Contrôle et Visibilité des applications « Dans le firewall » vs. « A

. Livre Blanc
Contrôle et Visibilité des applications
« Dans le firewall » vs. « A côté du firewall »
Pourquoi les firewalls de nouvelle génération
annoncent la fin des IPS et des UTMs.
avec
MIEL . LIVRE BLANC
2
Contrôle et Visibilité des Applications
« Dans le firewall vs. A côté du firewall »
LES ENTREPRISES ONT BESOIN DE CONTROLE ET DE VISIBILITE DES APPLICATIONS ......................................... 3
FIREWALLS DE NOUVELLE GENERATION ET UTM : CE N’EST PAS LA MEME CHOSE .......................................... 4
VISIBILITE : OUVRIR L’INTERRUPTEUR VS. UTILISER UNE LAMPE TORCHE ............................................................................. 4
CONTROLE : AUTORISATION SURE VS. BLOCAGE AVEUGLE ............................................................................................... 5
NOMBRE DE SIGNATURES : UN JEU DE DUPES ................................................................................................. 6
QUELQUES EXEMPLES SPECIFIQUES : GOOGLE TALK, SHAREPOINT, ET ULTRASURF ........................................ 8
CONCLUSION .................................................................................................................................................... 9
et
vous proposent le pare-feu de nouvelle génération
MIEL . LIVRE BLANC
3
Les entreprises ont besoin
de contrôle et de visibilité des applications
Dans un monde où les réseaux sociaux et les applications dans le nuage sont les sujets
dominants, le besoin de contrôle et de visibilité des applications n’a jamais été aussi grand.
Un nombre croissant d’employés très à l’aise avec Internet accèdent à toutes les
applications métiers et personnelles qu’ils désirent soit pour être plus productif, soit pour
rester connecté. Les avantages semblent clairs, mais il en résulte des risques évidents de
sécurité. De nombreuses entreprises cherchent alors à faire en sorte que leur infrastructure
de sécurité gagne en visibilité et en contrôle sur les applications qui traversent le réseau.
Pour Gartner, le contrôle et la visibilité des applications est le critère fondamental de ce qui définit les firewalls de nouvelle
génération. Aujourd’hui de nombreux éditeurs de sécurité surfent sur les termes de « nouvelle génération » et de « contrôle des
applications » sous forme de messages marketing pour promouvoir des offres basées sur les ports TCP. Il est très intéressant
de noter que ces éditeurs sont déjà présents chez ces mêmes clients qui cherchent pourtant toujours un contrôle et une
visibilité approfondie de ces applications.
et
vous proposent le pare-feu de nouvelle génération
MIEL . LIVRE BLANC
4
Firewalls de nouvelle génération et UTM :
ce n’est pas la même chose
Palo Alto Networks est le seul firewall qui peut classifier le trafic par application, grâce à la technologie App-IDTM. Identifier
l’application est la première tâche à effectuer quand le trafic atteint le firewall et c’est la base de toutes les autres fonctions. Les
offres disponibles jusqu’à présent utilisaient l’inspections des paquets par “état” (stateful inspection) pour classifier le trafic et
tentaient d’identifier les applications dans un second temps en utilisant une fonction additionnelle de style UTM (typiquement un
système de prévention d’intrusion, ou IPS). Les différences architecturales entre un firewall de nouvelle génération et un UTM
(Unified Threat Management) sont significatives et ont un fort impact.
Effectuer l’identification de l’application dans le firewall permet de tirer parti de deux
caractéristiques du firewall :
1. Le firewall est le seul composant de sécurité qui voit absolument tout le trafic
2. Le firewall est le bon endroit pour appliquer une règle de contrôle
• Il utilise uniquement un modèle de contrôle positif (autorise certaines communications et bloque toutes les autres)
• Il définit les zones de confiance
Ce qui a des implications sérieuses, les plus importantes étant relative à la visibilité et au contrôle.
Visibilité :
Ouvrir l’interrupteur vs. Utiliser une lampe torche
Un firewall doit classifier tout le trafic, à travers tous les ports - c’est la base d’un firewall. Un IPS (ou un UTM utilisant un IPS
pour identifier les applications) ne voit que les éléments qu’il cherche expressément, typiquement sur certains ports spécifiques.
Quel est l’avantage de faire cela directement dans un firewall ? L’administrateur a une vue claire et compréhensible de toutes
les applications du réseau. Pourvus de ces informations, les administrateurs peuvent prendre des décisions plus pertinentes.
Ceci est comparable à allumer un interrupteur dans une pièce sombre-tout s’éclaire soudainement, devient facilement visible et
les administrateurs peuvent agir dessus. Dans une solution type Firewall traditionnel+IPS ou autres ajouts, les administrateurs
n’ont pas ce niveau de détail. Ils ne connaissent que les objets à chercher pours lesquels l’IPS a été configuré. C’est très
similaire à utiliser une lampe torche dans une chambre sombre. Votre visibilité n’est limitée qu’à la petite zone que vous pointez
avec votre lampe.
et
vous proposent le pare-feu de nouvelle génération
MIEL . LIVRE BLANC
5
Contrôle :
Autorisation sûre vs. Blocage aveugle
Un firewall de nouvelle génération est conçu pour autoriser et contrôler l’accès à l’application, et, si nécessaire, pour scanner
son contenu par un IPS pour détecter les menaces.
Quel est l’avantage d’effectuer l’identification et le contrôle de l’application dans le firewall ? La sécurisation des applications
sous toutes ses formes. Les sociétés peuvent autoriser, refuser, autoriser pour certains groupes, autoriser certaines fonctions,
autoriser mais appliquer une QoS, ou autoriser mais scanner les menaces et les données confidentielles. A l’opposé, le modèle
de contrôle d’un système IPS est négatif et définitif, ce qui veut dire qu’un IPS ne peut que bloquer, ce qui est insuffisant pour
contrôler une application. Avec un IPS ou un UTM, une société pourra uniquement bloquer « en aveugle », dans une action du
type « trouvez-le et tuez-le ».
et
vous proposent le pare-feu de nouvelle génération
MIEL . LIVRE BLANC
6
Nombre de signatures : un jeu de dupes
De toute évidence, l’infrastructure de sécurité identifie un très grand nombre d’applications. De nombreuses solutions à base
d’IPS se vantent de posséder une énorme quantité de signatures des applications, et le jeu est à celui qui prétendra avoir la
liste de signatures la plus importante. Il faut d’une part bien faire la différence entre détecter une signature et identifier une
application et d’autre part considérer où cette application est détectée. Le lieu d’identification de ces applications est en effet
encore plus important (dans le firewall ou à côté du firewall), comme nous l’avons souligné dans les paragraphes précédents.
Il y a d’autres points à considérer avec la même importance : la qualité, la précision et la richesse de l’identification. Une simple
signature d’IPS qui identifie une version unique d’un client unique n’est pas comparable à une technologie basée firewall aussi
sophistiquée que App-IDTM de Palo Alto Networks
App-ID peut consister en une combinaison de plusieurs signatures et comportements pour une application donnée. Par
exemple Palo Alto Networks a une seule App-ID du trafic BitTorrent, quels que soient le client et la version du client. Les autres
éditeurs ont une signature listée pour chaque version de chaque client compatible BitTorrent, ce qui donne une liste
impressionnante de signatures sur le papier mais ne sert finalement à rien.
Ce qui importe est qu’en utilisant le modèle de sécurité positive d’un firewall de nouvelle génération, on peut appliquer une règle
qui permet l’utilisation de certaines applications, indépendamment du port, du protocole, ou du chiffrement SSL. Pour les
applications autorisées, les sociétés peuvent alors ajouter des étapes supplémentaires -comme scanner pour trouver des
menaces ou des données confidentielles.
En revanche, dans le cas de l’utilisation d’un firewall classique d’inspection par « état du paquet » (inspection « stateful ») en
plus d’un système IPS pour identifier et contrôler les applications, l’organisation doit se fier à de simples signatures que le
chiffrement SSL ou le changement dynamique de port rendent inutilisables. «Trouvez-le et tuez-le » ne marche que quand vous
êtes certain de pouvoir « le » trouver. Et tout le reste passe au travers. Au final, tout ceci limite considérablement la capacité à
contrôler de manière effective les applications.
Une signature applicative ne vaut que par l’utilisation qui en est faite et le lieu où elle est appliquée. Le nombre de signatures et
le nombre d’applications sont 2 éléments différents. Le jeu du plus grand nombre de signature est un jeu de dupes.
Point essentiel : Si le firewall utilise l’inspection “stateful” pour classifier le trafic, ce n’est pas
un firewall de nouvelle génération. Si ce n’est pas un firewall de nouvelle génération, il ne
pourra rien changer à votre sécurité réseau.
et
vous proposent le pare-feu de nouvelle génération
MIEL . LIVRE BLANC
7
Palo Alto Networks
UTM (firewall + IPS)
Impact
Mécanisme de
App-ID : L’identité de
Inspection
UTM : Les applications ne sont pas invariablement associées au
base de
l’application est
« stateful » :
port ou protocole. La classification par port est inefficace, n’offre
classification du
déterminée
trafic
indépendamment du
port, protocole ou
chiffrement SSL.
Par port et protocole
aucune visibilité et ne permet qu’un faible contrôle.
réseau. Le port du
Palo Alto Networks : App-ID permet une visibilité pertinente et
protocole est
un contrôle granulaire.
supposé connu
(souvent à tort)
Critère de base
L’identité de
Association
des règles de
l’application.
“supposée” de
sécurité
UTM : Autorise le port 80, bloque le port 5605.
trafics spécifiques à
Concrètement cette règle ne bloque rien car les ports ne
fournissent plus le niveau adéquat de contrôle.
des numéros de port
et des protocoles.
Palo Alto Networks : L’identité réelle de l’application est utilisée :
ex : autoriser Gmail, bloquer BitTorrent et Ultrasurf.
Visibilité de
Une image complète
Limité au reporting
UTM : La consultation des logs “après la bataille”, la donnée est
l’identité de
de tout le trafic
et au filtrage des
fournie trop tard et incomplètement car elle ne reflète que les
l’application
applicatif s’affiche
logs de l’IPS.
applications expressément recherchées.
graphiquement ;
Palo Alto Networks : l’identité de l’application-ce qu’elle fait,
Utilisé comme élément
comment elle fonctionne, et qui l’utilise-est l’élément de base de
de base de la règle ;
la règle.
Vue dans le logging et
le reporting.
Modèle de
Contrôle positif:
contrôle de
N’autorise que ce qui
l’application
a été configuré,
bloque tout le resteidéal pour une
utilisation sûre.
Contrôle négatif:
Bloque ce qui a été
UTM : Le modèle grossier force les administrateurs à dire “non”
trop souvent.
configuré, autorise
Palo Alto Networks : Les employés ont plus de liberté vis-à-vis
tout le reste-
des applications tout assurant la protection et la conformité du
fastidieux pour une
réseau de l’entreprise pour les administrateurs.
utilisation sûre.
Intégration dans
Affichage graphique;
L’intégration est
UTM : Utiliser l’adresse IP au lieu des users et des groupes rend
les services
en tant qu’élément de
dans un but
pratiquement impossible le contrôle positif des applications.
d’annuaire de
règle; dans le logging
d’authentification
l’entreprise
et le reporting..
seulement; ou il est
limité à un élément
Palo Alto Networks : L’autorisation de l’application peut être
basée sur des users et des groupes en plus ou
indépendamment de l’adresse IP.
secondaire de
règles.
Visibilité et
Oui
contrôle du trafic
Non
UTM : Tout le trafic SSL n’est pas contrôlé, ni scanné et est
invisible à l’infrastructure de sécurité et aux administrateurs.
SSL (entrant et
Palo Alto Networks : Incorpore le déchiffrement et l’inspection de
sortants)
SSL sur la base de règles (à la fois sur le trafic entrant et
sortant), pour visibilité totale.
et
vous proposent le pare-feu de nouvelle génération
MIEL . LIVRE BLANC
8
Quelques exemples spécifiques :
Google Talk, SharePoint, et Ultrasurf
Le contrôle et la visibilité des applications doit permettre aux entreprises de spécifier ce qui
doit être autorisé, et pas seulement ce qui doit être bloqué. La meilleure façon de démontrer
l’intérêt d’utiliser le firewall comme élément de contrôle est par l’exemple. Prenons trois
applications et règles associées auxquelles les organisations devront faire face : bloquer
Google Talk, bloquer Ultrasurf, et autoriser SharePoint.
Commençons par Google Talk.
Il semblerait facile pour un IPS d’avoir une signature pour identifier Google Talk, permettant à un administrateur de bloquer
Google Talk. Cet IPS pourrait aussi avoir des signatures pour bloquer Google Talk Gadget, Gmail Chat, et Google Talk File
Transfer. Cependant, il y a 2 challenges potentiels :
« L’agilité » de ces applications sur les ports utilisés rendent l’identification de l’application incertaine (les moteurs des IPS
continuent d’utiliser le port pour déterminer quel décodeur utiliser, et les signatures sont écrites pour des décodeurs
spécifiques). Les administrateurs doivent alors spécifier tous les ports à explorer.
Gmail transite par défaut dans SSL, et la plupart des IPS ne sont pas capables de décrypter le trafic SSL sortant
Ainsi Gmail fonctionne bien, quel que soit la règle mis en place sur l’UTM. La technologie App-ID de Palo Alto Networks inclut la
possibilité de décrypter SSL, couplée à l’indentification de l’application. Dans ce cas on inclut le contrôle des transferts de
fichiers dans Gmail aussi bien que dans Gmail Talk (une implémentation spéciale de Google Talk embarquée dans Gmail).
Bloquer UltraSurf.
Quiconque sait ce qu’UltraSurf fait aimerait le bloquer dans la mesure où il permet aux utilisateurs de faire passer n’importe
quelle application Internet dans un tunnel encrypté capable de traverser les firewalls traditionnels, les proxys et les systèmes
IPS. Le challenge réside dans l’utilisation par UltraSurf d’une implémentation propriétaire de SSL pour contourner les
décodages de protocole et la détection de signature, afin que les IPS ne puisse ni identifier, ni bloquer UltraSurf. La technique
du « trouvez-le et tuez-le » ne fonctionne que si vous pouvez « le » trouver. Dans la mesure où UltraSurf peut être utilisé pour
« tunneliser » n’importe quelle application, tous les autres contrôles d’application sont rendus inutiles. App-ID de Palo Alto
Networks utilise son moteur “heuristique” pour identifier UltraSurf, et pour suivre ses tactiques d’évasion souvent changeantes.
Autoriser SharePoint.
Les systèmes IPS sont conçus pour bloquer, pas autoriser, c’est pourquoi il n’est pas possible d’autoriser SharePoint de
manière sûre. Au lieu de cela, il faudrait bloquer tout le reste. Mais comment faire ? Il faudrait connaitre toutes les applications
du marché et avoir une interface d’administration qui permette de faire une sélection du type « tout sauf SharePoint ». Or
aucune solution n’existe ni ne sera disponible compte tenu du rythme d’arrivée des nouvelles applications sur le marché.
et
vous proposent le pare-feu de nouvelle génération
MIEL . LIVRE BLANC
9
La technologie App-ID de Palo Alto Networks rend l’autorisation sécurisée de SharePoint très simple. Il n’est même pas
nécessaire de connaitre les ports utilisés. Il est possible de contrôler les fonctions à l’intérieur de SharePoint (SharePoint,
SharePoint Admin, SharePoint Blog Posting, SharePoint Calendar, SharePoint Documents, et SharePoint Wiki) et/ou de limiter
leur utilisation (par exemple réserver SharePoint Admin pour les administrateurs informatiques). On sécurise ensuite en
scannant les menaces qui ciblent n’importe lequel des composants de SharePoint (ex. : SQL Server, IIS).
Conclusion
Les solutions IPS ont été conçues pour contourner un défaut systémique du firewall : le
manque de visibilité et de contrôle des applications. Pour éviter une administration complexe
multi-solutions, certains éditeurs ont ajouté dans une même appliance des solutions IPS et
antimalwares à un firewall classique de type « stateful » : c’est l’UTM. Dans les 2 cas, ces
solutions restent dépendantes du modèle de base de classification du firewall et
interviennent a posteriori, pour détecter les malwares ou autres vulnérabilités et pour bloquer
aveuglément. Le modèle de contrôle négatif d’un IPS pose des problèmes de granularité et
n’a aucune action sur les signatures non détectées.
Palo Alto Networks corrige les défauts du firewall en s’attaquant au cœur du problème :
l’identification de l’application, indépendamment du port, du protocole, du chiffrement SSL ou
de toute autre technique d’évasion. L’identification de l’application devient alors la base des
règles du firewall. Un contrôle aussi granulaire, qui associe de surcroît l’utilisateur et non
l’adresse IP, ne peut s’appliquer que sur une plateforme conçue en amont dans cet objectif,
et avec des technologies d’identification sans précédent : c’est le firewall de nouvelle
génération. C’est Palo Alto Networks.
et
vous proposent le pare-feu de nouvelle génération
MIEL . LIVRE BLANC
10
Traduit de l’anglais. Octobre 2010.
A propos de Palo Alto
Palo Alto Networks a été fondée en 2005 par le visionnaire de la sécurité, Nir
Zuk, avec pour mission de ré-inventer le pare-feu afin qu¹il soit de nouveau
l’équipement le plus stratégique dans le dispositif de sécurité d’un réseau
d'entreprise.
Son conseil d'administration et son équipe de direction sont constitués
d‘anciens dirigeants et/ou fondateurs parmi les plus importantes sociétés de
sécurité réseau et technologies connexes, incluant l'invention du Stateful
Inspection, les matériels de sécurité et de prévention d'intrusion.
Quant à son équipe de recherche et développement, elle a fait la preuve de ses
compétences dans des fonctions similaires dans des entreprises telles que
Check Point, Cisco, NetScreen, McAfee, Juniper Networks et d'autres.
La société a commencé à distribuer sa famille de Nouvelle génération de parefeu en 2007 et a installé cette solution dans des centaines d'entreprises et
organisations du monde entier, y compris de nombreuses entreprises classées
Fortune 500 et compte à ce jour plus de 1200 clients actifs dans le Monde.
Palo Alto Networks a ouvert des bureaux de vente répartis en Amérique du
Nord, Europe, Asie-Pacifique, et au Japon, et commercialise ses pare-feu par
l'intermédiaire d'un réseau mondial de distributeurs et de revendeurs.
A propos de Miel
Depuis 1985, Miel découvre et distribue en France les nouvelles technologies
pour l'informatique des entreprises dans les domaines des réseaux, des
systèmes, de la sécurité et de l'informatique industrielle. Ses ingénieurs
s'appuient sur un réseau de partenaires intégrateurs pour diffuser ces produits
sur le marché.
APPELEZ LE 01 60 19 34 52
et
vous proposent le pare-feu de nouvelle génération