HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
 Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Articles > La fin du firewall
Recherche :  
 English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Veille en vulnérabilités
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Assistance Technique
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication 		  
o Newsletter HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|La fin du firewall  
> Accès au contenu HTML Début de l'article  
> Description Analyse stratégique et prospective du marché.  
> Contexte & Dates Texte d'une intervention à Infosec 99.
juin 1999 
> Auteur Hervé Schauer (Herve.Schauer@hsc.fr) 
> Langue et Nature  
> Résumé &
Table des matières		 Le firewall connaît une évolution technologique, des serveurs (Unix, Windows NT) vers les boîtiers comme les routeurs.  
> Documents liés
themeProspective
[Présentation]  Sécurité et Gouvernance du SI [2 juillet 2009 - Français]
[Présentation]  Sécurité des systèmes d'information : les enjeux 2009-2010 [23 juin 2009 - Français]
[Présentation]  De la SSI aux risques et vice-versa [29 avril 2009 - Français]
[Présentation]  Usages de l'ISO 27001 dans les entreprises [15 février 2008 - Français]
[Présentation]  Quelles opportunités en sécurité des systèmes d'information ? [21 septembre 2005 - Français]
[Présentation]  Enjeux et perspectives en sécurité [13 avril 2005 - Français]
[Présentation]  Menaces et vulnérabilites sur les réseaux et postes de travail [23 mars 2005 - Français]
[Présentation]  Convergence sécurité logique et sécurité physique ? [8 décembre 2004 - Français]
[Présentation]  La sécurité et la DSI [6 octobre 2004 - Français]
[Présentation]  Gérer les nouvelles formes d'insécurité informatique [30 juin 2004 - Français]
[Présentation]  Les risques qui guettent l'internet [10 janvier 2003 - Français]
[Présentation]  L'avenir du firewall [18 août 1999 - Anglais]
[Présentation]  La fin du firewall - Analyse stratégique et prospective du marché [3 juin 1999 - Français/Anglais]
[Présentation]  Table ronde : l'avenir du marché de la sécurité [5 juin 1998 - Français]
[Présentation]  Perspectives en sécurité Internet/Intranet [28 mai 1998 - Français]
> Droits d'auteur © 1999, Hervé Schauer Consultants, tous droits réservés.

 

La sécurité TCP/IP intervient à la fois sur le périmètre du réseau privé et à l'intérieur de l'entreprise. Dans les deux cas, le firewall est omniprésent. Le firewall, concept marketing, désigne un équipement capable d'appliquer des fonctions de sécurité sur les flux TCP/IP.

Le firewall tel que nous le connaissons, c'est-à-dire généralement un logiciel s'appliquant sur un serveur Windows NT ou Unix, a connu un essor grandissant, grâce à un matraquage marketing adéquat. Il est cependant voué à se limiter à son rôle originel et à disparaître dans la très grande majorité des utilisations actuelles de firewall.

Pour le filtrage et le contrôle des flux TCP/IP, seuls des besoins sophistiqués d'analyse de contenu du flux, justifieront des systèmes de sécurité haut de gamme sur des serveurs, utilisant des relais applicatifs, et imposant une administration et une exploitation coûteuse. L'analyse de contenu permet la détection de codes mobiles, de virus ou de canaux cachés. De plus, elle doit généralement être appliquée suivant une granularité fine, en fonction de l'utilisateur et du serveur accédé.

Le développement des tunnels chiffrés va également justifier le développement du matériel, boîtiers ou routeurs, avec des cartes matérielles spécialisées pour le chiffrement. Il n'y a pas besoin de serveur dans ce cas.

Il faut aussi noter que beaucoup de logiciels firewall pour serveurs, ne sont pas utilisés en coupure, mais tous seuls sur un serveur : ils servent à protéger et faire des filtres sur le serveur lui-même, pour les communications à destination de ce serveur. L'intégration progressive d'IPsec dans les couches TCP/IP des systèmes serveurs va rendre totalement caduque l'utilisation des firewalls pour la simple protection d'un serveur.

Aussi, il apparaît une évolution technologique progressive, du firewall sur serveur vers le firewall sur boîtier. Le boîtier, routeur, commutateur ou boîtier spécialisé de chiffrement ou de tunnelling, représente l'avenir en matière d'équipement d'application de la politique de sécurité de l'entreprise. Il intègre même un serveur web pour son administration à distance et la fonction firewall en standard : il n'est plus nécessaire de posséder une boîte marquée firewall.

Voici quelques exemples de cette évolution :

  • Chez Checkpoint, leader selon les instituts de statistiques des ventes de firewalls, le code de Checkpoint, disponible pour les routeurs Nortel (Bay), apparaît dans de plus en plus de routeurs ou commutateurs. Plus significatif, Checkpoint distribue lui-même le boîtier Nokia (Interop Paris 98) : il passe du métier du logiciel au matériel.
  • Chez CISCO, leader des routeurs, à chaque nouvelle version du produit firewall PIX, celui-ci devient de plus en plus un routeur. Les clients eux-mêmes réclament le support d'algorithmes de routage sur le PIX. De leur côté, les routeurs CISCO deviennent des firewalls avec le FFS (Firewall Feature Set) permettant un filtrage avec état, disponible en standard sur tous les routeurs monoprocesseurs avec IOS 12.
  • Chez les principaux fournisseurs de commutateurs comme 3COM, les commutateurs intègrent des fonctions de filtrage IP complètes : ils deviennent des commutateurs de niveau 4. Ce mouvement est général et se retrouve chez Nortel, CISCO, Xylan, etc.
  • Chez de nombreux fournisseurs comme Nortel, des boîtiers spécialisés de gestion de tunnels chiffrés apparaissent.

Les technologies de commutation dans les routeurs permettent un filtrage sans perte importante de performance, ce qui n'est pas le cas sur un serveur. La combinaison des annuaires, des serveurs DHCP et de l'authentification de l'utilisateur sur un serveur web dans le périphérique (HTTP AAA), permettront un filtrage dans les boîtiers, non plus basé sur des adresses IP mais sur des individus.

De même, la généralisation de la commutation ne permettra plus d'écouter un réseau depuis un serveur ou une sonde : seuls les routeurs et les commutateurs pourront fournir ce service.

Il se développe actuellement une infrastructure de services applicatifs (LDAP, DHCP, Radius, AAA, ICP, etc.) que vont compléter dans l'avenir, des serveurs de politiques de sécurité, et les périphériques composant le réseau appliqueront la sécurité. Celle-ci aura un filtrage de la qualité des firewalls actuels.

Les routeurs et les commutateurs, associés à des serveurs de politique de sécurité, constituent donc l'avenir de la sécurité. Le firewall sur un serveur pour faire du filtrage IP appartient au passé.

L'avenir du firewall au-delà du filtrage IP, est celui de l'analyse de contenu, lourde ; cela va limiter ces firewalls à la sécurité du périmètre, entre l'entreprise et l'Internet.

Acronymes

AAA : Authentication, Authorization, Accounting
ICP : Infrastructure de Clés Publiques

Dernière modification le 10 juin 2002 à 14:13:59 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2010 Hervé Schauer Consultants