Soyez vigilants dans le choix de votre coupe-feu

Depuis la fin des années 90, le coupe-feu a constitué le seul véritable filtre de protection entre le réseau local et un autre réseau non sécurisé, tel internet. Il contrôle et protège aussi bien les utilisateurs que les serveurs. La prise en compte de fonctions VPN (Virtual Private network) visant à assurer la protection des travailleurs nomades représente la seule évolution majeure et récente de ce secteur. Pour gagner en efficacité, il est possible de coupler les coupe-feu à des outils de détection d’intrusion (IDS pour Intrusion Detection System), ainsi qu’à des services d’audit et de surveillance des vulnérabilités. Reste à savoir si, intrinsèquement, les coupe-feu sont réellement efficaces.Une tâche à laquelle se sont attelés les ingénieurs de notre laboratoire, en évaluant 3 modèles logiciels : Firewall-1 NG de Check Point Software ; eTrust Firewall Enterprise Edition 3.1 de Computer Associates ; et enfin, Enterprise Firewall 7.0 de Symantec. Destinés à des entreprises de taille moyenne, ces coupe-feu s’installent sur des serveurs fonctionnant sous Windows 2000.Pour mesurer leur performance, le nombre d’utilisateurs simultanés a été fixé à 500 lors de nos tests. À noter : chacun de ces outils utilise une technologie différente, même si tous constituent des versions récentes, dotées en standard de fonctions VPN. Grand absent de ce banc d’essai, MatraNet/EADS Telecom a estimé que la dernière version de son coupe-feu M>Wall destinée aux serveurs Windows 2000 n’était pas encore assez stable.

Check Point confirme sa position de leader

Le Firewall-1 NG de Check Point offre la plus grande richesse en matière de gestion des règles. Il autorise en outre un paramétrage très fin des contenus inspectés. Configurables, ses journaux d’activité se révèlent particulièrement exhaustifs ; l’analyse porte jusqu’au traitement du contenu des paquets.Seuls bémols, la fonction de reporting reste optionnelle et la prise en main du logiciel se révèle plus complexe que celle de ses concurrents, en raison d’une plus grande richesse fonctionnelle.

L’importance de l’inspection de niveau 7

Par ailleurs, les ingénieurs de notre laboratoire ont évalué la facilité de mise en ?”uvre des coupe-feu et leur paramétrage initial, des manipulations assez simples dans l’ensemble, excepté pour le Firewall-1 NG. Quant aux mécanismes d’authentification pris en charge, l’outil de Check Point se distingue de ses concurrents par une compatibilité avec la plupart des protocoles (Radius, Tacacs, base NDS, Bindery, base Windows NT, LDAP, etc.).En ce qui concerne l’administration des règles, les tests ont mis en lumière les faiblesses d’eTrust Firewall Enterprise Edition 3.1 de Computer Associates. Ce dernier souffre de l’absence d’analyse de contenu des paquets. Quant à l’inspection de données, Checkpoint travaille sur les paquets au niveau 3. Ils sont stockés comme dans une mémoire tampon dans laquelle le logiciel extrait la couche données pour effectuer une analyse équivalente à celle du niveau 7.Les produits de Check Point et de Symantec autorisent un vaste choix de réglages HTTP. Mention particulière décernée à Enterprise Firewall 7.0 de Symantec. Son algorithme Best Fit évite en effet de se soucier de l’ordonnance des règles en appliquant la plus pertinente.

Une faille critique non détectée chez Computer Associates

Le critère concernant l’exploitation du coupe-feu prend en compte l’ensemble des outils mis à la disposition de l’administrateur pour une utilisation au quotidien. Côté reporting, les fonctions proposées par les trois produits restent assez limitées. Check Point commercialise d’ailleurs une suite plus complète, baptisée Reporting Tools, qui fait l’objet d’une licence supplémentaire, et qui n’a pas été testée. La gestion des logs se révèle satisfaisante sur l’ensemble des produits, avec un léger avantage pour le Firewall-1 NG.Nos ingénieurs ont également déterminé le niveau de protection obtenu sur le serveur hébergeant le coupe-feu et sur un serveur web placé derrière, grâce à un scanner d’origine ISS. Activé depuis internet, le scanner a d’ailleurs détecté une faille critique sur le serveur web lors de l’utilisation d’eTrust Firewall Enterprise Edition 3.1, une constatation d’autant plus rédhibitoire que la faille a été recensée depuis plus d’un an ! Enfin, notre laboratoire a mesuré le ralentissement induit par les coupe-feu lors du routage et de l’inspection des paquets.Les solutions de Check Point et de Computer Associates enregistrent des moyennes légèrement inférieures à celles obtenues avec un simple routeur sous Windows 2000, qui constitue notre référence. Les coupe-feu n’utilisent pas les routines de routage de Windows, ce qui explique que 90 % des pages web demandées soient servies plus rapidement avec Firewall-1 NG et eTrust Firewall Enterprise Edition 3.1. Le logiciel de Symantec, quant à lui, affiche des performances très moyennes : pour délivrer une page web, il se révèle en effet 10 fois moins rapide que le routeur seul.

L’expert du labo

David Jacqueline

Ingénieur

” Une politique de sécurité peut devenir rapidement difficile à maîtriser avec l’accroissement du réseau et du nombre de règles associées. Le module Visual Policy Editor de Check Point offre une aide efficace à la conception et à la validation de la sécurité, en fournissant une vue topologique des différents objets gérés (réseaux, coupe-feu, stations de travail…) et des relations entre eux. Chaque règle est illustrée par des flèches en couleurs reliant les réseaux concernés. Cette représentation graphique, qui traduit la base de données du coupe-feu, se révèle particulièrement ergonomique et aide à vérifier les éléments critiques de la sécurité de manière intuitive. Il est également possible d’éditer les caractéristiques des objets en cliquant simplement dessus. “

Jacques Denys Humeau Chef de projet réseaux / Saunier Duval Électricité

Privilégier la dynamique d’un challenger

Activité N?’1 en Europe sur les produits de chauffage

Problématique
” Nous avions besoin d’une solution de sécurité pour l’accès à internet, la messagerie et les utilisateurs nomades. “

Mise en ?”uvre
” Nous avons étudié les solutions de Check Point, de Novell et de Symantec. Conseillés par une société tierce, nous avons décidé rapidement de ne pas recourir à Check Point, ce dernier ne bénéficiant pas de la même dynamique qu’un challenger. Et finalement, l’argument économique a pesé en faveur de Symantec. Nous avons apprécié les facilités de mise en ?”uvre de l’Enterprise Firewall. Grâce à son interface d’administration souple et intuitive, le déploiement des connexions VPN de nos 90 utilisateurs nomades, notamment pour l’authentification et les restrictions d’accès, n’a posé aucun problème. En tant que proxy applicatif, le coupe-feu de Symantec propose en outre une approche plus complète dans l’analyse des flux. Nous n’avons que 2 reproches à formuler à l’égard de ce logiciel. Le premier porte sur le client VPN, lequel n’est pas standard dans Windows, un détail qui pourrait potentiellement se révéler gênant. Le second concerne la limitation des modifications éventuelles apportées sur le serveur hébergeant le coupe-feu, ce qui nous a quelque peu gênés pour l’exportation des logs. “

Une solution matérielle ou logicielle ?

Aujourd’hui, la fourniture des coupe-feu sous forme de boîtiers dédiés (appliances) constitue l’une des grandes tendances du marché. Plusieurs fabricants éditent ainsi leur propre logiciel coupe-feu et l’insèrent dans leur boîtier, tel Netasq. D’autres embarquent le logiciel développé par un autre, à l’image de Nokia qui commercialise la technologie Check Point dans ses matériels.

Ces plates-formes présentent un avantage non négligeable puisqu’elles s’appuient sur des solutions quasi propriétaires, contrairement aux offres reposant sur des systèmes Microsoft ou Linux, dont les failles sont souvent diffusées sur internet avant la parution du correctif.

À titre indicatif, nous avons également évalué le coupe-feu matériel F100-3/B de Netasq afin d’obtenir un élément de comparaison sur l’intérêt d’un serveur classique. D’après les mesures de nos ingénieurs, l’outil de Netasq obtient des performances très satisfaisantes notamment pour les besoins des grosses PME. Le test de sécurité effectué avec ISS montre également une résistance aux attaques plus efficace que Firewall-1 NG de Check Point.

Hervé Laudrain Directeur technique / Travelprice

Chek Point, aisé à mettre en ?”uvre et simple à administrer

Activité Agence de voyages

Problématique Suite à l’ouverture de plusieurs agences étrangères, Travelprice a souhaité mettre en place des solutions d’échange de données sécurisées. Objectif : relier toutes les agences (France, Espagne, Italie, Belgique, Grande-Bretagne, Danemark, Allemagne et Canada).

Mise en ?”uvre
” Auparavant, nous disposions d’une solution qui s’appuyait sur des logiciels gratuits ; cela nous imposait une lente réactivité via une administration très lourde qui nécessitait une personne à plein temps. À l’époque, nous nous étions intéressés aux rares solutions proposées par les opérateurs, mais ces offres émergentes se révélaient trop limitées. Cisco constituait également un acteur de choix, mais les conseils de notre intégrateur (DML) et les compétences dont nous disposions en interne ont fait pencher la balance en faveur de Check Point. Nous avons apprécié la mise en place rapide du coupe-feu, l’administration réduite et l’analyse des logs très complète. Seul point négatif : maintenant que nous avons atteint le seuil de nombre de règles, il semble que cela crée des baisses de performances lors des grosses montées en charge. “

Les critères de choix

Installation/Paramétrage initial

Définition

Ce critère prend en compte la procédure d’installation du coupe-feu et le paramétrage initial des différentes options : facilité de mise en ?”uvre, administration (interface), NAT, VPN, authentification.

Le meilleur : Firewall-1 NG de Check Point

Les options proposées par le Firewall-1 NG se révèlent plus riches que celles des autres produits testés. Revers de la médaille, il est plus complexe à paramétrer. Malgré cela, le logiciel prend en charge un plus grand nombre de protocoles d’authentification.

Administration des règles

Définition

Ce critère concerne essentiellement la gestion des règles telles que les généralités, la validité temporelle, ainsi que les règles FTP et HTTP pour le trafic entrant et sortant.

Le meilleur : Firewall-1 NG de Check Point

Sur ce critère, Check Point dépasse ses concurrents, notamment en ce qui concerne les règles HTTP, le trafic web étant celui sur lequel il faut pouvoir définir les restrictions le plus précisément.

Exploitation

Définition

Il s’agit d’évaluer la facilité d’exploitation des logs et des alertes, la gestion et l’exhaustivité des logs, le reporting, ainsi que les actions associées à une alerte.

Le meilleur : Firewall-1 NG de Check Point

Comme le coupe-feu de Symantec, celui de Check Point effectue de l’analyse de niveau 7 ; il se distingue de son concurrent par une plus grande finesse au niveau de la définition des règles.

Niveau de protection

Définition

Les ingénieurs de notre laboratoire ont procédé à des tests de résistance aux attaques, de façon à évaluer le niveau de protection apporté contre les différents types d’attaques (dénis de service, spoofing, back doors, buffer overflows, mis-configuration, application bug, brute force, distributed attack, reconnaissance) vers la machine hébergeant le coupe-feu et vers le serveur web situé en zone démilitarisée (DMZ).

Le meilleur : Firewall-1 NG de Check Point

Là encore, Firewall-1 se montre le meilleur. Des attaques ont été générées, via le logiciel Internet Security Scanner 6.21 d’ISS, en direction du routeur hébergeant le coupe-feu et du serveur web/FTP de la DMZ. Firewall-1 s’est avéré être le plus efficace pour la protection de ces derniers, n’ayant laissé passer que des attaques de niveau faible.

Rapidité de routage

Définition

Des tests de montée en charge ont été effectués afin d’évaluer les ralentissements induits pour l’inspection du trafic par les différents produits.

Le meilleur : Firewall-1 NG de Check Point

Une fois de plus, Check Point domine ces tests, avec des résultats très satisfaisants pour des charges de 48 et de 96 utilisateurs simultanés. Grand perdant, l’Enterprise Firewall 7.0 de Symantec affiche des performances très en deçà de celles de ses concurrents.

Firewall-1 NG de Check Point

Efficace mais une mise en ?”uvre complexe

Vainqueur sans appel de ce comparatif, Firewall-1 NG confirme la position dominante de Check Point sur le marché des coupe-feu logiciels. À l’issue des tests effectués par notre laboratoire, il a obtenu la meilleure note sur chacun des critères évalués.

Cette nouvelle version bénéficie d’une meilleure compatibilité avec les protocoles de visioconférence (H.323 et SIP, par exemple). La déclaration d’une règle de filtrage reste relativement complexe, à cause des grandes possibilités offertes, portant notamment sur l’inspection du contenu. Notre laboratoire a apprécié la richesse du filtre HTTP, puisqu’un onglet URI facilite la création des règles de filtrage complexes, telles que la méthode HTTP (Get, Post…), les wildcard sur les extensions de fichier ou d’URL, ou encore les fichiers d’URL interdites. Notons aussi la fonction importante de l’ordonnancement des règles. Option présente aussi chez CA.

Points forts Richesse des règles ?Logs configurables et exhaustifs ? Inspection du contenu des paquets

Points faibles Fonction de reporting en option ? Prise en main plus complexe que celle des outils concurrents (mais plus de possibilités)

eTrust Firewall Enterprise Edition 3.1 de Computer Associates

Le plus au point dans le reporting

Dernier de ce comparatif, le coupe-feu de CA pèche au niveau de la protection offerte. Il a en effet laissé passer une attaque, considérée comme critique, en direction du serveur web utilisé pour l’infrastructure de test. Sa contre-performance en matière d’administration des règles provient de l’absence d’analyse de contenu des paquets (niveau 7). Il propose en outre la prise en charge des clusters de coupe-feu via un matériel tiers. De même, le module SurviveIT autorise la gestion de la redondance en cas de panne. En revanche, le produit de CA facilite la création de règles temporaires pour les événements ponctuels. Il est le seul à disposer d’un outil de reporting en standard. Le logiciel fournit un rapport détaillé sur l’activité FTP et HTTP, entre autres, mais aussi sur celle d’un utilisateur, le tout présenté sous forme de textes et de graphiques.

Points forts Support d’un environnement multicoupe-feu grâce à des règles générales et des règles coupe-feu ? Création de règles temporaires pour les événements ponctuels

Points faibles Pas d’inspection du contenu (niveau 7) ? Niveau de protection

Enterprise Firewall 7.0 de Symantec

Des performances de routage à revoir

Symantec arrive deuxième de ce comparatif. Principal point faible, sa capacité de traitement des données reste très en deçà de celles offertes par ses concurrents. Excepté ce critère, ses résultats sur l’ensemble des tests restent très corrects, talonnant de près ceux obtenus par Check Point. Enterprise Firewall 7.0 s’appuie sur une technologie de proxy applicatif (inspection du contenu) et dispose d’un mode Fast Pass (pas d’inspection au niveau des données) pour améliorer le débit des données du coupe-feu mais au détriment de la sécurité. Sa mise en place reste la plus simple. Un menu unique sert à installer le coupe-feu, le client RMC, l’interface avec un IDS (NetProwler 3.5.1), ainsi que l’outil de gestion de la redondance/cluster Rainwall 1.5.3 (licence supplémentaire indispensable). L’administrateur dispose en outre d’un assistant pour paramétrer l’accès à internet depuis le réseau local (HTTP et FTP) et le courrier (SMTP).

Points forts Algorithme Best Fit pour saffranchir des conflits entre les règles (la plus pertinente est déterminée automatiquement)

Points faibles Pas de reporting? Performances en retrait par rapport à celles des 2 autres coupe-feu testés

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

La rédaction