L’une
des premières questions que se posent les responsables d’une interconnexion est
de savoir quel type de matériel il est préférable d’utiliser pour assurer la
sécurité de l’interconnexion.
Techniquement,
il n’existe généralement que deux réponses à ce type de question : routeurs filtrants
ou Firewall ?
La
réponse....
n’est malheureusement pas aussi simple qu’elle en a l’air. On serait
tenté de répondre brutalement qu’un Firewall, offrant un niveau de sécurité plus
élevé qu’un routeur filtrant, est préférable (qui peut le plus peut le moins
!), mais chaque système a ses propres avantages et inconvénients.
Les
routeurs filtrants possèdent un avantage financier certain dans la mesure où
ceux-ci sont déjà généralement en place dans l’infrastructure existante. Bien
souvent, il suffit d’activer les options de sécurité de ces routeurs pour
assurer une sécurité satisfaisante. En termes de performances, un routeur sera
généralement plus efficace qu’un Firewall dans la mesure où il repose sur un
matériel dédié, spécifiquement développé pour le besoin. Cependant, les
routeurs possèdent des limites :
· Les
ACLs sont fastidieuses à créer et à tenir à jour par les administrateurs, même
s’il existe désormais des interfaces d’administration graphiques évoluées,
· Les
routeurs sont d'autant plus ralentis que les ACL sont plus longues (mais c’est également
le cas de Firewalls),
· Les
routeurs sont des machines sans capacité de stockage (disque ou disquette), et
donc ne peuvent pas assurer de journalisation importante du trafic,
· Leur
ergonomie d'administration est fruste,
· Les
routeurs ne sont pas programmables, et ne peuvent donc héberger des fonctions
de sécurité adaptées aux cas particuliers des entreprises.
Ce
sont souvent ces limitations, plus qu’une meilleure sécurité d’ensemble, qui
amènent à préférer le choix d’un Firewall pour une interconnexion sécurisée.
En
effet, les Firewalls ont tendance à offrir un niveau de sécurité supérieur à
celui des routeurs filtrants, au détriment du niveau de performance en terme de
bande passante (syndrome du goulet d’étranglement), mais les récentes
évolutions des routeurs et des Firewalls rendent difficile une telle
classification, la frontière entre les deux types de technologie se faisant de
plus en plus floue :
· Il
existe des Firewalls « matériels » rivalisant en termes de performances avec
les routeurs actuels (Cisco PIX, ASA),
· Certains
routeurs intègrent désormais des fonctionnalités de Firewall (NAT, Proxys applicatifs,
VPNs…),
· Il
existe des produits spécifiques qui permettent de déporter certaines fonctions
jusqu’ici assumées par les Firewalls (boîtiers de chiffrement, serveurs
d’authentification…),
· De
plus en plus de routeurs intègrent des fonctionnalités d’authentification, de chiffrement,
de translation d’adresse et de services de relais.
Le
choix final devra donc se faire en fonction des besoins des utilisateurs (en
termes de fonctionnalités mais également en termes de niveau de sécurité) et
des capacités des produits existants à répondre à ces besoins.
0 com:
Enregistrer un commentaire
Suggérer des améliorations à apporter au blog, des articles, des commentaires ou des liens sur la sécurité informatique.Merci