Comment tester un pare-feu en trois étapes

Trois étapes sont nécessaires pour tester les pare-feu de votre entreprise. L’expert Joel Snyder explique la marche à suivre.

En testant les tout derniers pare-feu, j’ai appris une chose : ne croyez pas ce qu’affirment les fournisseurs avant d’avoir vous-même effectué les tests. Autrement dit, ce qui « doit fonctionner » ou ce qui « fonctionne habituellement » ne fonctionnera peut-être pas tout à fait comme prévu, voir pas du tout.

Inutile de tester des performances sur un millier de scénarios, car un seul s’applique à votre réseau : la réalité. Essayez plutôt d’élaborer un petit nombre de scénarios qui reflètent votre réseau et votre mode d’exploitation.

Securite

J’explique ici comment tester un pare-feu. Pour ce faire, je décrirai les trois types de tests à réaliser et ceux qui, contre toute attente, sont inutiles. Vous pourrez ainsi choisir le pare-feu le mieux adapté à votre entreprise.

La procédure requise pour tester les pare-feu peut se décomposer en trois phases distinctes : évaluation subjective, efficacité des mesures d’atténuation des risques, et test de performances.

Test de pare-feu : évaluation subjective

Votre évaluation subjective doit s’appuyer sur une liste de critères, et non sur une liste de fonctions. Examinez un à un chaque aspect du pare-feu : définition des règles, construction des VPN, fonctionnement de l’accès à distance et ajout d’une couche d’atténuation des menaces sur le produit. Documentez vos conclusions sans hésiter à ajouter un maximum de captures d’écran. En effet, ce qui vous paraissait évident lors des tests du pare-feu A ne sera sans doute plus aussi clair lorsque vous consulterez vos notes, six mois plus tard, pour l’évaluation du pare-feu G. Prenez des notes précises sur chaque critère évalué.

Après avoir testé tous les pare-feu retenus, rédigez un bref récapitulatif de tous les produits étudiés « par critère ». Il vous sera ainsi plus facile d’attribuer des scores et de tirer des conclusions objectives.

Test de pare-feu : test d’efficacité

Il est difficile d’effectuer un test d’efficacité sans outils spécialisés. Et même avec de tels outils, les résultats ne sont pas toujours précis. Un test d’efficacité cible principalement trois caractéristiques : prévention des intrusions, protection contre les logiciels malveillants et identification des applications.

Notons que ces deux dernières caractéristiques sont inadaptées aux tests d’efficacité. Aussi, contentez-vous de contrôles ponctuels en testant des scénarios réels dans lesquels des clients téléchargent de vrais virus ou communiquent avec de véritables applications. Pour l’identification des derniers virus en date, consultez par exemple la zone de mise en quarantaine de votre passerelle de messagerie. Si votre logiciel antivirus d’extrémité de réseau utilise un emplacement de quarantaine centralisé, vous avez également de fortes chances d’y trouver votre bonheur. Lorsque vous testez l’efficacité de l’antivirus, vérifiez vos propres points d’évasion : trafic HTTP et HTTPS sur des ports non standard, transferts IMAP et SMTP chiffrés et tunnels par proxy sont autant de types d’évasion à ajouter aux tests HTTP/HTTPS classiques.

Pour évaluer la fonction d’identification des applications, sélectionnez les applications les plus importantes à vos yeux et testez-les avec de vrais serveurs de production. Si vous souhaitez bloquer le partage de fichiers d’égal à égal (peer-to-peer), lancez quelques clients Torrent et observez le résultat. Faites de même pour les applications telles que le webmail ou Facebook, qui sont les premières concernées par le contrôle et l’identification d’application. Ne recourez pas à un outil de test automatisé : les résultats ne seront jamais aussi fiables que ceux produits par une application qui communique réellement avec de vrais serveurs. C’est particulièrement vrai pour les applications dites « évasives », telles que BitTorrent et Skype, qui sont impossibles à simuler correctement via un outil de test.

Test de pare-feu : évaluation des performances

L’évaluation des performances exige également des outils spécialisés. Mais la popularité croissante de ce paramètre a fait naître des solutions open source. Lors des tests de performance, n’oubliez pas d’utiliser un pseudo-périphérique (un routeur ou un cordon de raccordement peut aussi faire l’affaire). Vous connaîtrez ainsi la vitesse maximale de votre banc d’essai. Ensuite, tenez compte des recommandations de David Newman, célèbre testeur de réseaux : les tests doivent être reproductibles, stressants (pour l’appareil, pas pour vous !) et pertinents. Poussez le périphérique testé dans ses derniers retranchements, même si vous ne prévoyez pas de l’exploiter si loin. Vous déterminerez ainsi le point de rupture et votre marge de manoeuvre.

Inutile de tester des performances sur un millier de scénarios, car un seul s’applique à votre réseau : la réalité. Contentez-vous d’élaborer un petit nombre de scénarios représentant votre réseau et votre niveau d’exploitation, et testez-les avec quelques configurations de pare-feu seulement. Dans la mesure où la plupart des pare-feu traitent essentiellement le trafic HTTP ou HTTPS, vous pouvez sans crainte vous concentrer sur cet aspect. Le simple fait d’ajouter ne serait-ce que 3 % de trafic DNS rend la tâche nettement plus compliquée et apporte rarement des informations utiles.

Les tests de performance doivent nécessairement s’accompagner d’indicateurs de « réussite/échec ». Par exemple, dès que le pare-feu refuse d’ouvrir de nouvelles sessions, vous pouvez mettre fin au test, car cela signifie que vous avez dépassé les limites du dispositif. Il est également recommandé de définir d’autres limites, telles que le temps de latence maximal, de façon à déterminer à quel moment le comportement du pare-feu n’est plus acceptable.

Une fois ces trois types de tests réalisés, vous possèderez toutes les clés pour déterminer le pare-feu le mieux adapté à votre entreprise.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)