Payer un coupe-feu à l'adresse IP ne se justifie pas : que l'on filtre pour dix postes ou pour mille, cela ne change rien "
, s'exclame Michel Maudet, directeur technique de Linagora. Ce faisant, il dénonce le paiement à géométrie variable pratiqué par les éditeurs et dont le marché du coupe-feu fait souvent les frais. Face à cet abus, les solutions basées sur les logiciels libres permettent de filtrer un nombre illimité d'adresses IP, sans souci des limitations de licence.
Une réelle souplesse de configuration
Depuis la version 2.4 du noyau Linux, Netfilter assume des fonctions de coupe-feu, équivalentes à celles des meilleurs produits commerciaux. Il en est de même pour FreeBSD ou encore OpenBSD. Il s'agit là de véritables coupe-feu dynamiques, capables d'assurer la traduction ou le filtrage par état d'adresses et de faire office de routeurs. Et comme ils fonctionnent sur un OS libre, ils bénéficient aussi de sa souplesse de configuration : on peut affiner le noyau de Linux afin de le spécialiser dans sa tâche. Cela est impossible avec un outil basé sur un OS propriétaire :
" Le problème d'un coupe-feu pour Windows, c'est que la moitié de ce que l'on installe sert à régler les problèmes de l'OS, seule l'autre moitié concerne vraiment le coupe-feu. Avec une solution libre, on adapte l'OS à la tâche "
, confirme Yann Bizeul, consultant chez Linagora. Ainsi, il n'est pas rare de rencontrer des PC Intel de série faisant fonctionner un noyau Linux optimisé et sécurisé et ne servant que de coupe-feu. Les fabricants de coupe-feu matériels ne s'y trompent d'ailleurs pas : Linux est très souvent au coeur de leurs produits (Symantec Security Gateway et Raptor Firewall, WatchGuard Firebox, etc.). Tous utilisent une version personnalisée du noyau Linux et embarquent aussi un serveur web libre pour l'administration.
Mais ces outils n'en sont pas parfaits pour autant.
" La haute disponibilité est loin d'être acquise en mode par état, bien que cela fonctionne parfaitement en mode sans état. Et il manque de vraies consoles d'administration centralisée "
, reconnaît Benoît Picaud, consultant sécurité chez IdealX. Si les développeurs ne semblent pas pressés de régler ce problème-là, ils s'ouvrent cependant aux hauts débits et à la redondance. Car c'est sur ces critères et celui des consoles d'administration centralisée que les éditeurs commerciaux tentent bien souvent de faire la différence.
" Le choix de l'open source a été rapide "
Serge Schneider
, administrateur systèmes et réseaux de UEM (Usine d'électricité de Metz).
Pourquoi avoir choisi une solution de filtrage libre ?
Pour le coût. En 1999, nous avons lancé un appel d'offres pour notre connexion Internet et la protection de notre LAN. Nous avions 400 postes de travail, dont seulement 150 devaient être connectés à Internet. Mais les offres basées sur le coupe-feu de Check Point nous obligeaient à payer une licence pour 400 postes. Le coût était énorme : sur les 400 000 F demandés, la moitié l'était pour le coupe-feu. Nous avons donc opté pour une solution mixte : le coupe-feu sous Linux et le reste sous NT (serveur web IIS et MS-Proxy). L'ensemble nous a alors coûté 100 000 F, soit 15 245 e.
Quel est votre bilan ?
Nous avons vraiment confiance dans le logiciel libre. Le coupe-feu a parfaitement fonctionné avec un vieux noyau 2.0, jusqu'à très récemment. La société Linagora nous l'a remis à jour cette année, avec une version 2.4 et Netfilter, et a déployé SSH pour son administration sécurisée.
Comptez-vous étendre l'utilisation de logiciels libres ?
Nous ferons du " reverse proxy " afin de sécuriser les connexions des utilisateurs nomades, en utilisant pour cela le proxy libre Squid. Nous prévoyons de remplacer notre relais de messagerie Exchange, sur la DMZ, par Postfix, le serveur de messageries open source. Enfin, nous utilisons Apache sur notre réseau interne et peut-être bientôt sur notre site web, à la place d'IIS, à cause de tous les problèmes de sécurité qu'il connaît.
" Il est nécessaire de pouvoir mixer les filtrages applicatifs et IP "
Thierry Karsenti
, directeur technique Europe du Sud chez Check Point Software.
Qu'est-ce qui vous différencie des solutions open source ?
ans IP on voit passer des protocoles applicatifs (HTTP, NET, XML) qui posent de vrais problèmes de sécurité. On ne peut plus se limiter au simple contrôle des paquets, il faut aussi regarder ce qui est encapsulé dans IP. Ni le seul filtrage IP ni le seul filtrage applicatif (de niveau 7) ne sont la solution : il faut les mener de front, à l'aide d'une technologie autorisant la recherche de l'information dans l'applicatif et dans IP. C'est ce que nous faisons avec le langage Inspect. Les solutions libres restent en revanche toujours dans l'ancienne optique : filtrage de paquets d'un côté, proxy applicatif de l'autre.
Hors la technique, qu'apportez-vous de plus ?
Nos produits ont reçu des certifications internationales qui font défaut aux solutions open source, telles ITsec, EAL4 ou FIPS. Lorsque l'entreprise voit la sécurité comme un tout, et non pas juste comme une technique, il est bon d'avoir un partenaire qui offre un accompagnement, une assistance et des garanties quant à l'évolution du produit. Cela étant, les technologies libres sont à la disposition de tous, y compris de nos équipes de R&D. Plus de cinq cents de nos développeurs travaillent en plus de ceux de l'open source, afin de garantir l'évolution de nos produits.
Question d'argent
Cliquez ici
L'actualité des .com, des .fr,
, mesure chaque semaine les performances des opérateurs ToIP
Une école de management publie gratuitement ses cours sur Internet
écrire à l'auteur
imprimer
envoyer par mail
