Les boîtiers ' tout en un ' toujours plus gourmands

Avec sa famille de plates-formes de sécurité Secure Service Gateway (SSG) lancée récemment, Juniper s'inscrit dans la tendance à l'inflation fonctionnelle des appliances. Son boîtier, qui cumule des fonctions de sécurité (pare-feu, sonde de détection d'intrusion, passerelle RPV...), est aussi un routeur complet. L'objectif est de remplacer sur les sites distants les équipements de réseau et de sécurité par un seul.Il en va des boîtiers de sécurité multifonctions comme des commutateurs de réseau local. Au début, ces derniers n'exécutaient qu'une tâche : commuter les paquets au niveau 2. Puis ils ont fait du routage au niveau 3. On les a ensuite enrichis de mécanismes de qualité de service pour fluidifier le trafic. A présent, ils alimentent les postes de téléphonie sur IP et les points d'accès de réseaux Wi-Fi.On assiste à la même boulimie du côté des équipements de sécurité. Le premier d'entre eux fut le pare-feu, dont l'Israélien Check Point représentait l'un des pionniers, voilà un peu moins d'une dizaine d'années. Le rôle du pare-feu consiste à bloquer les attaques venant de l'extérieur aux niveaux 3 et 4. Parallèlement, sont arrivées les passerelles pour réseaux privés virtuels, chargées d'identifier l'utilisateur extérieur désirant se connecter et, s'il y est autorisé, d'établir avec lui un tunnel. Il s'agit d'un ' tuyau virtuel ' étanche qui garantit la confidentialité des échanges.

Les équipementiers ont fini par céder

Dans un premier temps, sont apparus les réseaux privés Ipsec (de niveau 3). Depuis quelques années, les RPV SSL (de niveau 7) gagnent des parts de marché. Deux fonctions complémentaires ?" pare-feu et passerelle ?" ont été intégrées dans un seul équipement. Ce fut le début des boîtiers de sécurité tout en un.Mais les attaques se perfectionnent : elles sont maintenant lancées au niveau 7, donc au-dessus du pare-feu. Du coup, les constructeurs ont conçu de nouveaux outils de protection, comme les sondes de détection et de prévention d'intrusion qui inspectent les paquets en détail. Les premières sondes faisaient l'objet de boîtiers spécifiques ; elles s'intègrent à présent dans les appliances multifonctions de sécurité. Enfin, la panoplie d'outils dont ils se voient désormais dotés serait incomplète sans l'antivirus et l'antispam.Les grands constructeurs comme Cisco ou Juniper n'ont pas eu d'emblée le réflexe de tout intégrer dans une seule machine : à chaque nouvelle fonction correspondait un équipement. Les pionniers du tout-en-un furent de petites sociétés telles que Fortinet ou Sonicwall. Aujourd'hui, le concept gagne du terrain. Le Français Arkoon s'en inspire pour bâtir sa stratégie. Les ténors du réseau ne pouvaient pas ne pas réagir, et Cisco comme Juniper en proposent maintenant à leur catalogue.Pour autant, ce n'est pas la fin des équipements spécialisés. Sur les sites centraux, où la performance reste toujours le critère numéro un, ils gardent encore leur place. Les boîtiers tout en un visent d'abord les sites distants, moins exigeants en ressources.Cependant, ces sites déportés exigent autant de fonctions que les plus grands. En intégrant le routage dans sa passerelle SSG, Juniper greffe sur Screen OS (le système d'exploitation de ses boîtiers de sécurité) certaines fonctions de Junos (l'OS de ses routeurs).j.soules@01informatique.presse.fr