Administration, reporting, authentification, VPN intégré... quels sont les éléments clés à prendre en considération lors du choix d'un firewall ? (Vendredi
10 octobre 2003)
Les pare-feu (firewalls) fonctionnent selon trois
grandes catégories de techniques : le filtrage traditionnel des paquets,
le filtrage dynamique et les proxy applicatifs (voir le panorama
des solutions pour le détail de ces catégories).
Au délà des seules caractériques
technologiques, quels sont les critères de choix
à prendre en considération lors de l'évaluation
d'une solution ?
Boîtiers
versus logiciels
Une des premières questions qui vient à
l'esprit est de savoir si l'on doit s'orienter vers une
solution logicielle ou un vers un boîtier (appliance).
Les boîtiers cumulent matériel et logiciel
et disposent de leur propre système d'exploitation,
un système propriétaire qui peut présenter
moins de failles potentielles, ou en tout cas être
moins exposé qu'une solution sous forme logicielle.
Les logiciels peuvent être accueillis par des serveurs
de l'entreprise déjà existants, sans ajout
de matériel supplémentaire. Dans le cas
contraire, le boîtier, de par sa facilité
d'installation, peut également faire l'affaire.
De plus, le boîtier "embarque" très
souvent d'autres solutions, comme par exemple un VPN (Réseau
Privé Virtuel).
Déploiement
et gestion
Vient ensuite la facilité de déploiement
mais surtout de gestion de la solution et de reporting.
Les administrateurs réseaux sont en effet très
friands d'outils de supervision leur permettant, très
rapidement, de contrôler les flux entrants et sortants
par des interfaces graphiques, d'être avertis en
temps réel - par un système d'alertes -
des incidents qui surviennent et, le cas échéant,
de procéder à la maintenance ou à
l'accès à la solution de manière
distante.
En outre, il est nécessaire de savoir très
précisément quel trafic va devoir être
analysé par le pare-feu, ainsi que le nombre d'utilisateurs
total et le volume de connexions simultanées à
venir. C'est particulièrement vrai quand il existe
plusieurs firewall dans l'entreprise. En cas de panne
de l'un d'entre eux, un autre pare-feu peut prendre le
relais, dans certaines limites toutefois, limites qu'il
faut anticiper.
Authentification
et VPN La plupart des
solutions pare-feu proposent l'authentification des utilisateurs.
Cette authentification peut être transparente ou
pas (l'utilisateur voit, ou non, qu'il se connecte au
firewall). Elle peut également être forte
(authentification à usage unique) ou faible (variables
d'identification permanentes).
Pour finir, quand on aborde le sujet des pare-feu, on
ne peut oublier de citer les VPN (voir notre panorama).
La plupart des solutions, notamment les appliances, incluent
une solution de réseau privé virtuel. L'entreprise,
avant de choisir ce type de produit, doit se poser la
question de savoir si elle en a réellement besoin,
les VPN étant principalement utiles dans les cas
de sites (géographiques) éclatés.
[