 |
|
|
| |
|
|
|
| 8 solutions de pare-feu au crible |
| Les solutions de pare-feu, disponibles sous la forme d'appliances ou de logiciels, bénéficient de fonctionnalités de plus en plus évoluées. Tour d'horizon des principaux acteurs.
(24/08/2005) |
|
Le présent panorama propose de recenser les solutions de pare-feu qui ne font pas partie de plates-formes de sécurité plus globales telles que des IDS ou des IPS, déjà traitées lors d'un précédent panorama (lire l'article du 01/06/2005).
Dans le 1er tableau de ce panorama, nous avons tout d'abord distingué les solutions de type appliance (boîtier) par rapport à celles qui se présentent sous forme logicielle. Autres critères retenus, ceux qui concernent la détection des attaques par deni de service (DoS) ou encore par dépassement de
mémoire tampon (buffer overflow).
Le 2e tableau recense les principales familles de pare-feu, dont celles permettant un filtrage des paquets du point de vue des en-têtes IP et, plus rares, les solutions dotées d'un proxy applicatif permettant une protection en amont des points d'accès au réseau.
Enfin, dans le dernier tableau sont mis en avant des critères relatifs à l'authentification et permettant de distinguer les solutions recourant à de simples mots de passe ou à des protections plus fortes comme Secure ID. Parmi celles intégrant un VPN, le crypatge est généralement assuré par de l'AES 256.
La conformité des solutions par rapport à la certification ISCA (société Cybertrust) dans sa version 4.1. est également précisée.
Tableau des principales protections des solutions de pare-feu
|
|
Editeur/Solution
|
Appliance
|
Logiciel
|
DoS
|
Buffer overflow
|
|
CheckPoint/Firewall 1 GX
|
|
x
|
x
|
x
|
|
Cisco/Gamme Pix 501 à 535
|
x
|
|
x
|
x
|
|
Clavister/Gamme Security Gateway 30 à 4400
|
x
|
x
|
x
|
x
|
|
Cyberguard-Secure Computing/Gamme 710+ et 7100
|
x
|
|
x
|
x
|
|
Fortinet/Gamme FGT 60 à 3600
|
x
|
|
x
|
x
|
|
Juniper/Gamme Netscreen
|
x
|
x
(Screen OS)
|
x
|
x
|
|
SonicWall/Gamme Pro
|
x
|
|
x
|
x
|
|
Symantec/Gamme SGS 400 à 5600
|
x
|
|
x
|
x
|
|
Editeur/Solution
|
Appliance
|
Logiciel
|
DoS
|
Buffer overflow
|
Un premier constat permet de montrer la supériorité numérique des offres appliances sur les logiciels. Du point de vue des types de protection, les solutions présentes dans ce panorama permettent de se prémunir et de détecter une grande majorité d'attaques dont les attaques SYN, également partagées par l'ensemble des solutions.
Concernant les débits, les solutions présentent des caractéristiques hétérogènes, pouvant aller de 60 Mbits jusqu'à 12 Gbits. Parallèlement, on remarquera également que le nombre de sessions possibles varie en fonction des éditeurs (de 10 000 à 5 000 000), et du mode VPN.
Niveaux de filtrage et capacité de montée en charge des solutions
|
|
Editeur
|
Débit
|
Sessions
|
Filtrage des paquets
|
Filtrage dynamique
|
Filtrage de contenus
|
Proxy applicatif
|
|
CheckPoint/Firewall 1 GX
|
Jusqu'à 3 Gbits
|
Jusqu'à 400 000
|
x
|
x
|
|
x
|
|
Cisco/Gamme Pix 501 à 535
|
Jusqu'à 1,7 Gbits
|
Jusqu'à 500 000
|
x
|
x
|
x
|
|
|
Clavister/Gamme Security Gateway 30 à 4400
|
Jusqu'à 4 Gbits et 1 Gbit en VPN
|
Jusqu'à 5 000 000 et
1 000 000 en VPN
|
x
|
x
|
x
|
|
|
Cyberguard-Secure Computing/Gamme 710+ et 7100
|
Jusqu'à 8 Gbits
|
Jusqu'à 1 000 000
|
x
|
x
|
x (sauf 710+)
|
x (sauf 710+)
|
|
Fortinet/Gamme FGT 60 à 3600
|
Jusqu'à 4 Gbits
|
Jusqu'à 1 000 000
|
x
|
x
|
x
|
x
|
|
Juniper/Gamme Netscreen
|
Jusqu'à 12 Gbits
|
Jusqu'à 1 000 000
|
x
|
x
|
x
|
|
|
SonicWall/Gamme Pro
|
Jusqu'à 2,4 Gbits
|
Jusqu'à 750 000
|
x
|
x
|
x
|
|
|
Symantec/Gamme SGS 400 à 5600
|
Jusqu'à 2,4 Gbits
|
Jusqu'à 260 000
|
x
|
x
|
|
x (sauf SGS 400)
|
|
Editeur
|
Débit
|
Sessions
|
Filtrage des paquets
|
Filtrage dynamique
|
Filtrage de contenus
|
Proxy applicatif
|
Le filtrage dynamique (ou stateful inspection) permet de surveiller les transactions entre un client et un serveur et non plus de simplement procéder à l'examination des paquets IP indépendamment les uns des autres. Ce mode de filtrage couvre les couches 3 et 4 du modèle OSI, sachant qu'environ un tiers des solutions est doté d'une technologie de type proxy applicatif filtrant notamment les URL.
Le filtrage de contenus est partagé par la très grande majorité des solutions. Il permet notamment de bloquer les applets Java, les contrôles Active X de même que les javascripts et les VBscripts.
Modes d'authentification et intégration de VPN et capacité de filtrage
|
|
Editeur
|
Certif. ISCA 4.1
|
Authenti-
fication
forte
|
Signatures
|
Intégration
VPN
|
Cryptage VPN
|
|
CheckPoint/Firewall 1 GX
|
x
|
NC
|
NC
|
x
(avec VPN-1)
|
AES : 256 bits
|
|
Cisco/Gamme Pix 501 à 535
|
|
x (SecurID,, Tacacs+...)
|
49
|
x
|
AES : 256 bits et DES 56 bits
|
|
Clavister/Gamme Security Gateway 30 à 4400
|
|
x
|
Analyse de coupures des sessions
|
x
|
Cryptage 496 bits
|
|
Cyberguard-Secure Computing/Gamme 710+ et 7100
|
|
x
|
Analyse de coupures des sessions (gamme 7100) et 3 000 (gamme 710+)
|
x (compatible IPSEC)
|
AES : 256 bits et 3DES 168 bits
|
|
Fortinet/Gamme FGT 60 à 3600
|
x
|
x (SecurID)
|
1 500
|
x
|
AES : 256 bits et DES 56 bits et 3DES 168 bits
|
|
Juniper/Gamme Netscreen
|
x
|
x (SecurID)
|
3 600
|
x
|
AES : 256 bits
|
|
SonicWall/Gamme Pro
|
x
|
NC
|
Analyse de coupures des sessions
|
x
|
AES : 128 bits
|
|
Symantec/Gamme SGS 400 à 5600
|
|
x (SecurID, Entrust, S Key)
|
1 700 (200 pour SGS 400)
|
x
|
DES, 3DES, AES
|
|
Editeur
|
Certif. ISCA 4.1
|
Authentification
forte
|
Signatures
|
Intégration
VPN
|
Cryptage VPN
|
L'intégration d'un VPN est partagé par la quasi totalité des solutions. Pour celles qui en intégrent un, le niveau de cryptage varie entre plusieurs clés de codage allant jusqu'à 256 bits dans le cas d'un cryptage AES, 56 bits dans celui de type DES et 168 bits dans le cas du cryptage 3DES. Une seule solution déclare recourir à un cryptage 496 bits.
La certification ISCA, mise en place en 1996, a évolué avec la granularité fonctionnelle des solutions de pare-feu. Les solutions certifiées ISCA 4.1 (possibles depuis le mois d'août 2004) concernent la moitié d'entre elles.
|
|
|
|
|
|
|
Dossier 