Professional Documents
Culture Documents
Livre Blanc
avec
et
Pour Gartner, le contrle et la visibilit des applications est le critre fondamental de ce qui dfinit les firewalls de nouvelle
gnration. Aujourdhui de nombreux diteurs de scurit surfent sur les termes de nouvelle gnration et de contrle des
applications sous forme de messages marketing pour promouvoir des offres bases sur les ports TCP. Il est trs intressant
de noter que ces diteurs sont dj prsents chez ces mmes clients qui cherchent pourtant toujours un contrle et une
visibilit approfondie de ces applications.
et
Ce qui a des implications srieuses, les plus importantes tant relative la visibilit et au contrle.
Visibilit :
Ouvrir linterrupteur vs. Utiliser une lampe torche
Un firewall doit classifier tout le trafic, travers tous les ports - cest la base dun firewall. Un IPS (ou un UTM utilisant un IPS
pour identifier les applications) ne voit que les lments quil cherche expressment, typiquement sur certains ports spcifiques.
Quel est lavantage de faire cela directement dans un firewall ? Ladministrateur a une vue claire et comprhensible de toutes
les applications du rseau. Pourvus de ces informations, les administrateurs peuvent prendre des dcisions plus pertinentes.
Ceci est comparable allumer un interrupteur dans une pice sombre-tout sclaire soudainement, devient facilement visible et
les administrateurs peuvent agir dessus. Dans une solution type Firewall traditionnel+IPS ou autres ajouts, les administrateurs
nont pas ce niveau de dtail. Ils ne connaissent que les objets chercher pours lesquels lIPS a t configur. Cest trs
similaire utiliser une lampe torche dans une chambre sombre. Votre visibilit nest limite qu la petite zone que vous pointez
avec votre lampe.
et
Contrle :
Autorisation sre vs. Blocage aveugle
Un firewall de nouvelle gnration est conu pour autoriser et contrler laccs lapplication, et, si ncessaire, pour scanner
son contenu par un IPS pour dtecter les menaces.
Quel est lavantage deffectuer lidentification et le contrle de lapplication dans le firewall ? La scurisation des applications
sous toutes ses formes. Les socits peuvent autoriser, refuser, autoriser pour certains groupes, autoriser certaines fonctions,
autoriser mais appliquer une QoS, ou autoriser mais scanner les menaces et les donnes confidentielles. A loppos, le modle
de contrle dun systme IPS est ngatif et dfinitif, ce qui veut dire quun IPS ne peut que bloquer, ce qui est insuffisant pour
contrler une application. Avec un IPS ou un UTM, une socit pourra uniquement bloquer en aveugle , dans une action du
type trouvez-le et tuez-le .
et
Point essentiel : Si le firewall utilise linspection stateful pour classifier le trafic, ce nest pas
un firewall de nouvelle gnration. Si ce nest pas un firewall de nouvelle gnration, il ne
pourra rien changer votre scurit rseau.
et
Impact
Mcanisme de
App-ID : Lidentit de
Inspection
base de
lapplication est
stateful :
classification du
dtermine
trafic
indpendamment du
port, protocole ou
chiffrement SSL.
rseau. Le port du
protocole est
un contrle granulaire.
suppos connu
(souvent tort)
Critre de base
Lidentit de
Association
des rgles de
lapplication.
suppose de
scurit
trafics spcifiques
Visibilit de
Limit au reporting
lidentit de
de tout le trafic
et au filtrage des
lapplication
applicatif saffiche
logs de lIPS.
graphiquement ;
de base de la rgle ;
la rgle.
Contrle positif:
contrle de
lapplication
a t configur,
bloque tout le resteidal pour une
utilisation sre.
Contrle ngatif:
Bloque ce qui a t
configur, autorise
tout le reste-
utilisation sre.
Intgration dans
Affichage graphique;
Lintgration est
les services
en tant qulment de
dans un but
dannuaire de
dauthentification
lentreprise
et le reporting..
seulement; ou il est
limit un lment
secondaire de
rgles.
Visibilit et
Oui
contrle du trafic
Non
SSL (entrant et
sortants)
et
Ainsi Gmail fonctionne bien, quel que soit la rgle mis en place sur lUTM. La technologie App-ID de Palo Alto Networks inclut la
possibilit de dcrypter SSL, couple lindentification de lapplication. Dans ce cas on inclut le contrle des transferts de
fichiers dans Gmail aussi bien que dans Gmail Talk (une implmentation spciale de Google Talk embarque dans Gmail).
Bloquer UltraSurf.
Quiconque sait ce quUltraSurf fait aimerait le bloquer dans la mesure o il permet aux utilisateurs de faire passer nimporte
quelle application Internet dans un tunnel encrypt capable de traverser les firewalls traditionnels, les proxys et les systmes
IPS. Le challenge rside dans lutilisation par UltraSurf dune implmentation propritaire de SSL pour contourner les
dcodages de protocole et la dtection de signature, afin que les IPS ne puisse ni identifier, ni bloquer UltraSurf. La technique
du trouvez-le et tuez-le ne fonctionne que si vous pouvez le trouver. Dans la mesure o UltraSurf peut tre utilis pour
tunneliser nimporte quelle application, tous les autres contrles dapplication sont rendus inutiles. App-ID de Palo Alto
Networks utilise son moteur heuristique pour identifier UltraSurf, et pour suivre ses tactiques dvasion souvent changeantes.
Autoriser SharePoint.
Les systmes IPS sont conus pour bloquer, pas autoriser, cest pourquoi il nest pas possible dautoriser SharePoint de
manire sre. Au lieu de cela, il faudrait bloquer tout le reste. Mais comment faire ? Il faudrait connaitre toutes les applications
du march et avoir une interface dadministration qui permette de faire une slection du type tout sauf SharePoint . Or
aucune solution nexiste ni ne sera disponible compte tenu du rythme darrive des nouvelles applications sur le march.
et
La technologie App-ID de Palo Alto Networks rend lautorisation scurise de SharePoint trs simple. Il nest mme pas
ncessaire de connaitre les ports utiliss. Il est possible de contrler les fonctions lintrieur de SharePoint (SharePoint,
SharePoint Admin, SharePoint Blog Posting, SharePoint Calendar, SharePoint Documents, et SharePoint Wiki) et/ou de limiter
leur utilisation (par exemple rserver SharePoint Admin pour les administrateurs informatiques). On scurise ensuite en
scannant les menaces qui ciblent nimporte lequel des composants de SharePoint (ex. : SQL Server, IIS).
Conclusion
Les solutions IPS ont t conues pour contourner un dfaut systmique du firewall : le
manque de visibilit et de contrle des applications. Pour viter une administration complexe
multi-solutions, certains diteurs ont ajout dans une mme appliance des solutions IPS et
antimalwares un firewall classique de type stateful : cest lUTM. Dans les 2 cas, ces
solutions restent dpendantes du modle de base de classification du firewall et
interviennent a posteriori, pour dtecter les malwares ou autres vulnrabilits et pour bloquer
aveuglment. Le modle de contrle ngatif dun IPS pose des problmes de granularit et
na aucune action sur les signatures non dtectes.
Palo Alto Networks corrige les dfauts du firewall en sattaquant au cur du problme :
lidentification de lapplication, indpendamment du port, du protocole, du chiffrement SSL ou
de toute autre technique dvasion. Lidentification de lapplication devient alors la base des
rgles du firewall. Un contrle aussi granulaire, qui associe de surcrot lutilisateur et non
ladresse IP, ne peut sappliquer que sur une plateforme conue en amont dans cet objectif,
et avec des technologies didentification sans prcdent : cest le firewall de nouvelle
gnration. Cest Palo Alto Networks.
et
10
A propos de Miel
Depuis 1985, Miel dcouvre et distribue en France les nouvelles technologies
pour l'informatique des entreprises dans les domaines des rseaux, des
systmes, de la scurit et de l'informatique industrielle. Ses ingnieurs
s'appuient sur un rseau de partenaires intgrateurs pour diffuser ces produits
sur le march.
APPELEZ LE 01 60 19 34 52
et