Contrôle des applications

Transcription

1 NOTES SUR LES APPLICATIONS Contrôle des applications High Performance Wireless Networks

2 Contrôle des applications Retour en arrière Au cours des cinq dernières années, le paysage informatique a tellement évolué que les administrateurs réseau se battent aujourd'hui pour s'assurer que leurs infrastructures réseau peuvent suivre le rythme. Parmi les tendances et évolutions du secteur IT, on retrouve : l'adoption massive des smartphones, tablettes et autres appareils mobiles appartenant aux employés sur les lieux de travail, qui accentuent la pression sur les réseaux Wi-Fi ; la montée en puissance des applications basées sur le Cloud ou le Web, partageant des informations personnelles et professionnelles entre le Cloud et les entreprises ; l'utilisation croissante des flux multimédias et des applications VoIP pour des tâches essentielles au fonctionnement de l'entreprise, notamment les vidéoconférences et les appels téléphoniques ; l'explosion de l'utilisation des réseaux sociaux comme moyen de faire le lien entre particuliers et entreprises, mais aussi de jouer ; l'adoption généralisée d'applications qui utilisent des ports dynamiques ou qui passent d'un port à l'autre, ce qui complique leur gestion. Pour les administrateurs réseau, ces tendances impliquent deux grands défis : 1. La qualité de l'expérience : il est essentiel de préserver de la bande passante sur le réseau pour garantir que les applications critiques, telles que les applications de vidéoconférence (WebEx, GotoMeeting, etc.) et de téléphonie (téléphones VoIP), tiennent leurs promesses de renforcer la collaboration entre employés. D'un autre côté, il faut veiller à ce que les applications qui diffusent du contenu multimédia à des fins de divertissement (Netflix, YouTube, Youku, etc.) n'utilisent pas trop de bande passante et n'impactent pas sur les éléments essentiels aux activités de l'entreprise. 2. La sécurité : les applications de collaboration et de stockage de fichiers Web, telles que Dropbox, Box et bien d'autres, facilitent les liens entre les employés et le partage des idées avec des interlocuteurs du monde entier, même si les entreprises n'utilisent généralement qu'un seul de ces services sur tous leurs sites. Si les ressources internes de l'entreprise sont vulnérables aux risques en matière de sécurité, comment un administrateur réseau peut-il garantir que tous ces services ne sont pas utilisés pour échanger des données personnelles avec l'entreprise, échanges qui ne sont pas forcément sécurisés? Les méthodes de partage de fichiers de type poste à poste (par exemple, BitTorrent) représentent également un risque pour la sécurité via la présence possible de fichiers infectés, mais aussi pour des questions de responsabilité. Les entreprises se demandent souvent si elles doivent faciliter le partage potentiellement illégal de fichiers contenant du matériel protégé par droits d'auteur, notamment les fichiers musicaux et vidéo. En effet, de telles activités peuvent entacher leur réputation et engager leur responsabilité. 3. Par ailleurs, les réseaux sociaux comme Facebook, Twitter, Weibo, Instagram et d'autres facilitent les connexions sociales, mais il convient de s'assurer que ces services sont utilisés à des fins productives. Par exemple, ils peuvent être utilisés pour établir un lien avec des clients ou des groupes d'employés, mais aussi comme une plateforme pour jouer à des jeux comme ceux proposés par Zynga et autres. Description La possibilité de garder de la visibilité sur les applications exécutées sur le réseau et de les contrôler offre aux administrateurs réseau les outils leur permettant de gérer la qualité de l'expérience des utilisateurs et de lutter contre les risques en matière de sécurité inhérents à l'informatique moderne. Il est toutefois utile de se demander comment un équipement réseau peut classer et contrôler le trafic d'applications. Jusqu'ici, les tentatives de classification d'applications ont été réalisées sur les couches inférieures de la pile réseau, en se basant sur l'identification des paquets et l'analyse de cinq variables : adresse IP source, adresse IP de destination, port source, port de destination et protocole. Mais cette approche date de la fin des années 1980, au moment de la création des pare-feu, les premiers éléments à utiliser cette technique à cinq variables. Application Présentation Session Transport Réseau Données Physique Actions liées aux applications Actions liées au transport NOTES SUR LES APPLICATIONS // 2

3 Aujourd'hui, le trafic réseau a tellement évolué qu'il est presque impossible d'obtenir des résultats fiables avec cette technique. Des critères tels que la facilité de développement, la fiabilité et les performances ont entraîné la migration de nombreuses applications réseau vers des ports et protocoles répandus, notamment HTTP (sur le port 80) et HTTPS (sur le port 443). Par exemple, le trafic de Facebook et de YouTube transitent par le port 80 (HTTP). La technique de classification à cinq variables ne peut donc pas faire de différence entre ces deux applications. Pour résoudre ces problèmes de sécurité et de gestion du réseau, il est essentiel de bénéficier d'une visibilité au niveau des applications afin de déterminer de quelle application il s'agit et qui l'utilise. Puisqu'il n'est plus possible de classer le trafic d'applications simplement sur la base d'un numéro de port TCP ou UDP, il est nécessaire d'analyser le paquet au niveau des couches «application», «présentation» et «session» du modèle de données OSI. Les classifications baptisées DPI (Deep Packet Inspection) et L7 (Layer 7) utilisent ces trois couches supérieures du modèle OSI, ce que l'on appelle également la couche «application». Les attributs spécifiques à certaines applications peuvent être extraits du flux de données grâce à la classification d'applications L7 DPI. Par exemple, un flux de données VoIP inclura des informations sur l'appelant et sur le codec utilisé. Un flux de données d' comprend divers attributs tels que l'adresse d'expédition et de destination ainsi que les serveurs et protocoles de messagerie (IMAP, POP3, etc.). La plateforme Xirrus de contrôle des applications utilise des techniques L7 DPI spécifiques. Voici quelques exemples : Recherche très précise de correspondance de modèles Analyse avancée du protocole Perception sémantique et conversationnelle Analyse des comportements Enregistrement et association de flux Ceci permet de reconnaître plus de 900 applications individuelles et des milliers de sous-applications qui utilisent le même noyau. Les applications sont réparties en 15 souscatégories différentes : collaboration, jeux, accès à distance, VPN, base de données, messagerie, réseau, contrôle, social, Web, transfert de fichiers, messageries instantanées, proxy, streaming et Xirrus. De plus, le trafic SSL est rigoureusement classifié par la plateforme Xirrus de contrôle des applications sous forme de liaisons TLS/SSL. Les échanges de certificats sont validés en priorité pour vérifier que le trafic ne se fait pas passer pour du SSL : une caractéristique fréquente des serveurs proxy destinés à conserver l'anonymat et de certaines applications telles que Skype. Ce trafic est alors analysé pour déterminer le service ou le site sous-jacent, ce qui permet de détecter des applications en réseau populaires et sécurisées comme Salesforce, Gmail, LinkedIn, etc. Principes de fonctionnement Habituellement, les dispositifs de sécurité des passerelles, situés en bordure d'internet et sur d'autres points de démarcation de l'infrastructure réseau, sont utilisés pour classer et contrôler le trafic d'applications. Cette approche pose plusieurs problèmes distincts : une consommation excessive de la bande passante et des ressources réseau internes de la part d'applications exécutées en bordure de réseau par des hôtes ; ceci est dû au fait que la classification et le contrôle d'applications sont uniquement effectués sur le point de démarcation du réseau ; la propagation d'hôte en hôte sur le même réseau/lan virtuel des risques potentiels en termes de sécurité, toujours en raison de la classification et du contrôle d'applications effectué sur le point de démarcation du réseau ; la nécessité d'acquérir du matériel hautes performances coûteux pour suivre les débits élevés de données au niveau du point de démarcation, là où se cumule le trafic réseau de nombreux hôtes. En conséquence, les entreprises prennent conscience qu'il est préférable de faire appliquer des stratégies liées au trafic et à la sécurité dès la bordure du réseau, qui constitue le point d'entrée du trafic des hôtes. Après une classification appropriée du trafic réseau, la meilleure méthode pour contrôler le trafic d'applications inclut les points suivants : des techniques de régulation des flux ; la différentiation au niveau de la qualité de service ; des autorisations/refus clairs et immédiats. Avec le système d'exploitation de plateformes Xirrus version 6.3, un administrateur réseau peut utiliser la plateforme Xirrus de contrôle des applications pour assurer une meilleure visibilité des applications et renforcer leur contrôle au niveau de la couche d'accès au réseau LAN sans fil. Les administrateurs réseau peuvent remplir leur mission de façon économique et totalement évolutive en utilisant tout le potentiel de l'architecture distribuée de Xirrus, où chaque plateforme intègre puissance de traitement et intelligence. NOTES SUR LES APPLICATIONS // 3

4 Configuration Le contrôle des applications est activé par défaut. Pour l'activer ou le désactiver, accédez à l'interface de gestion Web de la plateforme, puis sélectionnez Configuration > Filters (Filtres) > Filter lists (Listes des filtres). Au niveau de l'option Application Control (Contrôle des applications), indiquée ci-dessous par une flèche, choisissez Enabled (Activé) ou Disabled (Désactivé). Une fois cette option activée, le type de trafic d'applications se déroulant sur le réseau est immédiatement visible. Pour afficher les statistiques de contrôle des applications, sur l'interface de gestion Web de la plateforme, sélectionnez Application Control (Contrôle des applications). L'écran ci-dessous s'affiche, montrant des camemberts qui illustrent le trafic d'applications sur le réseau ainsi que les catégories d'applications pour les stations connectées à la plateforme, et le trafic de la plateforme. Le codage par couleurs reflète l'évaluation des risques attribués aux applications et catégories. Dans la capture d'écran ci-dessus, les vues Station Traffic (Trafic sur la station) sont triées selon la colonne Risk (Risque), où 5 représente le risque maximum au niveau de la sécurité et 1, le risque minimum. L'index de productivité indique si l'application est liée aux activités professionnelles (par exemple, application de base de données) ou personnelles (par exemple, Facebook). Pour afficher les informations d'applications d'une station donnée, sélectionnez la station souhaitée dans la liste déroulante, comme indiqué ci-dessous. NOTES SUR LES APPLICATIONS // 4

5 Une fois l'option de contrôle des applications activée, il est possible de sélectionner des applications et des catégories d'applications lorsque vous créez des filtres. Ce choix s'ajoute aux autres critères de filtrage. L'écran de configuration des filtres est illustré ci-dessous. NOTES SUR LES APPLICATIONS // 5

6 Exemples d'utilisation L'administrateur réseau peut exploiter le contrôle des applications de nombreuses façons différentes. Dans de nombreuses entreprises, il est utile de comprendre comment le trafic réseau se répartit entre les catégories afin de déterminer les priorités en matière d'investissement et de définir les stratégies d'utilisation du réseau. Exemple 1 : réduire le niveau de priorité du trafic non critique qui ne présente pas de risques Certaines entreprises veulent s'assurer que, sur le réseau, la priorité est donnée aux utilisations professionnelles. Elles peuvent donc utiliser l'outil de contrôle des applications pour déterminer les catégories d'applications qui se verront allouer la plus grande quantité de bande passante. Dans le scénario ci-dessous, il apparait clairement que le trafic YouTube est excessif sur cette plateforme. Ceci peut avoir un impact conséquent sur les performances des autres applications utilisées dans l'entreprise. Dans ce cas de figure, il peut être utile de modifier la qualité de service pour le site YouTube et lui attribuer une priorité moindre par rapport à d'autres applications, telles que l'accès aux bases de données. La capture d'écran ci-dessous indique que la qualité de service pour le trafic YouTube est définie en priorité 1. Le trafic YouTube est donc autorisé, mais avec une priorité inférieure à tous les autres types de trafic. NOTES SUR LES APPLICATIONS // 6

7 Exemple 2 : donner la priorité au trafic essentiel à l'entreprise Certaines entreprises peuvent avoir la nécessité de donner la priorité aux applications essentielles à leur fonctionnement. Les applications de vidéoconférence requièrent beaucoup de bande passante, car elles incluent des fonctions audio, vidéo, et de partage d'applications et d'écran, le tout en temps réel. Dans le scénario ci-dessous, WebEx représente près de 20 % de trafic réseau total de l'entreprise : cette application étant le plus souvent utilisée pour des conférences professionnelles et pour réaliser des ventes, il est logiquement conseillé de garantir une expérience positive pour l'utilisateur. Pour définir la stratégie de qualité de service pour WebEx, il faut créer un filtre WebEx, puis définir la stratégie de façon appropriée, comme illustré ci-dessous : Dans la liste des filtres, vous pouvez remarquer que, afin d'assurer un service optimal pour WebEx, des applications de partage de fichiers poste à poste comme BitTorrent, gourmandes en bande passante, ont été bloquées. De plus, la qualité de service du trafic YouTube, qui consomme beaucoup de bande passante et qui peut être utilisé à des fins professionnelles comme personnelles, est définie sur 1, ce qui indique que cette application n'est pas essentielle à l'entreprise. La qualité de service du trafic WebEx est, elle, définie sur 2, ce qui souligne son importance pour l'entreprise. NOTES SUR LES APPLICATIONS // 7

8 Exemple 3 : bloquer le trafic présentant des risques Bien que toutes les entreprises soient différentes, ce sont souvent les préoccupations liées à la productivité et à la sécurité qui engendrent le besoin d'utiliser le contrôle des applications. Par exemple, les jeux sur Internet peuvent être source de problèmes importants à la fois pour la productivité des employés et pour l'intégrité de l'environnement informatique. En effet, ces jeux requièrent souvent l'installation de logiciels non approuvés par l'entreprise et peuvent renfermer des logiciels malveillants ou espions. Les entreprises qui font particulièrement attention à ces logiciels espions ou malveillants sont également souvent sensibilisées à l'utilisation de BitTorrent, car le partage de fichiers et de logiciels en poste à poste peut souvent être source d'infection. Dans l'exemple ci-dessous, on peut voir que la plateforme de jeux y8 est très utilisée. Il est donc conseillé de bloquer les jeux sur Internet ainsi que BitTorrent. Pour ce faire, il faut ajouter les filtres adéquats à la liste des filtres à appliquer au SSID. Dans l'exemple ci-dessous, le SSID utilisé se nomme PM-Lab et le filtre, App-Filters : NOTES SUR LES APPLICATIONS // 8

9 Afin d'ajouter ou de modifier des filtres dans la liste, il faut sélectionner Filter management (Gestion des filtres), puis la liste de filtres sur laquelle vous souhaitez travailler. Un nouveau filtre est alors créé et une application (ou une catégorie d'applications) est sélectionnée. Dans l'exemple ci-dessous, l'application sélectionnée est BitTorrent. Voici l'entrée de filtre correspondant : Dans cet exemple, la journalisation a été activée. Le trafic suspendu peut donc être repéré dans le fichier journal de la plateforme. La liste complète des filtres est alors la suivante : où BitTorrent et la catégorie des applications de jeux sont explicitement bloqués (définis sur «deny», refuser). Le trafic suspendu est consigné dans le journal. La catégorie des applications de collaboration et de base de données est définie comme prioritaire, avec une qualité de service de niveau 2. Les applications de streaming multimédia sont paramétrées sur 1 et sont donc moins prioritaires. Les réseaux sociaux et les applications de transfert de fichiers ont une qualité de service de niveau 0, la priorité la plus faible. NOTES SUR LES APPLICATIONS // 9

10 Astuces et recommandations Avant d'instaurer des politiques relatives aux applications, il est important d'éduquer les utilisateurs et de les informer clairement sur la stratégie d'utilisation du réseau au sein de l'entreprise. De plus, il est également utile de bien connaître le fonctionnement du travail dans les différents services, afin de ne pas considérer comme utilisation personnelle ce qui est en réalité une activité professionnelle, et inversement. Par exemple, il ne faut pas confondre utilisation professionnelle et personnelle des réseaux sociaux. Les sites tels que YouTube, Facebook, Instagram et Pinterest peuvent très bien être utilisés à la fois dans le cadre du travail et à titre personnel. Il est recommandé d'utiliser, dans un premier temps, la fonction de contrôle des applications pour vérifier quelles applications sont utilisées, et par qui. Avec ces informations, l'administrateur réseau peut vérifier si une utilisation est personnelle ou professionnelle, puis, conjointement avec la direction de l'entreprise, définir les stratégies à appliquer aux applications concernées. Il faut également accorder une attention toute particulière à l'accès des visiteurs et aux stratégies qui s'appliquent à eux. Il peut aussi s'avérer nécessaire de renforcer le niveau de sécurité pour les visiteurs utilisant un accès sans fil. Par exemple, si l'accès visiteur actuel est ouvert ou simplement basé sur une clé pré-partagée, les employés peuvent contourner les stratégies en place en connectant leurs appareils personnels au réseau des visiteurs. Il peut être délicat de bloquer l'accès des visiteurs à certaines applications (selon la stratégie de l'entreprise), d'autant plus qu'ils peuvent avoir un besoin légitime d'y accéder. À propos de Xirrus Xirrus est leader sur le marché des réseaux sans fil hautes performances. La plateforme Wi-Fi professionnelle de Xirrus apporte la connectivité sans fil à toutes les entreprises, des PME aux plus grands groupes. Basée à Thousand Oaks, en Californie, Xirrus est une entreprise privée qui conçoit et fabrique sa gamme de produits sans fil aux États-Unis. High Performance Wireless Networks 2013 Xirrus, Inc. Tous droits réservés. Le logo Xirrus est une marque déposée de Xirrus, Inc. Toutes les autres marques commerciales sont la propriété de leurs détenteurs respectifs. Le contenu de cette publication peut être modifié sans préavis. Appel gratuit depuis les États-Unis : Ventes : Télécopie : Corporate Center Drive Thousand Oaks, CA 91320, États-Unis Pour en savoir plus, connectez-vous sur xirrus.com/fr ou envoyez-nous un à l'adresse sales-emea@xirrus.com NOTES SUR LES APPLICATIONS // 10