n°721 - 9 mai 1997
SÉCURITÉ
Des lacunes dans l'administration des pare-feu
Les entreprises ne peuvent prendre le risque d'ouvrir leurs réseaux à l'Internet sans contrôle d'accès et sans sécurisation des échanges au moyen d'un pare-feu. La mise en place et l'exploitation de ce type de logiciel s'ajoutent aux tâches déjà assumées par l'équipe chargée du système d'information. Celles-ci seront plus ou moins facilitées selon l'interface utilisateur et les outils livrés avec le pare-feu pour le paramétrage et le suivi au quotidien.
Après avoir dressé une cartographie des flux résultant d'une analyse des besoins, il faut paramétrer le pare-feu pour qu'il laisse passer, ou rejette, les flux, ou les demandes d'accès, dans le respect des règles de sécurité instaurées dans l'entreprise. Auparavant, il était nécessaire de connaître les arcanes du réseau et de savoir sur quels ports de routeurs transitaient les différentes espèces de trafic. A présent, les pare-feu disposent d'outils permettant de traiter cela au niveau des applications. En théorie, la tâche de configuration est donc simplifiée. En pratique, ne sont généralement prises en compte que les applications les plus courantes constituées du transfert de fichier (FTP), du mode terminal (Telnet), du transfert de pages Web (HTTP) ou encore de la messagerie (SMTP). Pour les applications du type SAP, ou pour les grandes applications client-serveur, il faut repasser par le paramétrage au niveau des flux TCP-IP, des ports et des adresses. «Ce paramétrage est complexe et les produits du marché ne disposent pas tous d'outils permettant la vérification de cohérence et la validation des règles», fait remarquer Olivier Guérin, directeur technique chez Solucom.
Administration du pare-feu: les points clés
Trois questions à se poser en priorité:
  • Doit-on paramétrer au niveau des ports du routeur, des adresses ou des applications?
  • Existe-t-il des outils graphiques facilitant la configuration du pare-feu?
  • Les informations journalisées sont-elles facilement accessibles et exploitables?
    • UN LANGAGE ÉVOLUÉ POUR CONFIGURER
    Cela étant, les éditeurs se sont évertués à remplacer les écrans alphanumériques par des menus plus conviviaux. «Pour paramétrer notre pare-feu Net On Guard, il n'y a pas de scripts à éditer, mais seulement des cases à cocher avec la souris. De ce fait, le logiciel s'installe en moins d'une heure», fait valoir Arnaud Beaumesnil, directeur général de On Technology pour l'Europe du Sud. Cependant, il apparaît que cette formule a ses limites. «Le paramétrage à la souris est simple, mais ne permet pas d'obtenir des réglages avec une granularité très fine», fait remarquer Hervé Schauer, responsable du cabinet HSC.
    Pour faciliter les opérations de configuration, Solsoft a mis au point le logiciel Net Partitioner utilisant un langage évolué qui parle en classes de machines (serveur de messagerie, serveur HTTP, etc.) permettant de définir des filtrages qui seront ensuite téléchargés dans le routeur élément qui fait le filtrage de paquets IP. D'autres utilisent des pages HTML, plus intuitives mais, elles aussi, plus limitées. C'est le cas par exemple des logiciels Altavista Firewall (Altavista), Borderware Firewall Server (Secure Computing) ou Gauntlet Internet Firewall (TIS) qui disposent d'interfaces d'administration intranet pour un butineur de type Netscape Navigator.
    Par ailleurs, un pare-feu peut être amené à gérer des milliers d'événements quotidiens consignés dans un journal qui constitue une mine d'informations pour les audits périodiques d'évaluation de la qualité de l'administration ou pour le diagnostic. A condition bien sûr de pouvoir en extraire des informations pertinentes et faire des corrélations. Sur ces différents plans, l'offre est en retard par rapport aux besoins. «Globalement, les fonctions de suivi d'activité de tous les progiciels de pare-feu sont complètes, mais souvent difficiles à exploiter. Les événements sont présentés sous forme textuelle et il n'y a pas de possibilité de choix des champs à visualiser, par exemple», déplore Christian Couvreur, responsable d'études au cabinet Yphise. Généralement, les utilisateurs développent leurs propres outils d'audit autour d'une base de données dans laquelle sont importés les fichiers Ascii du journal. Un autre ennui réside dans la manière dont sont consignés les événements qui varient d'une marque à l'autre et qui rendent difficile la consolidation des informations.
    Le responsable du système d'information doit savoir qu'une fois installé, un pare-feu ne fonctionne pas tout seul. Il nécessite une administration rigoureuse et cohérente avec la politique de sécurité de l'entreprise. Mais pour ce faire, l'exploitation d'un pare-feu n'est pas question uniquement d'outils informatiques. Elle repose pour une grande part sur des ressources humaines formées, dont la charge est proportionnelle à la complexité technique du pare-feu. En effet, on n'administre pas de la même manière un dispositif constitué par un simple routeur assurant le filtrage des paquets IP et une architecture complète incluant les fonctions de surveillance des échanges au niveau des applications, voire des fonction d'authentification des utilisateurs.
    HENRI PRADENC
    Les sept principaux pare-feu du marché
    Logiciel Editeur
         		Interface avec
    logiciel de
    surveillance
         		Alerte par
    messages
    (à l'écran)
         		Envoi
    d'événements
    SNMP
         		Utilisation
    des informations
    de configuration
    du fichier système
         		Statistiques
    sur les accès
    rejetés
    Altavista Firewall
         		Altavista
         		Non
         		Non
         		Oui
         		Oui
         		Non
    Borderware Firewall Server
         		Secure Computing
         		Non
         		Oui
         		Non
         		Non
         		Non
    Cyberguard Firewall
         		Cyberguard
         		Non
         		Oui
         		Oui
         		Oui
         		Non
    Eagle
         		Raptor
         		Non
         		Non
         		Oui
         		Non
         		Non
    Firewall-1
         		Checkpoint Software
         		Non
         		Oui
         		Oui
         		Oui
         		Non
    Gauntlet Internat Firewall
         		TIS
         		Non
         		Oui
         		Non
         		Non
         		Oui
    IC SNG
         		IBM
         		Oui
         		Oui
         		Oui
         		Non
         		Non
    (*) via Tivoli Enterprise Console. Certaines fonctions sont encore à l'état embryonnaire voire inexistantes. Exemples : aucun de ces produits n'offre de couplage avec un progiciel d'inventaire automatique, pas de représentation de la configuration autre que semi-graphique. Source: cabinet Yphise

    Dassault Electronique:
    un quart temps pour l'administration
    Lorsque Dassault Electronique a fait le choix du pare-feu destiné à sécuriser l'ouverture du réseau d'entreprise vers l'Internet, la facilité d'administration a été le critère venant immédiatement après celui de l'efficacité.
    «C'est logique, car le pare-feu va être suivi de manière permanente par un exploitant, pour effectuer entre autres les changements liés à l'évolution des besoins ou à l'ajout d'un nouveau poste utilisateur par exemple», explique Philippe Conversin, chef du projet pare-feu, chez Dassault Electronique. Il est prévu de consacrer environ un quart d'homme-an pour l'exploitation. La personne aura le profil d'administrateur, sans connaissances pointues dans le domaine des protocoles de réseau. Par ailleurs, un audit sera fait périodiquement par les spécialistes de la sécurité informatique qui utiliseront les journaux des événements.
    Le pare-feu en dehors du réseau
    Est-il souhaitable d'intégrer l'administration d'un pare-feu avec celle du réseau? «Il ne faut pas songer à intégrer l'exploitation d'un pare-feu avec une plate-forme d'administration de réseau. Ces fonctions doivent rester indépendantes l'une de l'autre, d'autant que le protocole SNMP n'est pas sûr et pas chiffré», répond Marc Baudoin, directeur technique de Solsoft. Il n'empêche que des pare-feu utilisent SNMP pour faire remonter des informations vers l'exploitant. On voit ainsi poindre une tendance vers une télé-exploitation du pare-feu. Jusqu'à présent la console d'administration faisait corps avec le pare-feu. Les consoles déportées dialoguant avec le pare-feu en mode chiffré commencent à apparaître. Le découplage des deux fonctions permet ainsi de placer chacune d'elles dans un local séparé, local technique pour le pare-feu, salle de supervision pour l'administration.
    Le pare-feu permettra à quelque 400 utilisateurs internes d'échanger, via l'Internet, avec des clients, des filiales ou d'autres industriels partenaires dans des projets, ou encore de récupérer des informations sur le Web, tout en évitant le piratage. A l'issue d'essais effectués sur différents produits du marché l'an dernier, c'est le logiciel Net Security Master de Solsoft qui a été retenu. Pendant la phase de paramétrage, les ingénieurs de sécurité ont apprécié la souplesse offerte par la combinaison des écrans graphiques avec les fichiers alphanumériques sur la station Sun qui héberge le logiciel. «Les fichiers Ascii nous permettent de travailler plus vite. C'est appréciable lorsque nous avons à paramétrer le système pour 400 utilisateurs», reconnaît Philippe Conversin.
    Le paramétrage a aussi été facilité par la possibilité d'importer dans la base du logiciel Net Security Master l'annuaire des utilisateurs informatiques grâce à une commande automatique. Ce qui fait gagner du temps et évite les erreurs. Quant aux écrans graphiques, ils ont aussi eu leur utilité, car ils ont permis d'avoir une vision globale au niveau d'un utilisateur, d'un groupe d'utilisateurs, ou bien d'un service particulier (FTP, HTTP, SMTP) sur la manière dont les règles de sécurité ont été implantées. Il a été ainsi possible de vérifier la cohérence des stratégies de sécurité.
    Le projet, initié dans le courant de 1996 par l'étude des besoins, s'est terminé récemment avec la mise en exploitation du pare-feu. «Ce délai est lié à la profondeur des tests effectués et à la rigueur des procédures organisationnelles», justifie Philippe Conversin. Il n'empêche que la partie purement technique de paramétrage a quand même nécessité trois mois de travail. C'est le prix à payer -sans compter l'achat du logiciel et de la station de travail Unix- pour établir une sécurité sur des bases saines.
    HENRI PRADENC
    © Copyright IDG Communications France-1997