CheckPoint dope ses firewall au niveau 7

• Imprimer

Pour Check Point, le "coupe-feu" ne sera plus seulement, à partir du 3 juin prochain, un filtre de port doublé d'un support VPN.
C'est, avec l'ajout d'une technique baptisée "Application Intelligence", un mécanisme d'inspection "statefull" également capable de réagir à des règles portant sur la nature de l'application utilisant le port considéré.
Pour vulgariser à l'extrême, le fabricant a injecté un peu de technique "antivirus" et un zeste d'approche IDS à ses firewall.
Thierry Karsenti, de la filiale française, explique : "Nos firewalls peuvent désormais examiner la validité du contenu des trames en fonction du protocole utilisé. Ainsi, un binaire sur un en-tête http - un non-sens d'un point de vue protocolaire - sera immédiatement bloqué. Une chaîne de 400 Ko en guise de paramètre SQL, çà-aussi, ce sera considéré comme les prémices d'une attaque en déni de service. En d'autres termes, nous sommes désormais capables de filtrer non seulement les ports, mais également la conformité des paquets entrants. Et ce sur Firewall1 Secure Server et VPN1".
Cet examen au niveau application n'est absolument pas un "filtrage de contenu", mais une analyse de la nature du dialogue IP.
Cette approche permet ainsi de déterminer ce qu'il est possible de faire ou de ne pas faire dans le cadre d'un flux précis.
Une fonction particulièrement intéressante lorsque l'on souhaite éliminer les risques que représentent certains logiciels utilisant de manière générique le port 80.
Il devient alors envisageable d'autoriser la navigation Web et les échanges XML, tout en interdisant les flux émis par des applications P2P genre Kazaa ou Gnutella, sans pour autant impacter sur le comportement d'un Groove d'entreprise.
Rien n'empêche également de "penser" une protection contre certaines actions même "légales" mais éventuellement dangereuses. Comme bloquer un serveur ftp uniquement en lecture, interdisant toute écriture ou création de répertoire. Certes, d'un point de vue logique, ces règles peuvent parfaitement être définies dans le fichier "rc" du service en question.
Mais, précise Thierry Karsenti, "les desiderata d'un RSSI ne sont pas nécessairement identiques à ceux des administrateurs locaux. En outre, une telle approche permet de définir des règles plus ou moins strictes en fonction du périmètre réseau... quasiment muselé sur les accès Wan, ouvert en fonction des droits utilisateurs sur le réseau local".
Cette « intelligence applicative », bien sur, nécessite une « granularité » plus fine des règles d'administration du firewall. Mais une passerelle de sécurité capable de renifler des trames suspectes, çà s'éduque ! Pour ce faire - la connaissance innée de tous les RFC n'étant pas encore intégrée sur silicium -, CheckPoint propose un SDK permettant de définir ses propres définitions de filtrage, ainsi qu'un "service d'abonnement" régulièrement remis à jour à chaque découverte d'un nouvel exploit, à chaque apparition d'un logiciels pouvant occasionner des problèmes de sécurité.
Si la mise à niveau de l'ensemble de la gamme Check Point est "gratuite" pour ce qui concerne l'ajout de cette technologie Application Intelligence, l'abonnement au service de mise à jour est loin d'être donné : 1000 $ par passerelle, jusqu'à concurrence de 10 000 dollars pour les possesseurs de 10 firewalls et plus.