Passer au contenu

LES CRITÈRES DE CHOIX

Fonctions de sécurité de site à siteDans le cadre d’une interconnexion sécurisée de sites, l’étendue des fonctions de sécurité assurées par une solution de RPV est…

Fonctions de sécurité de site à site

Dans le cadre d’une interconnexion sécurisée de sites, l’étendue des fonctions de sécurité assurées par une solution de RPV est un élément déterminant pour une bonne intégration à un environnement existant. Seules deux des six solutions testées, celles de Cisco et de Microsoft, disposent dans la pratique d’une compatibilité ascendante avec des solutions de RPV utilisant des protocoles antérieurs à IPSec (L2TP, PPTP, L2F). La solution eTrust 2. 0 de Computer Associates utilise, quant à elle, une méthode propriétaire, pour chiffrer systématiquement tout ce qui est émis par la pile TCP/IP. Si la méthode est intéressante, elle n’est pas interopérable, contrairement à la technique de coupe-feu par inspection de paquets adoptée par Check Point. Cette disparité des fonctions se retrouve aussi lorsqu’on évalue les mécanismes d’authentification, qu’ils soient faibles ou forts. Ainsi, Windows 2000 Server est le seul à proposer dès aujourd’hui la possibilité d’authentification par carte à puce. Enfin, tous les algorithmes de chiffrement existants ne sont pas disponibles pour toutes les solutions testées. Le seul sur lequel s’accordent les éditeurs et constructeurs ayant participé à ce banc d’essai est le chiffrement DES 56 bits.

Fonctions de sécurité pour les clients mobiles

Pour qui veut sécuriser ses accès au réseau local (LAN), le poste de travail de l’utilisateur nomade reste le dernier maillon faible de la chaîne. L’hypothèse qu’un intrus puisse détourner à son profit une connexion RPV pendant son initialisation est à prendre au sérieux, même si les clients nomades sont équipés de postes de travail Windows NT 4 ou Windows 2000. Parmi les six offres testées, seules celles de Check Point, de Computer Associates et de Microsoft répondent à ce besoin, les deux premiers de ces éditeurs en installant d’office un coupe-feu personnel dont le client de RPV n’est qu’une sous-partie, le troisième en activant simultanément des fonctions simples de filtrage des paquets IP.Pour l’authentification des utilisateurs, Check Point 2000 offre une grande liberté de choix et gère notamment les mots de passe Windows NT ou Unix, les annuaires LDAP, les serveurs Radius ou les clés USB. Bien que supérieure aux offres de Cisco, de RedCreek et d’Intel, celle de Computer Associates se classe en dernière position pour ce critère, pour cause d’incompatibilité IPSec.

Déploiement de site à site

Pour ce critère, notre laboratoire s’est intéressé aux risques d’incohérences que peut entraîner une mise en ?”uvre trop longue ou trop complexe. Le premier risque est lié à un mode de configuration point à point, ou n?”ud à n?”ud, qu’adoptent trois des six modèles de ce banc d’essai. N’offrant aucun point central pour contrôler les paramètres des tunnels de RPV créés, les offres d’Intel, RedCreek et Computer Associates ne permettent pas une vision cohérente de la topologie du RPV. Windows 2000 Server et Check Point 2000 reposent, à l’inverse, sur des stratégies de sécurité, auxquelles sont associés ou non les éléments du réseau. Mais l’obligation d’installer le coupe-feu de Check Point pour rendre opérationnelle la partie RPV ralentit sérieusement le déploiement de sa solution. Il faut en effet décrire avec précision la topologie du réseau et configurer chaque coupe-feu avant de pouvoir poursuivre. Même s’il nécessite lui aussi d’entrer à la main la topologie du réseau, le routeur de Cisco, pour sa part, pousse le plus loin la simplification en autorisant la définition hors connexion des règles de sécurité, qui seront ensuite transmises aux routeurs concernés, une fois ceux-ci connectés.

Déploiement de clients mobiles

L’application d’une politique d’accès distant sécurisée par RPV implique d’une part la maîtrise du moyen de connexion utilisé (serveur d’accès distant d’une agence locale ou fournisseur d’accès à Internet), et d’autre part que la mise en ?”uvre de nouveaux postes soit simple à réaliser. Au cours de nos tests, la solution logicielle eTrust de Computer Associates s’est montrée la plus facile à installer. Une fois lancé le logiciel d’installation du client, la seule intervention de l’utilisateur consiste à répondre par oui ou par non lorsqu’il lui est demandé s’il veut ou non s’affilier au groupe RPV désigné. Le reste est géré par le serveur, mais uniquement pour les adresses IP statiques. Dans le cas d’adresses dynamiques, la plupart des solutions de ce banc d”essai nécessitent une configuration manuelle du poste de travail nomade. Il faut fréquemment définir sur le poste de travail nomade les paramètres du tunnel, voire y implanter un certificat d’authentification. En livrant son client de RPV avec un coupe-feu, Check Point contourne le problème puisque le tunnel de RPV devient un sous-ensemble de règles de sécurité exécutées par le coupe-feu personnel, et transmises automatiquement par le serveur de politiques de sécurité de Check Point 2000.

Administration

Qu’il s’agisse d’interconnexion de sites ou d’accès distants sécurisés, l’exploitation quotidienne de tunnels RPV passe par une bonne remontée des alertes autant que par une administration centralisée. L’eTrust, grâce à sa gestion centralisée des clients de RPV disposant d’une adresse IP fixe, obtient la deuxième place pour ce critère, et ce, malgré le fait qu’il réduise à sa plus simple expression la gestion des comptes rendus d’activité. Il offre un bon compromis entre une administration fondée sur des politiques de sécurité et un suivi en temps réel des connexions RPV. Check Point 2000, qui arrive premier pour ce critère, est ainsi le seul, avec Cisco, à prévenir l’administrateur par courrier électronique en cas d’incident. Il ne dispose toutefois pas d’outils pour l’édition de rapports de synthèse, ce que seuls Intel et Cisco proposent. Windows 2000 Server offre une gestion des événements de prime abord plutôt rudimentaire. Uniquement accessibles par l’observateur d’événements de Windows, ils apparaissent sous la forme d’un code chiffré, qu’il faut apprendre à reconnaître. Toutefois, en cliquant sur ces éléments, on a accès à un compte rendu très détaillé de chaque connexion IPSec.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


PAUL PHILIPON-DOLLET