Utilisation abusive d`Internet : Comment garder le

Utilisation abusive d’Internet :
Comment garder le contrôle ?
[email protected]
Agenda
• WatchGuard
• Internet dans l’entreprise
• Outil de communication et de progrès social
• Internet = de nouveaux risques
• Utilisation de l’accès au réseau et de la messagerie électronique pour des
fins personnelles
• Encadrer et limiter cette utilisation : outils juridiques et techniques
• Garder le contrôle de ses flux
• Politique de sécurité / Changement de comportement des utilisateurs
• « Monitorer » et filtrer
• Inspection HTTPS : pour quoi faire ?
• Qui utilise la bande passante, avec quelles applications ?
• Un Botnet, c’est quoi ?
La Société








Fondée in 1996, HQ à Seattle, Washington
~500 employés
Pionnier dans l’appliance de sécurité (1996)
1ère société à utiliser les fonctions de proxies applicatifs transparent
(1997)
2006: rajout des fonctionnalités UTM (Unified Threat Management) sur
toute la gamme: Edge, Core, Peak.
Plus de 800,000 appliances déployées
Clients dans plus de 150 pays
Répartition des ventes mondiales
 50% Americas (Canada, USA, South America)
 38% EMEA
 12% APAC
Solutions de sécurité WatchGuard
XCS
XTM
 Anti-Spam
 Web Security
 Data Loss Prevention
 Encryption
 Queue Replication
 Firewall
 VPN
 Reputation Enabled Defense
 SpamBlocker
 WebBlocker
Contrôle d’application
 Gateway AV
 Intrusion Prevention Service
SSL
Portail Applicatif SSL
 Reverse Proxy OWA
 Authentification forte
intégrée
Internet dans l’entreprise
• Rencontre entre deux univers divergents
 Internet : monde de liberté individuelle
 Entreprise : monde de règlementations et de préservation des droits des tiers
• L’employeur est responsable des agissements de ses salariés
 Responsabilité civile de l’employeur du fait de ses préposés (article 1384 alinéa 5
du Code civil)
• Prérogatives du pouvoir de direction:
 Fixer les modalités d’usage d’Internet et des TIC
 Mettre en place des dispositifs de surveillance
 Contrôler et sanctionner les abus
 Les Lois HADOPI entrent dans le cadre de cette gestion des risques
(Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet)
Article 6 – Délit de négligences
« Obligation de surveillance par les usagers : toute personne
titulaire d'un accès à des services de communication au public
en ligne aura l'obligation de veiller à ce que cet accès ne fasse
pas l'objet d'une utilisation à des fins de reproduction, de
représentation, de mise à disposition ou de communication au
public d'œuvres ou d'objets protégés par le droit d'auteur. »
Les recommandations adressées aux abonnés par la HADOPI les
informent sur l'offre légale en ligne, sur la date et l'heure des
usages illicites constatés et sur l'existence de moyens de
sécurisation
Internet = de nouveaux risques pour l’entreprise
1. Utilisation de l’accès au réseau à des fins
personnelles, en laissant des traces de l’entreprise
2. Encombrement de la bande passante
3. Mise en cause de la sécurité informatique (virus,
malware, botnet)
4. Téléchargement illicite de fichiers
5. Utilisation de la messagerie électronique à des fins
personnelles, fuite d’informations
Mais pourtant !!!!
• Je suis protégé monsieur le juge !!
Changement de comportement
des utilisateurs
• Que vont faire les particuliers qui auront peur de
télécharger de chez eux ???
• La peur du gendarme.... et de la coupure de la
connexion Internet les pousseront à télécharger sur
leur lieu de travail
• L’éducation des utilisateurs sera à la fois plus
importante et … plus inutile….
Les outils Anti Hadopi 2

Paradoxalement, Hadopi 2 vulgarise ces techniques plus ou
moins évoluées auprès du grand public :
 Metro, Les Echos , NouvelObs, etc… !!!
 http://fr.wikipedia.org/wiki/Loi_Création_et_Internet
 Blog Linux Manua (les 10 antidotes anti-hadopi)
 jusqu’au routeur anti hadopi…
UltraSurf

UltraSurf est un anonymizer de seconde génération (et gratuit…)

Plus besoin d’aller sur un site Web Proxy , le logiciel le fait directement
en SSL avec des adresses multiples et dynamiques

Trafic complètement encrypté via les ports ouverts (auto détection des
ports disponibles en sortie par le logiciel)
Classement en France (Février 2011)
Rank
1
3
8
12
15
16
19
20
21
22
24
27
28
30
34
37
40
41
45
50
51
52
53
58
59
60
61
62
63
64
65
66
88
96
Site
facebook.com
youtube.com
leboncoin.fr
laredoute.fr
dailymotion.com
ebay.fr
over-blog.com
partypoker.fr
blogspot.com
cdiscount.com
amazon.fr
groupon.fr
aufeminin.com
priceminister.com
deezer.com
voyages-sncf.com
3suisses.fr
meteofrance.com
megaupload.com
rueducommerce.fr
canalblog.com
mozilla.com
spartoo.com
jeuxvideo.com
hotmail.com
pixmania.com
lequipe.fr
vente-privee.com
lefigaro.fr
sarenza.com
viamichelin.fr
marmiton.org
jeux.fr
seloger.com
Unique Visitors (users)
Reach
Page Views
23,000,000
50.90%
44,000,000,000
16,000,000
35.30%
3,300,000,000
9,000,000
19.70%
4,800,000,000
6,200,000
13.60%
400,000,000
5,600,000
12.30%
190,000,000
5,600,000
12.20%
1,100,000,000
5,100,000
11.10%
160,000,000
5,100,000
11.20%
61,000,000
4,600,000
10.10%
120,000,000
4,600,000
10%
340,000,000
3,800,000
8.30%
250,000,000
3,800,000
8.30%
61,000,000
3,800,000
8.40%
130,000,000
3,500,000
7.70%
170,000,000
3,100,000
6.90%
340,000,000
2,900,000
6.30%
210,000,000
2,600,000
5.80%
210,000,000
2,600,000
5.80%
97,000,000
2,400,000
5.20%
110,000,000
2,400,000
5.20%
120,000,000
2,400,000
5.20%
80,000,000
2,300,000
5.10%
74,000,000
2,200,000
4.80%
66,000,000
2,200,000
4.70%
170,000,000
2,100,000
4.70%
61,000,000
2,100,000
4.70%
88,000,000
2,100,000
4.70%
370,000,000
2,100,000
4.60%
410,000,000
2,000,000
4.30%
80,000,000
2,000,000
4.30%
98,000,000
1,900,000
4.20%
37,000,000
1,900,000
4.20%
73,000,000
1,600,000
3.50%
190,000,000
1,500,000
3.20%
160,000,000
Source : http://www.google.com/adplanner/static/top100countries/fr.html
Filtrage des sites Web
Une première étape pour se protéger

Le filtrage d’URL est la première
barrière pour empêcher les
utilisateurs d’aller sur :

des sites de téléchargement,

sur des sites de streaming

des proxies relais
Internet
Activer Safe Search
• La fonctionnalité SafeSearch de Google utilise des méthodes automatisées
pour empêcher tout contenu inapproprié ou réservé aux adultes
d'apparaître dans les résultats de recherche. SafeSearch permet d'éviter ces
contenus dans la grande majorité des cas.
• Dans Policy Manager, section client HTTP Configuration Action Proxy,
selectioner requête HTTP > Paramètres et sélectionnez Forcer Safe
Search.
20
Watc
hGu
ard
Train
ing
Les réseaux sociaux en entreprise
La politique de sécurité concernant les réseaux sociaux dans l’entreprise
60
50
54
51
2009
Percent
40
2011
30
31
20
19
10
16
14
10
4
0
Prohibited
completely
Permitted for
Permitted for
business purposes limited personal
only
use
Permitted for any
type of personal
use
1
0
Don’t know/no
answer
Robert Half Technology. “SOCIAL WORK? More Companies Permit Social Networking on the
Job”. May 26, 2011. Retrieved from: http://rht.mediaroom.com/2011SocialMediaPolicies
Les utilisateurs et les applications sont hors contrôle !
1. Retrieved from: http://www.allfacebook.com/facebook-games-statistics-2010-09
2. Retrieved from http://www.freemusictodownload.eu/p2p-statistics.html
3. Sources: X-Force, Websense, Whitehat Security, Imperva, 7Scan
Vous ne pouvez pas contrôler sans visibilité
• Les pare-feux traditionnels, basés sur les ports, ne peuvent
•
pas surveiller de nombreuses applications
Perte de Productivité
• Les applications gourmandent en bande passante
ralentissent le réseau
• Perte de données / Attaques
 Sentiment de confiance sur les réseaux sociaux
 Failles de sécurité
Contrôle d’Applications
Plus de 2300 signatures, 1800 applications uniques
Catégories
Applications
Instant Messaging
QQ; MSN; Yahoo; GoogleTalk
Mail
Hotmail; Gmail; Yahoo; MS
Exchange
Web 2.0/Social Media
Facebook; LinkedIn; Twitter
P2P
Gnutella, Foxy, Winny;
Bittorrent; eMule
Remote Access Terminals
TeamViewer; GoToMyPC
Database
MS SQL; Oracle
File Transfer
Peercast; Megaupload
Voice Over IP
Skype
Streaming Media
QuickTime; YouTube; Hulu
Network Management
MS Update; Adobe; Norton;
McAfee
Tunnel (Web bypass
proxies)
Ultrasurf; Avoidr; Circumventor
Applications approuvées
Applications dangereuses ou
bloquées
WatchGuard gère le problème
Quelles sont les
applications
utilisées
Permet
l’utilisation
sécurisée et
productive des
applications
Restreint les
usages non
productifs, non
sécurisés et
consommateurs
de bande
passante
La visibilité est essentielle
• Des rapports complets par applications, utilisateurs,
catégories, applications bloquées, top 10, …
Organisation Intuitive
• Trouvez les applications par catégorie (ex. Réseaux Sociaux)
•
OU
Query search by application name (e.g. Facebook)
La Sécurité comme vous l’entendez – Contrôle étendu
• Mise en place de politique par catégories
La Sécurité comme vous l’entendez – Contrôle granulaire
• Contrôle par utilisateur, catégorie, application &
sous-fonction d’application
Une politique de sécurité, simplement
• L’integration avec les règles du pare-feu vous donne un
contrôle total
Tous les équipements de sécurité n’ont pas les
mêmes capacités
• Tous les équipements de sécurité ne filtrent pas les sites Web
• Tous les équipements de sécurité ne filtre pas le contenu des
pages Web
• Tous les équipements de sécurité n’inspectent pas les flux
cryptés
• Tous les équipements de sécurité ne disposent pas forcément de
la granularité voulue au niveau de la politique de sécurité
• Etc...
Tracer les connexions en temps réel
• Affichage du débit par connexion et détection des comportements
•
« louches »
Trouvez qui utilise trop la bande passante et qui télécharge peut être !
Archivage des logs
Le Firebox envoie
ses logs chiffrés au
Serveur de Logs
L’Administrateur Réseau et
Système consulte logs et
rapports
Les Logs sont stockés
dans une base SQL et
archivés pour la durée
légale nécessaire
Décret n° 2011-219 du 25 février 2011
• Décret n° 2011-219 du 25 février 2011 relatif à la conservation
et à la communication des données permettant d'identifier
toute personne ayant contribué à la création d'un contenu mis
en ligne.
”La durée de conservation des données mentionnées à l’article 1er
est d’un an”
•
•
•
•
•
•
Les données que les personnes sont tenues de conserver en vertu de cette disposition, sont les
suivantes :
a) L’identifiant de la connexion ;
b) L’identifiant attribué par ces personnes à l’abonné ;
c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l’abonné ;
•
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id
Serveur de Logs et Rapports

WatchGuard Log Server

Protocole propriétaire basé sur
TCP (en mode connecté)

Automatiquement Chiffré

Mécanisme de backup

Alternative au standard de fait
“Syslog” qui ne convient pas à
cette fonction

Le WatchGuard Log Server est
inclut en standard avec les
produits WatchGuard
Architecture Logs / Rapports
Logs are stored in a SQL Database
Firebox connects to Log Server to
store the logs
Log Viewer
Log Server
Firebox
Automatic
Refresh of reports
Report Manager
38
Report Server
Ajustement de la charte d’entreprise
• La Charte d’entreprise devra refléter les obligations
de l’entreprise vis-à-vis de cette loi
Quid de la Politique de sécurité en entreprise
• Arriver à bloquer tous les types de trafic de type
téléchargement ou streaming va devenir un casse tête
pour les administrateurs
WatchGuard’s Best-In-Class Security: Moving Security Forward
Protéger votre réseau en intégrant les meilleures technologies
de sécurité pour vous permettre de gérer les risques
risques,, et
amélorier l’éfficacité
l’éfficacité..
XTM, XCS et VPN SSL
Une combinaison de solutions regroupées dans une seule appliance.
Merci
[email protected]
06 08 30 83 04
Projet de Spécifications Fonctionnelles HADOPI (SFH)
•
•
« Les journaux sécurisés doivent être archivés et conservés par le titulaire de l’abonnement pendant la
période d’une année »
Élément 1 : Observation en temps réel et sans enregistrement des flux et protocoles qui transitent par
l’accès ; sur la base de l’observation et de la politique de sécurité choisie, une ou plusieurs des actions
techniques suivantes peuvent s’appliquer : laisser faire ou bloquer (selon des critères définis dans le
présent document, et qui incluent notamment le type de flux ou protocoles, selon le protocole
applicatif, des listes1, des caractéristiques de formats, de débits, de volumes, des
profils d’utilisateurs, des plages horaires).
•
Élément 2 : Analyse optionnelle de la gestion de configuration informatique (ex : analyse statique de la
configuration de postes informatiques ; logiciels installés), analyse statique de la configuration réseau (ex :
analyse de la configuration routeur / boîtier ADSL) ; analyse dynamique des logiciels en fonctionnement, et
contrôle des utilisations par le titulaire de la connexion.
•
Élément 3 : Affichage de notifications et d’alertes pédagogiques (ex : « Vous allez télécharger un fichier en
utilisant le protocole pair à pair « nom du protocole » : voulez-vous continuer ? »).
•
Élément 4 : Double journalisation (version normale en clair et version sécurisée ; les deux versions sont
identiques, sauf si la version en clair est manipulée) des événements significatifs (ex : éléments de la vie
interne du moyen de sécurisation : démarrage, arrêt, activation, désactivation, modification des profils de sécurité,
etc. ;
•
Les éléments 1, 2 et 3 sont à la discrétion et dans les termes choisis par le titulaire. L’élément 4 est
obligatoire et s’opère automatiquement dès lors que le moyen de sécurisation est en
fonctionnement (même si les éléments 1, 2 et 3 ne sont pas activés).
Réponse Graduée
TO AGENT & SSO
• Intégration du TO Agent avec le SSO
47