Solutions de Firewall les plus répandus sur le marché

By 8 August 2012

II. Présentation des solutions de sécurité réseaux les plus répandus sur le marché

L’objectif principal de cette partie est de présenter quelques solutions de sécurité proposées par les éditeurs. Ces solutions concernent essentiellement les technologies précitées dans les chapitres précédents, tels que les Firewalls, les VPN, les IDS/IPS, les solutions d’authentification, les antivirus, les Public Key Infrastructure PKI, etc. Aussi, notre objectif dans cette partie n’est pas de favoriser une solution par rapport à une autre mais de faire une comparaison technique entre les différentes solutions ainsi que sur leurs performances leurs fréquences d’utilisation sur le marché.

1. Les principales solutions de Firewall

Des boîtiers aux solutions logicielles, des technologies traditionnelles aux plus hybrides, ce panorama présente les principales solutions ou gammes de solutions de pare-feu du marché, qu’elles soient sous forme logicielle ou sous forme de boîtier (Appliance).

Dans ce chapitre, nous allons étudier les firewalls suivants :
* PIX pour les firewalls de niveau 4
* SideWinder pour les firewalls de niveau 7

1.1 PIX

Les pare-feu PIX Firewall garantissent une sécurité hautes performances inégalée.

1.1.1 Hautes performances

La gamme Cisco Secure PIX Firewall est une gamme d’appareils de sécurisation à hautes performances, faciles à installer et intégrant composants matériels et logiciels. Elle permet de protéger les réseaux d’entreprises internes du monde extérieur et offre toutes les garanties de sécurité d’un pare-feu de réseau. Contrairement aux serveurs proxy permanents, gros consommateurs de ressources système, qui appliquent des procédures de sécurité à chaque paquet de données au niveau applicatif, les pare-feu Cisco Secure PIX utilisent un système dédié de sécurisation en temps réel (non UNIX). Ces pare-feu PIX sont exceptionnellement performants : ils prennent en charge plus de 256 000 connexions simultanées, traitent plus de 6 500 connexions par seconde et atteignent des débits de près de 170 Mbits/s.

Ces capacités dépassent de loin celles des autres équipements pare-feu dédiés ou des pare-feu logiciels basés sur des systèmes d’exploitation centraux.
équipements pare-feu dédiés

1.1.2 Quelques fonctionnalités
1.1.2.1 Cut-Through

Les pare-feu de la gamme PIX Firewall augmentent encore leurs performances de façon spectaculaire grâce à une fonction d’authentification évoluée appelée « cut-through proxy ». Certes, les serveurs proxy UNIX peuvent assurer une vérification de l’utilisateur et contrôler l’« état » (informations sur l’origine et la destination d’un paquet), toutefois leurs performances en sont considérablement réduites, car ils traitent tous les paquets au niveau de la couche applicative du modèle OSI (interconnexion de systèmes ouverts), gros consommateur de CPU.

En revanche, la fonction de cut-through proxy de la gamme PIX Firewall contrôle un utilisateur uniquement en début de session, au niveau de la couche applicative, comme un serveur proxy. Une fois que l’identité de l’utilisateur a été vérifiée, à l’aide d’une base de donnée standard adoptant le système de contrôle TACACS+ (Terminal Access Controller Access Control System) ou RADIUS (Remote Access Dial-In User Service), et que l’autorisation a été contrôlée, le pare-feu laisse passer le flux des données de la session. Le trafic circule directement et rapidement entre les deux parties, et l’état de la session est préservé sans que la sécurité soit compromise. Cette fonctionnalité assure au PIX Firewall des vitesses beaucoup plus rapides que les serveurs proxy.

1.1.2.2 Failover

Pour accroître encore la fiabilité, la gamme PIX Firewall propose en option un kit de secours d’urgence qui élimine tout risque de panne. Lorsque deux pare-feu fonctionnent en parallèle et qu’un incident se produit sur l’un des deux, le second prend le relais des opérations de sécurité, de façon totalement transparente.

Failover

1.1.3 Grande simplicité, donc faible coût d’exploitation

Pour simplifier l’administration de réseau, le PIX Firewall intègre une nouvelle interface utilisateur graphique et un outil de configuration basé sur le Web qui permet, par un simple clic de la souris, d’extraire, éditer et gérer sur un site central niveaux de sécurité. Grâce aux rapports de gestion, les administrateurs de réseaux peuvent faire des analyses statistiques sur les tentatives d’accès non autorisés, la densité du trafic et les enregistrements d’événements; ces analyses permettent ensuite d’établir les coûts d’exploitation. Les administrateurs de réseaux peuvent également connaître les sites Web les plus visités, par utilisateur, en consultant le rapport des URL. Ils peuvent en outre définir des seuils qui permettent aux pare-feu PIX Firewall d’envoyer des messages d’alerte en temps réel via la messagerie électronique ou pager lorsqu’ils détectent des tentatives d’accès pirate. Le PIX Firewall peut également filtrer les applications Java potentiellement dangereuses.

Remarque : Grâce à la gamme PIX Firewall de Cisco, il est possible d’éviter tous les coûts dus à l’installation des pare-feu basés sur les systèmes d’exploitation grand-public. Avec ce type de système, il faut tout d’abord acquérir le matériel, puis installer le système d’exploitation et le configurer avec des paramètres sécurisés, et enfin installer l’application pare-feu de réseau. En outre, il faut avoir recours à un expert, pour configurer et installer les stations de travail NT ou UNIX haut de gamme et coûteuses.

1.1.4 Plus de problème de manque d’adresses IP

La gamme PIX Firewall dispose d’une fonction d’expansion et de reconfiguration de réseau IP qui évite d’être pénalisé par un manque d’adresses IP. Le système NAT de traduction d’adresses réseau permet d’exploiter chacune des adresses IP du pool de réserve défini par l’IANA (RFC 1918). En outre, les pare-feu PIX Firewall peuvent sélectionner un groupe d’adresses particulier et en autoriser ou refuser la traduction.

Une autre fonctionnalité de la gamme PIX Firewall est la traduction d’adresse de port (PAT) avec « multiplexage au niveau du port » : cette méthode préserve les données d’un pool d’adresses externe en autorisant la traduction de ports source dans les connexions TCP ou les conversions UDP. Les utilisateurs peuvent traduire plusieurs adresses locales internes en une adresse locale externe unique, à l’aide de numéros de port différents pour distinguer chaque traduction.

1.2 SideWinder

SideWinder
Préinstallée et préréglée pour faciliter son déploiement, la famille Sidewinder G2 de pare-feu/VPN fournit une solution de sécurité prête à l’emploi qui s’intègre de manière transparente à n’importe quel réseau IP. Aucune formation ou équipe d’experts informatiques n’est nécessaire. Les dispositifs Sidewinder G2 offrent une solution complète qui combine le pare-feu logiciel intransigeant de Secure Computing avec une famille de plates-formes de serveurs hautes performances montés en rack.

Les modèles Sidewinder G2 s’installent tous proprement dans un rack 19 pouces standard. Aucun terminal, clavier ou système d’alimentation dédié n’est nécessaire.

Convivial pour les réseaux, Sidewinder G2 comprend la prise en charge intégrée des principaux protocoles réseau « domestiques » (SNMP, OSPF, RIP, NTP, ICMP, PING, etc.). Les administrateurs peuvent aisément contrôler le bon fonctionnement de Sidewinder G2 grâce aux rapports et aux outils de surveillance intégrés. Ils peuvent également exporter les données d’analyse vers les meilleurs produits de reporting tiers tels que WebTrends.

Avec ses fonctionnalités de déploiement facile Power-It-On!, ses capacités de sauvegarde/restauration à distance, sa journalisation centralisée, sa surveillance exhaustive d’état/analyse et ses fonctionnalités précurseurs de détection d’intrusion et de réponse automatisée, Sidewinder G2 se positionne parmi les meilleures solutions Firewall de niveau 7.

1.2.1 Performances évolutives, Fiabilité et Haute disponibilité

Évolutivité et fiabilité sont profondément ancrées dans la conception du Sidewinder G2 Firewall. SecureOS UNIX de Secure Computing est le premier et unique système d’exploitation pare-feu optimisé pour les processeurs Pentium dans les laboratoires de test de performances Intel. Avec un débit en gigabits et plus de 1 millions de connexions simultanées sur le modèle 4000 haut de gamme. G2 Firewall comprend un logiciel de basculement par inspection d’état de grande qualité et, utilisé en combinaison avec les solutions d’équilibrage de charge certifiées de Secure Computing, Sidewinder offre une évolutivité illimitée et un débit élevé répondant aux besoins des différentes entreprises.

1.2.2 Sécurité hybride inégalée et Gestion de type Windows

Sécurité hybride inégalée et Gestion de type Windows
L’architecture de la sécurité hybride du Sidewinder G2 combine toute la gamme des mécanismes de pare-feu, y compris les filtres de base des paquets, l’inspection complète de l’état, les proxy de niveau circuit, les proxy d’application, les serveurs sécurisés, les alertes en temps réel de détection d’intrusion Strikeback et la protection contre les DoS au sein d’un unique package, simple et rentable. Sidewinder G2 combine l’inspection complète de l’état avec le filtrage de la couche application afin de contrecarrer les attaques les plus sophistiquées. Au fur et à mesure que le nombre d’entreprises et d’administrations s’appuyant sur des services Web comme .NET, XML et SOAP augmente, le filtrage de la couche application devient un élément incontournable de l’environnement sécuritaire. Les proxy intelligents de niveau application et les serveurs sécurisés protègent les services DNS, FTP, HTTP, la messagerie SMTP et d’autres services Internet très prisés d’une manière efficace.

Lire le mémoire complet ==> (Sécurité Informatique au sein de l’entreprise)
Mémoire de fin d’études en Informatique