Bien qu’elles soient complémentaires, la technologie Denelis et les solutions de Firewall ont une approche radicalement différente.

alternative-firewall

Approche « software » vs « hardware »

Un Firewall a une approche logicielle « full stack » de cloisonnement des réseaux, c’est à dire que si la règle de filtrage autorise un flux, c’est l’ensemble de la « stack » qui est transmise : couche réseau jusqu’à IP + couche applicative.

Une attaque réseau sur les couches basses peut potentiellement ne pas être détectée. La surface d’attaque est plus élevée.

Une plateforme Denelis supprime les couches réseaux sur un guichet via une rupture protocolaire et en reconstruit de nouvelles totalement indépendantes sur l’autre guichet. Le cloisonnement des deux guichets est assuré par le Core qui ne peut transmettre que la « payload », c’est à dire la couche applicative.

Aucune attaque réseau sur les couches basses ne peut traverser une plateforme Denelis : la surface d’attaque est réduite seulement à la couche applicative.

Résistance aux vulnérabilités

alternative-firewall

Un Firewall se compose :

  • D’une seule carte mère avec un ou plusieurs processeurs (CPU)
  • D’un système d’exploitation (OS) qui gère la configuration et le filtrage

En cas de vulnérabilités logicielles de l’OS, de failles Zero-Day, un attaquant peut potentiellement exploiter ces failles, et avoir accès à l’ensemble des interfaces réseaux gérées par le Firewall : le firewall ne résiste pas à sa propre compromission.

Une plateforme Denelis se compose :

  • De 3 cartes mères indépendantes, avec chacune un ou plusieurs CPU
  • D’un OS type Linux sur 2 cartes servant de guichets d’échanges, et séparée par la 3ème carte mère 100% électronique

En cas de vulnérabilités logicielles ou failles Zero-Day de l’OS du guichet côté « External », un attaquant peut potentiellement en prendre le contrôle mais n’aura pas accès :

  • Au Core qui est la carte électronique séparant les 2 guichets : le Core ne peut recevoir que de la DATA (couche applicative) et son comportement ne peut être modifié.
  • Au guichet du côté « Secure »

La compromission d’un guichet ne change pas la cible de sécurité : le Denelis résiste à sa propre compromission.