Inscrivez-vous gratuitement à la Newsletter BFM Business
L'entreprise française progresse à pas de géant. En trois ans seulement, elle peut se targuer de fournir une protection multiniveau en mêlant pare-feu et antivirus en plus d'une protection du contenu améliorée. Détection et prévention des intrusions font partie des nouveautés.
Créé en 2000, Arkoon n'aura pas tardé à se faire une place au soleil. La société lyonnaise revendique un chiffre d'affaires de 5 millions d'euros pour 2003, avec huit cents clients pour deux mille équipements vendus depuis sa création. Elle fabrique des pare-feu de type stateful inspection sous la forme de boîtiers dédiés, avec un Linux sécurisé qui apparaît de manière transparente à l'utilisateur. En fait, ces boîtiers sont plus qu'un simple pare-feu. Une protection multiniveau a été conçue, dès le départ, grâce à l'architecture SSA (Security scalable architecture) et au moteur modulaire Fast (Fast applicative shield technology). L'antivirus, présent depuis 2000, est le fruit d'un partenariat avec Sophos, mais d'autres acteurs pourraient entrer en lice. En décembre 2003, Arkoon a annoncé Fast In Line IDPS (Intrusion detection and prevention system), destiné à renforcer la détection et la prévention des intrusions.
Une analyse applicative complète en mode coupure
On cumule alors les technologies d'un pare-feu multiniveau, les fonctionnalités d'un IDS-IPS en ligne, et une amélioration du filtrage applicatif et de contenu. IDPS fonctionne au-dessus du moteur Fast et fournit une analyse applicative complète en mode coupure. Les signatures tiennent compte de l'état de la session, et possèdent un poids. Mais il n'y a pas d'import des signatures de Snort, un IDS open source.Arkoon propose un moteur de type stateful inspection pour les niveaux 3 et 4 du modèle OSI, avec une protection contre les dénis de service et une analyse des niveaux 5 à 7 des principaux protocoles applicatifs (HTTP, SMTP, POP 3, Imap 4, etc.). Une vérification de la conformité des protocoles aux RFC (Request for comments) est opérée, ainsi que l'usage attendu. ' Le debug de SMTP est refusé par défaut, car cela traduit souvent une attaque ', souligne Daniel Fages, directeur R&D d'Arkoon.Certaines extensions propriétaires des protocoles, comme le POP 3 de Netscape, sont prises en compte. Sans être aussi complet qu'un reverse proxy ou que la technologie neuronale Intelliwall, de Bee Ware, les attaques simples de type XSS (Cross site scripting) ou SQL Injection sont gérées. Dans la même philosophie, les attaques de type LDAP Injection devraient être rapidement prises en charge. D'ici à la fin de l'année, le filtrage de contenu Soap devrait être réalisé à travers l'API Fast Protocol, et le filtrage XML à travers l'API Fast Content Filtering. ' L'appel à des Asic pour de l'XML pourra être envisagé plus tard ', indique-t-on chez Arkoon.
Un plan de route étoffé
La société fonctionne en mode noyau afin de doper les performances. Deux expiations sont cependant à noter : l'antivirus et le relais H.323 pour la VoIP. ' L'un de nos objectifs est de supprimer les relais ', note Daniel Fages. Fait appréciable, le protocole Icap devrait bientôt être supporté en mode Respmod pour le filtrage d'URL, ainsi qu'en mode Reqmod. Sur le plan de route d'Arkoon sont également prévus la haute disponibilité en mode actif-actif et le failover VPN, un point faible actuellement.
Votre opinion