Transcript Document 7836841

Présentation CLUSIR
8 janvier 2002
1
Agenda
• Introduction
– Evolution de la menace
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
Questions
Réponses
• Les limites des technologies existantes
– Différentes technologies de filtrage
– Limites des architectures existantes
• La technologie FAST
– Présentation et bénéfices
– Intégration et bénéfices
– Evolution
• Conclusion
2
Evolution de la
menace
Les limites des
technologies existantes
Evolution de la menace
La technologie
FAST
Conclusions
Questions
Réponses
3
Quelle est la menace ?
0%
Hackers
Script
Kiddies
Evolution de la
menace
DoS
Les limites des
technologies existantes
Virus
La technologie
FAST
Virus
Conclusions
Ver
Type
Code Red
Questions
Réponses
100%
Attaques ciblées – Grandes entreprises
Boites à outils – Scan d’adresse IP – Cible
très large et mal protégée (PME-PMI)
Déni de service – Attaques généralement
ciblées
Toutes les cibles (Grandes entreprises, PME,
particuliers,…)
Propagation classique par disquette ou e-mail
Toutes les cibles
Propagation de plus en plus rapide par
internet via les e-mail, les pages Web en
utilisant les failles des outils de
communication
4
Quelles types d’attaques ?
0%
Niv 3
Niv 4
Evolution de la
menace
Attaques exploitants les failles IP (plus utilisées)
Attaques de niveau 4 minoritaires (vol de session)
Attaques généralement sophistiquées
Les limites des
technologies existantes
Niv
La technologie
FAST
5
Conclusions
à
7
Questions
Réponses
Attaques applicatives sont les plus nombreuses
Les firewall sont généralement perméables
Elles utilisent des failles des outils de communication
(serveur Web, serveur DNS, clients messagerie…)
5
100%
Les vers applicatifs
• Exemples
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
Questions
Réponses
–
–
–
–
Sircam
Nimda
Badtrans
Goner
• Propagation via messagerie, serveurs
web, …
• Utilisation de failles au niveau applicatif
6
Les attaques applicatives
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
• Dépassement de buffer
• Violation de protocole (non-conformité de
commande, de paramètre, …)
• Mauvaise configuration de serveurs (mot de
passe faible, …)
• Trou de sécurité dans les applications
Questions
Réponses
7
Les attaques de demain
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
• Protocoles complexes : l’utilisation de flux
« complexes » pour véhiculer ces attaques :
– Visioconférence : H323
– Partage fichiers/Chat : type ICQ
• Nouveaux protocoles
Questions
Réponses
8
Evolution de la menace - conclusion
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
• Des attaques de grandes envergures sont
cachées dans le contenu des requêtes
• De plus en plus de déni de service par
violation de protocoles applicatifs
• Les « Vers », attaques de niveau 7
relèguent au deuxième plan la menace
des Hackers et des Script Kiddies
Questions
Réponses
9
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Les limites des technologies
existantes
Conclusions
Questions
Réponses
10
Session tracking / Stateful
Degré de
protection
Niv 3
Niv
4
• Bénéfices
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
Questions
Réponses
– Conserve la table des connexions actives
(TCP/UDP)
– Premier niveau de recherche dans le « corps » du
paquet
N
i
v
• Inconvénients
5
– Contrôle par sondage mais pas de contrôle global
et exhaustif du contenu
– Mécanisme de contrôle applicatif peut être biaisé
à
• Conclusion
7
– Mode de protection le plus répandu, il n’est pas
étanche au regard des attaques applicatives.
11
Proxy
Degré de
protection
Niv 3
Niv
4
• Bénéfices
– Analyse des données applicatives
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
N
i
v
• Inconvénients
– Technique plus tournée compréhension et
re-formulation que recherche d’attaque
– Performances / Flexibilité
5
• Conclusion
à
– De moins en moins utilisé car lourd, contraignant
et peu performant
7
Questions
Réponses
12
Limites des technologies actuelles
• Conclusion
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
– Choix à faire entre sécurité et performance
– Pas d’analyse complète des données
applicatives
– Perméables à nombre d’attaques pourtant
connues (Attaques Web type Nimda, Troyens
sur ports ouverts, Déni de service par violation
de protocole, …)
Questions
Réponses
13
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Les limites en terme
d’architecture
Conclusions
Questions
Réponses
14
Limites en terme d’architecture
• Un remède à chaque mal
ou une solution globale ?
Evolution de la
menace
Quelle sécurité avez vous déployée ?
Firewalls
Virus scanner
VPN
Detection d'intrusion
Test de vulnérabilité
Filtrage de contenu
PKI
Biometrie
Autres
Les limites des
technologies existantes
La technologie
FAST
Conclusions
Questions
Réponses
0%
20%
40%
60%
80%
• Nécessité d’un mur de sécurité
– Différentes briques interconnectée
– Des briques de sécurités hétérogènes
difficiles à faire fonctionner ensemble
15
100%
Limites en terme d’architecture
• Présentation d’un schéma type
Evolution de la
menace
Pare-f eux
Les limites des
technologies existantes
La technologie
FAST
Conclusions
Questions
Réponses
Serv eur
f iltrage URL
Relais
messagerie
Serv eur
antiv irus
16
Conclusion
• Les limites des technologies existantes
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
Questions
Réponses
– Performance des filtrages
– Complexité + lourdeur (briques
hétérogènes)
– Nécessité de compétences pointues en
interne sur chaque composante
– Modèle réactif de sécurité (mots clés, IDS)
– Performance des systèmes Antivirus
externes
– Analyse anti-virus des flux http difficile avec
les outils actuels
17
Evolution de la
menace
Les limites des
technologies existantes
La technologie FAST
La technologie
FAST
Conclusions
Questions
Réponses
18
La technologie FAST
FIREWALL STATEFUL :
Evolution de la
menace
FLUX IP
FIREWALL
FLUX IP
Les limites des
technologies existantes
La technologie
FAST
Conclusions
FIREWALL / ANALYSER « ARKOON »:
FLUX IP
FIREWALL
ANALYSER
FLUX IP
Questions
Réponses
19
La technologie FAST
NOYAU DU SYSTEME
HTTP
F
A
S
T
Interception
des paquets
LIAISON
PHYSIQUE
RESEAU
TRANSPORT
SESSION
PRESENTATION
APPLICATION
FTP
DNS
SMTP
POP3
H323
…….
…….
…….
Automate de contrôle applicatif
Connexion active n°1
Connexion active n°2
……
Module
Fragments
Cohérence
niveau 3
Cohérence
niveau 4
Vérification individuelle
du paquet défragmenté
T
C
P
CLOSED
T
C
P
TCP
LISTEN
I
P
SYN SENT
SYN SENT
Table de suivi des connexions actives
I
P
Flux
sortant
20
La technologie FAST
•
Firewall « niveau 7 applicatif »
–
–
Evolution de la
menace
•
Les limites des
technologies existantes
Analyseur de protocoles applicatifs TCP/IP
–
La technologie
FAST
–
Conclusions
Questions
Réponses
Session Tracking : suivi des sessions (tables connexions
actives)
Vérification couche OSI/3 (IP) et OSI/4 TCP/UDP/ICMP
(Normes RFC)
•
Vérification « à la lettre » du respect des protocoles applicatifs
(HTTP, FTP, SMTP, POP3, NNTP, DNS, IMAP4, RTSP, H323,
Netbios) en fonction des normes RFC
Filtrage dynamique complet au niveau applicatif avec analyse
de l’intégralité du message
Règles protocolaires
–
–
Permet d’interdire certaines commandes d’un protocole
Règles protocolaires applicatives sans Proxy
21
La technologie FAST
Degré de
protection
Niv 3
Niv
4
• Sécurité
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
Questions
Réponses
– Permet un contrôle total des flux par une
compréhension de l’intégralité de ce qui est
transporté (Détection des attaques par violation
de protocole)
– Restriction du champ d’action applicatif grâce
aux règles protocolaires (Par exemple,
interdiction de ‘..’ dans URLs)
– Détection d’attaques sans nécessité de base de
signatures d’attaques (Nimda, Code Red/Blue,
…)
– Permet d’anticiper sur les attaques futures
N
i
v
5
à
7
22
La technologie FAST
•
Performances élevées
–
–
–
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
•
Analyse applicative en mode noyau et non en mode
utilisateur
Optimisation du noyau linux et processeur > 1 GHz
Validation de la solution jusqu’à 560 Mbps –
650 000 sessions simultanées
Une technologie pour faire face aux défis de
l’ouverture des systèmes d’information
2003
Conclusions
SQL
2002
XXX
Questions
Réponses
2001
SAP
FAST
23
SECURITE APPLICATIVE
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
L’intégration d’une suite
sécurité
Conclusions
Questions
Réponses
24
Les différentes briques des solutions
ARKOON
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
Questions
Réponses
•
•
•
•
•
•
•
ARKOON Firewall FAST
ARKOON Proxy Web & Relay Messagerie
ARKOON Antivirus
ARKOON VPN
ARKOON Services balancing
ARKOON Gestion de bande passante
ARKOON Manager / Monitoring
25
Architecture intégrée
Configuration
SQL
ANTIVIRUS
Monitoring
Configuration
Monitoring
VPN
DISTANT
Serveur/Client
PACKET IP
Configurateur
NOYAU
PROXY
WEB
RELAY
SMTP
VPN IPSEC
Noyau
Linux
FIREWALL / ANALYSER
1-Analyse
TCP/IP
2-Règles
3- Analyse
Applicative
Mise à Jour
À
DISTANCE
ROUTAGE
NAT
Service
Balancing
SERVICES
Service
D’ADMINISTRATION
Noyau ARKOON
ADMIN
À
DISTANCE
SERVICE
WEB
SERVICE
SMTP
SERVICE
ROUTAGE
AVANCE
SERVICE
H.A.
PACKET IP
26
ARKOON Antivirus
Evolution de la
menace
Les limites des
technologies existantes
• Développé en collaboration avec SOPHOS
• Analyse du flux et du contenu à la volée
• Mise à jour quotidienne, automatique et
sécurisée (certificat SSL V3)
La technologie
FAST
Conclusions
Questions
Réponses
27
ARKOON AntiVirus
FIREWALL + AntiVirus Classique :
ANTIVIRUS
Evolution de la
menace
FLUX IP
PROXY
FLUX IP
Les limites des
technologies existantes
La technologie
FAST
ARKOON + AntiVirus « Suite ARKOON » :
Conclusions
Questions
Réponses
FLUX IP
FLUX IP
PROXY
28
Bénéfice du couplage FAST
et d’un moteur antivirus SOPHOS
• Sécurité
Evolution de la
menace
Les limites des
technologies existantes
La technologie
FAST
Conclusions
Questions
Réponses
– Excellent rapport sécurité/performances
– Facilité d’administration
– Répond aux attaques d’aujourd’hui et à celles de
demain
• Analyse anti-virus de flux complexes (pop3, h323,
netbios,…)
• Performance
– Librairie intégrée dans le code ARKOON
– Pas de programme externe ou de protocole type
CVP pour analyser les fichiers
29
Evolution de la
menace
Les limites des
technologies existantes
Conclusion
La technologie
FAST
Conclusions
Questions
Réponses
30
Conclusion
•
Technologie
–
Evolution de la
menace
–
Les limites des
technologies existantes
Une sécurité accrue car elle permet un contrôle total des
flux et la vérification de l’intégralité du message
transporté
Une capacité à contrer des attaques non référencées qui
en majorité s’appuient sur des failles et des violations de
protocoles
La technologie
FAST
Conclusions
Questions
Réponses
•
Intégration
–
–
Simplicité d’administration et d’implémentation
Performances accrues
31
Evolution de la
menace
Les limites des
technologies existantes
Questions / Réponses
La technologie
FAST
Conclusions
Questions
Réponses
32