Réseau - Sécurité - Métrologie - Data Center Energy News Le coin des technos : Sophos UTM 1er trimestre 2013 Le leader du marché allemand des UTM débarque en France avec des arguments forts! Vous trouverez ci-après un aperçu des principales fonctions que nous jugeons vraiment différentiantes en mesure d apporter une réelle valeur ajoutée à nos Clients : Couplage d un filtrage classique sur adresses IP et d un filtrage applicatif avec contrôle de la bande passante Le filtrage applicatif devient aujourd hui le passage obligé pour tout Firewall / UTM, mais d une part, de fortes différences apparaissent quant aux fonctionnalités et à leur facilité de mise en œuvre et surtout, vous disposez d un existant le plus souvent basé sur des filtrages au niveau IP qu il sera difficile voire impossible de remplacer complètement par un filtrage applicatif. C est là que l approche de Sophos nous est apparue particulièrement intéressante, en couplant finement tout le passé d Astaro en filtrage IP avec un filtrage applicatif puissant et simple à mettre en œuvre. Vous pouvez visualiser en temps réel toutes les applications actives dans votre réseau, attribuer une bande passante maximum ou minimum ou bloquer complètement certaines applications. Vous pouvez par exemple bloquer les jeux, Bittorrent et certaines applications Facebook, tout en limitant la bande passante autorisée pour YouTube, afin de laisser la priorité à l utilisation de SalesForce. Vous pouvez ainsi accélérer les applications critiques, en leur assurant une bande passante adéquate tout en limitant les applications indésirables ou non productives. Ce mode de fonctionnement permet un déploiement simple et sans risque, avec une première étape consistant à faire de l écoute des flux et une seconde étape qui consiste à tagger chaque application en l autorisant, la bloquant ou en limitant la bande passante qui lui est affectée. Filtrage applicatif (protection applicative couche 7) Supervision du trafic applicatif en temps réel Gestion des priorités et de la bande passante au niveau applicatif Edition de rapports sur le trafic applicatif Clustering et optimisation réseau Les appliances Sophos UTM intègrent en standard une fonction de clustering, qui ne requiert aucun équipement extérieur, et peut associer jusqu à dix appliances. L appliance «maître» inspecte chaque paquet avant de le transférer aux autres appliances du cluster, ce qui assure que seules les tâches consommatrices de ressources, telles que l antivirus, le VPN IPsec ou l IPS sont distribuées vers les autres systèmes. Ainsi, l environnement réseau ne nécessite aucune modification, les clusters étant considérés comme un équipement unique. De nouvelles appliances peuvent être ajoutées sans interrompre le trafic, et toutes les configurations et mises à jour sont synchronisées sur l ensemble des systèmes. De nombreuses autres fonctions permettent également d optimiser votre environnement réseau. Haute disponibilité active/passive ne nécessitant aucune configuration Clustering actif/actif pour un maximum de 10 appliances Routage : statique, OSPF, BGP, multidiffusion (PIM-SM) Équilibrage des liens WAN quelle que soit la combinaison de ports 3G/UMTS/Ethernet : 32 connexions Internet, vérification automatique de la validité des liaisons, rétablissement instantané en cas de panne, équilibrage automatique et pondéré, règles de chemins d accès multiples granulaires LAG 802.3ad (interface link aggregation) Équilibrage dynamique de charge sur les groupes de serveurs similaires Accès des petits sites distants (RED Remote Ethernet Device) Les boîtiers Sophos RED apportent une réponse simple et économique au problème de la protection des petits sites distants. Ils assurent le même niveau de protection que pour le site central, sans nécessiter aucune configuration ou intervention experte sur les sites distants pour leur installation ou leur gestion. Ceci permet un déploiement de masse, pouvant dépasser 100 boitiers RED par jour, et une administration entièrement centralisée, qui réduit drastiquement le coût de la protection des petits sites distants. Ceux-ci bénéficient des mêmes services que le site central, y compris d accès WiFi sécurisé, grâce à un choix de points d accès adaptés aux différentes tailles de sites.
Le coin des technos : Sophos UTM Accès des petits sites distants (RED Remote Ethernet Device) Boîtiers RED adaptés aux petits sites, avec option de points d accès WiFi Déploiement simple et rapide ne nécessitant aucune configuration ni expertise sur site Gestion entièrement centralisée via le Cloud Tunnels chiffrés entre les sites distants et le site central (AES256 et certificats X.509) Fonctions UTM complètes pour les sites distants Simplicité du plan d adressage, les sites distants se comportant comme si ils étaient connectés par un câble Ethernet virtuel Simplicité d administration et d utilisation Les appliances Sophos UTM bénéficient d une interface optimisée en simplicité, avec l intégration complète de tous les services proposés. Le déploiement est facilité par l intégration avec Active Directory et edirectory. De plus, les licences intègrent une console centralisée pour superviser, gérer les configuration et éditer des rapports consolidés pour plusieurs appliances si vous avez des sites multiples. La disponibilité de l intégralité des fonctionnalités sur l ensemble de la gamme des appliances Sophos UTM et vous garantit par ailleurs une évolutivité simple et flexible. Interface d administration optimisée en simplicité Intégration complète de tous les services proposés Intégration avec Active Directory et edirectory Déploiement «zéro configuration» pour les boîtiers RED, les points d accès WiFi et les installations en HA ou Cluster UTM Manager inclus dans touts les licences, pour consolider l administration de plusieurs appliances Sophos UTM Filtrage applicatif avec contrôle de la bande passante Avec Sophos UTM vous pouvez visualiser en temps réel toutes les applications actives dans votre réseau, attribuer une bande passante maximum ou minimum ou bloquer complètement certaines applications. Vous pouvez par exemple bloquer les jeux, Facebook et Bittorrent, tout en limitant les diffusions à partir de Youtube, afin de laisser la priorité à l utilisation de Salesforce. Vous pouvez ainsi accélérer les applications critiques, en leur assurant une bande passante adéquate tout en limitant les applications indésirables ou non productives. Filtrage applicatif (protection applicative couche 7) Supervision du trafic applicatif en temps réel Gestion des priorités et de la bande passante au niveau applicatif Edition de rapports sur le trafic applicatif Proxy Web Sophos UTM protège vos utilisateurs lors de la navigation Web et contrôle leur usage d internet conformément à votre charte de sécurité. Les fonctionnalités techniques de l UTM Sophos nous permettent de proposer cette solution comme une alternative très crédible aux solutions spécialisées. Double moteurs antivirus Blocage sur réputation, contre les URL malveillantes et le phishing Filtrage URL sur catégories, par plages horaires, en fonction de l origine réseau, des groupes d utilisateurs Rappel régulier de la charte de la politique d usage internet
Le coin des technos : Sophos UTM Reverse Proxy Web Sophos UTM protège vos serveurs Web contre les attaques modernes et les pertes de données à l aide de technologies intelligentes à base de technologie Reverse Proxy. Techniquement, les fonctionnalités de Reverse Proxy Web de Sophos UTM peuvent constituer un complément intéressant pour les clients qui ne peuvent pas investir techniquement et/ou financièrement dans une solution spécialisée. En résumé sur la partie Reverse Proxy : Blocages des clients sur réputation Protection contre les injections SQL Protection contre le Cross-Site Scripting (XSS) Durcissement des URLs Durcissement des formulaires Signature des cookies Sophos sera présent lors des Universités Prospectives et Technologies organisées par IPenergy Le 22 mai 2013 à Aix en Provence Le 23 mai 2013 à Sophia Antipolis INSCRIPTION GRATUITE Contacter IPenergy : commercial@ipenergy.fr Tél : 04.42.65.75.60
Réseau - Sécurité - Métrologie - Data Center Energy News Le coin des technos : DenyAll 1er trimestre 2013 Patching Virtuel des Vulnérabilités Applicatives avec DenyAll : Intégration entre parefeu web et scanner de vulnérabilités pour améliorer la sécurité des applications web. La correction traditionnelle de vulnérabilités applicatives Toute application web peut présenter des vulnérabilités, qu elles soient au niveau du développement de l application (par exemple, des failles d injection SQL ou XSS) ou du serveur web supportant l application (par exemple, un serveur Apache et un moteur de script PHP). Ces brèches sont causées par un manque de temps pour prendre en compte la sécurité dans les développements, une compétence insuffisante en sécurité ou des erreurs de développement. La mise à jour du serveur web lui-même nécessite également une supervision régulière et un suivi des dernières vulnérabilités découvertes pour appliquer les mises à jour et correctifs nécessaires. Dans un contexte extrêmement évolutif où les applications web se multiplient, une vérification régulière et automatique de la sécurité applicative apparaît nécessaire et incontournable. A cette fin, un scanner de vulnérabilités applicatives (DAST, Dynamic Application Security Testing) tel que DenyAll Detect apportera aux responsables de la sécurité la possibilité de détecter automatiquement les vulnérabilités applicatives. La correction des éventuelles vulnérabilités découvertes peut néanmoins s avérer complexe. En effet, les vulnérabilités applicatives nécessitent de modifier le code de l application et donc d engager un cycle complet de développement, test, intégration et mise en production, dont la durée se compte habituellement en mois. La modification de l application peut même s avérer impossible lorsqu il s agit d un progiciel dont l entreprise ne détient pas le code. Par ailleurs, la correction des vulnérabilités détectées au niveau du serveur web (dans notre exemple, au niveau du serveur Apache ou du moteur de script PHP) entraîne à nouveau l installation du correctif adéquat sur un serveur de test ou pré-production pour en valider la stabilité, avant installation sur le serveur de production. Là encore, la résolution d une faille de sécurité prend du temps et nécessite plusieurs opérations manuelles. Enfin, une fois les corrections effectuées, une nouvelle vérification de la sécurité devra être réalisée afin de valider que les vulnérabilités sont bien corrigées. Accélération du processus avec la correction virtuelle (virtual patching) des vulnérabilités applicatives Dans le but d éviter de rester exposé à une vulnérabilité applicative et en attendant qu elle soit effectivement corrigée, le patching virtuel consiste à bloquer toutes les attaques visant à exploiter cette vulnérabilité. Si cette «correction virtuelle» ne remplace pas la modification de code ou de serveur web, elle offre néanmoins l avantage d être particulièrement automatique et efficace. Ce correctif virtuel repose sur l utilisation d un pare-feu applicatif web (WAF, Web Application Firewall) de type serveur mandataire inverse (reverse proxy) tel que DenyAll Protect. Le pare-feu termine la connexion http (ou https), examine le contenu de la requête et la transmet à l application web si la requête est légitime. Dans le cas contraire, une page d erreur est immédiatement retournée. Néanmoins, comme tout système de protection, un WAF peut présenter des failles. Ainsi, durant la phase de mise en œuvre du WAF, la principale opération consiste à retirer des filtres de sécurité pouvant générer des faux positifs (ie. des requêtes légitimes bloquées à tort). La sécurité ne peut être accrue qu en réalisant un test de sécurité applicative nécessitant du temps et une expertise tant dans l analyse des vulnérabilités que dans le paramétrage du WAF dont les équipes d intégration ne disposent pas. De plus, l application web évolue constamment, et une politique de sécurité peut devenir obsolète. Enfin, l administrateur du WAF n est pas à l abri d une erreur de configuration. Le patching virtuel consiste à automatiser la découverte de vulnérabilités et le processus de correction (remediation), en fournissant une vue complète permettant au responsable de la sécurité de comprendre les vulnérabilités découvertes et les solutions possibles. Cette fonctionnalité diminue grandement le temps et la complexité de déploiement et de paramétrage de la solution DenyAll Protect tout en assurant un niveau de sécurité optimal des applications protégées. Ce processus automatique restant bien entendu soumis au contrôle et à la validation de l administrateur..
Le coin des technos : DenyAll La figure ci-dessous présente le gain d efficacité apporté par le patching virtuel. Description de l intégration entre DenyAll Detect et Protect L implémentation du virtual patching suit 6 étapes : Tester - avec la solution DenyAll Detect - la sécurité d une application web protégée par DenyAll Protect ; Exporter le rapport de DenyAll Detect décrivant les éventuelles vulnérabilités identifiées sur l application ; Importer le rapport dans DenyAll Protect ; Sélectionner la configuration la plus adaptée aux besoins/priorités ; Application de la configuration au profil de sécurité de l application. La sélection de la configuration peut être automatisée (suivant le critère défini par l administrateur, parmi lesquels «sécurité maximale» ou «performance maximale» par exemple), ou manuelle en choisissant parmi une liste d options possibles. Ainsi, selon l expertise de l administrateur, le processus de patching virtuel peut être plus ou moins simplifié et automatisable. Prenons l exemple d une application DVWA protégée par DenyAll Protect, sur laquelle DenyAll Detect a trouvé 2 vulnérabilités encore exploitables : une injection SQL et une injection de commande. Une fois le rapport Detect importé dans Protect, l écran ci-dessous apparaît et affiche le détail des 2 vulnérabilités, ainsi qu une suggestion de correctif en fonction de la priorité donnée par l administrateur (en haut à droite, sur cet exemple : minimiser les faux positifs).
Le coin des technos : DenyAll Description de l intégration entre DenyAll Detect et Protect Nous voyons sur cet exemple que la mise à jour de la politique de sécurité est simplifiée par des critères de choix compréhensibles et automatisables. Management et sécurisation des applications web avec DenyAll Manage Nous avons vu comment la combinaison de DenyAll Detect et Protect peut permettre de grandement gagner en efficacité et dans l amélioration de la sécurité applicative. Néanmoins, ce patching virtuel s applique uniquement aux applications déjà connues de l équipe sécurité et protégées par le WAF. Or, les applications web ne sont pas systématiquement soumises à l approbation de l équipe sécurité et placées derrière un WAF. Le schéma ci-dessous illustre l exemple de 3 applications web protégées par DenyAll Protect et une nouvelle application web non protégée et inconnue de l équipe sécurité. Afin d avoir une vue complète, exhaustive et centralisée de sa sécurité applicative, DenyAll travaille à faire évoluer la solution Manage, en s appuyant sur les moteurs Detect et Protect pour : Automatiquement détecter toutes les applications web en utilisant l outil d inventaire fourni par Detect ; Profiler les applications inconnues et détecter si elles correspondent à des progiciels classiques (Sharepoint, SAP, OWA, etc), générées par des CMS (Joomla, Wordpress, etc) ou développées in-house ; Tester leur niveau de sécurité pour éventuellement détecter des vulnérabilités sur ces applications (protégées ou non par un WAF) ; Proposer de protéger automatiquement toutes les applications, soit en créant une politique de sécurité adhoc dans le cas d une application nouvelle, soit en mettant à jour la politique de sécurité utilisée par une application déjà protégée par Protect.
Le coin des technos : DenyAll Management et sécurisation des applications web avec DenyAll Manage Le schéma ci-dessous complète l exemple ci-dessus en montrant comment la solution DenyAll Manage (embarquant le moteur de sécurité de DenyAll Detect) permet de déployer automatiquement la mise à jour de la politique de sécurité au sein de DenyAll Protect pour inclure la nouvelle application derrière le WAF. On voit illustré ci-dessus que la nouvelle application web reste vulnérable, mais que ses vulnérabilités ne peuvent plus être exploitées car elle est protégée par la solution DenyAll Protect. Conclusion La détection et la protection automatique et adéquate des applications web est devenue possible grâce à la combinaison des solutions DenyAll Detect, Protect et Manage. Bien au-delà d une maquette théorique ou d un partenariat technologique, DenyAll apporte une implémentation efficace du patching virtuel. La maîtrise des solutions Detect et Protect ainsi que l expertise reconnue de DenyAll dans le domaine de la sécurité applicative permettent d offrir une intégration optimale des solutions de DAST et WAF (se basant sur un format d échange spécialement conçu pour cette fonctionnalité) et un niveau de granularité inégalé. Ainsi, le patching virtuel n active pas globalement une famille de filtres génériques, mais crée le correctif exact correspondant à la vulnérabilité et s appliquant au champ précis de la page web où elle a été découverte. DenyAll permet donc d automatiser la protection des applications web et de mettre en place un processus d amélioration continue des politiques de sécurité. DenyAll sera présent lors des Universités Prospectives et Technologies organisées par IPenergy Le 22 mai 2013 à Aix en Provence Le 23 mai 2013 à Sophia Antipolis INSCRIPTION GRATUITE Contacter IPenergy : commercial@ipenergy.fr Tél : 04.42.65.75.60