Marcus Ranum, directeur technique de NFR et considéré comme l’un des “grands-pères” des coupe-feu, faisait ce constat dans un forum de discussion : “Les utilisateurs de coupe-feu choisissent la transparence, la performance et le côté pratique plutôt que la sécurité.”Chez CyberGuard, l’optique visée est avant tout la sécurité de haut vol pour l’ensemble de la gamme de ses boîtiers coupe-feu-VPN. Ceux-ci s’appuient sur une version très renforcée d’UnixWare, dont la firme possède le code. Jusqu’à présent, le système d’exploitation et le coupe-feu n’ont pas souffert de vulnérabilités découvertes sur une longue période, ce qui mérite le respect. Outre cet aspect rassurant, les produits de la firme sont relativement indépendants des architectures de pare-feu.CyberGuard supporte les technologies suivantes : filtrage de paquets statique, filtrage de paquets dynamique (Stateful), passerelle de niveau circuit, proxy d’application, et Passport One, un coupe-feu virtuel avec des propriétés de Cutoff proxy. La société emploie aussi deux proxies génériques : PortGuard et Proxy Writer. Pour Paul Henry, CISSP chez CyberGuard, “la plupart des implémentations de type Stateful Inspection sont seulement opérées dans un mode de type filtrage de paquets dynamique dû à la piètre performance de traitement au-dessus de la couche 4, lorsque le produit est fondé sur un moteur Stateful Inspection mono-thread”. La firme suit une politique de certification poussée, puisque son modèle LX est certifié EAL4+ selon les Critères communs, et répond aux normes ITSec E3. En outre, elle a opté pour les procédures de suivi et de maintenance pour ces deux instances, d’où le signe “+” d’EAL4. La prise de contrôle du pare-feu par un pirate est extrêmement difficile.
La formation, clé d’une bonne protection
“À travers l’utilisation de CyberGuard MLS (Multilevel security), des mécanismes MAC (Mandatory access control) et DAC (Discretionary access control), il est impossible, pour le trafic réseau, d’accéder au noyau du coupe-feu, aux mécanismes de contrôle et aux systèmes de fichiers”, explique Paul Henry. Notons qu’il n’y a pas de notions de licences utilisateurs, ce qui en fait un produit très attrayant. Reste encore à bien respecter les règles de configuration. Car 80 % des coupe-feu sont mal configurés et donc inopérants, selon la société 3i. Stuart McClure, Joel Scambray et George Kurtz, auteurs du livre Halte aux hackers considèrent, en effet, “qu’un pare-feu bien configuré peut se révéler incroyablement difficile à percer”. La formation à la sécurité reste donc fondamentale.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
