Laurent Paumelle, Juniper : un nouveau noyau pour surveiller le niveau 7
En lançant une nouvelle version de son système d'exploitation ScreenOS 6.0 destiné aux firewalls et ID/PS de la branche Netscreen, l'équipementier s'engage dans le domaine du contrôle de performance et la gestion de politiques de sécurité capable de prendre en compte les applications. Le noyau sera capable de mettre à niveau aussi bien les passerelles d'entrée de gamme, telles que les SSG (Secure Service Gateway) 8 ou 16 ports, ou les boitiers haute capacité genre ISG (Integrated Security Gateway) de 50 à 250 systèmes virtuels. Simultanément à cette annonce, le constructeur apporte quelques améliorations fonctionnelles à son logiciel Intrusion Detection and Prevention (IDP) 4.1 CSO France : La frontière avec les outils de contrôle de QoS est en train de s'estomper... de quoi est capable ScreenOS 6 ? Laurent Paumelle : La corrélation et l'intégration de l'analyse de trafic est techniquement envisageable, mais n'est pas d'actualité. La partie réseau et les équipements destinés aux équilibrages de chargent relèvent d'une autre branche de Juniper. Mais effectivement, nous abordons un domaine qui était jusqu'à présent relativement éloigné du domaine des passerelles de sécurité. On peut schématiquement résumer un firewall à une machine surveillant trois caractéristiques importantes : le port, l'adresse, le protocole. Désormais, nous nous penchons à la fois sur l'application, pour reconnaître ce qui est transmis, sur l'utilisateur, pour en tirer les habitudes d'usage, et sur les composants employés. C'est en fonction de ces différentes pièces d'information que nous pouvons, outre le travail « traditionnel » de protection, déterminer des « politiques » et être ainsi capable d'attribuer une priorité plus importante à un flux plutôt qu'à un autre... voir le supprimer. Nos équipes ont notamment, effectué un important travail de recherche sur le trafic des logiciels de messagerie instantanée, sur les programmes d'échange peer to peer, sur les stream VoIP.... une fois passée une période d'apprentissage à l'aide du « profiler », les boitiers sont capables de prendre des décisions et engager des actions en fonction de choix définis par les politiques de sécurité définies par l'administrateur. Voilà pour la partie applications et utilisateurs. L'aspect « composant » nous permet de bloquer ou dérouter une connexion entrante si la passerelle découvre que le poste utilise un élément non-conforme. Sur ce point, Juniper reste un défenseur des UAC 2.1 et aux spécifications TNC (Trusted Network Connect). CSO France : Glisser des politiques de sécurité jusque dans les passerelles ne risque pas d'alourdir l'administration des passerelles ? Laurent Paumelle : Il n'y a pas franchement d'alourdissement de la charge de travail. Si l'on se limite aux « recommended policies », les cas de figure les plus fréquents sont pris en compte. Dans des situations plus particulières, soit l'administrateur définie lui-même une politique adaptée, soit il peut recourir aux services de nos canaux de distribution. CSO France : La remontée des traces allant de l'association de l'application jusqu'au profil ou à l'identité de l'utilisateur ne risque-t-elle pas de poser des problèmes éthiques, sinon juridiques à terme ? Laurent Paumelle : Il est encore bien trop tôt pour le dire (ndlr : ScreenOS 6 et IDP 4.1 ne sont disponibles que depuis le début du mois de mai), mais je peux préciser que nous n'avons pas entendu de telles crainte émises par les beta-testeurs. En outre, les fonctions que l'on pourrait considérer comme intrusives sous l'angle de la préservation de la vie privée ne dépendent pas d'un seul et même programme, mais d'éléments distincts, dont la mise en oeuvre n'est ni systématique, ni techniquement obligatoire. L'identité utilisateur nécessite l'association d'IDP et des UAC 2.1, les politiques de sécurité et de contrôle des applications relèvent d'IDP 4.1, la « visibilité » de l'utilisateur -et de l'application générant le flux sous contrôle- est supporté par NSM associé à IDP et aux UAC.
