Passer au contenu

Sécuriser sans sacrifier les performances

Les infrastructures de sécurité doivent être dopées pour traquer les attaques applicatives et chiffrer les flux à hauts débits. La solution : les accélérateurs SSL et XML, la répartition de charge et les Asic.

Sécuriser un réseau impose souvent de chaîner les équipements de chiffrement et de filtrage. Afin que cette chaîne ne crée pas de goulets d’étranglement, on trouve sur le marché de nombreux matériels adaptés. Les accélérateurs SSL arrivent en tête. Malgré ses limitations, SSL connaît un succès grandissant. En 2004, un tiers des flux internet sera chiffré en SSL, selon IDC. Il existe de nombreuses cartes accélératrices SSL pour serveurs, ainsi que des appliances. Le chiffrement SSL s’intègre également dans les équilibreurs de charge (commutateurs de niveau 4 à 7), tels ceux de F5 Networks, ainsi que dans des châssis de commutation Ethernet comme le Catalyst 6500, de Cisco.

Doper le coupe-feu traditionnel

Plus récemment, Array Networks ou Ingrian Networks ont proposé des plates-formes cumulant accélération SSL, équilibrage de charge et cache. Enfin, les firewalls applicatifs comme le RealSentry, d’Axiliance, et l’APS, de Stratum8 Networks s’adossent à de l’accélération SSL. Les sessions SSL doivent, en effet, se terminer au niveau du pare-feu, afin que celui-ci analyse les flux HTTP en clair. Plus avancée, la start-up Forum Systems pousse un coupe-feu accélérateur de chiffrement des flux XML, le Sentry 1500, qui intègre aussi de l’accélération SSL.L’autre méthode, pour sécuriser un réseau, est le VPN, en particulier au standard IPSec. On associe alors fréquemment firewall et VPN au sein d’un même boîtier.Afin d’accélérer les traitements, les constructeurs intègrent des composants matériels (Asic) de chiffrement 3DES et AES. C’est le cas de Cisco, NetScreen, Nokia, SonicWALL ou WatchGuard.Certains Asic effectuent aussi du filtrage de paquets, la classification du trafic, et la translation d’adresses (NAT), afin de doper la partie traditionnelle du coupe-feu (hors couche applicative). Outre les Asic, les constructeurs recourent habituellement au clustering actif-actif, afin de monter en charge. Cette fonction est disponible chez NetScreen ou Nokia, ainsi qu’avec le logiciel Stone Beat, de StoneSoft.

Une approche renouvelée

Le châssis 40S, de Crossbeam Systems, renouvelle cette approche. Il associe firewall, détection d’intrusions (IDS), filtrage de contenu et antivirus au sein du même équipement. Il comprend, pour cela, dix serveurs en lames, mono ou biprocesseurs Pentium III, sous Linux. Chacun des serveurs exécute une application de sécurité (Firewall, de Check Point Software ; et IDS Dragon, d’Enterasys, entre autres). Plusieurs lames peuvent exécuter la même application, avec répartition de charge entre elles. Les applications tournent soit en série (le pare-feu, puis l’antivirus), soit en parallèle (le pare-feu en même temps que l’IDS). Le clustering est également employé sur les équipements qui traitent les attaques applicatives, tels NetSecure Web, de NetSecure Software ; ou APS, de Stratum8. Autres éléments accélérateurs de l’infrastructure, les serveurs de cache, tels ceux de Network Appliance, ne doivent pas diffuser de virus. À terme, un protocole Icap (Internet content adaptation protocol) permettra aux caches de dialoguer de façon standard avec les antivirus, et de filtrer les contenus. Une protection que cible actuellement un boîtier comme celui que propose Blue Coat.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jean-Pierre Blettner et Gilbert Kallenborn