  Comparaison de solutions Pare-feu
[25 mn de lecture - paru le 6/1/2006 3:33:35 PM - Public : Débutant]
|
 
|
Auteur
3 Comparatif de solutions gratuites
De nos jours, il est indispensable de posséder un firewall lorsque l’on possède une connexion Internet. Il est alors intéressant de pouvoir compter sur des solutions gratuites et open source pour certaines. Généralement aussi complets que des solutions professionnelles payantes. Nous allons détailler ici une partie de l’offre gratuite disponible.
Nous traiterons ces firewalls en deux parties : la première rendra compte des firewalls de type logiciels sous Windows (9x/XP) ou Linux, la deuxième ceux de type hardware sous distribution linux.
3.1 L'offre logicielle Windows et Linux
3.1.1 Sygate Personal Firewall
Sygate Personal Firewall est gratuit, alors que la version professionnelle est payante.
Connu auparavant sous le nom de Sybergen Secure Desktop, Sygate Personal Firewall est un programme de pare-feu personnel qui protège un seul ordinateur contre des intrus mal intentionnés.
Il offre un moyen simple pour protéger un PC de tout accès non autorisé, d’origine Internet. Puissant, souple, simple à mettre en place, ce logiciel offre cinq niveaux de sécurité allant d’«aucune» à «absolue» (c’est-à-dire interdisant tout accès).
Le plus haut niveau de sécurité autorisant l’accès à Internet permet l’entrée de paquets résultant de requêtes spécifiques, telles que le téléchargement de fichiers, par exemple. Le niveau immédiatement inférieur donne le droit de communiquer ou de jouer en ligne. Le niveau encore inférieur satisfait les besoins d’un serveur simple.
Pour peaufiner le paramétrage, le programme propose un mode d’apprentissage dans lequel il demande l’intervention de l’utilisateur lors de l’occurrence de toute nouvelle situation. Il est possible d’exécuter Sygate Personnal Firewall au cours du lancement de Windows. D’autres fonctionnalités comme la protection par mot de passe, l’interdiction temporaire d’accès à Internet définie à l’aide d’un planificateur et les alertes via le courrier électronique font partie des possibilités offertes.
3.1.2 SoftPerfect Personal Firewall
SoftPerfect Personal Firewall est un firewall conçu pour protéger votre ordinateur des attaques via Internet ou le réseau local. Il possède un système de filtrage de trafic puissant, basé sur des règles que vous aurez définies au préalable. Un mode d'apprentissage est intégré afin de vous indiquer la marche à suivre lorsque le programme détecte un paquet inconnu. Ceci vous aide à créer des règles personnalisées très rapidement.
SoftPerfect Personal Firewall supporte par ailleurs la configuration de multiples adaptateurs réseau. Ceci vous permet, par exemple, d'appliquer une règle pour une seule connexion par modem ou bien d'appliquer des règles séparées pour chaque interface de système. Il est assez simple d’utilisation mais reste plus personnalisable que le Sygate Personal Firewall ; le tout étant d’avoir quelques connaissances dans le domaine de la sécurité.
3.1.3 Kerio Personal Firewall
Kerio Personal firewall (KPF) fait une analyse de tous les paquets d’un flux IP entrant et ignore ceux qui ne correspondent pas aux règles de filtrage définies, rendant l’ordinateur invisible pour d’éventuelles attaques.
Pour une utilisation plus simple, KPF propose trois configurations :
- soit tout accès qui n’est pas explicitement autorisé est refusé (« Permit Unknown »),
- soit tout accès qui n’est pas explicitement interdit est autorisé (« Deny Unknown »),
- soit une fenêtre de dialogue s’affiche à chaque fois pour demander à l’utilisateur d’autoriser ou de refuser l’accès (« Ask me first »).
L’utilisateur peut néanmoins paramétrer les règles de filtrage manuellement.
La signature MD5 (somme de contrôles permettant d’authentifier un programme) permet de protéger l’ordinateur contre les intrusions type “cheval de Troie”.
Il est possible de créer des groupes d’adresses qui limitent l’accès à distance à l’ordinateur à des utilisateurs déterminés.
Une présentation ouverte des connexions permet à l’utilisateur de suivre à tout instant ce que l’application est en train de faire.
L’accès à l’administration est sécurisé, ce qui empêche les utilisateurs de modifier les paramètres librement.
KPF fonctionne comme un service et protège donc l’ordinateur dès le démarrage du système d’exploitation.
3.1.4 Agnitum Outpost Firewall
C’est un firewall performant et peu connu : il bloque les pages web dont le contenu et/ou l'URL contiennent des chaînes de caractères à définir soi-même (scripts malveillants,…). Il bloque aussi (avec les options O / ? / N) les contrôles ActiveX, les Cookies, les Popups, les Referers, les Applet Java, le Java et les VB scripts, qui pourraient nuire au niveau des services Mails/Web/News. Il filtre d’ailleurs les pièces jointes des E-mails par ajout d'une extension supplémentaire (ex: *.EXE devient *.EXE.VIR pour éviter un lancement intempestif). Il détecte les attaques Dos et mémorise les DNS. Seuls inconvénients : il n'y a pas de mot de passe pour interdire les modifications, ni de mémorisation des logs des différents blocages.
3.1.5 Look'n'Stop
Look'n'Stop est un étonnant petit firewall français. Seule la version "Lite" est gratuite.
Il utilise un système de règles paramétrable par l'utilisateur. La configuration d'origine est toutefois suffisamment bien conçue pour que les débutants puissent se contenter de l'installer... sans se poser d'autres questions. Un remarquable logiciel, relativement efficace, qui mérite vraiment que l'on s'y intéresse. Il est très léger et constitue un excellent système de défense de base pour des postes clients.
3.1.6 Ipchains – Iptables
Ces deux applications natives sous Linux sont des solutions complètes de firewall, par l’établissement de règles de filtrages sur toutes les interfaces actives. Iptables est le successeur d’Ipchains et est présent sur les noyaux les plus récents. Il permet de faire du filtrage de paquets, de la translation de port et d’adresse, du filtrage au niveau 2, etc. La version Iptables, sensiblement améliorée par rapport aux précédentes, est fiable et dispose de très nombreuses options qui permettent un filtrage très fin. Elle constitue une protection efficace pour les systèmes Linux.
3.2 Pare-feux libres pour distribution Linux
L’ensemble des firewalls décrits ci-après est de type hardware, c'est-à-dire qu’ils nécessitent une machine dédiée. Ils sont installés sur un système vide.
Ce sont des logiciels Open Source distribués sous les termes de la GNU (General Public License). Ceci permet à n’importe qui de reprogrammer le système pour l’améliorer et corriger d’éventuelles failles (de multiples codes enrichissants sont disponibles sur le net). Il suffit de rajouter des lignes de code et ensuite de recompiler le système.
Dans cette partie, nous allons détailler IPCop, puis nous ferons simplement les différences par rapport aux autres logiciels car toutes les offres ont des fonctionnalités en commun.
3.2.1 La distribution IPCop
IPCop met en œuvre un noyau Linux (Noyau 2.4 durci avec SSP -Stack Smashing Protector- et Libsafe). Il peut servir à protéger un ordinateur personnel mais également des réseaux d’entreprise contre les attaques et intrusions.
Après l’installation via un cdrom bootable, on doit le paramétrer en fonction de sa connexion et des interfaces à sécuriser. Ensuite pour la gestion du firewall et de toutes ses possibilités, une interface web est consultable en entrant simplement l’adresse IP et le port adéquat (80 pour http et 445 pour https) sur un navigateur Web.
Quatre interfaces réseaux maximum sont disponibles suivant le réseau à sécuriser, celles-ci sont repérées par des couleurs : rouge pour la connexion Internet, vert pour le réseau local, bleu pour le réseau sans fil WiFi et enfin orange pour les zones démilitarisées (DMZ), où l’on peut par exemple mettre un serveur Web. On peut classer ces interfaces par niveau de sécurité : la moins fiable étant la rouge puis l’orange, ensuite la bleue et enfin la verte.
IPCop offre un grand nombre de possibilités comme l’accès distant sécurisé avec SSH, un Proxy (ou squid) HTTP/HTTPS, un serveur DHCP, un cache DNS, un renvoi de ports TCP/UDP, un contrôle d’accès aux services externes, une gestion des DMZ, un système de détection d’intrusion (SNORT), un support VPN (Openswan avec IPsec), une synchronisation au serveur de temps, une possibilité de mise à jour par interface web, un système d’arrêt/redémarrage à distance.
Il génère ensuite des logs que l’on peut mettre dans une base de donnée pour une exploitation plus aisée.).
Il supporte les modems RTC, RNIS, ADSL, câble via les connexions PPP / PPPoA / PPPoE / PPTP (GRE) / Bridge / IP routé / DHCP / IP fixe. Enfin il peut fonctionner sur mémoire flash.
3.2.2 La distribution MANDRAKE MNF
Mandrake MNF met également en œuvre un noyau linux 2.4. Il a beaucoup de fonctionnalités similaires à IPCop. On peut voir néanmoins quelques différences : par exemple, l’utilisation pour le VPN de PPtP (autre protocole de tunneling) en plus d’IPsec, ou celle de PRELUDE pour la détection d’intrusions (IDS), en plus de SNORT (les deux sont similaires). Il y a deux fonctionnalités en plus par rapport à IPCop : la gestion multi DMZ et le filtrage URL.
Mais l’inconvénient est qu’il demande plus de mémoire vive, d’espace sur le disque dur et de vitesse de processeur pour satisfaire ces nouvelles options.
3.2.3 La distribution E-SMITH SME SERVER
E-Smith est encore une distribution Linux Open Source utilisant un noyau 2.4. Il a également une grande similitude de fonctionnalités avec IPCop mais en offre d’autres non négligeables :
- Serveur web de type Apache,
- Serveur mail de type Qmail,
- Serveur FTP de type Proftp,
- Serveur Samba (serveur de fichiers et d’imprimantes).
Contrairement aux distributions précédentes, SME n’utilise pour le VPN que PPtP et non pas IPsec. Enfin il contient d’autres fonctions :
- Le support de PHP (langage libre de programmation serveur),
- MySQL (système de gestion de bases de données open source),
- LDAP : annuaire permettant de partager des bases d'informations sur le réseau interne ou externe. Cette base peut contenir toute sorte d'informations que ce soit des coordonnées de personnes ou des données systèmes,
- Telnet : protocole standard d'Internet permettant l'interfaçage de terminaux et d'applications à travers Internet. Ce protocole fournit les règles de base pour permettre de relier un client à un serveur,
- IMP, RAID, SCSI, …
3.2.4 La distribution CLARKCONNECT
Clarkconnect est une distribution très complète. Il n’y a pour ainsi dire pas de nouvelles options par rapport aux autres firewalls développés ci-dessus mais elle en reprend chaque partie intéressante. Elle supporte un serveur Web Apache, serveur POP, IMAP et SMTP pour le courrier, bloque les bannières commerciales, et possède un serveur d’impression.
3.2.5 Autres
D’autres distributions sont également gratuites mais n’apportent pas d’améliorations par rapport à celles développées auparavant. On peut citer par exemple Securepoint, Sentinix, Engarde Secure Linux et Smoothwall (IPCop est un dérivé du projet Smoothwall).
|
27 Visites
Henri CHAN
[15 mn de lecture - paru le 6/1/2006 3:30:09 PM - Public : Beginner]