3Com, un firewall dans chaque port Solange Belkhayat-Fuchs le 16/04/2002 C?est sur le terrain de l?embarqué que 3COM s?engage. Ainsi le dernier de la ligne des firewall se cache dans une carte réseau <http://www.3com.com/prod/fr_FR_EMEA/detail.jsp?tab=features&sku=3CR010S TRPAK-97> . L?intérêt ? Certainement la facilité à y appliquer des règles de sécurité distribuées, gérées à partir de serveurs de centralisation <http://www.3com.com/prod/fr_FR_EMEA/detail.jsp?tab=features&sku=3CR010P S-1-97> . Le rôle de ces derniers est de transmettre la politique sécuritaire de l?entreprise vers chaque poste. « C?est une offre de sécurité totalement intégrée », explique Eric Zingraf, responsable de la ligne de produits chez 3COM. « Un logiciel est en fait téléchargé sur la carte réseau, logiciel indépendant du système d?exploitation de la machine hôte », poursuit-il. L?adaptateur 3CR990, doté d?un processeur RISC, a été choisi pour y accueillir le firewall. Ce processeur était, jusqu?alors, chargé du cryptage Ipsec en conjonction avec Windows 2000. Après « reflashage », un micro-code transforme la carte en porte coupe-feu. A chaque démarrage de la machine, une connexion avec le serveur est établie qui sert à télécharger une « politique sécuritaire », avant même que le poste ait pu avoir le moindre contact avec d?autres éléments du réseau. Par la suite, s?effectue régulierement un test de la présence du serveur, ne serait-ce que pour s?assurer que la bonne politique est téléchargée, que chaque modification demandée par l?administrateur est prise en compte, et que l?ordinateur est toujours relié au « bon » réseau. Précisons que la politique de sécurité n?est transmise à la carte que de façon cryptée, carte qui ne peut l?accepter que de « son » serveur. En effet, le micro-code de la carte firewall généré par le serveur dépend d?une clé de cryptage unique. Ce qui a pour conséquence que l?adaptateur réseau ?ou le groupe d?adaptateurs « flashés », ne peut fonctionner que sur son propre sous-réseau. Car c?est en effet ce même serveur qui génère le « master » qui sera distribué sur chaque 3CR990 qu?il devra administrer, un « master » qui intègre la clef de cryptage unique qui servira par la suite aux échanges. C?est ainsi que sont définis les différents domaines de sécurité pouvant se rencontrer sur un réseau protégé. Cette notion de domaine de sécurité, faut-il le préciser, est donc totalement indépendante de la topologie du réseau, des VLAN ou de tout autre segmentation logique ou physique de l?architecture. Coté administration, le logiciel serveur peut gérer des groupes (3000 cartes par domaine de sécurité). Chaque ensemble, de une ou plusieurs cartes, 1000 maximum, est lié à une règle de sécurité, et rien n?empêche de déplacer un groupe d?une « politique » vers l?autre ou de lui attribuer un ensemble de règles totalement nouveau. Ajoutons enfin que, par précaution, une carte qui a reçu « son firmware » ne peut fonctionner qu?en présence de « son serveur » (correspondance du code de hachage du micro-code et des dialogues serveur). Naturellement, il est impossible de reflasher une carte ?du moins sans la présence du serveur originel-, tout comme il est impensable de substituer le serveur avec un maître « forgé ». Ce qui implique, notamment dans le cadre de grands déploiements, de disposer d?au moins deux serveurs par domaine de sécurité ?une machine principale et son image de sauvegarde-, et, bien sur, de sauvegarder avec attention les clefs de chaque serveur. La réalisation technique du firewall embarqué a été conduite avec le concours de Secure Computing en ce qui concerne les parties logicielle et sécurité. Le coût du firewall gravite aux environs de 50 dollars par carte (prix de l?adaptateur non compris), et chaque serveur est vendu près de 1000 dollars --->>> Shaka( Rudy) HelPC list owner <mailto:shaka.rudy@xxxxxxxxx> shaka.rudy@xxxxxxxxx