Les firewall nouvelle génération – épisode 2

Posté sur septembre 24, 2009 par Christophe Perrin

Avant l’été, j’avais posté un court article mettant en exergue le fait que la terminologie UTM est devenue, les années passant, synonyme d’ « économique » et « peu performant (en vitesse et qualité) ». L’idée est de s’interroger sur les fonctions à mettre en œuvre dans une plateforme de sécurité périmétrique, et quels services nous devons en attendre. En avant pour le deuxième épisode de cette réflexion !

Bien évidemment, loin de moi l’idée de prêcher contre l’approche consistant à intégrer plusieurs services sur un seul équipement. Non. Il est clair que pour des questions de rationalisation des architectures de sécurité d’accès internet, de coût, de réduction de la complexité et de simplification du pilotage, l’intégration de plusieurs fonctions de sécurité doit se faire, mais en incluant des innovations dans les fonctions et dans la façon d’adresser les attaques, avec des performances adaptées aux réseaux d’aujourd’hui.

Les besoins de sécurité pour un équipement multifonctions sont de trois ordres : Se protéger des menaces, faire respecter une politique d’usage acceptable du réseau, et fournir une connectivité de qualité et sécurisée.

La connectivité sécurisée

Le support dans ce domaine du VPN IPSec et SSL (avec ou sans client, via un mode portail), est un élément important. Mais à partir du moment ou la technologie VPN-SSL est supportée, elle doit offrir des fonctions de protection des informations, pour, par exemple, s’assurer que de l’information confidentielle, accédée par un PC en libre service dans un hall d’hôtel, ne restera pas en cache à la déconnexion de l’utilisateur nomade…

Politique d’usage acceptable

Savoir quel protocole est autorisé, quand, et l’usage qui peut en être fait est une des fonctions fondamentales des firewalls. A l’avenir, ceux-ci vont évoluer petit à petit pour prendre en compte de plus en plus de granularité dans l’usage qui peut être fait du protocole http (que l’on peut qualifier de « nouveau tcp »), et vers un lien plus étroit avec les annuaires d’entreprise afin d’écrire des règles sur les identités des utilisateurs et non sur des blocs d’adresses IP.

Se protéger des menaces : l’enjeu majeur

Nous sommes dans un écosystème criminel, avec toujours plus de spam & spammeurs, toujours plus d’attaques web, et toujours plus de hacking. Les menaces d’aujourd’hui ont évolué et les technologies réactives actuelles sont dépassées. Le nombre d’échantillons uniques de code malicieux identifiés explosent, et les nouvelles menaces changent quelques éléments de leur code à chaque propagation, ce qui les rend indétectable par des technologies à base de signature (voir schéma ci-dessous)

Echantillons uniques de codes malicieux

Echantillons uniques de codes malicieux

Les infections par le web, quant à elles, se font via des sites légitimes (qui ont été piratés et qui redirigent l’utilisateur de manière transparente sur un site hébergeant le code malicieux), ou via des sites dont la durée de vie n’excède pas quelques heures… Encore une fois, les technologies réactives, telle le filtrage d’url par catégorie, sont largement dépassées par ces menaces.

Au final, on constate l’explosion du nombre de machines sur lesquelles tournent des logiciels malveillant et qui sont pilotés à distance, les fameux réseaux de machines zombies ou Botnets. Et ces botnets représentent un des plus grands défis en matière de sécurité.

On le voit, dans ce contexte, reposer sur des technologies traditionnelles et réactives (anti-virus, filtrage d’url) ne sont pas suffisants pour prendre en compte les menaces actuelles. Et si en plus ces fonctions sont dégradées car intégrées dans un équipement supportant de multiples fonctions, le niveau de protection sera clairement insuffisant.

Dans ce contexte, Cisco propose donc un changement radical : En plus d’avoir des solutions de sécurité qui regardent en profondeur, Cisco crée une base de données temps réel, hébergée, base de connaissance des menaces de toutes sortes et des adresses IP qui en sont à l’origine. Cette base, nommée SensorBase, évolution de la base de réputation initiée par IronPort, récolte des informations en temps réel sur l’état des menaces, les analyse (automatiquement et manuellement, grâce à 500 analystes répartis dans les Threat Operation Center) et crée des mises à jour immédiatement utilisables par les technologies IronPort et désormais firewall et IPS. L’histoire d’IronPort a démontré que cette approche permettait de traiter efficacement et plus rapidement les menaces liées à l’email et au web. Les attaques d’aujourd’hui utilisant simultanément plusieurs vecteurs, la corrélation d’informations sur tous les types d’attaques combinée à un filtrage par réputation est clé pour adresser les futures menaces.

Cela revient donc à avoir un service hébergé de suivi des menaces « in the cloud », pour reprendre une terminologie actuelle, et des produits plus simples à exploiter qui utilisent cette information.

Nous verrons bientôt comment cette approche est utilisée par l’ASA et les IPS dans le portfolio sécurité Cisco, et reviendrons sur l’intérêt d’intégrer un anti-virus ou un IPS dans la fameuse « plateforme multifonction ». Nous reparlerons aussi de l’approche sécurité sur les PME, cible privilégiée de ces équipements multifonctions.

Archivé sous: Sécurité | Tagué : , , , , , , | 1 commentaire »

Cisco Security Manager 3.3 est disponible

Posté sur juillet 24, 2009 par Christophe Perrin

Une petite note rapide pour vous signaler la disponibilité de Cisco Security Manager 3.3, qui offre les nouvelles fonctions suivantes :

Fonction Détail
ASA
  • Support de la 8.2 avec Botnet Trafic Filter
  • Support de l’AIP-SSC dans le 5505
IPS
  • Support de l’IPS 7.0 (Global Correlation)
GETVPN
  • Support de la configuration d’un réseau GETVPN, avec assistant
Zone-Based Firewall
  • Configuration du Zone-Based Firewall sur l’IOS
NME-IPS
  • Sur les plateformes: 2811, 2821, 2851, 3800 series
  • Versions IOS : 12.4(T)YA, 12.4(22)T
ISR
  • ISR 861, 881, 887, 888, 891, 892
ASR
  • Support de l’ASR 1002, 1004, 1006
  • Fonctionnalités des Releases 1,2,3
FWSM
  • FWSM 3.1(13), 3.1(14), 3.2(9), 3.2(10), 4.0(3), 4.0(4)
IOS
  • Versions supportées -12.4(15)T, 12.4(20)T, 12.4(22)T, 12.4(24)T
Fonctions de CSM
  • Bulk Import /Export of Policy objects
  • Bulk Addition of offline devices
  • Bulk Export of devices
Améliorations des performances
  • Optimisation mémoire

Archivé sous: 1 | Laisser un commentaire »

Rapport Cisco sur la cybercriminalité 2009 à mi année

Posté sur juillet 21, 2009 par Christophe Perrin

L’équipe de veille sécurité Cisco vient de publier le « 2009 Midyear Security Report » . Bien qu’il ne s’agisse que d’un rapport tendance intermédiaire sur les menaces 2009, à mi-année, il met en exergue quelques tendances marquantes que vous trouverez résumées ci-après :

-          Le secteur de l’économie souterraine liée au malware continue de se professionnaliser, en développant de nouveaux modèles économiques qui ont fait leur preuve dans le monde réel. On note ainsi l’apparition de « botnets-as-a-service » reproduisant le modèle en vogue du XaaS, une spécialisation toujours plus accrue des bad guys, et une collaboration entre eux via des « joint venture » appelées à se multiplier (avec une collaboration entre les propriétaires des botnet Wadelac et Conficker, par exemple).

-          L’innovation technologique est également au rendez-vous, avec une extrême réactivité (par exemple, il aura fallu attendre moins de 24h après la mort de mickael jackson, pour voir apparaitre des menaces spam liées à son décès). Mais attention, car les vieilles méthodes que l’on pensait parfois enterrées, comme l’exploitation de vulnérabilité dans les OS, fonctionnent toujours, comme en témoigne l’impact massif de Conficker. Enfin, les menaces pesant sur les équipements nomades (smartphones) continuent à augmenter.

-          Dans un contexte économique difficile, dans lequel des emplois (et notamment des emplois d’informaticiens) sont détruits, les menaces internes (employés licenciés ou mécontents) devraient fortement croitre dans les mois qui viennent.

Malgré cette vision relativement assez pessimiste quant à l’évolution des attaques et leur succès, il est intéressant de noter deux tendances majeures qui démontrent un progrès dans la façon dont on traite désormais les grandes menaces.

-          Des progrès importants ont été effectués dans la manière d’adresser les menaces : Un excellent exemple est l’établissement du conficker working group (www.confickerworkinggroup.org), qui a démontré que lorsque tous les acteurs de la sécurité collaborent, cela a un effet positif (la collaboration entre les acteurs sécurité a permis d’identifier les noms de domaines impliqués dans l’attaque conficker, ceux-ci étant ensuite transmis aux ISP). La fermeture de McColo, célèbre hébergeur de Botnets, démontre également que l’acharnement paie (même si, depuis la chute de McColo, les botnets qui y étaient hébergés ont déménagé vers l’Estonie).

-          De plus en plus de pays se renforcent dans leur lutte contre la cybercriminalité : Etats-Unis, Finlande, mais également France, avec la création de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, qui remplace le DCSSI). Le Livre blanc sur la défense et la sécurité nationale de 2008 a mis en exergue l’importance de la cyber-menace. Il a retenu le risque d’une attaque informatique contre les infrastructures nationales comme l’une des menaces majeures des quinze prochaines années, et explique l’élargissement des compétences de la DCSSI et son changement de nom.

L’intégralité du rapport peut être consultée ici : http://cisco.com/web/about/security/intelligence/midyear_security_review09.pdf.

Bien évidemment, adresser ces menaces se fait avec une approche de gestion du risque et la définition d’architectures de sécurité, mais nous y reviendrons, en particulier autour du datacenter et du XaaS….

Archivé sous: Sécurité | Tagué : , , , | Laisser un commentaire »

Les firewall nouvelle génération – épisode 1

Posté sur juin 26, 2009 par Christophe Perrin

L’intégration de multiples fonctions de sécurité dans un seul équipement répond à la demande de simplification des architectures de sécurité internet. Bien évidemment, sur ces arguments de simplification et surtout de coût réduit, cette intégration a suscité un intérêt fort chez les clients. De nombreux acteurs se sont alors lancés sur ce marché, faisant naitre un grand nombre de solutions dites UTM (la terminologie UTM définit un équipement matériel qui combine à minima des fonctions de Firewall, de VPN, d’IPS, et d’anti-virus, regroupant dans un seul équipement des fonctions autrefois dissociées).

Mais cette approche a un coût technologique : Faire tourner un grand nombre de technologies de sécurité  sur un processeur unique (accompagné ou non d’un ou plusieurs ASICs) ne peut se faire qu’avec deux inconvénients majeurs :

  • Les performances : Faire tourner de nombreuses fonctions sur un hardware unique fait s’effondrer l’appliance. Il est courant, lorsque l’on allume des fonctions gourmandes en CPU (demandant une analyse approfondie des paquets) telles que l’anti-virus, l’antispam (etc), les performances chutent de 90%…
  • La qualité des fonctions : Pour obtenir un coût intéressant et des performances « correctes », il faut renier sur la qualité des fonctions. Bien souvent, les fonctions supportées sont basiques, héritées de l’open source et ne méritent pas l’appellation de la datasheet. D’ailleurs, les clients et les éditeurs d’UTM ne s’y trompent pas : A-t-on vu un jour Fortinet ou Netasq répondre à un projet purement prévention d’intrusions alors que la datasheet de leur équipement dit que c’est (aussi) un IPS ?

Petit à petit, sur le marché, l’UTM est devenu synonyme d’ « économique » et « peu performant (en vitesse et qualité) ».

Dans ce contexte, les UTMs sont-ils condamnés ? A évoluer, surement. Il faut sans doute redéfinir les services qui y sont intégrés, pour prendre en compte les besoins et les menaces. Nous y reviendrons…

Et vous, avez vous déployé des UTMs ? Avec succès ? Partagez votre expérience….

Archivé sous: Sécurité | Laisser un commentaire »

Pour le premier post, rions un peu (jaune)

Posté sur juin 26, 2009 par Christophe Perrin

Ce premier post nous emmène dans le Montana, et plus particulièrement dans la ville de Bozeman. Tout le monde sait que les recruteurs manient désormais habilement les google, linkedin, facebook, dans le but de « profiler » les candidats, et d’analyser leur réputation en ligne…

Mais finalement, pourquoi se fatiguer à faire des recherches quand on peut exiger des futurs employés qu’ils donnent leurs logins au futur employeur ?

Comment ca, qui a dit vie privée ? :-)

http://www.networkworld.com/community/node/42819?source=NWWNLE_nlt_daily_am_2009-06-19

Protection des données personnelles et réputation en ligne sont des éléments clé de notre vie numérique, nous y reviendrons.

Archivé sous: Sécurité | Laisser un commentaire »

« Page précédente