Guide d évaluation. Web Appliance WS1000. PureMessage for Windows/Exchange Product tour

Transcription

1 Guide d évaluation Web Appliance WS1000 PureMessage for Windows/Exchange Product tour

2

3 guide d'évaluation : Appliances web Sophos

4 bienvenue BIENVENUE Bienvenue dans le guide de la Sophos Web Appliance. Il propose une analyse des fonctionnalités principales de nos Appliances, soulignant leur efficacité et leur simplicité d'utilisation. Après avoir lu le guide, vous comprendrez mieux comment la Sophos WS1000 Appliance répond à vos besoins de sécurité et de performance que vous attendez pour une navigation sûre et productive sur le web. Partie intégrante d'une solution de contrôle et de sécurité récompensée de la société Sophos, ces appliances sont adaptées à des utilisations spécialisées pour l'entreprise, le système éducatif et l'administration. Elles bénéficient de 20 ans d'expérience et d'un savoir-faire antivirus et antispam proposé par nos SophosLabs, réseau international de centres d'analyse des menaces. La détection et la protection anticipée contre les menaces de sécurité toujours plus complexes et plus rapides à se propager est l'une des raisons du succès de la société Sophos, félicitée par l'industrie pour l'excellent niveau de satisfaction de ses clients et sa protection optimale. Comme tous nos produits, la WS1000 bénéficie d une assistance complète 24 heures sur 24, et tous les jours de l année, assistance assurée par notre réseau mondial d ingénieurs, sans coût supplémentaire. La Sophos WS1000 est exactement ce que les sociétés recherchent, elle rejette pratiquement tous les codes malveillants sans gêner ou ralentir l'accès au Web Barry Nance Laboratoires d'essai réseau Pour plus d'information sur les tarifs et la disponibilité de ces appliances dans votre région, veuillez contacter votre représentant Sophos local. Pour connaître le représentant de votre région, consultez la page : Si vous souhaitez demander une évaluation, remplissez notre formulaire en ligne à l'adresse suivante :

5 guide d'évaluation : Appliances web Sophos

6 table des matières Table des matières 1 introduction 6 Principales fonctions d'administration 7 Fonctions et avantages principaux 8 Composants logiciels 8 Composants matériels 9 2 fonctionnalités du produit 10 Applications de sécurité 10 Politiques d'utilisation acceptable 12 Filtrage URL 16 Autres options de filtrage 17 Exploration avec un seul moteur 18 Blocage du trafic privé "call home" 19 3 paramétrage 20 Installation 20 Configuration 21 Expérience de l'utilisateur 22 4 administration des appliances 25 Console d'administration et tableau de bord 25 Surveillance, alerte et notification 26 Mises à jour 27 Sauvegarde de configuration et rétablissement 28 Gestion des retours des utilisateurs 29 Capacités supplémentaires de recherche 30 Intégration Active Directory 31 5 édition de rapports 32 Rapports du tableau de bord 32 Page Reports (Rapports) 33 Rapports en utilisant les données de journal 34 6 support technique 36 L'appliance administrée 36 Garantie 38 Support technique standard de Sophos 38 Annexes I Paramètres de stratégie par défaut 39 II. Modes Transparent et Bridge proxy 41 II. Niveaux de service de l'appliance administrée 42

7 guide d'évaluation : Appliances web Sophos 1 : introduction Présentation L'appliance Web WS1000 est une solution sécurisée pour passerelles Web assurant une protection intégrée contre les malwares et le contenu Web indésirable. Elle s'articule autour d'une plate-forme matérielle robuste qui assure une sécurité haute capacité, haute disponibilité avec une simplicité et un contrôle inégalé. Toujours en avance par rapport à l'évolution pourtant rapide des menaces, la WS1000 permet de débarrasser votre réseau des menaces Web sans impact sur ses performances et sur la productivité des employés. Protection efficace de passerelle web La Sophos Web Appliance assure la protection maximum de votre passerelle Web avec une administration minimum. Principales caractéristiques du produit Protection interactive d'avant garde La Sophos Web Appliance sécurise et contrôle complètement le Web en analysant le trafic entrant et sortant du réseau de l'entreprise. Cette approche originale du filtrage, associée à la technologie d'analyse Genotype de Sophos assure une protection automatisée contre les attaques se développant rapidement et évoluant constamment sur le Web. Elle utilise le contrôle avant exécution pour déterminer les fonctionnalités du code et le comportement qu'il est susceptible d'adopter, tout cela sans permettre son exécution. Contrôle complet Pour contrôler le Web, Sophos utilise une base de données comportant 54 catégories et couvrant 3,9 milliards de pages en 200 langues, permettant ainsi aux sociétés d'utiliser Internet de manière productive et régulière. Grâce aux contrôles d'application et de type de données, les administrateurs peuvent gérer l'exploration intensive de la bande passante et interdire les applications indésirables et le contenu. Appliance administrée Grâce à l'appliance administrée de Sophos, les administrateurs n'ont plus à passer du temps pour la configuration et la maintenance, et des commandes graphiques intuitives simplifient la supervision. Le bon fonctionnement et la disponibilité du système sont assurés par un réseau de 50 contrôleurs vérifiant continuellement les équipements, le logiciel et le trafic, et transmettant automatiquement les mises à jour d'état au service d'exploitation du réseau Sophos. Console d'administration "opérations en trois clics" Complétant l'utilisation de ces technologies puissantes, une console d'administration intuitive de type Web simplifie les tâches administratives et offre une meilleure compréhension et un meilleur contrôle de l'infrastructure de messagerie. La console d'administration donne accès instantanément à des informations instantanées gérables pour que les administrateurs soient informés des décisions concernant le niveau de trafic, les performances du système et l'exploration.

8 1 : introduction Principales fonctions d'administration La Sophos Web Appliance offre des avantages sécurisant et simplifiant l'exploration productive du Web. Protéger un vecteur essentiel aujourd'hui Prévenir l'infection par des menaces se déplaçant et évoluant rapidement grâce à notre protection interactive prouvée. La technologie Genotype de Sophos assure 93 % de la détection globale de manière proactive, sans la nécessité d'une mise à jour. Contrôle de l'utilisation du Web Assurer la productivité en contrôlant l'accès et l'utilisation du Web par utilisateur, groupe, site Web et contenu. Mieux comprendre la sécurité Utiliser en temps réel les renseignements sur la sécurité et les performances pour créer rapidement des politiques efficaces. Administration simplifiée Diminuer les coûts et le risque par des "opérations en trois clics" pour l'administration, la télésurveillance et la télécorrection. Assurer des performances élevées Notre plate-forme spécialisée assure un filtrage très performant et une disponibilité maximale.

9 guide d'évaluation : Appliances web Sophos Fonctions et avantages principaux Fonction Indépendance vis-àvis de la plate-forme Visibilité inégalée sur les menaces Web Détection de tous les codes malveillants Protection interactive Genotype et Behavioral Genotype Détection des proxies anonymes et contrôle https Haute capacité Haute performance Respect de la réglementation et filtrage assurant la productivité Protection mondiale Appliance administrée Sophos Support complet Avantage Parfaite adaptation à toute infrastructure réseau Le réseau sécurité SophosLabs analyse des milliards de pages Web par jour, recherchant les codes malveillants sur plus d'emplacement que les systèmes concurrents d'autres fournisseurs. Bloque les spywares, les hameçons, les virus, les chevaux de Troie, les vers, les adwares et les autres codes malveillants, y compris le trafic privé "call-home" provenant de machines infectées. Bloque les variantes mutantes de code malveillant et les menaces inconnues avant qu'elles ne soient exécutées ou installées. Détecte et bloque automatiquement les proxies anonymes et filtre le trafic chiffré HTTPS. Traite facilement le trafic Web de 1000 utilisateurs simultanément sur une seule appliance. L'analyse à un seul moteur détecte et bloque les menaces plus rapidement et plus efficacement que les solutions à plusieurs moteurs. Bloque l'accès à un contenu agressif ou illégal, et assure le contrôle d'accès pour d'autres catégories variées. Protège les multinationales contre les menaces sur le Web sous forme de flux de messages en plusieurs langues Diminue les tâches administratives, automatise la sécurité et les mises à niveau du logiciel, et télécontrôle le bon fonctionnement du système pour assurer une protection fiable 24 heures sur 24. Support technique 24/7 pendant toute la durée de validité de la licence et possibilité de contacter Sophos à tout moment pour une assistance individuelle. Composants logiciels Le logiciel dans la WS1000 comprend les principaux composants suivants : Moteur moteur Sophos sophos analysant tout le spectre en protégeant contre les spyware, les virus et les applications indésirables. Filtre iltre URL url Console console d'administration et tableau de bord Système système d'alertes et de notifications Intégration intégration Active active Directory directory La WS1000 est élaborée sur un système d exploitation (OS) renforcé, optimisé pour la plate-forme matérielle et pour le logiciel Sophos incorporé. Linux est un système d exploitation très stable et fiable, et sa vitesse et ses performances sont excellentes pour les appliances sécurité réseau. Le noyau Linux a été

10 1 : introduction optimisé pour assurer la sécurité maximale et pour prévenir le piratage, en minimisant le nombre des ports maintenus ouverts. Composants matériels La WS1000 est calculée pour les réseaux petits à moyens, s'appuyant sur une plate-forme matérielle robuste pouvant traiter utilisateurs simultanément. L'appliance comporte les composants matériels suivants sur un serveur 1U dédié: Processeur processeur double cœur. c ur. Deux deux disques durs SATA sata GO, go, 7200 t/min 4 Go go de mémoire Alimentation alimentation W w 110/-240 V v AC ac Opérations en trois clics Reposant sur une exigence stricte de navigation minimale, chaque fonction de la console d'administration s'exécute en moins de trois clics et l'accès par lignes de commande n'est plus nécessaire.

11 guide d'évaluation : Appliances web Sophos 2 : FONCTIONNALITES DU PRODUIT Présentation L'Appliance WS1000 est une passerelle Web "plug-and-protect" (Connexion et protection) assurant une sécurité et un contrôle total. Elle s'adapte aisément à toutes les configurations de réseau. Dotée d'un système d'exploitation intégré, aucune connaissance d'unix, Linux, Solaris ou de tout autre langage de plateforme de serveur n'est nécessaire. La WS1000 protège contre tous les codes malveillants au niveau de la page (et pas seulement au niveau du domaine), et de plus contrôle les adwares, les flux de messages et les applications indésirables. Elle comprend aussi des politiques d'accès configurables en fonction des catégories de site. En contrôlant les pages sortantes et les données entrantes, la WS1000 permet aux administrateurs d'assurer la sécurité du réseau et de faire appliquer les politiques d'utilisation acceptable du Web facilement et efficacement avec une seule appliance. Cette section décrit comment la WS1000 fait appliquer la politique de sécurité sur le Web. Filtrage des spywares, malwares et autres fichiers indésirables» Filtrage de sécurité Filtre "call-home" des URL et des spywares Avec l'évolution des communications large bande et des applications Web, l'exploration du Web est reconnue comme un support essentiel de communication pour les sociétés de toute taille et nature, mais aussi comme un maillon faible pour la sécurité. Aujourd'hui la plupart des sociétés ne peuvent plus effectuer les opérations régulières sans donner aux utilisateurs l'accès au Web. Malheureusement cette liberté est bien connue de ceux qui écrivent les codes malveillants, car la plupart des sociétés n'ont pas encore mis en place des mesures de sécurité suffisantes sur le Web. Au cours des dernières années, la croissance explosive des attaques par spyware et phishing (hameçonnage) prouve la vulnérabilité de l'exploration incontrôlée sur le Web. La WS1000 est la première appliance de sécurité et la plus en avancée. Elle s'appuie sur plus de 20 ans d'expérience de Sophos en tant que fournisseur de 10

12 2: Fonctionnalité du produit - Détermination du risque d'une page web systèmes de sécurité, et elle sert surtout à prévenir l'infection par des codes malveillants comme les spyware, les chevaux de Troie, les vers et les hameçons (phishing). La protection est assurée en analysant tout le trafic HTTP/HTTPS entrant dans la société avant qu'il n'atteigne le navigateur de l'utilisateur. Si un code malveillant est rencontré, il est supprimé, le contenu propre restant étant transmis au navigateur. Un contenu malveillant peut apparaître sur pratiquement tous les sites Web, mais il n'est pas possible d'analyser le contenu de tous les sites, car ceci entraînerait des retards préjudiciables à l'utilisateur. Pour relever ce défi impliquant normalement un compromis entre sécurité et performance, la Sophos Web Appliance utilise une nouvelle technologie d'analyse en fonction du risque adaptant le degré d'analyse au risque relatif de la page Web. Détermination du risque d'une page Web Analyse en fonction du risque Le degré d'analyse des contenus entrants varie en fonction de l'évaluation du risque de la page web - plus le risque est grand, plus l'analyse sera poussée. L'analyse en fonction du risque s'appuie sur la capacité de Sophos à déterminer le niveau de risque pour des milliards de pages Web par jour. Le réseau sécurité SophosLabs scrute le Web pour détecter les sources de code malveillant, ajoutant en moyenne plus de nouvelles adresses URL par semaine. Lorsque les domaines et les pages Web sont visités, les niveaux de risque et les actions sont ainsi affectés. Niveau de Caractéristiques du site Action risque Elevé Hébergeant actuellement un contenu malveillant Bloquer Moyen Faible Histoire des mauvaises pratiques concernant la vie privée et/ou la sécurité et pouvant compromettre la sécurité du réseau. Pas d'histoire récente de contenu ou comportement malveillant, résultant d'exament périodique par SophosLabs Bloquer ou analyser Analyser Il est essentiel de pouvoir distinguer les sites à risque faible et à risque moyen pour que l'utilisateur ne soit pas gêné et que la sécurité ne soit pas compromise. Avec l'analyse en fonction du risque, la WS1000 analysera plus les sites à risque moyen que les sites à faible risque. Par exemple, les images sur les sites à risque moyen sont analysées, mais elles ne le sont pas sur les sites à faible risque, car les images contiennent rarement des codes malveillants. La WS1000 utilise deux autres catégories de risque : sites sécurisés et sites non classifiés. Les sites sécurisés sont des sites contrôlés par un administrateur, et dont on sait qu'ils sont sûrs et n'ont pas besoin d'être analysés. La liste des sites sécurisés, pouvant inclure des sites intranet, des portails fournisseur et des sites administratifs, peut être administrée localement. Les sites non classifiés sont ceux qui n'ont pas encore été analysés par SophosLabs. L'administrateur peut affecter ces sites à l'une des trois grandes catégories de risque - Elevé, Moyen, ou Faible, et prendre des mesures en conséquence. 11

13 guide d'évaluation : Appliances web Sophos Politiques d'utilisation acceptable Le contrôle ou la surveillance des employés utilisant le Web est un moyen efficace d'augmenter la productivité, de diminuer le risque concernant la responsabilité civile et d'éviter la perte de données confidentielles. Il faut naturellement trouver un équilibre entre les contrôles nécessaires et les besoins des utilisateurs, et la fonction Politique Groupe de WS1000 permet de créer aisément des politiques grâce auxquelles les sociétés peuvent exercer le contrôle nécessaire sans gêner l'utilisation légitime du Web. La Politique Groupe est un ensemble de politiques incluant la Politique par Défaut et plusieurs Autres Politiques en fonction des besoins de la société. Chaque politique comprend trois éléments. Une une liste des utilisateurs, ordinateurs et/ou autres groupes concernés par la politique Une une liste des catégories URL url et des règles de filtrage d'application D'autres d'autres options affectant la navigation de l'utilisateur. Pendant l'installation, l'administrateur choisit un ensemble de politiques de référence qui deviendra la Politique par Défaut pour cette appliance, pouvant être plus tard affichée et modifiée sur la page Politique par Défaut. La Politique par Défaut donne une règle pour chaque catégorie URL et type d'application. La plupart des sociétés auront des utilisateurs ou groupes devant avoir accès à des sites soumis à restriction et exigeant des contrôles plus stricts. Par exemple une école peut imposer des restrictions différentes pour les professeurs et le personnel de l'université, et pour les étudiants, et la WS1000 le permet en créant d'autres Politiques spécifiant d'autres règles pour des utilisateurs, ordinateurs ou groupes particuliers. Les Autres Politiques ne spécifieront généralement des règles que pour un sous-ensemble de catégories URL ou types d'application. La création des Autres Politiques est guidée par un assistant en trois étapes (voir Figure 1) permettant de spécifier les membres concernés par la politique, les règles concernant les contenus, et un nom memorisable pour la politique. On peut aussi créer des politiques avec une date prédéterminée d'expiration si elles sont temporaires, par exemple une politique donnant un accès Internet limité dans le temps à un contractant. 12 Figure 1 : Sélection de la politique de base pendant l'assistant installation

14 2: fonctionnalité du produit - Politiques d'utilisation acceptable Chaque accès ou téléchargement sur un site Web est évalué en fonction de chaque politique dans l'ordre de priorité. Si l'utilisateur ou adresse IP correspond à une politique et si le contenu correspond à une règle concernant la catégorie ou le type de fichier, la mesure appropriée sera prise. Si aucune règle de politique concordante n'existe, la règle de la Politique par Défaut est appliquée. On peut retirer des utilisateurs de la Politique par Défaut, et alors leurs demandes seront bloquées. L'exclusion de la Politique par Défaut peut être gérée à partir de la page Groupes par Défaut. Figure 2 : La page Heures Spéciales gère l'utilisation du web à certaines heures de la journée La page Heures Spéciales (voir Figure 2) permet de créer une telle politique alternative pendant certaines heures de la journée. La page Heures Spéciales (voir Figure 2) permet de créer une telle politique alternative. Cette politique peut être appliquée au maximum pendant deux créneaux horaires chaque jour, par exemple pour le déjeuner et en dehors heures de travail Figure 3 : La fonction Test Politique identifie la politique bloquant une demande 13

15 guide d'évaluation : Appliances web Sophos La WS1000 a une nouvelle fonction Test Politique (voir Figure 3 sur page 13) pour dépanner les opérations de politique, ce qui est utile, car les structures de groupe Active Directory peuvent être complexes et les utilisateurs peuvent appartenir à différents groupes. Si l'utilisateur se voit refuser l'accès à un site web, on peut déterminer rapidement l'élément de politique bloquant en entrant la URL avec le nom d'utilisateur ou adresse IP. Même si un site est autorisé par la Politique Groupe, les capacités de filtage sécurité de l'appliance ne peuvent pas être surpassées. Tous les sites sont analysés pour détecter les contenus malveillants et sont bloqués s'ils présentent un risque élevé pour la sécurité. Proxies anonymes et filtrage HTTPS Les proxies anonymes sont des serveurs qui masquent la véritable nature d un site Web. Les utilisateurs, en entreprise ou en milieu scolaire, y ont recours pour contourner le filtrage Internet et accéder à des sites non autorisés (jeux, pornographie...). Chaque semaine, les administrateurs réseau passent plusieurs heures à détecter et à bloquer manuellement ces menaces. Détection des proxies anonymes L appliance Web de Sophos utilise deux technologies clés pour la détection et le blocage des proxies anonymes : un service de réputation et un contrôle du trafic en temps réel (brevet déposé). Le service de réputation détecte tous les forums Internet, les listes de distribution et les blogs qui diffusent les sites de proxies anonymes. Lorsque de nouveaux sites apparaissent sur la toile, Sophos met automatiquement à jour sa liste de blocage des proxies, réduisant considérablement la durée de vie des proxies anonymes. Le contrôle du trafic en temps réel inspecte chaque requête d accès au Web pour détecter la présence éventuelle de proxies anonymes. Il bloque efficacement les proxies (nouveaux, privés et non édités) n ayant pas été identifiés par le service de réputation. Filtrage HTTPS L appliance Web Sophos permet de garantir l application des politiques de sécurité sur les canaux chiffrés HTTPS, éliminant les failles de sécurité traditionnelles. Ainsi, l ensemble du trafic Web, y compris le contenu des messageries chiffré SLL de type Gmail, est filtré pour contrer les malwares et les proxies et garantir le respect de la politique d utilisation acceptable. 14

16 2: fonctionnalité du produit - filtrage d'application Filtrage des applications La WS1000 permet de mieux gérer l'utilisation de la bande passante pour la navigation sur le Web. L'appliance peut bloquer le téléchargement de certains types de fichier pouvant consommer de la bande passante et ralentir le trafic. En utilisant un gestionnaire de politique "pointer et cliquer" sur la console d'administration, les administrateurs peuvent contrôler les types de fichiers suivants : Type de fichier Exécutable Document Diffusion audio cirecte Diffusion video directe Archive Détails Commande DOS (com) Java applet (Classe) Javascript (js ActiveX control (ocx) Adobe PDF (pd Microsoft Excel (xls) Microsoft Powerpoint (ppt Microsoft Word (doc) Midi (midi) MPEG audio (mp3) RealAudio (ra) Audio Video Interleave (avi) MPEG video (mpg, mpeg) QuickTime video (mov) Java archive (jar) RAR archive (rar) Stuffit (sit) Visual Basic extension (vbx) Windows executable (exe) Fichier bibliothéque Windows (dll) Autres exécutables Microsoft Project (mpp Rich Text Format (rtf) WordPerfect (wpd) Wave (wav) Windows Media Audio (wma) RealMedia (rm Windows Media Audio (wma) Tarball (tar) Zip archive (zip) Autre archive (bz2, gz, Z) En plus de ces types de fichiers courants, la XS1000 peut bloquer des applications étiquetées par Sophos comme applications potentiellement indésirables (PUA). Ces applications, incluant les adwares, les outils de piratage, les composeurs (dialer), les outils de télécontrôle, et les moniteurs système, peuvent ne pas être malveillants par nature, mais peuvent consommer une bande passante précieuse et les resources du processeur client, et donc ne sont pas désirables. Les PUA peuvent être facilement bloqués en cochant la case lors de la création ou modification des politiques (voir figure 4). Applications potentiellement indésirables Sophos définit las applications potentiellement indésirables (PUA) comme celles ne convenant pas pour l'environnement professionnel et pouvant nuire au réseau ou aux ressources du bureau. Figure 4 : Paramétrage de la politique de téléchargement pour bloquer des types de fichiers particuliers 15

17 guide d'évaluation : Appliances web Sophos Comme avec les pages Web, les administrateurs peuvent autoriser des exceptions à la liste des types de fichier ou applications bloquées en approuvant les demandes d'utilisateur.( Autoriser les retours d'info d'utilisateur doit être validé faire des demandes de déblocage et de changement de catégorie. Voir Section 3 et Figure 5) Figure 5 : L'autorisation des retours des utilisateurs valide les demandes pour reclassifier un site Filtrage URL Contrôle de productivité Pour diverses raisons, de nombreuses sociétés ne veulent pas autoriser leurs employés à naviguer sur le Web sans limite. Cerains contenus sont jugés indésirables sur le lieu de travail pour les raisons suivantes : Soucis soucis concernant la productivité et l'utilisation personnelle du temps et des ressources de la société Soucis soucis concernant la responsabilité civile suite à l'affichage et/ou la diffusion de contenu agressif et/ou illégal. Le moyen le plus efficace pour empêcher le personnel de voir des contenus indésirables ou dangereux, tout en leur donnant accès aux autres contenus, consiste à bloquer l'accès aux sites en fonction de leur catégorie (shopping, loisir, jeux, banque, pornographie, etc..). Les employés passaient 20% de leur temps sur internet à jouer ou à s'occuper d'affaire personnelle. Etude Burstek sur l'utilisation d'internet en

18 2: fonctionnalité du produit - autres options de filtrage La WS1000 a une base de données de 50 catégories de contenu couvrant plus de 24 millions de site et trois milliards de pages Web. Ce sont : Adulte/Sexuellement explicite Annonces et fenêtres contextuelles Alimentaire Véhicules motorisés Shopping Jeux de hasard Actualités Société et culture Alcool et tabac Jeux Peer-to-peer URL de spam Arts Gouvernement Petites annonces et rencontres Sports Blogs et forums Piratage Organisations Spywares philantropiques et professionnelles Affaires Santé et médecine Phishing et fraude Supports multimédia en continu Chat Informatique et Internet Passe-temps et récréation Sites d'hébergement Recherches de photos Politique Mauvais goût et offensant Voyages Activité criminelle Drogues illicites Services proxy et Violence traducteurs Téléchargements Infrastructure Immobilier Armes Education Divertissement Mode et beauté Finances et investissements Vêtements intimes et de bain Intolérance et haine Recherche d'emploi et développement de carrière Sites pour enfants Référence Téléchargements de sonneries/ téléphones mobiles Moteurs de recherche Education sexuelle Messagerie de type Web Personnalisé - pour intranet et autres sites client L'administrateur peut fixer une politique d'accès (Autoriser/Interdire) pour chacune de ces catégories. (Remarque : Le filtre de sécurité WS1000 analysera cependant le contenu pour détecter les codes malveillants - voir page 11) Les administrateurs peuvent avertir les utilisateursqu'ils visitent un site d'une catégorie spécifiée et demander leur accord avant d'autoriser l'accès. Si une page demandée est refusée en raison d'une politique établie, l'appliance permet d'indiquer à la personne demandant la page pourquoi sa demande est refusée. Voir notifications de l'utilisateur en page 24 pour plus de détails. Mise à jour sécurité SophosLabs analyse des milliards de pages Web chaque jour pour mettre à jour la base de données WS1000 de plus de 24 millions de sites suspects. Autres options de filtrage La WS1000 offre d'autres politiques incluant: Paramétrage de cache SophosLabs Mode enregistrement Autres options Taille min et max d'objet pouvant être caché Partage de données avec SophosLabs (non identifiable pat l'utilisateur ou IP) Incluant le nom d'utilisateur et IP pour afficher les rapports, résultats de recherche et journaux Autoriser/Refuser l'adresse IP publique ; autoriser les fichiers non analysables et chiffrés ; autoriser les gros fichiers sans analyse 17

19 guide d'évaluation : Appliances web Sophos Exploration avec un seul moteur Au coeur de WS100 se trouve la technologie avancée d'analyse à un seul moteur de Sophos, ce moteur qui protège plus de 100 millions d'utilisateurs Sophos dans le monde. Notre technologie sécurise plus vite et plus efficacement en vérifiant simultanément toutes les menaces en une seule passe (voir Figure 6). Cette approche rend inutile des moteurs séparés pour les spyware, virus, et pour le filtrage URL, et diminue le temps d'attente des pages pour l'utilisateur. Le résultat est une réduction importante des tâches administratives associées à la gestion et création de politique lorsqu'il y a plusieurs moteurs. Protection sur le cycle de vie de la menace SophosLabs protège pendant le cycle de vie de la menace depuis la découverte du code malveillant jusqu'à sa diffusion et son évolution future. La Sophos Web Appliance assure une combinaison idéale d'automatisation et de contrôle pour assurer la sécurité de l'entreprise en ce qui concerne la navigation sur le Web. Elles forment une association entre la mise à jour des définitions de menaces automatisées, les capacités administratives simples et rapides et les alertes par exception. Cette combinaison de fonctions réduit la charge administrative quotidienne et fournit la sécurité et la surveillance dont vous avez besoin. La WS1000 bénéficie de l'expérience de SophosLabs concernant les menaces, et elle assure une protection interactive par analyse plus rapide des nouvelles menaces, par plusieurs techniques de détection/mise à jour, et par une gestion sur le cycle de vie de la menace. Les organisations qui utilisent les Sophos Appliances bénéficient des avantages suivants : Protection fiable contre les nouvelles menaces et les menaces inconnues Réduction de la charge administrative Tranquillité d'esprit grâce à la protection de l'infrastructure de navigation Figure 6 : La technologie d'analyse de WS1000 sécurise vite et efficacement 18

20 2: fonctionnalité du produit - bloquage du trafic de retour "call home" Blocage du trafic privé "call home" En s'appuyant sur la capacité de Sophos à détecter et analyser les codes malveillants provenant de sources variées, la WS1000 peut aussi empêcher les ordinateurs clients infectés par des spywares de renvoyer les données aux serveurs en attente ("calling home"). Lorsque SophosLabs découvre une URL servant de dépôt à des informations volées à des ordinateurs infectés, elle l'ajoute à la liste des sites à haut risque et empêche les ordinateurs de les atteindre. En cas d'infection avant l'installation de WS1000, ou d'infection par d'autres voies, l'administrateur pourra identifier les ordinateurs compromis simplement en affichant le rapport sur les Machines Suspectes dans la console d'administration (voir Figure 7 ci-dessous). Protection contre les spywares Même s'ils sont infectés par des spywares, les ordinateurs sont empêchés de contacter des URL dont on sait qu'elles contiennent des informations volées. Figure 7 : Rapport sur les machines suspectes 19

21 guide d'évaluation : Appliances web Sophos 3 : paramétrage Présentation Cette section explique l'installation de base de l'appliance : configuration, installation d'active Directory, préférences de l'utilisateur et paramètres de la stratégie par défaut. Même si elle ne substitue pas au guide d'installation, elle démontre cependant la simplicité des appliances et leur facilité d'administration. Installation En tant qu'appliance passerelle, la Sophos Web Appliance est généralement installée dans le DMZ, à l'intérieur du pare-feu réseau et en amont des ordinateurs clients. Il existe trois scénarios d'installation : Explicite proxy, Transparent proxy et Bridge. Mode Explicit proxy Le mode recommandé de mise en œuvre de la Sophos Web Appliance est le mode Explicite proxy. Ce mode maximise la sécurité et les fonctionnalités et facilite l'utilisation, car le navigateur client communique directement avec l'appliance. Ce mode permet de valider le certificat HTTPS et d'utiliser Active Directory pour la création de rapports et de politiques. Le mode Explicite exige la configuration du navigateur client, pouvant être automatisée dans l'environnement Active Directory. Sophos recommande d'examiner la configuration du pare-feu pour optimiser la sécurité. Autres modes Figure 8 : WS1000 installée en mode proxy explicite Les modes Transparent proxy et Bridge limitent la gestion de politique et ne permettent pas l'intégration de Active Directory. Ils sont décrits en détail dans l'appendice II. 20

22 3 paramétrage - configuration Configuration La configuration des Sophos Appliances est simple. Une fois installé et lancé, l'assistant Paramétrage vous permet d'effectuer la configuration, ramenant la durée d'installation à moins de 30 minutes. L'Assistant détecte automatiquement les paramétrages Active Directory et Politique par Défaut et ainsi, vous pouvez sécuriser votre trafic Web vite et facilement. Comme indiqué en Figure 9, la configuration peut être changée à tout moment en utilisant la console d'administration "opérations en trois clics". Figure 9 : Modification de configuration 21

23 guide d'évaluation : Appliances web Sophos Le tableau ci-dessous indique les composants configurables de la WS1000. Comptes Politique Groupe Politique mondiale Système Réseau Administrateurs Options de la page Notifications Politique par Défaut Groupes par défaut Heures spéciales Autres politiques Test Politique Filtre de sécurité Options de téléchargement Options générales Validation de certificat Classifications locales Ajouter des classifications locales Mises à jour Sauvegarde Rétablissement Alertes Active Directory Fuseau horaire Interface réseau Nom de l'hôte Connectivité réseau Voir Appendice I pour une liste des paramètres par défaut. Expérience de l'utilisateur Lorsqu'ils naviguent sur le Web, les utilisateurs veulent avoir accès instantanément (ou presque) au contenu voulu. Bien qu'il puisse y avoir plusieurs raisons empêchant le chargement d'une page (bande passante insuffisante, retards d'acheminement, surcharge du serveur, etc...) les utilisateurs sont impatients lorsqu'ils n'obtiennent pas l'information cherchée. La sécurité est le plus souvent blamée car on pense que l'analyse des menaces ralentit la transmission du contenu. Installation rapide et simple Un assistant d'installation simple vous aide à installer l'appliance et à la faire fonctionner en moins de 30 minutes. Bien que l'analyse des fichiers expliquent en grande partie le retard avec les systèmes traditionnels de sécurité, ce n'est pas le cas avec la WS1000. La Sophos Web Appliance est conçue pour éviter les retards et répondre à l'attente de l'utilisateur. Comme indiqué en Section 2, la technologie d'analyse de l'appliance minimise la durée de l'analyse et réduit le temps d'attente. Quant à ce que voit l'utilisateur, l'expérience est aussi positive. La WS1000 utilise des notifications à l'utilisateur et des routines de retour d'information pour communiquer avec les navigateurs en cas de violation de politique ou de retard de contenu. La section suivante décrit ces outils. 22

24 3: paramétrage - notification d'utilisateur Interfaces utilisateur final En cas de violation de politique - tentative de visiter un site hébergeant un contenu malveillant, ou demande de téléchargement d'un type de fichier indésirable - la WS1000 notifiera l'utilisateur. Les pages Notification sont affichées dans les cas suivants : Code code malveillant détecté Site site soumis à restrictions Violation violation de politique Application application bloquée Type type de fichier bloqué Patience patience (téléchargement ralenti par le serveur) Certificat certificat invalide (HTTPS) (https) Avertissement avertissement avec option de continuer Au choix de l'administrateur, la page notification peut contenir les informations suivantes: URL url demandée Raison raison du refus d'accès Logo logo de la société Lorsqu'ils cherchent à télécharger de gros fichiers, les utilisateurs voient une page patience avec un indicateur d'avancement (en bas) 23

25 guide d'évaluation : Appliances web Sophos L'administrateur peut modifier le titre de la page et ajouter des remarques sur chaque page notification. Les utilisateurs dont les navigateurs fonctionnent avec une autre langue supportée (français, espagnol, allemand ou italien) verront le texte affiché dans leur langue. Tous les autres utilisateurs verront la version anglaise. Les administrateurs peuvent modifier le texte affiché dans chaque langue indépendamment. Voir Figure 10 ci-dessous pour les détails Les notifications WS1000 maintiennent la transparence de la politique sécurité de l'organisation et prouvent l'efficacité de l'appliance pour écarter du réseau les codes malveillants et les contenus indésirables ou dangereux. Gestion des retours des utilisateurs Figure 10 : Notification page configuration Pour assurer la sécurité tout en satisfaisant les utilisateurs, on peut leur permettre de demander des modifications de la politique de sécurité, par exemple le changement de catégorie d'une URL. Les demandes sont faites en cliquant sur un lien sur la page notification et elles permettent de demander des modifications de politique, comme le changement de catégorie d'une URL. 24

26 4:gestion de l'appliance - console d'administration et tableau de bord 4 : administration des appliances Présentation La WS1000 maximise la sécurité et minimise la charge administrative. En s'appuyant sur l'expérience de Sophos concernant la détection des virus, du spam et d'autres codes malveillants, elle utilise un paramétrage efficace de Politique par Défaut, écartant tout aléa dans la configuration du système. Cependant, si vous souhaitez personnaliser l'appliance, cette opération est facile et simple grâce à la console d'administration. L'administration et le contrôle de la passerelle Web sont simplifiés par les divers outils et paramètrages éliminant ou automatisant de nombreuses tâches en appliquant des principes de gestion par exception. Cette section décrit les tâches administratives journalières de la WS1000. Console d'administration et tableau de bord La console d'administration est une interface graphique sécurisée de type Web entre l'administrateur système et l'appliance, qui permet les actions suivantes : Configuration des paramètres du système et du réseau Configurer la sécurité et les filtres de contenu Contrôle de l'état du système et diagnostic des interruptions Gérer les retours d'information des utilisateurs Etude des catégories et des niveaux de risque d'un site via la fonction Test URL J'ai été particulièrement impressionné par la console d'administration intuitive qui m'a permis de naviguer rapidement et d'afficher les statistiques de trafic, les profils d'utilisation et les rapports de performance. Wally Eisenhart, Sungard Pentamation Figure 11 : Tableau de bord de la console d'administration 25

27 guide d'évaluation : Appliances web Sophos Afficher afficher Mesure mesure Sécurité sécurité Pour pour Virus, virus, PUA pua sites, à haut risque et violations de politique et insertion dans les données pour analyse améliorée Rapports rapports en temps réel sur des problèmes tels que accès au site, activité utilisateur, rencontres de menaces, etc... Le tableau de bord est la page d'acceuil de la console, résumant instantanément la performance globale du système. A partir du tableau de bord, l'administrateur peut contrôler le trafic Web, l'état de protection, mesurer les performances du système, vérifier la catégorie et le niveau de risque d'une URL et vérifier la disponibilité du système. Reposant sur une exigence stricte de navigation minimale, chaque fonction de la console d'administration s'exécute en moins de trois clics et l'accès par lignes de commande n'est plus nécessaire. Vous pourrez en savoir plus sur les outils puissants et faciles à utiliser de WS1000 plus loin dans cette section. Surveillance, alerte et notification La WS1000 diminue la charge administrative en contrôlant de près l'état du système via un réseau complexe comprenant plus de 50 capteurs. Lorsqu'un capteur se déclenche, une alerte du tableau de bord et/ou une alerte par courriel sont alors envoyées à l'administrateur. Lorsque vous vous connectez au système et que vous cliquez sur le bouton System Status (Etat du système), vous obtenez un aperçu rapide de la situation ainsi que les démarches recommandées pour résoudre le problème. Réduction des tâches administratives Ne vous préoccupez pas de l'appliance, plus de 40 capteurs du système s'en chargent à votre place. En cas de condition critique pour la mission nécessitant une assistance externe (panne d'une unité de disque), une alerte est envoyée à Sophos pour corriger le problème. Sophos peut souvent résoudre le problème avant que l'administrateur en ait connaissance. Voir Section 6 pour plus de détails. Cela signifie que si vous ne recevez aucune alerte ou notification de l'appliance (ou de Sophos), vous pouvez considérer que tout fonctionne correctement et qu'aucune interaction ou intervention n'est nécessaire. Les administrateurs ne sont notifiés que si quelque chose attire leur attention, sinon ils peuvent se concentrer sur d'autres priorités en étant sûrs que la passerelle n'est pas menacée et fonctionne efficacement. Figure 12 : Page System Status (Etat du système) 26

28 4 : administration des appliances - vérification d'état Vérifications du statut Vous pouvez déterminer instantanément l'état général de votre appliance en vous connectant à la console d'administration et en vérifiant l'indicateur System Status, qui figure en haut à droite de chaque page (reportez-vous à la Figure 12). Vert indique que tous les systèmes sont normaux ; jaune, une perturbation temporaire ou de peu d'importance ; et rouge, une perturbation vitale. (Dans le cas d'une perturbation vitale, l'appliance envoie une alerte par courriel au contact chargé du support technique, de même qu'à Sophos). En cliquant sur l'indicateur Etat Système, on obtient tous les détails sur l'environnement de la WS1000 : Trafic : Pointes de virus et fichiers et applications indésirables, retard de page, longueur des files à analyser, et durée d'analyse Matériel : performances des composants matériels, température, utilisation de la mémoire, etc. Logiciel : santé du processus, état de la protection, connexion à Sophos, redémarrage du système, mises à jour du système Licence : temps restant avant l'expiration de la licence. Comme indiqué à la Figure 12, la page System Status affiche un indicateur pour chaque élément de surveillance, de même qu'un message indiquant l'état actuel du système,fournissant des solutions permettant de résoudre le problème et donnant des détails sur la dernière exception survenue (date et heure). Si une exception se produit, vous pouvez cliquer pour consulter des détails supplémentaires sur l'incident et savoir si des actions ont eu lieu. Vous pouvez examiner chaque opération vitale de l'appliance à partir de cette page unique de la console d'administration. La page System Status facilite l'analyse spontanée et complète des performances générales et de l'état de la protection et permet d'obtenir des instructions sur la manière de corriger les interruptions du système. Mises à jour La WS1000 se connecte à Sophos toutes les 5 minutes pour télécharger les mises à jour de définition de menace, la liste Sophos des sites malveillants, et le logiciel d'exploitation. Par défaut, ces mises à jour sont téléchargées et appliquées automatiquement. L'administrateur peut télécharger et appliquer des mises à jour logicielles non vitales selon un calendrier prédéfini ou effectuer des mises à jour simples, à la demande. Les mises à jour non critiques peuvent être différées jusqu'à sept jours, et seront automatiquement appliquées dans la fenêtre de mise à jour par l'administrateur. L'application des mises à jour logicielles vitales comme les correctifs contre la vulnérabilité, est instantanée. 27

29 guide d'évaluation : Appliances web Sophos Figure 13 : Sauvegarde configuration Sauvegarde de configuration et rétablissement L'administrateur peut programmer l'appliance pour qu'elle procède au lancement de sauvegardes FTP automatiques des données de configuration et des journaux système. Si activée, cette sauvegarde s effectue automatiquement à minuit. Les données de configuration peuvent également être sauvegardées manuellement et très simplement sur la page System Backup (Sauvegarde du système) sur la console d'administration, comme indiqué à la Figure 13. Les appliances utilisent un archivage automatique de la quarantaine, afin de maintenir des performances optimales et d'assurer une capacité de stockage embarqué adéquate. Si le volume de données stockées sur le disque dur atteint une capacité de 70 %, les données sont archivées automatiquement afin qu'un minimum de 40 % soit disponible. Les administrateurs peuvent rétablir la configuration système et la liste locale de site à partir d'une sauvegarde antérieurefacilement par une simple interface (voir Figure 14) 28 Figure 14 : Rétablissement système

30 4: Gestion de l'appliance - gestion des retours d'utilisateur Gestion des retours des utilisateurs Comme indiqué en Section 3, les administrateurs peuvent autoriser les utilisateurs à retourner des informations sur les catégories de site. Ceci est géré par la Politique par Défaut et les Autres Politiques. Lorsque ces utilisateurs rencontrent une page notification concernant une violation de politique, ils peuvent demander un changement de catégorie pour ajuster la politique. Par exemple, si des utilisateurs tentent d'atteindre une page Web bloquée à cause d'une classification incorrecte, ils peuvent demander un changement de catégorie et/ou un déblocage. Tous les retours d'utilisateur apparaissent dans la fonction Rechercher sur la console d'administration, divisée en 3 catégories sous Rapports d'utilisateur : Sites Applications (par ex. plug-in, barres d'outil, lecteurs de media, etc...) Types de fichier (par ex. archives, documents, exécutables). L'administrateur peut approuver ou refuser les demandes en cliquant sur un bouton Actions (cerclé én rouge en dessous) tout à droite de l'écran. Les modifications approuvées d'url apparaîtront automatiquement dans la liste locale de sites. Figure 15 : Demandes d'utilisateur pour approuver ou reclassifier le site 29

31 guide d'évaluation : Appliances web Sophos Capacités supplémentaires de recherche La WS1000 peut rechercher dans l'activité récente de navigation. La console d'administration a une interface graphique avec les données enregistrées sur la WS1000, accessible via la page Rechercher. Ceci est facile à déterminer par une recherche dans les journaux : Sites visités par un nom d'utilisateur donné ou une adresse IP (selon qu'on utilise ou non Active Directory), et noms d'utilisateurs ou adresses IP ayant visité un nom de domaine donné. Cette information est utile notamment pour suivre comment les employés naviguent ou pour savoir qui a pu visiter des sites non conformes à la politique d'utilisation acceptable de votre organisation (voir Figures 16 et 17 ci-dessous). Figure 16 : Recherche par nom utilisateur/adresse IP Figure 17 : Recherche par domaine 30

32 4: Gestion de l'appliance - Intégration Active Directory Intégration Active Directory La WS100 permet de paramétrer rapidement des utilisateurs et groupes d'utilisateurs par intégration dans Active Directory (AD), permettant d'authentifier les politiques et rapports, ainsi que des sorties optionnelles en fonction des noms d'utilisateur AD. L appliance prend également en charge les forêts Active Directory. Sur la page de configuration Directory Services, l'administrateur peut automatiquement détecter et importer des paramètres LDAP ou saisir les paramètres manuellement. Figure 18 : Page configuration Active Directory Pour améliorer la protection, si l'authentification est validée, l'appliance alertera l'administrateur si le serveur AZD est inaccessible. 31