[helpc] 3Com, un firewall dans chaque port
- From: "Rudy S." <strub.rudy@xxxxxxxxx>
- To: "Helpc" <helpc@xxxxxxxxxxxxx>
- Date: Thu, 18 Apr 2002 12:28:38 +0200
3Com, un firewall dans chaque port
Solange Belkhayat-Fuchs le 16/04/2002
C?est sur le terrain de l?embarqué que 3COM s?engage. Ainsi le dernier
de la ligne des firewall se cache dans une carte réseau
<http://www.3com.com/prod/fr_FR_EMEA/detail.jsp?tab=features&sku=3CR010S
TRPAK-97> . L?intérêt ? Certainement la facilité à y appliquer des
règles de sécurité distribuées, gérées à partir de serveurs de
centralisation
<http://www.3com.com/prod/fr_FR_EMEA/detail.jsp?tab=features&sku=3CR010P
S-1-97> . Le rôle de ces derniers est de transmettre la politique
sécuritaire de l?entreprise vers chaque poste. « C?est une offre de
sécurité totalement intégrée », explique Eric Zingraf, responsable de la
ligne de produits chez 3COM. « Un logiciel est en fait téléchargé sur la
carte réseau, logiciel indépendant du système d?exploitation de la
machine hôte », poursuit-il. L?adaptateur 3CR990, doté d?un processeur
RISC, a été choisi pour y accueillir le firewall. Ce processeur était,
jusqu?alors, chargé du cryptage Ipsec en conjonction avec Windows 2000.
Après « reflashage », un micro-code transforme la carte en porte
coupe-feu.
A chaque démarrage de la machine, une connexion avec le serveur est
établie qui sert à télécharger une « politique sécuritaire », avant même
que le poste ait pu avoir le moindre contact avec d?autres éléments du
réseau. Par la suite, s?effectue régulierement un test de la présence du
serveur, ne serait-ce que pour s?assurer que la bonne politique est
téléchargée, que chaque modification demandée par l?administrateur est
prise en compte, et que l?ordinateur est toujours relié au « bon »
réseau.
Précisons que la politique de sécurité n?est transmise à la carte que de
façon cryptée, carte qui ne peut l?accepter que de « son » serveur. En
effet, le micro-code de la carte firewall généré par le serveur dépend
d?une clé de cryptage unique. Ce qui a pour conséquence que l?adaptateur
réseau ?ou le groupe d?adaptateurs « flashés », ne peut fonctionner que
sur son propre sous-réseau. Car c?est en effet ce même serveur qui
génère le « master » qui sera distribué sur chaque 3CR990 qu?il devra
administrer, un « master » qui intègre la clef de cryptage unique qui
servira par la suite aux échanges. C?est ainsi que sont définis les
différents domaines de sécurité pouvant se rencontrer sur un réseau
protégé. Cette notion de domaine de sécurité, faut-il le préciser, est
donc totalement indépendante de la topologie du réseau, des VLAN ou de
tout autre segmentation logique ou physique de l?architecture. Coté
administration, le logiciel serveur peut gérer des groupes (3000 cartes
par domaine de sécurité). Chaque ensemble, de une ou plusieurs cartes,
1000 maximum, est lié à une règle de sécurité, et rien n?empêche de
déplacer un groupe d?une « politique » vers l?autre ou de lui attribuer
un ensemble de règles totalement nouveau. Ajoutons enfin que, par
précaution, une carte qui a reçu « son firmware » ne peut fonctionner
qu?en présence de « son serveur » (correspondance du code de hachage du
micro-code et des dialogues serveur). Naturellement, il est impossible
de reflasher une carte ?du moins sans la présence du serveur originel-,
tout comme il est impensable de substituer le serveur avec un maître «
forgé ». Ce qui implique, notamment dans le cadre de grands
déploiements, de disposer d?au moins deux serveurs par domaine de
sécurité ?une machine principale et son image de sauvegarde-, et, bien
sur, de sauvegarder avec attention les clefs de chaque serveur.
La réalisation technique du firewall embarqué a été conduite avec le
concours de Secure Computing en ce qui concerne les parties logicielle
et sécurité. Le coût du firewall gravite aux environs de 50 dollars par
carte (prix de l?adaptateur non compris), et chaque serveur est vendu
près de 1000 dollars
--->>>
Shaka( Rudy)
HelPC list owner
<mailto:shaka.rudy@xxxxxxxxx> shaka.rudy@xxxxxxxxx
Other related posts:
- » [helpc] 3Com, un firewall dans chaque port
