Bureau89 - Protection des réseaux connectés à internet

Protection des réseaux connectés à internet : Introduction

De nombreux utilisateurs d’internet ignorent les dangers auxquels ils sont réellement exposés et surtout comment faire pour, d’une part, obtenir une protection efficace et durable et, d’autre part, maîtriser l’accès à internet de leur organisation. On pourra donner quelques exemples :

· qui est autorisé à aller sur quel site et quand ?

· comment filtrer automatiquement (et sans pertes de performance), les spams, les virus, les logiciels espion ?

· comment interdire les messageries instantanées et les logiciels pear to pear qui représentent une faille de sécurité importante pour votre système informatique ?

· comment autoriser uniquement les sites professionnels et interdire la CyberParesse ?

· comment protéger sa messagerie, son serveur web ?

· ...

Une fois cette première étape de protection mise en œuvre, il nous pouvons transformer ce poste de coût (Internet) en avantage fonctionnel permettant à vos collaborateurs de travailler plus efficacement. Plusieurs axes d’évolution sont possible :

· relions entre eux vos sites distants avec des liaisons sécurisées appelées VPN (réseau privé virtuel).

· connectez vous à l’entreprise depuis n’importe quel accès internet (hôtel, client, domicile, …).

· réalisons une réplication avec basculement automatique de vos serveurs. Cela sécurise votre exploitation en augmentant la disponibilité.

Depuis quelques années, nous avons développé et fait évoluer cette solution de sécurité des réseaux connectés à internet pour un de nos client qui dispose d’un réseau important sur plusieurs sites. Aujourd’hui, nous l’avons rendu accessible aux réseaux informatiques plus modestes, pouvant même être utilisée avec un seul poste. En effet, contrairement aux discours marketing, ce n’est pas parce que vous disposez d’un « petit » réseau, que vous devez avoir une sécurité au rabais. Nous avions alors sélectionné les produits de la marque Watchguard. Cette marque est maintenant devenue le numéro deux mondial des équipements de sécurité.

A propos de Watchguard

Watchguard à été fondée en 1996 à Seattle, Washington (au nord ouest des Etats-Unis).

· C’est le pionnier de l’appliance (tout en un) de sécurité (1996)

· Première société à mettre une sécurité de niveau applicatif sur une appliance (1997)

· Intégration de la gestion des menaces unifiées (appelée aussi UTM) en 2005

· Après avoir été cotée en bourse, Watchguard à été rachetée en 2006 par « Vector Capital » et « Francisco Partners » , ce qui en fait de nouveau une entreprise privée.

Watchguard est systématiquement nommés par Infonetics et IDC comme leaders du marché pour les appliances de sécurité des PME/PMI

La Sécurité dans les PME

“Mon Budget Informatique est en baisse constante…”

“La Sécurité devient plus compliquée et dynamique, c’est difficile de rester à jour, sans parler d’anticiper les risques futurs…”

“Nous sommes en sous effectifs informatiques, et nous avons déjà trop à faire avant même de maintenir la sécurité du réseau…”

Solution : Firebox X e-Series

· Sécurité Intégrée, Plateforme Evolutive,

· Investissement préservé

Gestion unifiée des menaces (Unified Threat Management — UTM)

La gestion unifiée des menaces est l’intégration des multiples fonctions de sécurité dans un seul et même boîtier :

· Firewall

· VPN de site à site

· VPN pour utilisateur mobile

· IPS (Intrusion prévention System)

· Filtrage d’URL

· Anti-virus

· Anti-spyware

· Anti-spam

Avantages : Complexité réduite, Management centralisé, TCO (coût total de possession) réduit.

Le Firewall est le fondement de la sécurité informatique. A la base, il n’agit que sur les adresses IP(les 3 premières couches réseaux sur les 7 au total) en gérant les combinaisons de règles basées sur les éléments : Autoriser / Interdire, Origine, Destination, type de service (www,…). Watchguard à complété cette fonction en ajoutant de nombreuses caractéristiques qui viennent renforcer cette sécurité de base. On trouvera notamment l’ajout de proxies transparent (mécanisme détaillé en bas de page)

Le VPN de site à site est utilisé pour relier par exemple, le siège à une agence.

Le VPN pour utilisateur mobile permet de relier un ordinateur à l’entreprise. Ce système est souvent utilisé pour des commerciaux ou pour du télétravail.

L’IPS (Intrusion Prévention System) vient en complément du firewall pour filtrer les couches réseau hautes. Cela permet notamment d’interdire (totalement ou sous conditions) les messageries instantanées (MSN), le Pear to Pear,...

Le filtrage d’URL consiste à interdire (ou à autoriser) l’accès à certains sites web selon des règles définit par le client (en fonction d’un groupe d’utilisateurs et/ou d’une tranche horaire,…). En pratique, les sites sont regroupés en 40 catégories qu’il est possible de gérer selon les règles (et les exceptions) définies.

L’antivirus est un antivirus de passerelle. Cela signifie qu’il va agir uniquement sur le trafic « internet » et non sur chaque poste. L’avantage est de pouvoir avoir une protection complémentaire, d’un autre éditeur, afin d’assurer une protection sur tous les postes même lorsqu'un utilisateur désactive volontairement son antivirus sur son poste de travail.

L’anti sypyware vient en complément de l’antivirus. Il agit sur les menaces qui ne sont pas des virus.

L’anti spam classifie les emails reçus en quatre catégories entre ceux qui ne sont pas du spam, et ceux qui le sont. Il est donc possible de réaliser des critères de tri dans son système de messagerie.

Sécurité forte

La sécurité est basée sur une succession de couches ou de filtres, appliquant des contrôles à chaque niveaux. Plus il y a de niveaux de contrôle, plus votre protection est efficace (mais l’adition élevée).

Contenus de sécurité :

Gateway antivirus : Antivirus de passerelle. Protège le trafic de messagerie (SMTP entrant et sortant, POP3) ainsi que le trafic Web (HTTP) et trafic FTP (téléchargement de fichiers). Fonction de verrouillage des fichiers infectés sur un serveur de quarantaine et scan des fichiers compressés (Zip, Rar, Tar,…)

Intrusion prévention : Blocage des messageries instantanées (AIM, Yahoo, IRC, MSN Messenger), des téléchargements interdits (Napster, GNUTella, Kazaa, Morpheus, BitTorrent, eDonkey2000, and Phatbot) représentant une trou de sécurité.

Spyware Protection :

· Inspection du trafic SMTP et POP 3 pour rechercher les spywares véhiculés dans les emails (via le moteur AntiVirus)

· Blocage des sites connus diffuseurs de Spywares (Via WebBlocker)

· Capacité à détecter et bloquer la distribution des spywares via la navigation Web (Via le moteur Intrusion Prévention)

· Capacité à détecter et bloquer les communications sortantes des spywares venant des machines du réseau local (Via le moteur Intrusion Prévention)

· Mises à jour constantes à travers les updates automatiques des différents services (GAV/IPS & WebBlocker)

Spam Protection : SpamBlocker

· En partenariat avec Commtouch, un leader technologique de l’AntiSpam

· Blocage du spam en temps réel

· Taux de blocage de 97% des e-mails non sollicités

· Taux de faux positifs proche de zéro – Basé sur le volume et le comportement de distribution massive des emails et non sur le contenu

· Le processus se fait en dehors de l’appliance minimisant l’impact sur la performance

· Reconnaît le spam, indépendamment de la langue, du contenu ou du format des messages

· Pas de règles à mettre à jour

· Sur la gamme Core et Peak il y a un serveur de quarantaine intégré facile à utiliser (pour le SMTP)

URL Filtering : WebBlocker

· En partenariat avec SurfControl, leader du filtrage d’URL (sites web)

· Une base de données globale d’URL multilingue

· Fournit 40 catégories de filtrage de contenu Web

· Empêche les contenus Web malicieux d’entrer sur le réseau grâce à plus de 12 millions d’URL bloquées

· Bloque les accès aux sites de téléchargement, d’IM/P2P, de Webmail et plus de 9000 sites de spywares

· Évite que votre responsabilité légale ne soit mise en cause

· Augmente la productivité des employés (adieu la CyberParesse) et préserve votre bande passante

· Mises à jour automatiques

Les Proxies Transparents : Ce mécanisme consiste à ajouter un intermédiaire dans la communication réseau qui est capable d’effectuer les tâches suivantes :

· Détecte et bloque les anomalies de protocoles (PAD),

· Empêche l’utilisation de commandes potentiellement dangereuses,

· Enlève les attachements dangereux,

· Détecte les buffer overflows,

· Filtre le contenu,

· Masque les informations du réseau et de ses machines,

· Technologie mature avec plus de 8 ans de développement

Les proxies transparents génèrent une empreinte positive bloquant toutes les attaques connues comme inconnues et ce sans signatures