Access to the content		Beginning of the report
	Description		Report on the 2000 Networld + Interop expo in Atlanta, 27-28 September 2000.
	Context & Dates		Report made for our news monitoring service . The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference. 30 September 2000 - Report writing 4 October 2000 - Sending to the news monitoring service subscribers 20 October 2000 - Publication in Netcost & Security Hebdo number 43 November 2000 - Publication in Netcost & Security Magazine number 29
	Author		Hervé Schauer (Herve.Schauer@hsc.fr), Gilles Guiot
	Type
	Abstract & Table of content
	Related documents
	Copyright		© 2000, Hervé Schauer Consultants, all rights reserved.

Le millésime 2000 de l'exposition Networld+Interop a bénéficié d'une affluence importante, avec pas moins de 550 exposants, tous connectés au réseau réalisé pour l'occasion par Extreme Networks (http://www.extremenetworks.com). Autour d'un backbone Gigabit Ethernet, Extreme a déployé 18 aires OSPF, du BGP4, gérant ainsi un total de 12000 clients en Ethernet 100 Mb.

Parmi les grandes tendances de ce salon, on peut noter que la détection d'intrusion a été reléguée à l'arrière plan des préoccupations des fournisseurs. Ainsi, qu'il s'agisse d'ISS ou d'Axent aucun n'avait de réelle nouveautés à présenter dans leurs gammes d'IDS et NAI ne proposait plus d'IDS. Quant à NFR, l'éditeur américain n'était pas présent sur le salon. Seul Okena (www.okena.com) proposait une approche originale, avec des capacités de détection d'intrusion réparties sur chaque poste client, et des capacités de réponse contre les intrusions également dans le poste client. Sans véritable démonstration, et en l'état actuel de la technologie, on peut s'interroger sur l'efficacité réelle de tels logiciels, particulièrement dans le cas d'un déploiement au sein d'une entreprise de grande taille.
Cependant, si l'efficacité n'est pas encore au rendez-vous, la migration vers le poste clients semble bien la seule issue pour la survie de la détection d'intrusion dans les environnements désormais entièrement commutés.

À contrario, le firewalling était omniprésent, du firewall personnel pour PC, proposé par de nombreux vendeurs, aux firewalls haut-débit dans les commutateurs, devenus systématiques.

Du côté des PKI, malgré l'ampleur de la manifestation, seuls Verisign et Entrust étaient présents, mais n'annonçaient aucune nouveauté. À noter que la technologie PKI d'Entrust est désormais disponible en téléchargement sur leur site Web (http://www.entrust.com/)

Le domaine du Policy Management fait quant à lui preuve d'un dynamisme persistant avec de nombreux acteurs présents, et presque autant de nouveautés.

Comme lors de l'exposition RSA en janvier 2000 , Check Point présentait le Visual Policy Editor. L'éditeur annonce une version beta possible pour la fin de l'année et une disponibilité publique repoussée à Mars 2001.

Si Cisco ne présentaient aucune nouveauté majeure avec CSPM 2, Orchestream (http://www.orchestream.com) a lui annoncé une nouvelle version de son logiciel, désormais positionné comme "Intelligently Activating Services on IP networks". Si la sécurité est désormais un des composants proposés, le logiciel reste un configurateur de périphériques pour la qualité de service, et annonce le support des VPN MPLS. Orchestream annonce également ses tout premiers clients avec Energis, FirstMark, Siemens Network Systems pour British Airways et Interoute Telecommunications.

À noter l'éditeur américain IP Highway (http://www.iphighway.com/), qui s'il n'est pas un acteur du marché de la sécurité, présentait cependant un logiciel gérant la qualité de service de façon pragmatique et apparemment plus réaliste que le produit d'Orchestream.

ISPsoft annonçait lui aussi un logiciel de provisionning pour la qualité de service et les VPN MPLS, permettant d'aller jusqu'à la configuration de serveurs : Sendmail, Bind, Apache et IIS. L'éditeur avance la possibilité de configurer les produits Cisco, Alteon, Extreme Networks, Foundry, C5 et Arrowpoint, mais aucune démonstration ne permettait de vérifier cette annonce intéréssante.

Solsoft (http://www.solsoft.com/) propose Solsoft NP 4, intégrable à la plateforme HP-OpenView, pour gérer globalement des ACLs sur les routeurs et gardes-barrières, et a présenté un prototype permettant de configurer FW-1, mais sans date de sortie. Est également disponible gratuitement en téléchargement la version 4 de Solsoft NP-Lite (http://www.solsoft.com/np-lite). NP-Lite permet de générer des filtres pour IP-Firewalls et IP-Chains, et la prochaine version devrait supporter Netfilter.

Enfin, ArcanaNetworks (http://www.arcananetworks.com/) un nouveau venu dans le policy-based management, propose provisioneer, un nouveau logiciel proposant un policy server et une interface WEB pour configurer les périphériques sur le réseau. Provisioneer fonctionne périphérique par périphérique et propose une découverte du réseau, la configuration des interfaces et des VLANs, et bientôt la gestion des ACLs. Tous les protocoles d'accès aux périphériques sont supportés.

Dans le domaine de fourniture de services, Hiverworld (http://www.hiverworld.com) annonce ses premiers clients avec des dotcoms, pour son service automatique de tests de vulnérabilités (cf compte-rendu de SANS 2000 à Orlando ). À noter qu'Hiverworld utilise son propre logiciel, contrairement à Securiteam (http://www.securiteam.com/, dont le service est http://www.automatedscanning.com/) et Intranode, qui utilisent tous les deux une base Nessus (http://www.nessus.org/).

Dans le domaine des relais applicatifs, l'éditeur israélien Voltaire (http://www.voltaire.com/) propose nVigor, un relais SQLnet de sécurité, permettant sur la base de l'utilisateur authentifié auprès de la base de données d'autoriser où d'interdire des commandes SQLnet ou des bases de données. Celui-ci est plus puissant que le relais SQLnet de Solsoft NSM, annoncé en Open-Source par Solsoft (http://www.solsoft.org/).

Dans la catégorie des Boîtiers, Global Technology Associates (GTA) (http://www.gnatbox.com/) propose la GNATbox, un firewall/VPN IPsec déjà connu sur PC, et désormais décliné sous forme de boîtier, avec un filtrage supportant 10 fois 100 Mb. Aspect original, un composant de filtrage en matériel qui peut se brancher sur le bus IDE de n'importe quel PC, le transformant en filtre IP performant sans rien avoir à installer, tout étant dans la mémoire du composant qui remplace le disque dur.

Broadpac propose un boîtier VPN IPsec d'entrée de gamme, conçu pour une large diffusion pour les fournisseurs de services.

TeraSpawn propose des gardes-barrières et des boîtiers VPNs IPsec d'entrée de gamme.

Captus (http://www.captusnetworks.com/) propose le boîtier CaptIO, basé sur Linux faisant routeur, commutateur, firewall, et même détection d'intrusion, avec de la redondance intégrée dans le boîtier. Il est difficile de voir quelle est la réalité sans pouvoir tester le boîtier.

RapidStream propose un boîtier firewall/VPN Ipsec avec des composants spécifiques et du filtrage à 200 Mb/s. Le boîtier et son système de configuration sont très complets, et propose comme NetScreen (http://www.netscreen.com/) un système visant à supporter les attaques en dénis de services répartis. RapidStream n'est pas encore implanté en Europe.

RedCreek avait annoncé un produit de gestion des tunnels en Septembre 99 à IPsec 99, celui-ci est repoussé à la fin de l'année 2000 et n'était toujours pas en démonstration, rien de nouveau où de majeur chez les autres acteurs nombreux du secteur comme Nokia.

Dans un secteur nouveau : la vente de logiciels en OEM, Effnet (http://www.effnet.com) propose une pile IP avec du filtrage en OEM. Le développement est issu de NetBSD et propose un filtrage logiciel avec état de tous les paquets, contrairement aux commutateurs qui ne filtrent que le premier paquet de chaque session. Ce logiciel de filtrage annonce par ailleurs plusieurs optimisations originales qui mériteraient d'être testées.

Dans les composants, AEP propose des puces cryptographiques supportant IPsec et SSL, et des cartes pour serveurs Sun. NetOctave propose des composants électroniques intégrant IPsec/IKE ou SSL, permettant de construire des boitiers ou des serveurs, annonçant 3,3 millions de paquets par seconde, ou 7600 signatures RSA de 1024 bits par seconde.

Le secteur des services en sécurité affiche une forte croissance.

Searchsecurity.com (http://www.searchsecurity.com/) Searchsecurity.com propose un portail pour la sécurité informatique, ainsi qu'une revue de presse.

Logikeep : cette société, qui bénéficiait d'un grand stand et de présentations en papier glacé, semble pourtant n'avoir pour seule activité qu'un service de réponse aux incidents de sécurité (CERT) avec une veille en vulnérabilités.

Dans l'infogérance de services en sécurité, plusieurs opérateurs proposant des services en sécurité étaient présent. Cependant, un nouveau se détache :
Openreach (http://www.openreach.com) propose un service d'infogérance de VPNs IPsec TrueSpan.

Leur service présente en effet des caractéristiques rares :

• Les VPNs IPsec sont réalisés par un PC en coupure de réseau, Openreach fournit un CD-ROM transformant un PC en boîtier de VPN à base de Linux Red Hat.
  Une version permettant de faire le tunnel par le PC de l'utilisateur sous Windows, est prévue, et Openreach fournira une disquette pour Windows.
• Dans les 2 cas, cela permet d'établir les VPN IPsec directement avec le partenaire, sans passer par le NOC central.
• Le NOC central d'Openreach fonctionne 24h/24h, et maintient des tables d'état sur les tunnels en cours.
• Le service est annoncé comme fonctionnant au travers de toute forme d'adressage dynamique, et au travers de toutes les traductions d'adresses.
• Par défaut le tunnel est établi en permanence, mais il peut fonctionner sur un accès dial-up. Le client peut avoir un accès ADSL, ISDN ou Modem cable.
• Chaque endpoint est identifié par une adresse IP virtuelle, dans une adresse privé d'Openreach.
• L'utilisateur définit les tunnels qu'il souhaite dans une interface Web simple d'emploi.
• Chaque tunnel est identifié par un nom de tunnel donné par l'utilisateur dans le système de gestion.
• Si un tunnel IPsec tombe, le logiciel IPsec client d'Openreach va contacter le NOC d'Openreach pour pouvoir ré-établir le tunnel IPsec demandé.
• Les tunnels IPsec utilisent 3-DES 168 bits et IKE pour la gestion des clés. Le logiciel fourni par Openreach fait aussi Firewall avec IP-chains. Il n'est cependant pas possible de définir un tunnel pour un protocole dans l'interface, il faut le demander spécialement à OpenReach.
• Le service est indépendant du fournisseur d'accès Internet.
• L'utilisateur bénéficie d'une interface web de gestion de son service, avec des rapports d'utilisation, statistiques, etc. L'accès est en SSL.

La visite d'un grand salon américain généraliste apporte une vision différente des salons spécialisés sur la sécurité.