HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Articles > The doom of the firewall
Go to: HSC Trainings
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|The doom of the firewall  
> Access to the content HTML Beginning of the article  
> Description Strategic analysis and market forecasting.  
> Context & Dates Proceedings of a talk made at Infosec 99.
June 1999 
> Author Hervé Schauer (Herve.Schauer@hsc.fr) 
> Type  
> Abstract &
Table of content
The firewall concept is undergoing a technological change, going from servers (Unix, Windoxs NT) to devices like routers.  
> Related documents
themeForecasting
[Presentation]  Security ? [10 June 2011 - French]
[Presentation]  Forcasting in French cyberdefence doctrines [24 November 2010 - French]
[Presentation]  Security and IS Governance [2 July 2009 - French]
[Presentation]  Information Systems Security : 2009-2010 stakes [23 June 2009 - French]
[Presentation]  From ISS to risks and reverse [29 April 2009 - French]
[Presentation]  use of ISO 27001 within companies [15 February 2008 - French]
[Presentation]  Which opportunities in information systems security ? [21 September 2005 - French]
[Presentation]  Stakes ans trends in security [13 April 2005 - French]
[Presentation]  Threats and vulnerability over networks and PCs [23 March 2005 - French]
[Presentation]  Logical and physical security convergence ? [8 December 2004 - French]
[Presentation]  Security and CIOs [6 October 2004 - French]
[Presentation]  Manage new computer security issues [30 June 2004 - French]
[Presentation]  Possible risks for the internet [10 January 2003 - French]
[Presentation]  The future of the firewall [18 August 1999 - English]
[Presentation]  The doom of the firewall - Strategic analysis and market forecasting [3 June 1999 - French/English]
[Presentation]  The security market's future [5 June 1998 - French]
[Presentation]  Internet and intranet security: an outlook [28 May 1998 - French]
> Copyright © 1999, Hervé Schauer Consultants, all rights reserved.

 

La sécurité TCP/IP intervient à la fois sur le périmètre du réseau privé et à l'intérieur de l'entreprise. Dans les deux cas, le firewall est omniprésent. Le firewall, concept marketing, désigne un équipement capable d'appliquer des fonctions de sécurité sur les flux TCP/IP.

Le firewall tel que nous le connaissons, c'est-à-dire généralement un logiciel s'appliquant sur un serveur Windows NT ou Unix, a connu un essor grandissant, grâce à un matraquage marketing adéquat. Il est cependant voué à se limiter à son rôle originel et à disparaître dans la très grande majorité des utilisations actuelles de firewall.

Pour le filtrage et le contrôle des flux TCP/IP, seuls des besoins sophistiqués d'analyse de contenu du flux, justifieront des systèmes de sécurité haut de gamme sur des serveurs, utilisant des relais applicatifs, et imposant une administration et une exploitation coûteuse. L'analyse de contenu permet la détection de codes mobiles, de virus ou de canaux cachés. De plus, elle doit généralement être appliquée suivant une granularité fine, en fonction de l'utilisateur et du serveur accédé.

Le développement des tunnels chiffrés va également justifier le développement du matériel, boîtiers ou routeurs, avec des cartes matérielles spécialisées pour le chiffrement. Il n'y a pas besoin de serveur dans ce cas.

Il faut aussi noter que beaucoup de logiciels firewall pour serveurs, ne sont pas utilisés en coupure, mais tous seuls sur un serveur : ils servent à protéger et faire des filtres sur le serveur lui-même, pour les communications à destination de ce serveur. L'intégration progressive d'IPsec dans les couches TCP/IP des systèmes serveurs va rendre totalement caduque l'utilisation des firewalls pour la simple protection d'un serveur.

Aussi, il apparaît une évolution technologique progressive, du firewall sur serveur vers le firewall sur boîtier. Le boîtier, routeur, commutateur ou boîtier spécialisé de chiffrement ou de tunnelling, représente l'avenir en matière d'équipement d'application de la politique de sécurité de l'entreprise. Il intègre même un serveur web pour son administration à distance et la fonction firewall en standard : il n'est plus nécessaire de posséder une boîte marquée firewall.

Voici quelques exemples de cette évolution :

  • Chez Checkpoint, leader selon les instituts de statistiques des ventes de firewalls, le code de Checkpoint, disponible pour les routeurs Nortel (Bay), apparaît dans de plus en plus de routeurs ou commutateurs. Plus significatif, Checkpoint distribue lui-même le boîtier Nokia (Interop Paris 98) : il passe du métier du logiciel au matériel.
  • Chez CISCO, leader des routeurs, à chaque nouvelle version du produit firewall PIX, celui-ci devient de plus en plus un routeur. Les clients eux-mêmes réclament le support d'algorithmes de routage sur le PIX. De leur côté, les routeurs CISCO deviennent des firewalls avec le FFS (Firewall Feature Set) permettant un filtrage avec état, disponible en standard sur tous les routeurs monoprocesseurs avec IOS 12.
  • Chez les principaux fournisseurs de commutateurs comme 3COM, les commutateurs intègrent des fonctions de filtrage IP complètes : ils deviennent des commutateurs de niveau 4. Ce mouvement est général et se retrouve chez Nortel, CISCO, Xylan, etc.
  • Chez de nombreux fournisseurs comme Nortel, des boîtiers spécialisés de gestion de tunnels chiffrés apparaissent.

Les technologies de commutation dans les routeurs permettent un filtrage sans perte importante de performance, ce qui n'est pas le cas sur un serveur. La combinaison des annuaires, des serveurs DHCP et de l'authentification de l'utilisateur sur un serveur web dans le périphérique (HTTP AAA), permettront un filtrage dans les boîtiers, non plus basé sur des adresses IP mais sur des individus.

De même, la généralisation de la commutation ne permettra plus d'écouter un réseau depuis un serveur ou une sonde : seuls les routeurs et les commutateurs pourront fournir ce service.

Il se développe actuellement une infrastructure de services applicatifs (LDAP, DHCP, Radius, AAA, ICP, etc.) que vont compléter dans l'avenir, des serveurs de politiques de sécurité, et les périphériques composant le réseau appliqueront la sécurité. Celle-ci aura un filtrage de la qualité des firewalls actuels.

Les routeurs et les commutateurs, associés à des serveurs de politique de sécurité, constituent donc l'avenir de la sécurité. Le firewall sur un serveur pour faire du filtrage IP appartient au passé.

L'avenir du firewall au-delà du filtrage IP, est celui de l'analyse de contenu, lourde ; cela va limiter ces firewalls à la sécurité du périmètre, entre l'entreprise et l'Internet.

Acronymes

AAA : Authentication, Authorization, Accounting
ICP : Infrastructure de Clés Publiques

Last modified on 10 June 2002 at 14:13:59 CET - webmaster@hsc.fr
Information on this server - © 1989-2013 Hervé Schauer Consultants