La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Présentation CLUSIR 8 janvier 2002. 2 Agenda Introduction –Evolution de la menace Les limites des technologies existantes –Différentes technologies.

Présentations similaires


Présentation au sujet: "1 Présentation CLUSIR 8 janvier 2002. 2 Agenda Introduction –Evolution de la menace Les limites des technologies existantes –Différentes technologies."— Transcription de la présentation:

1 1 Présentation CLUSIR 8 janvier 2002

2 2 Agenda Introduction –Evolution de la menace Les limites des technologies existantes –Différentes technologies de filtrage –Limites des architectures existantes La technologie FAST –Présentation et bénéfices –Intégration et bénéfices –Evolution Conclusion Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

3 3 Evolution de la menace Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

4 4 0% 100% Quelle est la menace ? Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses Attaques ciblées – Grandes entreprises Boites à outils – Scan dadresse IP – Cible très large et mal protégée (PME-PMI) Toutes les cibles (Grandes entreprises, PME, particuliers,…) Propagation classique par disquette ou Toutes les cibles Propagation de plus en plus rapide par internet via les , les pages Web en utilisant les failles des outils de communication Hackers Script Kiddies DoS Virus Ver Type Code Red Déni de service – Attaques généralement ciblées

5 5 Niv 3 Niv 4 Niv 5 à 7 0% 100% Quelles types dattaques ? Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses Attaques exploitants les failles IP (plus utilisées) Attaques de niveau 4 minoritaires (vol de session) Attaques généralement sophistiquées Attaques applicatives sont les plus nombreuses Les firewall sont généralement perméables Elles utilisent des failles des outils de communication (serveur Web, serveur DNS, clients messagerie…)

6 6 Exemples –Sircam –Nimda –Badtrans –Goner Propagation via messagerie, serveurs web, … Utilisation de failles au niveau applicatif Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses Les vers applicatifs

7 7 Les attaques applicatives Dépassement de buffer Violation de protocole (non-conformité de commande, de paramètre, …) Mauvaise configuration de serveurs (mot de passe faible, …) Trou de sécurité dans les applications Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

8 8 Les attaques de demain Protocoles complexes : lutilisation de flux « complexes » pour véhiculer ces attaques : –Visioconférence : H323 –Partage fichiers/Chat : type ICQ Nouveaux protocoles Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

9 9 Evolution de la menace - conclusion Des attaques de grandes envergures sont cachées dans le contenu des requêtes De plus en plus de déni de service par violation de protocoles applicatifs Les « Vers », attaques de niveau 7 relèguent au deuxième plan la menace des Hackers et des Script Kiddies Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

10 10 Les limites des technologies existantes Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

11 11 Session tracking / Stateful Bénéfices –Conserve la table des connexions actives (TCP/UDP) –Premier niveau de recherche dans le « corps » du paquet Inconvénients –Contrôle par sondage mais pas de contrôle global et exhaustif du contenu –Mécanisme de contrôle applicatif peut être biaisé Conclusion –Mode de protection le plus répandu, il nest pas étanche au regard des attaques applicatives. Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses Degré de protection Niv 3 Niv 4 N i v 5 à 7

12 12 Proxy Bénéfices –Analyse des données applicatives Inconvénients –Technique plus tournée compréhension et re-formulation que recherche dattaque –Performances / Flexibilité Conclusion –De moins en moins utilisé car lourd, contraignant et peu performant Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses Degré de protection Niv 3 Niv 4 N i v 5 à 7

13 13 Limites des technologies actuelles Conclusion –Choix à faire entre sécurité et performance –Pas danalyse complète des données applicatives –Perméables à nombre dattaques pourtant connues (Attaques Web type Nimda, Troyens sur ports ouverts, Déni de service par violation de protocole, …) Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

14 14 Les limites en terme darchitecture Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

15 15 Un remède à chaque mal ou une solution globale ? Nécessité dun mur de sécurité –Différentes briques interconnectée –Des briques de sécurités hétérogènes difficiles à faire fonctionner ensemble Limites en terme darchitecture Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

16 16 Présentation dun schéma type Limites en terme darchitecture Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

17 17 Conclusion Les limites des technologies existantes –Performance des filtrages –Complexité + lourdeur (briques hétérogènes) –Nécessité de compétences pointues en interne sur chaque composante –Modèle réactif de sécurité (mots clés, IDS) –Performance des systèmes Antivirus externes –Analyse anti-virus des flux http difficile avec les outils actuels Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

18 18 La technologie FAST Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

19 19 La technologie FAST FLUX IP FIREWALL FLUX IP FIREWALL ANALYSER FLUX IP FIREWALL STATEFUL : FIREWALL / ANALYSER « ARKOON »: Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

20 20 La technologie FAST Flux sortant PHYSIQUE LIAISON Module Fragments Cohérence niveau 3 Cohérence niveau 4 HTTP DNS FTP SMTP POP3 H323 ……. CLOSED LISTEN SYN SENT TCP TCPTCP IPIP TCPTCP IPIP Vérification individuelle du paquet défragmenté Table de suivi des connexions actives …… Connexion active n°2 Connexion active n°1 FASTFAST Interception des paquets NOYAU DU SYSTEME Automate de contrôle applicatif RESEAU TRANSPORT SESSION PRESENTATION APPLICATION

21 21 La technologie FAST Firewall « niveau 7 applicatif » –Session Tracking : suivi des sessions (tables connexions actives) –Vérification couche OSI/3 (IP) et OSI/4 TCP/UDP/ICMP (Normes RFC) Analyseur de protocoles applicatifs TCP/IP –Vérification « à la lettre » du respect des protocoles applicatifs (HTTP, FTP, SMTP, POP3, NNTP, DNS, IMAP4, RTSP, H323, Netbios) en fonction des normes RFC –Filtrage dynamique complet au niveau applicatif avec analyse de lintégralité du message Règles protocolaires –Permet dinterdire certaines commandes dun protocole –Règles protocolaires applicatives sans Proxy Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

22 22 La technologie FAST Sécurité –Permet un contrôle total des flux par une compréhension de lintégralité de ce qui est transporté (Détection des attaques par violation de protocole) –Restriction du champ daction applicatif grâce aux règles protocolaires (Par exemple, interdiction de.. dans URLs) –Détection dattaques sans nécessité de base de signatures dattaques (Nimda, Code Red/Blue, …) –Permet danticiper sur les attaques futures Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses Degré de protection Niv 3 Niv 4 N i v 5 à 7

23 23 La technologie FAST Performances élevées –Analyse applicative en mode noyau et non en mode utilisateur –Optimisation du noyau linux et processeur > 1 GHz –Validation de la solution jusquà 560 Mbps – sessions simultanées Une technologie pour faire face aux défis de louverture des systèmes dinformation Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses SECURITE APPLICATIVE SQL SAP XXX FAST

24 24 Lintégration dune suite sécurité Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

25 25 Les différentes briques des solutions ARKOON ARKOON Firewall FAST ARKOON Proxy Web & Relay Messagerie ARKOON Antivirus ARKOON VPN ARKOON Services balancing ARKOON Gestion de bande passante ARKOON Manager / Monitoring Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

26 26 SERVICES Noyau ARKOON Architecture intégrée Noyau Linux FIREWALL / ANALYSER 1-Analyse TCP/IP 3- Analyse Applicative 2-Règles SQL Service DADMINISTRATION ConfigurationMonitoring ANTIVIRUS PROXY WEB RELAY SMTP Configurateur NOYAU PACKET IP ADMIN À DISTANCE VPN IPSEC Mise à Jour À DISTANCE Configuration Monitoring ROUTAGE SERVICE WEB SERVICE SMTP Service Balancing NAT SERVICE ROUTAGE AVANCE VPN DISTANT Serveur/Client SERVICE H.A.

27 27 ARKOON Antivirus Développé en collaboration avec SOPHOS Analyse du flux et du contenu à la volée Mise à jour quotidienne, automatique et sécurisée (certificat SSL V3) Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

28 28 ARKOON AntiVirus FLUX IP PROXY FLUX IP FIREWALL + AntiVirus Classique : ARKOON + AntiVirus « Suite ARKOON » : ANTIVIRUS PROXY Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

29 29 Bénéfice du couplage FAST et dun moteur antivirus SOPHOS Sécurité –Excellent rapport sécurité/performances –Facilité dadministration –Répond aux attaques daujourdhui et à celles de demain Analyse anti-virus de flux complexes (pop3, h323, netbios,…) Performance –Librairie intégrée dans le code ARKOON –Pas de programme externe ou de protocole type CVP pour analyser les fichiers Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

30 30 Conclusion Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses

31 31 Conclusion Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses Technologie –Une sécurité accrue car elle permet un contrôle total des flux et la vérification de lintégralité du message transporté –Une capacité à contrer des attaques non référencées qui en majorité sappuient sur des failles et des violations de protocoles Intégration –Simplicité dadministration et dimplémentation –Performances accrues

32 32 Questions / Réponses Evolution de la menace La technologie FAST Les limites des technologies existantes Conclusions Questions Réponses


Télécharger ppt "1 Présentation CLUSIR 8 janvier 2002. 2 Agenda Introduction –Evolution de la menace Les limites des technologies existantes –Différentes technologies."

Présentations similaires


Annonces Google