Contrôle et Visibilité des applications «Dans le firewall» vs. «A côté du firewall»

Transcription

1 . Livre Blanc Contrôle Visibilité des applications «Dans le firewall» vs. «A côté du firewall» Pourquoi les firewalls de nouvelle génération annoncent la fin des IPS des UTMs. avec

2 MIEL. LIVRE BLANC 2 Contrôle Visibilité des Applications «Dans le firewall vs. A côté du firewall» LES ENTREPRISES ONT BESOIN DE CONTROLE ET DE VISIBILITE DES APPLICATIONS... 3 FIREWALLS DE NOUVELLE GENERATION ET UTM : CE N EST PAS LA MEME CHOSE... 4 VISIBILITE : OUVRIR L INTERRUPTEUR VS. UTILISER UNE LAMPE TORCHE... 4 CONTROLE : AUTORISATION SURE VS. BLOCAGE AVEUGLE... 5 NOMBRE DE SIGNATURES : UN JEU DE DUPES... 6 QUELQUES EXEMPLES SPECIFIQUES : GOOGLE TALK, SHAREPOINT, ET ULTRASURF... 8 CONCLUSION... 9

3 MIEL. LIVRE BLANC 3 Les entreprises ont besoin de contrôle de visibilité des applications Dans un monde où les réseaux sociaux les applications dans le nuage sont les sujs dominants, le besoin de contrôle de visibilité des applications n a jamais été aussi grand. Un nombre croissant d employés très à l aise avec Intern accèdent à toutes les applications métiers personnelles qu ils désirent soit pour être plus productif, soit pour rester connecté. Les avantages semblent clairs, mais il en résulte des risques évidents de sécurité. De nombreuses entreprises cherchent alors à faire en sorte que leur infrastructure de sécurité gagne en visibilité en contrôle sur les applications qui traversent le réseau. Pour Gartner, le contrôle la visibilité des applications est le critère fondamental de ce qui définit les firewalls de nouvelle génération. Aujourd hui de nombreux éditeurs de sécurité surfent sur les termes de «nouvelle génération» de «contrôle des applications» sous forme de messages marking pour promouvoir des offres basées sur les ports TCP. Il est très intéressant de noter que ces éditeurs sont déjà présents chez ces mêmes clients qui cherchent pourtant toujours un contrôle une visibilité approfondie de ces applications.

4 MIEL. LIVRE BLANC 4 Firewalls de nouvelle génération UTM : ce n est pas la même chose Palo Alto Nworks est le seul firewall qui peut classifier le trafic par application, grâce à la technologie App-ID TM. Identifier l application est la première tâche à effectuer quand le trafic atteint le firewall c est la base de toutes les autres fonctions. Les offres disponibles jusqu à présent utilisaient l inspections des paqus par état (stateful inspection) pour classifier le trafic tentaient d identifier les applications dans un second temps en utilisant une fonction additionnelle de style UTM (typiquement un système de prévention d intrusion, ou IPS). Les différences architecturales entre un firewall de nouvelle génération un UTM (Unified Threat Management) sont significatives ont un fort impact. Effectuer l identification de l application dans le firewall perm de tirer parti de deux caractéristiques du firewall : 1. Le firewall est le seul composant de sécurité qui voit absolument tout le trafic 2. Le firewall est le bon endroit pour appliquer une règle de contrôle Il utilise uniquement un modèle de contrôle positif (autorise certaines communications bloque toutes les autres) Il définit les zones de confiance Ce qui a des implications sérieuses, les plus importantes étant relative à la visibilité au contrôle. Visibilité : Ouvrir l interrupteur vs. Utiliser une lampe torche Un firewall doit classifier tout le trafic, à travers tous les ports - c est la base d un firewall. Un IPS (ou un UTM utilisant un IPS pour identifier les applications) ne voit que les éléments qu il cherche expressément, typiquement sur certains ports spécifiques. Quel est l avantage de faire cela directement dans un firewall? L administrateur a une vue claire compréhensible de toutes les applications du réseau. Pourvus de ces informations, les administrateurs peuvent prendre des décisions plus pertinentes. Ceci est comparable à allumer un interrupteur dans une pièce sombre-tout s éclaire soudainement, devient facilement visible les administrateurs peuvent agir dessus. Dans une solution type Firewall traditionnel+ips ou autres ajouts, les administrateurs n ont pas ce niveau de détail. Ils ne connaissent que les objs à chercher pours lesquels l IPS a été configuré. C est très similaire à utiliser une lampe torche dans une chambre sombre. Votre visibilité n est limitée qu à la pite zone que vous pointez avec votre lampe.

5 MIEL. LIVRE BLANC 5 Contrôle : Autorisation sûre vs. Blocage aveugle Un firewall de nouvelle génération est conçu pour autoriser contrôler l accès à l application,, si nécessaire, pour scanner son contenu par un IPS pour détecter les menaces. Quel est l avantage d effectuer l identification le contrôle de l application dans le firewall? La sécurisation des applications sous toutes ses formes. Les sociétés peuvent autoriser, refuser, autoriser pour certains groupes, autoriser certaines fonctions, autoriser mais appliquer une QoS, ou autoriser mais scanner les menaces les données confidentielles. A l opposé, le modèle de contrôle d un système IPS est négatif définitif, ce qui veut dire qu un IPS ne peut que bloquer, ce qui est insuffisant pour contrôler une application. Avec un IPS ou un UTM, une société pourra uniquement bloquer «en aveugle», dans une action du type «trouvez-le tuez-le».

6 MIEL. LIVRE BLANC 6 Nombre de signatures : un jeu de dupes De toute évidence, l infrastructure de sécurité identifie un très grand nombre d applications. De nombreuses solutions à base d IPS se vantent de posséder une énorme quantité de signatures des applications, le jeu est à celui qui prétendra avoir la liste de signatures la plus importante. Il faut d une part bien faire la différence entre détecter une signature identifier une application d autre part considérer où cte application est détectée. Le lieu d identification de ces applications est en eff encore plus important (dans le firewall ou à côté du firewall), comme nous l avons souligné dans les paragraphes précédents. Il y a d autres points à considérer avec la même importance : la qualité, la précision la richesse de l identification. Une simple signature d IPS qui identifie une version unique d un client unique n est pas comparable à une technologie basée firewall aussi sophistiquée que App-ID TM de Palo Alto Nworks App-ID peut consister en une combinaison de plusieurs signatures comportements pour une application donnée. Par exemple Palo Alto Nworks a une seule App-ID du trafic BitTorrent, quels que soient le client la version du client. Les autres éditeurs ont une signature listée pour chaque version de chaque client compatible BitTorrent, ce qui donne une liste impressionnante de signatures sur le papier mais ne sert finalement à rien. Ce qui importe est qu en utilisant le modèle de sécurité positive d un firewall de nouvelle génération, on peut appliquer une règle qui perm l utilisation de certaines applications, indépendamment du port, du protocole, ou du chiffrement SSL. Pour les applications autorisées, les sociétés peuvent alors ajouter des étapes supplémentaires -comme scanner pour trouver des menaces ou des données confidentielles. En revanche, dans le cas de l utilisation d un firewall classique d inspection par «état du paqu» (inspection «stateful») en plus d un système IPS pour identifier contrôler les applications, l organisation doit se fier à de simples signatures que le chiffrement SSL ou le changement dynamique de port rendent inutilisables. «Trouvez-le tuez-le» ne marche que quand vous êtes certain de pouvoir «le» trouver. Et tout le reste passe au travers. Au final, tout ceci limite considérablement la capacité à contrôler de manière effective les applications. Une signature applicative ne vaut que par l utilisation qui en est faite le lieu où elle est appliquée. Le nombre de signatures le nombre d applications sont 2 éléments différents. Le jeu du plus grand nombre de signature est un jeu de dupes. Point essentiel : Si le firewall utilise l inspection stateful pour classifier le trafic, ce n est pas un firewall de nouvelle génération. Si ce n est pas un firewall de nouvelle génération, il ne pourra rien changer à votre sécurité réseau.

7 MIEL. LIVRE BLANC 7 Palo Alto Nworks UTM (firewall + IPS) Impact Mécanisme de App-ID : L identité de Inspection UTM : Les applications ne sont pas invariablement associées au base de l application est «stateful» : port ou protocole. La classification par port est inefficace, n offre classification du trafic déterminée indépendamment du port, protocole ou chiffrement SSL. Par port protocole réseau. Le port du protocole est supposé connu aucune visibilité ne perm qu un faible contrôle. Palo Alto Nworks : App-ID perm une visibilité pertinente un contrôle granulaire. (souvent à tort) Critère de base L identité de Association UTM : Autorise le port 80, bloque le port des règles de sécurité l application. supposée de trafics spécifiques à des numéros de port des protocoles. Concrètement cte règle ne bloque rien car les ports ne fournissent plus le niveau adéquat de contrôle. Palo Alto Nworks : L identité réelle de l application est utilisée : ex : autoriser Gmail, bloquer BitTorrent Ultrasurf. Visibilité de Une image complète Limité au reporting UTM : La consultation des logs après la bataille, la donnée est l identité de de tout le trafic au filtrage des fournie trop tard incomplètement car elle ne reflète que les l application applicatif s affiche logs de l IPS. applications expressément recherchées. graphiquement ; Utilisé comme élément de base de la règle ; Vue dans le logging Palo Alto Nworks : l identité de l application-ce qu elle fait, comment elle fonctionne, qui l utilise-est l élément de base de la règle. le reporting. Modèle de Contrôle positif: Contrôle négatif: UTM : Le modèle grossier force les administrateurs à dire non contrôle de l application N autorise que ce qui a été configuré, bloque tout le resteidéal pour une utilisation sûre. Bloque ce qui a été configuré, autorise tout le restefastidieux pour une utilisation sûre. trop souvent. Palo Alto Nworks : Les employés ont plus de liberté vis-à-vis des applications tout assurant la protection la conformité du réseau de l entreprise pour les administrateurs. Intégration dans Affichage graphique; L intégration est UTM : Utiliser l adresse IP au lieu des users des groupes rend les services en tant qu élément de dans un but pratiquement impossible le contrôle positif des applications. d annuaire de l entreprise règle; dans le logging le reporting.. d authentification seulement; ou il est limité à un élément secondaire de Palo Alto Nworks : L autorisation de l application peut être basée sur des users des groupes en plus ou indépendamment de l adresse IP. règles. Visibilité contrôle du trafic SSL (entrant sortants) Oui Non UTM : Tout le trafic SSL n est pas contrôlé, ni scanné est invisible à l infrastructure de sécurité aux administrateurs. Palo Alto Nworks : Incorpore le déchiffrement l inspection de SSL sur la base de règles (à la fois sur le trafic entrant sortant), pour visibilité totale.

8 MIEL. LIVRE BLANC 8 Quelques exemples spécifiques : Google Talk, SharePoint, Ultrasurf Le contrôle la visibilité des applications doit permtre aux entreprises de spécifier ce qui doit être autorisé, pas seulement ce qui doit être bloqué. La meilleure façon de démontrer l intérêt d utiliser le firewall comme élément de contrôle est par l exemple. Prenons trois applications règles associées auxquelles les organisations devront faire face : bloquer Google Talk, bloquer Ultrasurf, autoriser SharePoint. Commençons par Google Talk. Il semblerait facile pour un IPS d avoir une signature pour identifier Google Talk, permtant à un administrateur de bloquer Google Talk. C IPS pourrait aussi avoir des signatures pour bloquer Google Talk Gadg, Gmail Chat, Google Talk File Transfer. Cependant, il y a 2 challenges potentiels : «L agilité» de ces applications sur les ports utilisés rendent l identification de l application incertaine (les moteurs des IPS continuent d utiliser le port pour déterminer quel décodeur utiliser, les signatures sont écrites pour des décodeurs spécifiques). Les administrateurs doivent alors spécifier tous les ports à explorer. Gmail transite par défaut dans SSL, la plupart des IPS ne sont pas capables de décrypter le trafic SSL sortant Ainsi Gmail fonctionne bien, quel que soit la règle mis en place sur l UTM. La technologie App-ID de Palo Alto Nworks inclut la possibilité de décrypter SSL, couplée à l indentification de l application. Dans ce cas on inclut le contrôle des transferts de fichiers dans Gmail aussi bien que dans Gmail Talk (une implémentation spéciale de Google Talk embarquée dans Gmail). Bloquer UltraSurf. Quiconque sait ce qu UltraSurf fait aimerait le bloquer dans la mesure où il perm aux utilisateurs de faire passer n importe quelle application Intern dans un tunnel encrypté capable de traverser les firewalls traditionnels, les proxys les systèmes IPS. Le challenge réside dans l utilisation par UltraSurf d une implémentation propriétaire de SSL pour contourner les décodages de protocole la détection de signature, afin que les IPS ne puisse ni identifier, ni bloquer UltraSurf. La technique du «trouvez-le tuez-le» ne fonctionne que si vous pouvez «le» trouver. Dans la mesure où UltraSurf peut être utilisé pour «tunneliser» n importe quelle application, tous les autres contrôles d application sont rendus inutiles. App-ID de Palo Alto Nworks utilise son moteur heuristique pour identifier UltraSurf, pour suivre ses tactiques d évasion souvent changeantes. Autoriser SharePoint. Les systèmes IPS sont conçus pour bloquer, pas autoriser, c est pourquoi il n est pas possible d autoriser SharePoint de manière sûre. Au lieu de cela, il faudrait bloquer tout le reste. Mais comment faire? Il faudrait connaitre toutes les applications du marché avoir une interface d administration qui permte de faire une sélection du type «tout sauf SharePoint». Or aucune solution n existe ni ne sera disponible compte tenu du rythme d arrivée des nouvelles applications sur le marché.

9 MIEL. LIVRE BLANC 9 La technologie App-ID de Palo Alto Nworks rend l autorisation sécurisée de SharePoint très simple. Il n est même pas nécessaire de connaitre les ports utilisés. Il est possible de contrôler les fonctions à l intérieur de SharePoint (SharePoint, SharePoint Admin, SharePoint Blog Posting, SharePoint Calendar, SharePoint Documents, SharePoint Wiki) /ou de limiter leur utilisation (par exemple réserver SharePoint Admin pour les administrateurs informatiques). On sécurise ensuite en scannant les menaces qui ciblent n importe lequel des composants de SharePoint (ex. : SQL Server, IIS). Conclusion Les solutions IPS ont été conçues pour contourner un défaut systémique du firewall : le manque de visibilité de contrôle des applications. Pour éviter une administration complexe multi-solutions, certains éditeurs ont ajouté dans une même appliance des solutions IPS antimalwares à un firewall classique de type «stateful» : c est l UTM. Dans les 2 cas, ces solutions restent dépendantes du modèle de base de classification du firewall interviennent a posteriori, pour détecter les malwares ou autres vulnérabilités pour bloquer aveuglément. Le modèle de contrôle négatif d un IPS pose des problèmes de granularité n a aucune action sur les signatures non détectées. Palo Alto Nworks corrige les défauts du firewall en s attaquant au cœur du problème : l identification de l application, indépendamment du port, du protocole, du chiffrement SSL ou de toute autre technique d évasion. L identification de l application devient alors la base des règles du firewall. Un contrôle aussi granulaire, qui associe de surcroît l utilisateur non l adresse IP, ne peut s appliquer que sur une plateforme conçue en amont dans c objectif, avec des technologies d identification sans précédent : c est le firewall de nouvelle génération. C est Palo Alto Nworks.

10 MIEL. LIVRE BLANC 10 Traduit de l anglais. Octobre A propos de Palo Alto Palo Alto Nworks a été fondée en 2005 par le visionnaire de la sécurité, Nir Zuk, avec pour mission de ré-inventer le pare-feu afin qu¹il soit de nouveau l équipement le plus stratégique dans le dispositif de sécurité d un réseau d'entreprise. Son conseil d'administration son équipe de direction sont constitués d anciens dirigeants /ou fondateurs parmi les plus importantes sociétés de sécurité réseau technologies connexes, incluant l'invention du Stateful Inspection, les matériels de sécurité de prévention d'intrusion. Quant à son équipe de recherche développement, elle a fait la preuve de ses compétences dans des fonctions similaires dans des entreprises telles que Check Point, Cisco, NScreen, McAfee, Juniper Nworks d'autres. La société a commencé à distribuer sa famille de Nouvelle génération de parefeu en 2007 a installé cte solution dans des centaines d'entreprises organisations du monde entier, y compris de nombreuses entreprises classées Fortune 500 compte à ce jour plus de 1200 clients actifs dans le Monde. Palo Alto Nworks a ouvert des bureaux de vente répartis en Amérique du Nord, Europe, Asie-Pacifique, au Japon, commercialise ses pare-feu par l'intermédiaire d'un réseau mondial de distributeurs de revendeurs. A propos de Miel Depuis 1985, Miel découvre distribue en France les nouvelles technologies pour l'informatique des entreprises dans les domaines des réseaux, des systèmes, de la sécurité de l'informatique industrielle. Ses ingénieurs s'appuient sur un réseau de partenaires intégrateurs pour diffuser ces produits sur le marché. APPELEZ LE