a pas permis de remédier à ce dysfonctionnement. Pour sa part, le moteur antivirus employé est celui de Kaspersky. L’analyse des journaux indique que 33 codes malicieux sur 55 ont
été bloqués. La plupart des codes bloqués sont des virus, ceux qui ne le sont pas sont des logiciels espions ou publicitaires. À la différence des journaux du détecteur d’intrusion, ceux de l’antivirus ne proposent pas de liens vers une fiche
informative, ce qui pénalise la lisibilité de l’ensemble.Bon point, le boîtier est parvenu à bloquer nos trois essais de connexion avec un client Skype. Notre laboratoire a aussi étudié les fonctions de filtrage d’URL. Le logiciel permet de planifier les créneaux horaires de filtrage, de
spécifier ses propres listes blanches et noires, et de définir des mots-clés bloquants. La qualité de l’interface de consultation des journaux est assez moyenne. Par exemple, le niveau de gravité est indiqué grâce à un code couleur, mais le journal
ne peut être trié par niveau de sécurité.

Notre avis : un premier niveau de sécurité

Hormis le déploiement du RPV, ce boîtier, simple à installer et à utiliser, conviendra aux petites entreprises qui ne disposent pas de fortes compétences réseau en interne. L’interface d’administration générale est ergonomique et
lisible, grâce notamment à la présence d’un tableau de bord efficace. L’antipourriel n’a pas fonctionné.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Thibault Michel