Traditionnellement, les coupe-feu ont été présentés comme des équipements de sécurité périmétriques, chargés de protéger les biens de l’entreprise contre les attaques extérieures. Si cette vision persiste encore, elle reste incomplète et répond très peu à la problématique des menaces internes, toujours plus nombreuses. Peu de sociétés installent des coupe-feu sur leur réseau local (LAN) ; les hypermarchés Leclerc font partie des rares entreprises qui ont mis en ?”uvre du Firewall-1, de CheckPoint, dans cette optique.Le minimum attendu d’un boîtier coupe-feu/VPN est qu’il comporte trois pattes (interfaces) : une pour le monde extérieur (WAN) ; une pour la zone démilitarisée (les serveurs publics de l’entreprise) ; et une autre pour le LAN de l’entreprise. Le lien vers le WAN est qualifié de non sûr ; et celui vers le LAN, de sûr autant que faire se peut.Historiquement, les zones de sécurité ont été implicitement liées à l’interface physique du périphérique. Entre les deux, il n’y a pas de granularité. Avec son nouveau système d’exploitation ScreenOS 3.1, présent dans les nouveaux boîtiers de la série 200 (Netscreen-204 et Netscreen-208, dotés respectivement de 4 et 8 ports 10-100 Mbit/s), Netscreen change son modèle d’analyse. Le rôle de l’interface et celui de la sécurité sont séparés par des paramètres et des caractéristiques personnalisables, permettant un contrôle granulaire des niveaux de confiance ainsi que du chiffrement.
Mieux segmenter sa politique de sécurité
Les règles sont définies entre les zones de sécurité. La gestion de trafic est considérée comme une fonction de la zone de sécurité, qui peut elle-même intégrer de multiples interfaces. Toutes les interfaces physiques ou virtuelles (à l’exception de celles qui sont dédiées à l’administration ou à la haute disponibilité) peuvent être paramétrées individuellement et associées à des zones de sécurité séparées. Ainsi, les attaques pourront être gérées (28 au total, dont SYN attack, ICMP Flood, UDP Flood, le scan de ports et le ping de la mort) sur chaque interface et non uniquement sur le lien WAN, si l’administrateur le souhaite. Il sera alors facile de bloquer le trafic sortant d’un employé malveillant, ou d’un utilisateur de confiance qui s’est laissé piéger par un cheval de Troie. L’intérêt de cette granularité est d’empêcher une attaque interne ou externe de toucher la totalité du réseau. Afin de renforcer la sécurité du LAN, Netscreen permet qu’un point de terminaison VPN soit associé à la même interface. Les employés de l’entreprise, qui utilisent de la technologie sans fil, pourront ainsi être reliés sur une même interface avec des règles de sécurité ad hoc sur un segment dédié.Si Netscreen a longtemps cherché à atteindre les fournisseurs de services et les grandes entreprises grâce à une technologie fondée sur un Asic (GigabitScreen), il dispose aussi d’une gamme pour les marchés Soho et PME.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
