Huit règles de pare-feu indispensables

Transcription

1 Avec le torrent de nouvelles menaces frappant les environnements web 2.0, il est probable que votre pare-feu existant ne vous protège pas suffisamment. Cette liste de contrôle a été conçue pour vous aider à comprendre les fonctionnalités avancées que proposent les pare-feux de nouvelle génération et pour vous guider lors de votre évaluation. Nous comparons des systèmes vieillissants, en fin de vie ou techniquement déficients d'éditeurs tels que Cisco et Check Point avec l'appliance de nouvelle génération McAfee Firewall Enterprise version 8. Si vous êtes sur le point d'effectuer une mise à niveau très lourde, cette liste vous aidera à tirer un profit maximal de votre investissement. D'IRC à HTTP en passant par le partage peer-to-peer «Récemment, nous avons observé un changement dans la manière dont les robots sont contrôlés, passant des canaux IRC à des sites web utilisant le protocole HTTP courant. Ce changement a démarré avec l'apparition de kits d'exploits, principalement développés par des cybercriminels russes. Mpack, ICEPack et Fiesta font partie des kits principaux. Ils sont capables d'installer des logiciels sur des ordinateurs distants et de les contrôler à partir d'un site web distant.» «Il suffit alors aux pirates d'envoyer du spam contenant des liens redirigeant les victimes vers un site web sur lequel le kit d'exploit est installé. A ce moment-là, ce dernier peut déterminer quel exploit utiliser, en fonction des caractéristiques de l'ordinateur cible : le pays, le système d'exploitation, le navigateur et les multiples versions d'applications clientes.» Rapport de McAfee sur le paysage des menaces, 4 e trimestre 2009 Règle n 1 Un contrôle granulaire exige une visibilité et une mise en œuvre adaptées aux interactions des utilisateurs et des applications web 2.0. Comme la majeure partie du trafic utilise aujourd'hui HTTP (port 80) et HTTPS (port 443), vous devez être capable d'analyser de près ces protocoles et ces ports et d'inspecter en profondeur le trafic lui-même, y compris le trafic chiffré. Le chiffrement est une tactique cybercriminelle courante de nos jours. Les attaques côté client ciblant des navigateurs web vulnérables et utilisant des connexions chiffrées transitent par le pare-feu de Cisco sans être déchiffrées et inspectées, laissant les réseaux entièrement démunis. Pour exercer un contrôle, vous devez être capable de déceler les activités en cours (comme des communications Skype) tout en sachant qui utilise chaque application. Cette perspective vous permet de définir des règles qui répondent aux besoins de l'entreprise en mettant en corrélation l'utilisateur, le contexte et les applications web sophistiquées qui sont nécessaires et appropriées. Par exemple, vous pouvez envisager d'autoriser le chat IRC tout en bloquant les opérations FTP pour le département du service clientèle au-delà du portail de service web. Vous pouvez également permettre les recherches sur Yahoo mais bloquer les applications Yahoo de messagerie et de messagerie instantanée. De même, vous pourriez bloquer l'accès à des sites web présentant des risques ou inappropriés, à moins qu'une communauté d'utilisateurs particulière ne demande un accès pour des raisons professionnelles légitimes auquel cas vous devez être capable de mettre en œuvre cette stratégie en y intégrant une règle bien adaptée. Les pare-feux avancés de nouvelle génération tels que l'appliance McAfee Firewall Enterprise vous procurent une visibilité sur votre trafic d'application, notamment sur le trafic chiffré à l'entrée et en sortie. Tandis que Cisco déchiffre uniquement le trafic VoIP afin qu'il transite par son pare-feu, McAfee inspecte réellement le trafic SSH, SFTP et HTTPS à la recherche de contenu malveillant. Check Point, quant à lui, ne peut pas du tout analyser le trafic chiffré. Nous dépassons le cadre du contrôle des applications afin que vous puissiez mettre en œuvre des stratégies sur les activités entrantes et sortantes au niveau de l'utilisateur. Cette approche vous permet de créer des règles d'application précises et pertinentes qui répondent aux exigences de votre entreprise en fonction des groupes d'utilisateurs déjà présents dans votre annuaire Microsoft Active Directory ou LDAP. Cette connaissance des applications et des utilisateurs conduit à un contrôle granulaire très fin, présentant moins de problèmes en termes de maintenance. Règle n 2 La protection contre les menaces multivectorielles ne doit pas entraîner de coûts supplémentaires. Au fil des ans, le manque de granularité dans les techniques d'inspection et les défenses des pare-feux a entraîné l'adoption de protections combinées et multiniveaux. Certaines architectures vous obligent même à faire un choix entre les différentes protections. Avec Cisco, vous devez décider si, sur un système donné, vous voulez l'antivirus ou la prévention des intrusions. Des pare-feux d'autres éditeurs ne comportent pas d'offres de sécurisation intégrée, vous contraignant à acheter des solutions individuelles supplémentaires.

2 Naturellement, chaque produit séparé implique des coûts évidents en capital et en fonctionnement, de l'achat à la maintenance et aux renouvellements d'abonnement séparés. Ils impliquent également certains coûts cachés. Ainsi, Check Point active les protections (telles que les signatures du système de prévention des intrusions) de manière globale, et non en fonction de règles, ce qui nuit gravement aux performances. Certains utilisateurs Check Point vont jusqu'à désactiver certaines protections afin de limiter l'impact sur les performances, ou configurent la solution de manière à désactiver des protections lorsque certains seuils sont atteints. Or, les pics d'activité sont précisément les moments où l'on peut s'attendre à une attaque. Lorsque le renforcement des protections est mis en œuvre par des équipements séparés sur le même trafic, plutôt qu'en ligne, en une seule opération, chaque processus indépendant ralentit le débit et exige du matériel supplémentaire pour s'exécuter. «Pour réduire les coûts, il faut limiter de manière drastique le nombre d'attaques réussies et en vertu des données en notre possession, cela signifie adopter une gestion optimisée des règles de pare-feu. En investissant correctement dans des solutions de pare-feu offrant une sécurité renforcée avec une réduction des signatures, les entreprises doivent être capables de réduire considérablement les pertes annuelles moyennes dues aux violations de sécurité à hauteur de plus d'un million de dollars.» IDC, The State of Today's Firewall Management Challenges (Les défis actuels de la gestion des pare-feux), juin 2009 McAfee vous propose un important pas en avant tant au niveau des fonctionnalités que du coût, grâce à des services de sécurisation consolidés qui intègrent de nombreuses protections dans chaque système préconfiguré McAfee Firewall Enterprise version 8. Sans supplément de prix ou effort d'intégration supplémentaire, vous pouvez activer la prévention des intrusions, la protection antimalware et antispyware, l'analyse de la réputation au niveau mondial (pour bloquer les sites à risque et les spammeurs connus) et le filtrage d'url. Ces fonctions de protection peuvent être contrôlées en fonction de catégories d'applications de haut niveau ou par application, par protocole et par règle. Un tel contrôle granulaire et souple vous permet de déterminer comment améliorer le plus efficacement la protection (p. ex. pour le trafic provenant ou à destination de certaines régions) et d'affiner les règles de protection si besoin est. L'inspection en ligne permet d'effectuer de nombreuses opérations de protection à haute vitesse. Vous n'aurez pas à désactiver des protections critiques pour maintenir un niveau de performance acceptable. Règle n 3 Le contrôle doit prendre quelques instants, et non quelques minutes. Auparavant, la gestion des stratégies et des protections remplissait la journée de l'administrateur du pare-feu. Avec des systèmes séparés et de nombreux administrateurs, les règles sont difficiles à définir correctement au départ et compliquées à maintenir. Par exemple, les utilisateurs Cisco configurent les règles de pare-feu et de traduction des adresses réseau (NAT, Network Address Translation) dans des fenêtres différentes. Chaque étape séparée augmente la charge de travail ainsi que le risque d'erreur. La pluralité des administrateurs aggrave la complexité et augmente les probabilités de chevauchement des règles, avec pour résultat des performances médiocres et des règles jamais activées. En ajoutant des contrôles sur les applications et les utilisateurs, vous êtes confronté à des options supplémentaires, à davantage de décisions et, potentiellement, à une charge de travail beaucoup plus importante. Au contraire, la «vision à règle unique» de McAfee intègre les informations dont vous avez besoin pour créer rapidement des règles précises. Au sein du trafic des ports 80 ou 443, par exemple, vous pouvez incorporer des restrictions portant sur des fonctions spécifiques, ajouter les services d'analyse de réputation McAfee TrustedSource, utiliser la géolocalisation et ainsi de suite, chaque règle étant associée à des groupes d'utilisateurs spécifiques en fonction des besoins. Toutes ces options apparaissent dans une seule fenêtre. Chaque règle ne prend que quelques clics de souris, ce qui permet de tirer profit facilement et rapidement des options de contrôle disponibles. Ensuite, utilisez notre fenêtre d'interaction entre les règles pour prévisualiser les règles afin de détecter des conflits ou des chevauchements. Comme notre solution de pare-feu prend en charge des workflows naturels, vous pouvez vérifier l'ordre et consulter les détails afin de visualiser chaque règle dans son intégralité, dans une seule fenêtre. Lorsque vous souhaitez analyser l'utilisation ou résoudre des problèmes, notre outil de visualisation vous montre l'activité par utilisateur, application et menace, et vous permet de naviguer directement pour affiner les règles pertinentes. Règle n 4 L'évaluation des risques en temps réel doit couvrir tous les vecteurs de menace et doit être mise au point en interne. Au-delà du coût et des performances, l'autre inconvénient majeur des solutions de sécurité séparées est leur niveau de protection inférieur. Chaque outil offre une vision limitée du problème sans tirer d'informations des autres systèmes qui détectent des nouvelles menaces et des vulnérabilités de type «jour zéro». Les cybercriminels investissent désormais dans des menaces intelligentes, exécutées en plusieurs étapes et combinant divers vecteurs, qui comptent sur cette faiblesse particulière des outils isolés. Conficker, l opération Aurora et Mariposa mettent tous en jeu plusieurs vecteurs de menace. Ces attaques pernicieuses et complexes dépassent les capacités des solutions réactives, basées sur les

3 signatures et sur des vecteurs uniques. Tandis que les technologies recourant aux signatures restent utiles (demandez à nos chercheurs : les anciens vers ne meurent jamais, ils se transforment), les signatures ne peuvent plus constituer la seule ligne de défense. Pourquoi les signatures deviennent-elles insuffisantes? Les signatures ne documentent les menaces connues qu'une fois validées, et la distribution et l'installation des signatures peuvent être décalées de plusieurs jours (ou plus) par rapport à l'annonce d'un problème. De nombreux éditeurs proposent des protections venant de tiers, ce qui retarde la réception. Check Point transfère des technologies émanant de Kaspersky, Websense et Commtouch. Si vous utilisez Cisco, vous bénéficiez d'une mise à jour antivirus hebdomadaire via Trend Micro. Vous êtes donc exposé aux nouvelles menaces pendant au moins une semaine. Il est bien connu que la qualité des signatures varie d'un éditeur à l'autre, en fonction du nombre de chercheurs et de l'envergure des recherches de l'éditeur (ou de son fournisseur). Toutes ces opérations séparées sont inefficaces, ce qui signifie que vous les payez en coût d'abonnement et en délai de fourniture de protection. Vecteur de protection Détection de logiciels malveillants Filtrage web Détection du spam et du phishing Prévention des intrusions réseau Réputation des sites web Réputation des adresses IP Réputation des fichiers McAfee Labs nouveaux échantillons de logiciels malveillants détectés par jour 35 millions de sites catégorisés pour filtrage 20 milliards de demandes analysées par mois 300 millions d'attaques par intrusion détectées par mois ; 100 millions de demandes d'analyse de la réputation de ports et d'adresses IP par mois 6 années de données, couvrant à présent 80 millions de sites 7 années de données 20 années de données Figure 1. Chiffres et expérience qui font la différence en matière de renseignements mondiaux sur les menaces Le contenu compromis et les attaques de type «jour zéro» représentent désormais un risque considérable pour les entreprises. En l'absence de menace confirmée, les outils doivent évaluer les risques en fonction du comportement, de la réputation, des adresses d'origine et de destination ainsi que du contenu lui-même (notamment le contenu déguisé qui a été déchiffré et démasqué). Plus nombreux sont les points de données et vecteurs de menaces que vous identifiez, plus votre évaluation sera rapide et précise. Lorsque l'évaluation intervient instantanément, en temps réel, les chances de pouvoir se protéger à l'avance contre les menaces connues sont optimales. Cette vision globale constitue sans doute la raison la plus importante de choisir une société qui surveille et analyse l'intégralité de la situation, sans déléguer des éléments critiques à de petits intervenants. L'appliance McAfee Firewall Enterprise vous protège de manière proactive avec un système global de renseignements sur les menaces, Global Threat Intelligence, disponible en temps réel. Plus de 100 millions de sondes et de techniques automatisées mettent en corrélation les menaces avec quinze vecteurs différents dans divers domaines tels que les hôtes, les réseaux, les environnements web, la messagerie électronique et les fuites de données. Nous comparons également le nouveau contenu et les nouvelles activités avec une base de renseignements sur les comportements en matière de messagerie et de communication, notamment la réputation, le volume et les tendances relatives aux s, au trafic web et aux logiciels malveillants. Ce système étendu et interconnecté, progressivement élaboré pendant plus de vingt ans, nous permet de déduire les risques et de vous protéger avant qu'une menace spécifique ne soit passée par le processus de signature formel. Tandis que d'autres se concentrent sur un seul protocole ou un seul vecteur de menace, avec une réputation limitée à un élément unique tel que le spam, McAfee englobe tous les protocoles et toutes les tendances des menaces pour dégager la vision la plus complète et la protection la plus efficace. Règle n 5 Votre pare-feu ne doit pas vous rendre plus vulnérable. Les cocktails d'exploits comportent un assortiment de logiciels malveillants ciblant chaque faiblesse potentielle dans chaque système. Vos produits de sécurité doivent vous aider à résoudre ce problème, et non fournir un refuge aux vulnérabilités ou agir comme catalyseur pour l'application de patchs d'urgence. Chaque fois que vous devez installer un patch, vous courez le risque de perturber le trafic ou de déstabiliser le système.

4 Basée sur la plate-forme McAfee SecureOS renforcée développée il y a vingt ans pour la National Security Agency, l'appliance McAfee Firewall Enterprise bénéficie d'un palmarès sans égal en matière d'avis de sécurité émis par le CERT : aucune vulnérabilité au sein de SecureOS, aucune violation de sécurité et aucun patch d'urgence. Règle n 6 Convertissez votre base de règles au lieu de recommencer à zéro. Le développement et la maintenance des règles de pare-feu sont les aspects les plus coûteux en cas de possession d'un pare-feu. Si vous envisagez d'effectuer une migration, vous devez pouvoir compter sur des outils de migration automatisés et des services spécifiques pour importer les anciennes règles dans votre nouvel environnement. Depuis des années, McAfee aide des entreprises du classement Forbes Global 2000 et des organismes publics à faire migrer leurs règles vers notre environnement de règles simple et centralisé. Généralement, notre outil de migration de règles convertit 90 % de toutes les données de configuration, notamment les données objet, les services et les groupes de règles existants. Vous pouvez également rationaliser votre configuration en choisissant de ne pas transférer des objets ou des services qui ne sont actuellement pas utilisés par le groupe de règles. Notre équipe de services professionnels spécialisés dans la sécurisation des réseaux propose des programmes pratiques pour vous aider à mener à bien le processus de migration. Ils ont accès à cet outil pour convertir en toute sécurité les règles de stratégies à partir des pare-feux Cisco PIX, Cisco ASA et Check Point. Des outils destinés aux solutions Juniper et Fortinet seront bientôt disponibles. Règle n 7 Vous méritez intégration et souplesse, y compris en matière de support. Vous avez mieux à faire que de jouer les intégrateurs ou de trouver des solutions aux problèmes que posent des produits mal conçus et limités. De nos jours, toutes les entreprises sont distribuées, et chaque réseau est unique. Il s'agit là de contraintes de base qui devraient en toute logique figurer au cahier des charges des solutions de sécurisation. Les éditeurs intelligents le savent : ils vous aideront à mettre en œuvre facilement et rapidement une protection de qualité et vous assisteront n'importe où et à toute heure, 365 jours par an. Les pare-feux de McAfee offrent un large éventail de configurations sécurisées et abordables, allant des solutions adaptées aux petites succursales jusqu'aux solutions 12 Gbit/s, suffisamment puissantes pour les entreprises les plus exigeantes. Vous pouvez choisir une appliance dédiée, une appliance physique multipare-feux disponible avec 4, 8, 16 ou 32 pare-feux dans un petit châssis 2U, ou encore une appliance de pare-feu virtuelle pour VMware ESX. Nous proposons également McAfee Firewall Enterprise for Riverbed, qui peut être installée sur plusieurs modèles d'appliances Riverbed Steelhead exécutant Riverbed Services Platform, ou encore sur des appliances robustes capables de fonctionner dans des environnements sévères. Autant d'outils bien pensés que vous pouvez adopter en toute confiance. Cette flexibilité vous est par ailleurs proposée à un prix abordable. A la différence de Cisco, avec les solutions McAfee, vous n'aurez pas à consentir de frais supplémentaires pour une mosaïque d'appliances et de cartes de modules de sécurité. A la différence de Check Point, vous n'aurez pas à gérer la complexité et les coûts associés aux dépenses et à la configuration des nombreuses options de lames verrouillées dans du matériel provenant de plusieurs fournisseurs. Parce que la gestion centralisée est nécessaire à l'efficacité (et aux rapports de conformité), vous pouvez combiner des appliances destinées aux grandes entreprises avec des systèmes pour PME au sein du même environnement de gestion. McAfee Firewall Reporter, qui est inclus, surveille de manière centralisée plusieurs systèmes, regroupe et simplifie la compréhension de données de journaux provenant de nombreux périphériques. Nous fournissons plus de 500 modèles de rapport sans frais supplémentaires : vous pouvez être sûr d'en trouver un qui convienne à vos activités et à vos obligations réglementaires. Si vous avez besoin d'assistance, ou si vous souhaitez poser une question, notre équipe de support composée de techniciens spécialisés est disponible à tout moment, vous garantissant des temps de réponse rapides, se comptant en minutes et non en heures. Nous ne débranchons pas les téléphones pendant la nuit et nous ne limitons pas la prise en charge à un seul continent : nos clients, chercheurs et services de support sont présents partout dans le monde.

5 Règle n 8 L'intégration permet une sécurité optimisée. Jusqu'ici, nous avons abordé les économies et la simplicité dont permet de bénéficier la présence de plusieurs niveaux et fonctions de protection au sein d'un seul pare-feu. Dans la mesure où le pare-feu n'est que l'un des composants de votre sécurité et des contrôles informatiques, vous devez également chercher la simplicité au-delà du pare-feu. Qu'en est-il des autres produits de sécurisation du réseau, des outils de correction, de la gestion des informations de sécurité et des workflows associés? Qu'en est-il de la protection des postes clients, de la prévention des fuites de données et de la gestion des risques? Mieux vos systèmes communiquent, plus votre travail se trouve facilité. Notre spécialité est justement de faire en sorte que les solutions de sécurisation communiquent... McAfee est le plus grand éditeur entièrement dédié au secteur de la sécurité informatique. Notre solution de pare-feu, adoptée par plus de clients, se connecte à une large gamme d'autres fonctions de sécurisation réseau, notamment les passerelles web et , le contrôle de l'accès au réseau, l'analyse du comportement des utilisateurs du réseau, les réponses aux menaces réseau et les systèmes de prévention des intrusions. Nous sommes une entreprise leader reconnue depuis de longues années dans le domaine de la sécurité des postes clients, de la protection des données mobiles, de l'informatique distribuée et plus encore. Cette vaste gamme de produits s'interconnecte à travers la plate-forme de gestion centralisée ouverte McAfee epolicy Orchestrator (McAfee epo ) pour vous apporter une rentabilité opérationnelle avec chacune des solutions que vous déployez. En outre, plus de 90 partenaires McAfee Security Innovation Alliance utilisent la plate-forme de gestion McAfee epo, étendant les économies et la simplicité à d'autres opérations informatiques et de sécurité. Web 2.0 : une nouvelle donne, de nouvelles règles à respecter Si vous envisagez de migrer vers une protection plus avancée, ces règles doivent vous servir de guide afin de garantir que votre nouveau pare-feu est à la hauteur des menaces persistantes et sophistiquées qui sévissent aujourd'hui et des applications web 2.0 de plus en plus complexes : 1. Un contrôle granulaire exige une visibilité et une mise en œuvre adaptées aux interactions des utilisateurs et des applications web La protection contre les menaces multivectorielles ne doit pas entraîner de coûts supplémentaires. 3. Le contrôle doit prendre quelques instants, et non quelques minutes. 4. L'évaluation des risques en temps réel doit couvrir tous les vecteurs de menace et doit être mise au point en interne. 5. Votre pare-feu ne doit pas vous rendre plus vulnérable. 6. Convertissez votre base de règles au lieu de recommencer à zéro. 7. Vous méritez intégration et souplesse, y compris en matière de support. 8. L'intégration permet une sécurité optimisée. Grâce à l'appliance McAfee Firewall Enterprise, vous pouvez remplacer le contrôle des protocoles et des ports par une protection efficace et précise. Votre entreprise bénéficiera d'un meilleur accès aux applications web 2.0, sécurisé par un contrôle prenant en compte l'identité et les applications, un système global de renseignements sur les menaces et de nombreux services de sécurité, fonctionnant ensemble comme une équipe bien rôdée pour défendre votre organisation. Nous faciliterons le processus, à l'aide de notre programme d'essai sur un pare-feu virtuel, nos outils de migration et nos services professionnels ciblés. Eliminez les angles morts et protégez votre entreprise contre les menaces persistantes et sophistiquées sévissant à l'heure actuelle, avec moins d'exercices pénibles et moins d'efforts. Pour en savoir plus, consultez notre site à l'adresse et passez à la puissance supérieure en vous rendant sur McAfee S.A.S. Tour Franklin, La Défense Paris La Défense Cedex France (standard) Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. McAfee, le logo McAfee, McAfee SecureOS, McAfee TrustedSource, McAfee Labs, McAfee epolicy Orchestrator et McAfee epo sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. ou de ses sociétés affiliées aux Etats-Unis et dans d'autres pays. Les autres noms et marques peuvent être la propriété d'autres sociétés. Copyright 2010 McAfee, Inc. 8816brf_nts_nextgen-firewall_0310