|
|
|
|
Infrastructure/Chantiers |
Le
pare-feu, prochain rempart pour sécuriser les Web services |
Certains firewall sont désormais capables de lire le contenu d'un message XML. Une fonction que Gartner Group considère comme une prérequis pour mettre en place un projet de Web services. (Vendredi 30 août 2002) |
|
S'achemine-t-on vers une fermeture
des accès Web dans l'entreprise ? Editeurs
d'applications et prestataires de services informatiques
s'accordent depuis longtemps pour dire qu'il n'est pas
conseillé de laisser s'immiscer sur un réseau
interne des flux de données HTTP (HyperText Transfer
Protocol) en provenance de l'extérieur. Une mesure
qui n'est pourtant que très rarement suivie par
les sociétés, qui auraient plutôt
tendance à généraliser l'utilisation
d'Internet dans leur rang.
Certes,
des outils existent pour sécuriser un système d'entreprise
à tous les étages. Aux côtés des antivirus et des outils
de chiffrement des transactions (VPN, etc.), les pare-feu
sont conçus précisément pour filtrer le trafic en entrée
et en sortie d'un réseau d'entreprise. Cependant lorsque
des paquets de données transitent par le biais
du protocole HTTP, ces produits qui exploitent alors le
port 80 n'opèrent généralement aucune surveillance...
Quand il s'agit du transfert de pages Web, une ouverture
du port 80 sans conditions particulières de protection
peut sans doute suffire, pour peu que le paramétrage
du navigateur des postes utilisateur empêche l'exécution
des scripts. Mais attention : la problématique semble
radicalement différente dans le monde des Web Services,
des composants XML qui, rappelons-le, exploitent également
la couche HTTP.
Attention:
danger immédiat !
Ciblant les
enjeux d'intégration applicative, la technologie
des Web services est dessinée pour rendre deux
composants interopérables par le biais de messages
(au format XML/SOAP)... transitant via HTTP. "Grâce
à cette méthode, deux applications distantes,
l'une placée au sein du système d'entreprise
et l'autre à l'extérieur, ont en effet la
possibilité d'échanger des données
voire des services exécutables. Le tout sans que
le firewall s'en inquiète", confirme Gartner
Group dans un récente note.
Ainsi, la mise en oeuvre de Web services peut rencontrer
certains risques, dans le cadre d'un réseau dont
le port 80 est ouvert notamment. Déployée
au sein d'un système d'information, une interface
SOAP pourrait notamment permettre à une personne
extérieure d'exécuter librement certaines
applications internes. Autre danger annoncé par
les spécialistes : la naissance d'une nouvelle
race de chevaux de Troie... qui utiliseraient des commandes
SOAP/HTTP comme moyen d'exécution pour tromper
les pare-feu.
L'apparition
de firewall XML/SOAP
Pour
répondre à ces questions, certains fournisseurs
de firewall proposent depuis peu des dispositifs assurant
le contrôle des documents SOAP/XML transitant par
le port HTTP. Objectif affiché : contrôler
la validité et l'intégrité d'un message
dans ce format avant d'appliquer la politique de sécurité
adéquate. Parmi les tout premiers éditeurs
positionnés sur ce segment, on compte notamment
Check Point Software, avec Check Point FireWall, et Reactivity,
avec Reactivity Service Firewall. Des solutions qui contrôleraient
le contenu des flux SOAP XML au même titre que n'importe
quel format de message - quel que soit le protocole réseau
utilisé.
Reste que la prochaine version de SOAP englobera le support
d'autres protocoles réseau, tel que SMTP (Simple
Mail Transfer Protocol) et TCP (Transmission Control Protocol).
Une évolution qui devrait conduire à une
plus grande souplesse de ce format, ce qui contribuera
au final à faciliter la mise au point des politiques
de sécurité.
|
|
|
|
|
|