Laurent Paumelle, Juniper : un nouveau noyau pour surveiller le niveau 7 - Actualités CSO Fournisseurs

Laurent Paumelle, Juniper : un nouveau noyau pour surveiller le niveau 7

le 03/05/2007, par Marc Olanié, Fournisseurs, 592 mots

En lançant une nouvelle version de son système d'exploitation ScreenOS 6.0 destiné aux firewalls et ID/PS de la branche Netscreen, l'équipementier s'engage dans le domaine du contrôle de performance et la gestion de politiques de sécurité capable de prendre en compte les applications. Le noyau sera capable de mettre à niveau aussi bien les passerelles d'entrée de gamme, telles que les SSG (Secure Service Gateway) 8 ou 16 ports, ou les boitiers haute capacité genre ISG (Integrated Security Gateway) de 50 à 250 systèmes virtuels. Simultanément à cette annonce, le constructeur apporte quelques améliorations fonctionnelles à son logiciel Intrusion Detection and Prevention (IDP) 4.1 CSO France : La frontière avec les outils de contrôle de QoS est en train de s'estomper... de quoi est capable ScreenOS 6 ? Laurent Paumelle : La corrélation et l'intégration de l'analyse de trafic est techniquement envisageable, mais n'est pas d'actualité. La partie réseau et les équipements destinés aux équilibrages de chargent relèvent d'une autre branche de Juniper. Mais effectivement, nous abordons un domaine qui était jusqu'à présent relativement éloigné du domaine des passerelles de sécurité. On peut schématiquement résumer un firewall à une machine surveillant trois caractéristiques importantes : le port, l'adresse, le protocole. Désormais, nous nous penchons à la fois sur l'application, pour reconnaître ce qui est transmis, sur l'utilisateur, pour en tirer les habitudes d'usage, et sur les composants employés. C'est en fonction de ces différentes pièces d'information que nous pouvons, outre le travail « traditionnel » de protection, déterminer des « politiques » et être ainsi capable d'attribuer une priorité plus importante à un flux plutôt qu'à un autre... voir le supprimer. Nos équipes ont notamment, effectué un important travail de recherche sur le trafic des logiciels de messagerie instantanée, sur les programmes d'échange peer to peer, sur les stream VoIP.... une fois passée une période d'apprentissage à l'aide du « profiler », les boitiers sont capables de prendre des décisions et engager des actions en fonction de choix définis par les politiques de sécurité définies par l'administrateur. Voilà pour la partie applications et utilisateurs. L'aspect « composant » nous permet de bloquer ou dérouter une connexion entrante si la passerelle découvre que le poste utilise un élément non-conforme. Sur ce point, Juniper reste un défenseur des UAC 2.1 et aux spécifications TNC (Trusted Network Connect). CSO France : Glisser des politiques de sécurité jusque dans les passerelles ne risque pas d'alourdir l'administration des passerelles ? Laurent Paumelle : Il n'y a pas franchement d'alourdissement de la charge de travail. Si l'on se limite aux « recommended policies », les cas de figure les plus fréquents sont pris en compte. Dans des situations plus particulières, soit l'administrateur définie lui-même une politique adaptée, soit il peut recourir aux services de nos canaux de distribution. CSO France : La remontée des traces allant de l'association de l'application jusqu'au profil ou à l'identité de l'utilisateur ne risque-t-elle pas de poser des problèmes éthiques, sinon juridiques à terme ? Laurent Paumelle : Il est encore bien trop tôt pour le dire (ndlr : ScreenOS 6 et IDP 4.1 ne sont disponibles que depuis le début du mois de mai), mais je peux préciser que nous n'avons pas entendu de telles crainte émises par les beta-testeurs. En outre, les fonctions que l'on pourrait considérer comme intrusives sous l'angle de la préservation de la vie privée ne dépendent pas d'un seul et même programme, mais d'éléments distincts, dont la mise en oeuvre n'est ni systématique, ni techniquement obligatoire. L'identité utilisateur nécessite l'association d'IDP et des UAC 2.1, les politiques de sécurité et de contrôle des applications relèvent d'IDP 4.1, la « visibilité » de l'utilisateur -et de l'application générant le flux sous contrôle- est supporté par NSM associé à IDP et aux UAC.

Huawei espère revenir et se développer aux Etats-Unis

Les élections américaines sont suivies de près chez Huawei qui espère beaucoup d'une arrivée d'Hilary Clinton, selon nos confrères de Light Reading. Sa possible présidence pourrait mettre un terme aux...

le 31/03/2016, par Didier Barathon, 351 mots

Les 10 acquisitions les plus marquantes de 2015 dans les réseaux

2015 fut un grand cru pour les acquisitions dans l'industrie des réseaux. Voici une sélection des plus significatives pour l'avenir du secteur. Check Point Software acquiert Hyperwise et LacoonMême s'il s'agit...

le 08/12/2015, par Zeus Kerravala, Network World et Didier Barathon, 1001 mots

Dell devrait vendre Quest, SonicWall, AppAssure, Perot Systems

Une fois le rachat d'EMC finalisé, la dette de Dell devrait s'élever à 49,5 milliards de dollars. Le groupe envisage de céder certaines de ses participations actuelles et  peut être revendre des filiales...

le 04/11/2015, par Didier Barathon, 262 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »