Escolar Documentos
Profissional Documentos
Cultura Documentos
Livre Blanc
Pare-feux
feux de nouvelle gnration.
gnration
Retrouver lefficacit par la visibilit
et le contrle des applications.
applications
avec
et
Les passerelles de scurit rseau sont assiges. De nouvelles menaces sont lances plus
rapidement que jamais et ciblent de plus en plus des vulnrabilits la couche applicative.
Dans le mme temps les applications centres sur lutilisateur et les applications
dentreprises profitent des ports et services communment autoriss pour assurer leur
passage travers les primtres de scurit et pour faciliter leur fonctionnement dans la plus
large gamme possible de scenarii rseaux. Il en rsulte aujourdhui une rosion continue de
lefficacit des firewalls et, par consquent, la mise en lumire de dfauts fondamentaux
dans leur conception initiale, tout comme la ncessit dapporter des modifications
importantes dans le fondement mme des stratgies de scurit.
Ce document va dabord explorer la combinaison des facteurs connus et mergents rvlant les dficiences de
conception des firewalls actuels. Ces problmes et dfauts seront par la suite utiliss pour tablir les critres qui
dfinissent la solution idale : un firewall de nouvelle gnration qui incorpore en son cur linspection de
lapplication.
et
Cette approche base sur la vitesse est largement facilites par la prolifration de sites web de dveloppement
de menaces, de kit de dveloppement et autres frameworks . Pire, un effet multiplicateur de ces ressources
et
est la capacit de facilement transformer une menace connue en une menace inconnue, au moins du point de
vue des outils bass signatures. Cette transformation peut tre accomplie soit en faisant une petite modification
du code, soit en ajoutant des mcanismes complets de nouvelle propagation ou dentre. On se rfre alors
une attaque dite combine.
A chaque occasion, la sophistication et la vitesse croissantes des menaces soulignent le besoin de ripostes
proactives sur un modle positif, avec un contrle et une visibilit tendue aux couches suprieures du rseau.
Contrle
Positif
Contrle
Ngatif
Firewall
Conventionnel
stateful
IPS/DPI
Antivirus
Antispyware
Technologies
de scurit
quelles ne sont pas identifies et tant que les outils ne sont pas mis jour par des moyens spcifiques pour les
dtecter (e.g. une signature).
A linverse, les ripostes sur le modle positif fonctionnent sur la base dautorisation de communications reconnues
comme appropries ou ncessaires dans une situation donne, excluant ainsi tout le reste. Lavantage est que de
telles communications peuvent tre dfinies lavance, permettant ainsi aux outils associs comme les firewalls,
de bloquer automatiquement une large gamme de menaces connues et inconnues.
Leur forte popularit impose la prsence de ces applications sur le poste de travail, mme si les rgles
gnrales en dcident autrement. Cette prgnance est rendue possible par la capacit de ces applications
ajuster dynamiquement leurs moyens de communications. Pour tre plus prcis : nombre de ces applications
chappent aux mcanismes traditionnels de scurit en changeant alatoirement les ports et protocoles de
et
communication, ou en se masquant derrire des services communment utiliss (ex. : http, https). On parle
alors, respectivement, de techniques dvasion et de tunneling .
Elles attirent de plus en plus lattention des hackers, la fois en tant que moyen de transport des malwares
mais aussi en tant que cible en elles-mmes. Ainsi, le classement SANS TOP 20 des attaques de scurit
e
Dans de nombreux cas, elles servent maintenant des objectifs mtiers lgitimes, pas uniquement rcratifs.
Mais si les outils rseau et scurit ne sont pas capables de faire une distinction suffisamment granulaire, on en
vient au choix du tout ou rien : soit les deux types dutilisation sont supportes, soit aucune.
Les applications mtiers prsentent, elles, un autre problme inhrent leur nature. Pour des questions de
productivit et dorganisation, comme un dploiement et un dveloppement plus simple, dconomies potentielles,
ou une meilleure accessibilit, de nombreuses applications client-serveur sont migres vers des technologies
web. Certaines de ces applications sont mme remplaces maintenant par des services web hbergs (SaaS
Software as a Service), comme Salesforce.com ou la suite dapplications bureautiques de Google. Le problme
est que ces applications essentielles lentreprise ne sont plus diffrentiables de la plthore dapplications
beaucoup moins importantes qui utilisent HTTP pour les communications rseaux. Elles ne peuvent alors plus
tre contrles par des rgles distinctes, ni tre traites diffrents niveaux de service.
Ces nouveaux aspects du paysage applicatif renforcent par consquent le besoin pour des solutions de scurit
ayant une connaissance et un contrle approfondis de chaque application. Sans de telles capacits, une quantit
significative de trafic non dsir et potentiellement vecteur de menaces envahit les rseaux dentreprise.
et
Faible visibilit
La plupart des firewalls sont hypermtropes. Ils peuvent discerner les formes gnrales des choses, mais les
dtails les plus fins de ce qui se passe vraiment leur chappent. En dautres termes, la plupart des firewalls
peuvent distinguer des services la couche applicative sur la base de numros de port tablis (ex. port TCP 80
= HTTP), mais ils sont incapables dobserver et, a fortiori, de contrler les applications individuelles qui utilisent
ces services.
En effet, de nombreux firewalls filtrent en inspectant ltat du paquet (on parle dinspection stateful ). Ils
prsentent 2 dfauts : (1) ils estiment quun service applicatif donn est en cours dutilisation en se basant sur le
numro de port TCP/UDP apparaissant dans len-tte du paquet, et (2) ils ne regardent que le premier paquet
dune session pour dterminer le type de trafic actuellement en traitement. En gnral, ces tactiques sont
utilises pour amliorer les performances. Elles sont cependant trompeuses. La relation entre le numro de port
et lapplication nest quune convention ; ladhsion cette convention nest pas ncessaire pour tablir les
communications de bout en bout. De plus, le premier paquet contient en gnral une quantit limite
dinformations. Seul lexamen des paquets suivants permettrait dtablir avec fiabilit lapplication, les fonctions
spcifiques ou les commandes en cours dutilisation. En pratique, les firewalls qui prsentent ces dfauts ne
peuvent pas :
Prendre correctement en compte les applications qui utilisent des ports non-standard, comme les serveurs web
fonctionnant sur un port autre que ceux associs HTTP (i.e., 80 et 443), ou quand par exemple Yahoo!
Messenger fonctionne sur le port TCP 80 au lieu du port TCP 5050.
Prendre correctement en compte le tunneling comme quand le P2P est vu comme un partage de fichier
autoris, ou quand un client de messagerie instantane comme Meebo fonctionne dans HTTP.
et
et
Tout ce qui doit tre inspect nest pas ncessairement inspect. Le trafic rseau est prsent au moteur DPI
seulement sil correspond une rgle du firewall et si cette rgle un attribut associ qui active linspection des
menaces. A cet gard, les DPI peuvent donner un faux sentiment de scurit, dans la mesure o des applications
dangereuses peuvent ne pas tre vrifies lorsquelles passent en tunnel de services gnralement
considrs comme srs.
Tout autre moteur de scurit faisant partie du systme global (e.g. antivirus, anti-spyware) est soumis des
situations similaires. Encore une fois, le moteur de classification de base reste le firewall. Ainsi, mme si le
moteur DPI a une visibilit intressante sur les applications, linformation qui dclenche une inspection plus
approfondie des donnes nest pas forcment fiable.
La gestion des rgles peut vite devenir complexe. Idalement, les outils de scurit ont une table de rgles
pour contrler les flux et une autre qui spcifie ce qui est fait quand une menace est dtecte. Dans ce cas,
fournir un contrle plus granulaire impliquerait dimbriquer les rgles de contrle daccs avec la partie de gestion
des menaces du produit qui nest elle-mme quune partie dune rgle encore plus globale de contrle daccs.
Les ressources systmes sont souvent inefficacement utilises. Ce problme apparait dabord quand la solution
firewall incorpore des moteurs multiples de dtection de menaces qui sappuient fondamentalement sur des
techniques dinspection similaires. (e.g. antivirus, anti-spyware, et DPI). Dans de tels cas, la quantit de
traitements redondants peut tre considrable.
Et bien sr, les traitements redondants ne font quexacerber le troisime facteur qui impacte lefficacit des
firewalls actuels : lincapacit obtenir les performances adquates.
Performances insuffisantes
Quelle que soit la technique utilise, fournir une connaissance granulaire des applications est un processus trs
intense pour la CPU et la mmoire. Ainsi, moins quun firewall soit conu la base avec linspection de la
couche applicative comme pr-requis, il rencontrera des problmes de performance. Par consquent, des choixou plutt des compromis devront tre faits. Pour assurer les niveaux de performances adquats, les fonctions
dinspection la couche applicative devront tre implmentes slectivement, et ce sera le cas de toute autre
fonction avance de filtrage de ce type. Ainsi, limpact sur les performances est une des raisons premires pour
lesquelles les fonctions des solutions DPI simplement rajoutes au-dessus du firewall ne peuvent pas tre
actives pour toutes les rgles.
Clairement, avoir juste lobjectif dinspecter la couche applicative ne suffit pas. Pour rpondre ce problme,
certains fabricants essaieront davoir un matriel identique mais beaucoup plus gros et rapide. Cela finira
probablement par fonctionner tant bien que mal, mais dune manire trs peu optimale et assurment onreuse.
En revanche, une architecture matrielle sur mesure, qui rpartit les ressources entre les tches prdfinies
assurera que les niveaux de performances seront atteints.
et
Le nouveau firewall
Le paragraphe prcdent a commenc mettre en lumire des proprits et fonctions qui
caractriseraient une solution pour venir bout des dfauts des firewalls actuellement
disponibles. Allons plus loin dans cette section. Globalement, pour tre efficace, un firewall
de nouvelle gnration doit inclure la gestion de lapplication au cur de sa conception, tout
en possdant la gamme complte de fonctions gnralement associes aux robustes
plateformes de scurit.
et
et
et
La flexibilit rseau permet dassurer la compatibilit avec nimporte quel environnement. Implmenter une
solution sans avoir reconcevoir ou reconfigurer dpend de sa capacit supporter une large gamme doption et
de fonctions rseaux comme 802.1Q, les VLANs bas ports, les ports trunk, le mode transparent et de
nombreuses interfaces haute capacit.
La fiabilit assure un fonctionnement continu et passe par des fonctions comme la redondance active-passive
et/ou active-active, la synchronisation des tats et des configurations, et des composants redondants (e.g, double
alimentation).
Lvolutivit dpend dabord de fonctions dadministration volues et de matriel hautes performances, mais
peut aussi tre facilite par le support de systmes virtuels o un seul firewall peut tre configur pour agir
comme plusieurs firewalls indpendants.
Enfin lergonomie ne se rsume pas la facilit dutilisation. Elle implique des fonctions comme ladministration
locale et centralise, une administration dlgue, des mises jour de signatures automatiques, une supervision
temps rel la fois pour le matriel et les vnements de scurit, ainsi quun reporting et un enregistrement de
logs robustes.
et
En rsum
Le firewall est la pierre angulaire de la stratgie de scurit du systme dinformation.
Cependant, lefficacit de ce soldat de la scurit diminue ostensiblement en mme temps
que les menaces continuent migrer vers les couches suprieures et que les applications de
tous types profitent des technologies web et des services habituellement autoriss par les
rgles de lentreprise. Contrecarrer ces tendances en rajoutant au firewall conventionnel des
couches de fonctionnalits comme linspection en profondeur des paquets nest pas
suffisant. Trop de trafic non voulu, dont une partie transporte potentiellement des menaces,
peut encore passer. Les socits ont plutt besoin dun systme firewall de prochaine
gnration des modles qui incorporent la connaissance de lapplication au cur de leur
design, qui possdent une protection intgre contre les menaces, et proposent une
architecture matrielle sur-mesure qui vite de choisir entre la performance et la scurit.
et
A propos de Miel
Depuis 1985, Miel dcouvre et distribue en France les nouvelles
technologies pour l'informatique des entreprises dans les domaines
des rseaux, des systmes, de la scurit et de l'informatique
industrielle. Ses ingnieurs s'appuient sur un rseau de partenaires
intgrateurs pour diffuser ces produits sur le march.
APPELEZ LE 01 60 19 34 52
et