Offre FortiGate. Passerelles de sécurité intégrant de façon unique les services :

Transcription

1 Offre FortiGate Passerelles de sécurité intégrant de façon unique les services : firewall/vpn anti-virus filtrage de contenu anti-spam détection/prévention d intrusion Pour les environnement SOHO, grandes entreprises ou opérateurs de services Alliant les performances de l Asic à la simplicité d administration des appliances Février 2004 Nathalie Rivat nrivat@fortinet.com

2 Page 2 TABLE DES MATIERES 1. FORTINET LA SOCIETE CRÉATION DE FORTINET EQUIPE FORTINET PRÉSENCE INTERNATIONALE OFFRE FORTINET Gamme FortiGate Centre de recherche FortiResponse CLIENTS POSITIONNEMENT DE L OFFRE FORTINET ANALYSE DU MARCHE Des attaques plus dangereuses sur le contenu applicatif Approche conventionnelle Un coût prohibitif Une sécurité discutble Des performances inadaptées Conclusion OFFRE FORTINET FONCTIONNALITE DE LA GAMME PRODUIT ARCHITECTURE FortiAsic FortiOS L ELEMENT CLEF: DES FONCTIONNALITES REELLEMENT INTEGREES Gestion du trafic en entrée Traitement des données en sortie Analyse IDS Conclusion FONCTIONNALITES DES PASSERELLES FORTIGATE Anti-virus Méthode de recherche et d analyse Détection et suppression du virus Support de tout type de fichiers Particularité des flux SMTP et FTP Mise à jour de la base des signatures Service complémentaire: le filtrage des fichiers Filtrage en fonction du nom du fichier Filtrage de fichiers et s en fonction de leur taille Messages de remplacement Mise en quarantaine Un service anti-virus transparent pour les utilisateurs Paramétrage des profils Logging et alertes Filtrage de contenu Différente combinaison de services : les profils Application d un profil à un type de trafic : les règles de flux Création des listes Messages de remplacement Logging et alertes Anti-SPAM Deux scénarios de contrôle : POP3/IMAP ou SMTP Spécificité SMTP Combinaison de services : les profils Pare-feu Mode transparent ou mode routé Matrice de flux Zones VLANs... 35

3 Page VLANs et mode routé VLANs en mode transparent Définition des règles firewall Anti-spoofing et MAC binding Gestion de bande passante Authentification Divers : DHCP Server, DHCP relay, PPPoE Routage Logging et alertes Détection et prévention d intrusion Attaques détectées Méthodes de détection Signatures Anomalies Prévention d intrusion Activation par règle de flux Logging Clustering et HA SUPPORTED RFCS AND DRAFTS GAMME FORTIGATE INFRASTRUCTURE FORTIRESPONSE FORTIRESPONSE CENTER FORTIRESPONSE SECURITY RESPONSE TEAM FORTIRESPONSE DISTRIBUTION NETWORK ADMINISTRATION Gestion individuelle des boitiers Administration par commande en ligne Administration graphique Support SNMP FortiManager Architecture client/serveur CONCLUSION... 60

4 Page 4 1. FORTINET LA SOCIETE 1.1. CRÉATION DE FORTINET Fortinet, société privée, a été créée en l an 2000 par Ken Xie, fondateur visionnaire et précédemment président et CEO de Netscreen EQUIPE FORTINET Fortinet rassemble une équipe d experts mondialement reconnus dans le secteur de la sécurité réseau et des anti-virus. Font partie de cette équipe : Ken Xie précédemment architecte de Netscreen Joe Wells fondateur de la WildList ( et développeur de moteur de recherche anti-virus pour diverses sociétés comme Symantec et Trend Micro, expert reconnu dans le domaine des attaques virales Michael Xie précédemment directeur de la branche Recherche & Développement de Netscreen, et architecte des firewalls Milkway PRÉSENCE INTERNATIONALE Le siège de la société est basé à Santa Clara, en Californie. Fortinet dispose de bureaux en Australie, en Europe (France, Allemagne, Royaume-Uni, Suède, Italie), en Asie (Corée, Chine, Japon, Taiwan, Malaisie) et au Moyen-Orient (UAE/Dubai). Le support technique européen et le centre de formation sont situés en France, à Sophia Antipolis OFFRE FORTINET Gamme FortiGate Netscreen a ouvert la voie des équipements pare-feu : qui assurent un bon niveau de performance grâce à une accélération matérielle des flux (réalisée par des composants silicium) et au format d appliance, ce qui simplifie considérablement leur exploitation. Le marché a répondu avec enthousiasme à cette innovation. Les fondateurs de Fortinet qui avaient mis au point la technologie Netscreen, en ont repris les principes dans la gamme FortiGate, tout en étendant leurs domaines d application. La passerelle FortiGate a été conçue pour délivrer une gamme complète de service de sécurité, du réseau (parefeu, VPN, détection et prévention d intrusion) au contrôle des données (anti-virus, filtrage de contenu) en une appliance dédiée et particulièrement simple à gérer. Fortinet repousse ainsi les limites de performance des solutions conventionnelles et offre enfin un traitement adapté aux applications exigentes du commerce électronique, ou au trafic temps réel du multi-média et du web. Les passerelles FortiGate détectent et éliminent tous les types d attaque sans dégrader les performances du réseau. Au sein d un même boitier, cette puissance peut être mise au service de l une quelconque des fonctions de sécurité ou de toute combinaison de ces services.

5 Page 5 Fortinet a mis en place une politque commerciale unique : les passerelles sont commercialisées sans contrainte de licence, indépendamment du nombre d interfaces connectées, d adresses IP ou de postes utilisateurs clients déployés sur le réseau. Une gamme certifiée La passerelle FortiGate a reçu la certification ICSA dans chacun de ses quatre domaines d excellence: pare-feu anti-virus VPN IPsec détection d intrusion. Fortinet a gagné plusieurs prix grâce à sa technologie innovante (consultable sur le site web Fortinet a remporté, avec ses produits antivirus/firewall FortiGate, le prix Top Choice Award de VARBusiness Tech Innovators, dans la catégorie sécurité. Fortinet était en compétition avec près de 250 entreprises ayant posé plus de 400 candidatures différentes sur 8 catégories technologiques. La solution FortiGate 400 Antivirus Firewall a remporté le prix de la rédaction du magazine Internet Telephony pour ses performances et son prix compétitif. SC Magazine a attribué à Fortinet en 2003 le trophée Best Buy pour la solution FortiGate 3600 Enterprise Antivirus Firewall. 5 étoiles (sur 5) et des mentions «excellent» lui ont été attribuées pour ses fonctionnalités, sa performance et son prix compétitif. Les quadrants magiques du Gartner positionnent Fortinet parmi les acteurs visionnaires du marché Centre de recherche FortiResponse Fortinet a créé un centre de recherche, le FortiResponse qui opére 24h/24h, 7 jours sur 7, pour identifier les attaques et mettre au point les signatures.

6 Page 6 Il inclut : un réseau de serveurs chargés de distribuer les bases de données (virus/attaques), un portail Web qui fournit en temps réel des bulletins sur l activité du centre, ses recherches et ses mises au point, et met à disposition une large gamme d information, telle une encyclopédie des attaques ou une encyclopédie des virus CLIENTS La très large gamme FortiGate (12 boitiers) est adaptée aux besoins et aux budgets les plus divers, des environnements SOHO, TPE/PME/PMI, à ceux des grandes entreprises et opérateurs Telecom. Les environnements SOHO et TPE/PME/PMI peuvent désormais bénéficier d une sécurité complète, offerte par un boitier unique, particulièrement simple à configurer - là où les offres traditionnelles ne leur proposaient que des déploiements multi-boîtes, inadaptés, excessifs en coûts matériels et en coûts d opération. Les grandes entreprises et opérateurs de service peuvent également accéder, avec une gamme FortiGate qui leur est adaptée, à une architecture de plate-forme de sécurité simplifiée, plus sécurisée. Si l entreprise a déjà mis en place une infrastructure, la passerelle FortiGate sait s inscrire de façon totalement transparente dans l environnement existant, et coexiste avec des pare-feu, des passerelles VPNs ou tout autre équipement de sécurité déjà déployé (mode de fonctionnement dit «transparent»). 2. POSITIONNEMENT DE L OFFRE FORTINET 2.1. ANALYSE DU MARCHE Des attaques plus dangereuses sur le contenu applicatif Les premières générations d attaques ont ciblé le réseau Si dans les premiers temps de l informatique, la sécurité physique était au coeur des préoccupations pour protéger les données, à l arrivée des réseaux, les pirates ont porté leurs efforts sur les protocoles de communications. Ils ont développé des attaques ciblant les connexions réseau pour accéder ou compromettre les données privées de l entreprise. Leurs méthodes incluaient le «spoofing» d adresses, la recherche de mots de passe, les dénis de services. La prévention de ces attaques a conduit au développement des firewalls, des passerelles VPNs, et des systèmes de détection d intrusion. Les attaques d aujourd hui se basent sur les contenus applicatifs Aujourd hui un nouveau type d attaque s est répandu, plus grave et plus efficace, qui porte sur les couches applicatives.

7 Page 7 Ces attaques plus dangereuses ne requièrent plus le maintien de connexions réseau pour agir. Une fois le virus ou le ver inséminé dans l ordinateur, celui-ci opère indépendamment de l attaquant. Contrer ce type d attaque est impossible si l on se limite au niveau réseau, puisque le ver provient souvent d une connexion légitime, comme un ou une page web : ces attaques proviennent de codes malicieux contenus dans le trafic Internet. Ils prennent la forme de ver, de virus, de contenu actif de page HTTP, de chevaux de troie qui se disséminent dans les réseaux privés via la simple consultation de pages web ou la réception d s. Ce mode de propagation assure une puissance d attaque décuplée. Les entreprises ont ainsi été les témoins d une très forte croissance à la fois du nombre des attaques et de leur sévérité. Par exemple, Nimda a été le premier code à modifier des sites web existants et à insérer un code malicieux dans les pages du serveur infecté. Les navigateurs web qui consultent ses pages modifiées sont automatiquement infectés. Le ver se propage ainsi très facilement derrière les réseaux même protégés par des firewalls. Les pirates utilisent de plus en plus des attaques dites combinées («blended threats») qui font appel simultanément aux techniques d attaque réseau et aux techniques d attaques applicatives qui exploitent les vulnérabilités des systèmes d exploitation et de ses logiciels. Ils utilisent souvent des méthodes d intrusion multiples qui permettent aux vers de se propager très rapidement. Etant donné les modes de propagation utilisés, ces attaques se répandent dans les sociétés indépendamment de leur secteur d activité, de leur taille, ou de la valeur de leur données informatiques. Potentiellement, toute société est concernée et peut être victime. Le coût des dommages pour les entreprises est considérable ; il est estimé à 10 milliards de dollars annuellement ; il est en constante augmentation. L année de leur parution, les vers Nimda et Code Red ont été à eux deux responsables de plus de 60% des attaques enregistrées. Les coûts combinés des dommages et des réparations ont été estimés à 5,5 milliards de dollars (source eweek). Garantir un usage approprié des ressources réseau Les entreprises souffrent également de l usage impropre qui sont faits des ressources réseau. Une attention grandissante est portée à ce qu il en soit fait un usage efficace : Les messages SPAM sont en haut de la liste des abus réseau pour une très grande partie des entreprises. AT&T Worldnet estime que 20% des messages reçus sont de ce type. Les opérateurs de service Internet estiment qu ils représentent 50% de leur trafic mail. L usage impropre qui est fait des connexions Internet à des fins de jeux, «chat», recherche de musique, consultation de sites inappropriés, téléchargement de fichiers, monopolise une part conséquente de la bande passante et du temps de travail. La productivité de l entreprise est significativement impactée Approche conventionnelle Les éditeurs/constructeurs ont répondu initialement aux attaques internet en développant ponctuellement une série de solutions : les pare-feu, les passerelles VPN, les sondes de détection d intrusion. Afin de contrôler les connexions entrantes sur les réseaux privées, les pare-feu permettent par translation d adresse de prévenir qu un système externe ne cible ses attaques contre une adresse privée. Cette translation a permis de lutter efficacement contre un grand nombre d attaque réseau. Les pare-feu examinent également l en-tête des paquets et contrôlent les adresses IP, les protocoles et les ports UDP/TCP. Les paquets sont acceptés ou rejetés

8 Page 8 indépendamment du contenu applicatif. Au niveau du trafic web, le pare-feu se contentera d accepter toute connexion sur le port 80. Ces outils pare-feu, IDS, VPN, ne sont pas capables d analyser le contenu des sessions. Ils ne réassemblent pas les données transportés par les paquets. Ils ne s intéressent qu à l enveloppe de ces données, non à leur contenu. Ils restent totalement inefficaces contre les attaques de contenu. Virus, vers et chevaux de troie sont indétectables par les firewalls. Ils ne sont pas plus efficaces pour vérifier si le contenu des données échangées est approprié au contexte de l entreprise (filtrage SPAM, sites pornographiques, etc.). Une collection plus complète de systèmes individuels a donc été développée, pour compléter les services pare-feu, VPNs, IDS/IDP : logiciels anti-virus, logiciels de filtrage d URLs, de filtrage anti-spam, etc. - chacun ne répondant chacun qu à une partie de la problématique Un coût prohibitif Les entreprises ont été contraintes de déployer des architectures multi-boîtes coûteuses. Chaque composant de la solution représente autant de systèmes à gérer individuellement : multiplication des installations, des paramétrages, des opérations de maintenance diversité des connaissances à acquérir sur chacun des systèmes d exploitation et sur chacun des logiciels. complexité des architectures et multiplication des points de failles et d incidents potentiels. La construction d une plate-forme de sécurité multi-boîtes, son acquisition, son implémentation et son intégration, sa gestion et sa maintenance sont des défis coûteux qu un grand nombre d entreprise de moindre taille ne peuvent se permettre de relever. Elles ont donc longtemps été contraintes de ne répondre qu à une partie de la problématique. Nombre de sites n ont pu s équiper que d une solution de sécurité partielle Une sécurité discutble Les éléments individuels de la plate-forme de sécurité multi-boîtes sont difficiles à intégrer, et ne sont pas conçus pour interopérer entre eux. Pour répondre efficacement à une attaque qui se répand rapidement, chaque élément doit réagir de concert et en temps réel Des performances inadaptées Le niveau de performance offert par les solutions conventionnelles est faible. La puissance processeur requise est considérable pour extraire les données de multiples paquets, reconstruire le contenu applicatif original, scanner les données, et déterminer des signes d attaques. Les solutions conventionnelles, majoritairement logicielles, sont incapables de délivrer la puissance nécessaire à un traitement temps réel des flux : le traitement des flux web nécessite la prise en compte très rapide de paquets de petite taille (par opposition au trafic de messagerie). Si un message peut attendre 30s sur une passerelle anti-virus, il n est pas admissible de subir 3 à 5s d attente sur des pages Web. Or aujourd hui 25% des attaques de contenu sont délivrées par des pages webs. Si la majeure partie des sociétés ont déployé des solutions de contrôle de flux messagerie, rares sont celles qui vérifient les flux web, faute de solution abordable et performante.

9 Page 9 Multiplier les composants d une plate-forme additionne d autant les délais de transmission, augmentant significativement la latence, puisque chaque équipement doit effectuer les mêmes opérations de réassemblage et de reconstitution des données transportées. Un anti-virus reçoit l ensemble des paquets d une session, charge les données en mémoire, en analysant leur contenu par rapport à une base de signatures. Si ce même flux traverse un système de filtrage de contenu, les paquets vont être à nouveau interceptés pour restituer les données qui seront comparées par rapport à une base de mots clefs et d URLs Conclusion En conclusion, les solutions de sécurité conventionnelles requièrent une multiplicité d équipements, induisent des coûts d investissement et de gestion élevés, sont difficiles à coordonner et à intégrer, et ne répondent pas aux attentes utilisateurs en terme de performance. Un changement significatif des technologies de l information crèe un nouveau challenge pour les entreprises qui utilisent le commerce électronique et la collaboration en ligne pour offrir leurs services. Les solutions conventionnelles ne sont pas adpatées à leur contrainte de fonctionnement. Une nouvelle approche est donc nécessaire OFFRE FORTINET L unique façon de délivrer des services efficaces de contrôle de contenu serait de réassembler les paquets, reconstruire les données fichiers, programmes, etc. puis de scanner le tout pour rechercher, en seule fois et rapidement (par Asics), les virus, vers, URLs non autorisées et mots interdits. C est exactement ce pourquoi ont été conçues les passerelles FortiGate. Ce sont les premiers équipements à avoir été élaborés pour fournir une protection complète du réseau, au sein d une appliance performante, unique et intégrée. Les données échangées sur le réseau ne subissent qu une seule opération de ré-assemblage et une analyse accélérée puisqu opérée par des composants silicium. Architecturée autour d un système d exploitation, d un matériel dédié, et de l asic FortiAsic développé par Fortinet, les passerelles FortiGate offrent une intelligence applicative complète : pare-feu, VPNs, détection d intrusion, gestion de bande passante, anti-virus, filtrage de contenu, pour des débits pouvant atteindre jusque 4Gb/s (FortiGate 3600). En consolidant l ensemble des services de sécurité, elles permettent de simplifier considérablement les architectures tout en éliminant les goulots d étranglements logiciels. Elles assurent une utilisation optimale des ressources réseau, en améliorent la sécurité sans compromettre les performances, pour un coût toujours inférieur aux solutions conventionnelles. Réduction des coûts matériels et logiciels Un point clef du positionnement de l offre Fortinet, outre la richesse des fonctionnalités de sa gamme, est la suppression de tout concept de licence. Toutes les fonctions sont disponibles quelque soit l équipement. Leur activation ne dépend que des configurations établies par les administrateurs et non de licences logicielles.

10 Page 10 Ainsi les fonctions d anti-virus, de filtrage de contenu sont implémentables sur l ensemble de la gamme pour un nombre illimité de postes clients ; la fonction firewall gère un nombre illimité d adresses IP, la fonction IDS analyse un nombre quelconque d interfaces. Les élements de la gamme diffèrent entre eux par les débits supportés, les caractéristiques réseau (comme le nombre d interfaces, de VLANs ou la haute disponibilité), ou d autres critères comme la présence d un disque dur local. Réduction des coûts d opération Les coûts d exploitation de la plate-forme de sécurité sont considérablement réduits par la simplification de l architecture. Une passerelle Fortigate est à même de remplacer un nombre impressionnant d équipements réseau si l on tient compte des multiples passerelles firewall, VPNs, anti-virus, filtrage de contenu, sondes de détection d intrusion (une par réseau), répartiteurs de charge, commutateurs de niveaux 2. Le nombre de failles potentielles et d incidents est ramené à son minimum. La présentation des FortiGate sous forme d appliance réduit encore les coûts d exploitation : plus aucun système d exploitation à maîtriser, paramétrer, patcher. Un accent particulier a été mis sur la simplicité de configuration et de gestion des appliances FortiGate. 3. FONCTIONNALITE DE LA GAMME PRODUIT 3.1. ARCHITECTURE La technologie ABACAS (Accelerated Behavior and Content Analysis System) est le fondement de l architecture des FortiGate. Ces composants premiers sont la puce FortiAsic et le système d exploitation FortiOS. Le FortiAsic est un asic développé par Fortinet et spécialisé dans le traitement des contenus applicatifs et la comparaison par rapport à des bases de données, Le FortiOS est un système d exploitation propriétaire, robuste et sécurisé, optimisé pour le traitement des données en temps réel (qui inclut la gestion de files d attente). Cette architecture unique permet aux passerelles d analyser les données applicatives à la vitesse du fil. Les FortiGate couvrent ainsi l ensemble des besoins de sécurité sans impacter les performances du réseau. Elles peuvent être déployées en tant qu anti-virus et filtrage de contenu en complément d un pare-feu et d une passerelle VPN existante, ou bien comme système complet de protection du réseau.

11 Page FortiAsic La puce FortiAsic dispose de quatre moteurs d analyse de contenu qui accélèrent les traitements anti-virus, VPN, pare-feu, IDS et filtrage de contenu. Le moteur de recherche est capable d identifier des donnéees de différents types parmi des milliers de signatures de virus, d attaques, de mots clefs, d URL, d adresse s, d adresses de serveurs SMTP, etc. Le moteur de chiffrement supporte entre autre les algorithmes AES et 3DES. Un FortiGate peut délivrer un très haut débit VPN, tout en analysant les flux déchiffrés au niveau anti-virus. Enfin, le moteur firewall accélère l analyse des en-têtes réseau, et le moteur de gestion de flux exécute les opérations de «traffic shaping». Mise à jour dynamique des bases de données et des moteurs de l asic La définition des virus et des attaques sous forme de signatures est stockée dans une base logicielle, mise à jour régulièrement et automatiquement, sans interruption de service. L architecture FortiGate est évolutive. Les moteurs d analyse se mettent à jour pour prendre en compte de nouvelles bases de signatures, de nouveaux algorithmes de recherche pour contrer de nouveaux types d attaques (anti-virus, IDS), pour supporter de nouveaux algorithmes de chiffrement, comme AES. Le schéma ci-dessous illustre l architecture matérielle des passerelles FortiGate. Architecture Fortigate

12 Page 12 La mémoire à partir de laquelle travaille le FortiAsic est dimensionnée de 64Mo à 1 Go en fonction des équipements FortiOS Le système d exploitation FortiOS est un système propriétaire mis au point par Fortinet. Il a été développé autour de critères : de sécurité, de performance nécessaire à l analyse temps réel des applications, et de portabilité sur différents type de matériel. Il peut être executé sur des processeurs ARMs (FortiGate entrée de gamme) ou des processeurs Intel (monoprocesseur Intel mileu de gamme et bi-processeurs en haut de gamme). Cette portabilité assure à Fortinet un très large portfolio (12 boitiers aujourd hui) adapté à tous les prérequis en terme de performance et de budgets. Le cœur de ce système d exploitation est un noyau optimisé, sécurisé, temps réel et optimisé au traitement des paquets. Il fournit une ossature et un environnement commun à l ensemble des applications Fortinet. Le FortiOS supporte des APIs permettant l intégration aisée d applications qui tournent sur des systèmes d exploitation standard comme Linux tels Secure Shell, ou serveur Web. Le FortiOS supporte de multiples applications. Aujourd hui les passerelles FortiGate offrent des services pare-feu, VPN, IDS/IDSP, filtrage de contenu, de gestion de bande passante. Dans sa porchaine version logicielle, il supportera encore : une fonctionnalité anti-spam, les réseaux wireless, les pare-feu virtuels L ELEMENT CLEF: DES FONCTIONNALITES REELLEMENT INTEGREES Les appliances FortiGate se distinguent de tout autre type d équipement dit «intégré» par son architecture unique, mise au point dès le départ pour supporter l ensemble des éléments clefs de la sécurité. Elle a été d emblée optimisée pour prendre en compte l ensemble des traitements pare-feu, anti-virus, IDS/IDP, filtrage de contenu. Il ne s agit donc pas d un pare-feu auquel on aurait rajouter des fonctions de détection d intrusion ou de filtrage de contenu. Il ne s agit pas non plus d un système de détection d intrusion qui aurait peu à peu intégré des fonctions de pare-feu. Les passerelles FortiGate ont été conçues, élaborées pour gérer de façon optimisée l ensemble des fonctions de sécurité, des couches réseaux aux couches applicatives. Toutes les applications supportées sont le résultat d un développement Fortinet. L objectif des paragraphes suivant est de montrer en quoi l intégration de fonctions multiples offre un service que les architectures multi-boîtes ne peuvent égaler.

13 Page Gestion du trafic en entrée Le module de routage Lorsqu un FortiGate reçoit un paquet sur une interface, il le transmet au module de routage : Le module de routage détermine à partir des adresses IP si le paquet est accepté ou non. Son travail dépend du mode de configuration du FortiGate. En mode routé, la passerelle ne prend en compte que les paquets qui lui sont envoyés à son adresse MAC propre. Le module de routage supporte les routes statiques en fonction des adresses de destination, mais également du «policy routing» en fonction des adresses sources, ou des ports TCP/UDP, et du routage dynamique RIP. en mode transparent, la passerelle fonctionne en pont de niveau 2 ; les paquets reçus sur une interface sont transmis à une interface de sortie en fonction de l adresse MAC destination. Si celle-ci n est pas connue, le paquet est floodé. Le paquet est ensuite envoyé au module de déchiffrement. Module de Chiffrement Le module de chiffrement examine si le paquet est chiffré ou non. Si tel est le cas, il identifie la session IPSec à partir de l identifiant SPI, puis déchiffre le paquet.

14 Page 14 Une fois le paquet déchiffré, il est pris en charge par le module pare-feu. Le module Pare-feu Le module pare-feu examine si le paquet doit être accepté ou rejeté : Si c est un paquet qui n appartient pas à une session existante, il identifie la règle qui doit s appliquer, en tenant compte du calendrier horaire. Sinon, si le pare-feu ayant conservé une table des sessions en cours, il n est plus besoin d identifier la règle qui s applique. Le module TCP et application Si le paquet fait partie d un flux Web ou messagerie (ou certains autres protocoles comme H323), et si la règle firewall indique qu un contrôle de contenu ou un contrôle anti-virus doit être appliqué, le paquet est envoyé au module applicatif. La couche applicative reconstruit les données. Le contenu est copié dans un buffer spécifique pour être ensuite analysé par le FortiAsic. Le moteur anti-virus et le moteur de filtrage de contenu utilisent des signaux de synchronisation avec le moteur firewall pour informer du statut du buffer, de sorte que dès qu un virus est détecté, ou qu un contenu doit être bloqué parce que non autorisé, le pare-feu puisse annuler le transfert et envoyer un message d alerte. Si le module de filtrage de contenu détecte un mot ou une URL interdite, le traitement anti-virus s arrête de concert, et le trafic est bloqué. Et vice versa.

15 Page Traitement des données en sortie Le processus pour que les données quittent le FortiGate suit le chemin inverse, auquel s ajoute le module de «traffic shaping». Cette fonction est activée en fonction des paramètres de la règle firewall dans lequel s inscrit le flux Analyse IDS Le module IDS intervient à tous les niveaux de la vie d un paquet. Il fait appel au FortiAsic pour rapidement analyser les flux à chacune des étapes suivies (réseau, transport, application). Il interagit de façon spécifique avec le module firewall pour bloquer le trafic dès qu il détecte une attaque à n importe quel niveau d analyse. Le module firewall exécutera également toute action complémentaire spécifiée par la signature, comme bloquer un trafic avec un port TCP spécifique, provenant d une source spéficique, et pendant un certain laps de temps Conclusion L interaction des différents modules permet l optimisation des traitements. Les modules agissent de concert. Si le module de filtrage de contenu détecte un mot, une URL interdite, ou un spam, l analyse anti-virus est arrêtée, et la session peut être bloquée par le firewall. De même, l IDS pilote le firewall pour prévenir les attaques.

16 Page FONCTIONNALITES DES PASSERELLES FORTIGATE Anti-virus Un système anti-virus efficace requière une architecture dédiée unique et optimisée. Les élements clefs de la solution Fortinet reposent sur : son architecture ABACAS TM. et son centre de support et recherche, l infrastructure FortiResponse 1. La fonction anti-virus des passerelles FortiGate est avant tout basée sur une recherche de signatures, technique qui reste aujourd hui la plus fiable et la plus répandue. Elle implémente aussi des techniques complémentaires comme la recherche macro et la recherche heuristique. La recherche par signatures requière moins de puissance de traitement, les recherches heuristiques étant les plus consommatrices. Le moteur commence par la méthode de recherche la moins consommatrice. D un qu un virus est détecté, la recherche s arrête. Implémenter plusieurs techniques de détection garantit le meilleur service de recherche anti-virus Méthode de recherche et d analyse Recherche par signature Les passerelles FortiGate disposent d une base de données de signatures (chargée en mémoire) et d un moteur de recherche (exécuté par le FortiAsic). Le moteur examine les données utilisateurs et identifie un virus par comparaison d après la base de signatures. Une signature simple est une chaîne d octets qui correspond à une séquence du code d un virus. Une signature peut se compliquer par incorporation de «wildcard» pour prendre en compte les variations d un virus. Les auteurs de virus ont considérablement compliqué le travail des chercheurs anti-virus en chiffrant le code du virus, ce qui lui donne un caractère aléatoire et rend le développement d une signature beaucoup plus complexe. Ils ont également mis au point des virus polymorphiques, qui se modifient sensiblement à chaque réplication, compliquant encore la génération des signatures. La détection des virus est d autant plus consommatrice en ressources que la base de données des signatures est importante, et que les signatures sont complexes. Face à la croissance des attaques dites combinées («blended attack»), le challenge est à présent d offrir des systèmes qui soient capables d identifier et bloquer les virus en temps réel quelque soient les débits réseaux. Il faut par ailleurs noter que la taille de la base de données des signatures n est en aucun cas un gage de qualité ou d efficacité d une soluton anti-virus, contrairement à ce que certains éditeurs tendent à faire croire. Il n est pas rare de voir des produits afficher une base de virus. Si de façon intuitive, l efficacité d une solution anti-virus peut être perçue comme liée au nombre de signatures détectées, la réalité est assez différente. Sur virus connus à ce jour, il n en existe que effectivement actifs. Cette liste des virus actifs est 1 Voir le paragraphe 4 Infrastructure FortiResponse page 53

17 Page 17 maintenue à jour par une communauté d experts, regroupés au sein de la «WildList». Parmi les virus restants, certains n ont jamais été publié, d autres ont été conçus pour infecter des systèmes d exploitation ou des applications qui n ont plus cours. Un moteur qui rechercherait à identifier des virus en utilisant une telle base de données perdrait en efficacité et impacterait significativement les performances du réseau par des temps de latence accrus. Recherche par Macro La recherche par Macro permet d extraire les macros des fichiers MS Offices, pour détecter les virus connus. Elles sont analysées pour vérifier si leur comportement est suspect, comme importer/exporter du code, écrire dans les registres, tenter de dévalider des fonctions de sécurité. Si l un de ces tests s avère positif, le fichier est considéré comme infecté par un virus macro. Recherche heuristique Les méthodes de détection heuristiques sont appliquées par les FortiGate pour la recherche de virus dans les fichiers exécutables. Elle s adresse aujourd hui essentiellement aux binaires de type PE (Portable Executable). Ce format est utilisé par Microsoft comme standard de fichier exécutable depuis Win95. Les auteurs de virus ont donc adapté leurs techniques pour être capables d infecter ces binaires. En examinant le format de ces fichiers, et en observant certains types de modifications, il est possible d arrêter un virus, alors même qu il n existe pas encore de signature pour ce fichier. Le moteur FortiGate applique donc un certain nombre de tests aux fichiers PE. Le résultat de chaque test produit une note. Les notes sont ensuite pondérées et additionnées, et si le résultat final dépasse un seuil, le moteur indique qu un virus est présent. Recherche contextuelle Le moteur de recherche du FortiAsic analyse les flux de façon contextuelle. En fonction des données bufferisée, il ne consulte en mémoire que les portions appropriées de la base de signatures Détection et suppression du virus Les FortiGate protège les réseaux de l ensemble des virus actifs et entre autres ceux définis par la WildList. La WildList est la liste qui fait autorité dans l identification des virus en activité. Pour plus d information, on peut consulter la WildList sur La liste des virus détectés, la date de parution des signatures, et la version de la base de données qui permet de lutter contre, est à disposition sur le site web Font par exemple partie des attaques détectées, les attaques de type Cross-Site Scripting. Les attaques de type SQL Injection sont quant à elles bloquées par le moteur IDS. Si un virus est détecté dans un flux HTTP, FTP ou (IMAP, POP3), le FortiGate supprime le fichier virusé, et le remplace par un message d alerte qui est envoyé à l utilisateur. Quand le FortiGate dispose d un disque dur, une option de quarantaine est disponible.

18 Page 18 La passerelle peut se configurer pour analyser sur des ports non standard les protocoles HTTP, POP3, SMTP et IMAP. Il est par exemple possible de configurer jusqu à 20 ports d écoute HTTP Support de tout type de fichiers Le moteur anti-virus recherche tous les fichiers associés au flux HTTP et messagerie : par exemple, les exécutables (exe, bat, com) les fichiers visual basic (vbs), les fichiers compressés (en gérant jusqu à 12 niveaux de compression), les économiseurs d écrans (scr), les librairies dynamiques (dll), les fichiers Microsoft Office, etc. Nombreux attachements utilisent les formats d extension MIME (Multipurpose Internet Mail Extensions). Le moteur anti-virus est capable d examiner les données MIME pour identifier les fichiers cibles. Une fois les fichiers cibles interceptés, ils sont analysés par le moteur. Afin d optimiser la détection de virus, le moteur de recherche applique une recherche contextuelle : il teste chaque fichier selon la méthode d analyse la plus optimisée, et il adapte sa recherche de virus au type de fichiers. Dans le cas des fichiers Microsoft Office, il vérifiera en particulier les virus macros. SMTP Particularité des flux SMTP et FTP Si un virus est détecté dans un flux SMTP, le FortiGate peut intéragir avec la passerelle SMTP de deux façons différentes : le FortiGate intercepte l , examine la présence de virus, puis si tel est le cas, supprime le fichier qui contient le virus, rajoute un message d avertissement, puis transmet l modifié au serveur SMTP. le FortiGate transmet l au serveur SMTP en même temps qu il le reçoit. S il détecte un virus, il arrête la connexion vers le serveur SMTP, et renvoie un message d erreur au destinataire, listant le virus et le nom du fichier infecté. Cette option, plus efficace en terme de débit réseau, ne permet pas au serveur SMTP d envoyer l à son destinataire. Particularité FTP Deux modes d interaction sont également disponibles entre le FortiGate et les flux FTP. En mode «splice», le FortiGate transmet au réseau le flux FTP en même temps qu il le bufferise. Si un virus est détecté, il arrête le transfert, et supprime le fichier partiellement chargé sur le serveur si les permissions le lui permettent. Utiliser ce mode de transmission permet de réduire les problèmes de timeout FTP lors des transferts de larges fichiers. Lorsque ce mode est désactivé, le FortiGate bufferise la totalité du fichier, effectue son analyse anti-virus, puis transmet le fichier. Si un virus est détecté, le fichier ne sera pas transmis Mise à jour de la base des signatures Les passerelles FortiGate peuvent être configurées pour télécharger automatiquement les mises à jour de la base. Il est aussi possible de réaliser l opération manuellement.

19 Page 19 La base de données est maintenue à jour en fonction des nouvelles attaques contrées par le FortiResponse 2. Lorsque la base est modifiée, les serveurs du FortiResponse prennent immédiatement en compte la modification. Ces serveurs sont accessibles 24h/24h par toute passerelle FortiGate qui se soit enregistrée auprès du centre. Cette inscription se fait «online» : Inscription en ligne d un FortiGate auprès du FortiCenter Lorsqu une passerelle se connecte sur un serveur, sa base de données est mise à jour en moins d une minute. Les passerelles peuvent être configurées pour rechercher de façon régulière si la base de signatures doit être mise à jour (interrogation hebdomadaire, journalière, ou toutes les heures). Un second mode de mise à jour est également disponible : le mode dit «push udate». L architecture du FortiResponse permet à ses serveurs d alerter automatiquement les passerelles qu une nouvelle base est disponible. Les serveurs envoient cette information aux passerelles qui ont été paramétrées pour bénéficier de ce service (message envoyé par UDP sur un port spécifique) ; sur réception de ce signal, les FortiGate déclenchent automatiquement la mise à jour de leur base locale. 2 Voir le paragraphe 4 Infrastructure FortiResponse page 53 pour une description détaillée

20 Page 20 Paramétrage de la mise à jour des signatures Service complémentaire: le filtrage des fichiers Le moteur anti-virus offre également un service d interception de fichiers : en fonction de leur nom, au-delà d une taille limite paramétrable, L interception de fichiers permet de bloquer tous les fichiers qui représentent un risque potentiel. C est la seule protection possible contre un virus pour lequel une signature n aurait pas encore été développée Filtrage en fonction du nom du fichier Tout fichier dont une partie du nom correspond à une des chaînes de caractères configurées est intercepté. Le FortiGate remplace le fichier par un message qui alerte l utilisateur, il inscrit l information dans la log anti-virus, et peut également envoyer un d alerte à un administrateur. Sur un modèle FortiGate 200 ou supérieur qui dispose d un disque dur, les fichiers bloqués peuvent optionnellement être mis en quarantaine. Par défaut lorsque la fonctionnalité est activée, les passerelles FortiGate bloquent les fichiers suivants: Fichiers exécutables (*.bat, *.com, and *.exe) Filchiers compressés ou archives (*.gz, *.rar, *.tar, *.tgz, and *.zip) Librairies dynamic link (*.dll) Applications HTML (*.hta) Fichiers Microsoft Office (*.doc, *.ppt, *.xl?) Fichiers Microsoft Works (*.wps) Fichiers Visual Basic (*.vb?) Économiseurs d écran (*.scr)