Présentation CLUSIR 8 janvier 2002 Direction Marketing

technologies existantes Agenda Introduction Evolution de la menace Les limites des technologies existantes Différentes technologies de filtrage Limites des architectures existantes La technologie FAST Présentation et bénéfices Intégration et bénéfices Evolution Conclusion Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

technologies existantes Evolution de la menace Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

technologies existantes Quelle est la menace ? 0% 100% Hackers Script Kiddies DoS Virus Ver Type Code Red Attaques ciblées – Grandes entreprises Boites à outils – Scan d’adresse IP – Cible très large et mal protégée (PME-PMI) Evolution de la menace Déni de service – Attaques généralement ciblées Les limites des technologies existantes Toutes les cibles (Grandes entreprises, PME, particuliers,…) Propagation classique par disquette ou e-mail La technologie FAST Conclusions Toutes les cibles Propagation de plus en plus rapide par internet via les e-mail, les pages Web en utilisant les failles des outils de communication Questions Réponses Direction Marketing

technologies existantes Quelles types d’attaques ? Niv 3 Niv 4 Niv 5 à 7 0% 100% Attaques exploitants les failles IP (plus utilisées) Evolution de la menace Attaques de niveau 4 minoritaires (vol de session) Attaques généralement sophistiquées Les limites des technologies existantes La technologie FAST Attaques applicatives sont les plus nombreuses Les firewall sont généralement perméables Elles utilisent des failles des outils de communication (serveur Web, serveur DNS, clients messagerie…) Conclusions Questions Réponses Direction Marketing

technologies existantes Les vers applicatifs Exemples Sircam Nimda Badtrans Goner Propagation via messagerie, serveurs web, … Utilisation de failles au niveau applicatif Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

Les attaques applicatives Dépassement de buffer Violation de protocole (non-conformité de commande, de paramètre, …) Mauvaise configuration de serveurs (mot de passe faible, …) Trou de sécurité dans les applications Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

technologies existantes Les attaques de demain Protocoles complexes : l’utilisation de flux « complexes » pour véhiculer ces attaques : Visioconférence : H323 Partage fichiers/Chat : type ICQ Nouveaux protocoles Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

Evolution de la menace - conclusion Des attaques de grandes envergures sont cachées dans le contenu des requêtes De plus en plus de déni de service par violation de protocoles applicatifs Les « Vers », attaques de niveau 7 relèguent au deuxième plan la menace des Hackers et des Script Kiddies Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

Les limites des technologies existantes Evolution de la menace Les limites des technologies existantes Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

Session tracking / Stateful Degré de protection Niv 3 Niv 4 N i v 5 à 7 Bénéfices Conserve la table des connexions actives (TCP/UDP) Premier niveau de recherche dans le « corps » du paquet Inconvénients Contrôle par sondage mais pas de contrôle global et exhaustif du contenu Mécanisme de contrôle applicatif peut être biaisé Conclusion Mode de protection le plus répandu, il n’est pas étanche au regard des attaques applicatives. Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

technologies existantes Proxy Degré de protection Niv 3 Niv 4 N i v 5 à 7 Bénéfices Analyse des données applicatives Inconvénients Technique plus tournée compréhension et re-formulation que recherche d’attaque Performances / Flexibilité Conclusion De moins en moins utilisé car lourd, contraignant et peu performant Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

Limites des technologies actuelles Conclusion Choix à faire entre sécurité et performance Pas d’analyse complète des données applicatives Perméables à nombre d’attaques pourtant connues (Attaques Web type Nimda, Troyens sur ports ouverts, Déni de service par violation de protocole, …) Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

Les limites en terme d’architecture Evolution de la menace Les limites en terme d’architecture Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

Limites en terme d’architecture Un remède à chaque mal ou une solution globale ? Nécessité d’un mur de sécurité Différentes briques interconnectée Des briques de sécurités hétérogènes difficiles à faire fonctionner ensemble Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

Limites en terme d’architecture Présentation d’un schéma type Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

technologies existantes Conclusion Les limites des technologies existantes Performance des filtrages Complexité + lourdeur (briques hétérogènes) Nécessité de compétences pointues en interne sur chaque composante Modèle réactif de sécurité (mots clés, IDS) Performance des systèmes Antivirus externes Analyse anti-virus des flux http difficile avec les outils actuels Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

technologies existantes Evolution de la menace La technologie FAST Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

technologies existantes La technologie FAST FIREWALL STATEFUL : FIREWALL FLUX IP FLUX IP Evolution de la menace Les limites des technologies existantes FIREWALL / ANALYSER « ARKOON »: La technologie FAST FIREWALL ANALYSER FLUX IP FLUX IP Conclusions Questions Réponses

FAST La technologie FAST Flux sortant TCP NOYAU DU SYSTEME HTTP FAST Interception des paquets FTP DNS SMTP LIAISON PHYSIQUE POP3 H323 RESEAU TRANSPORT ……. ……. SESSION ……. PRESENTATION Automate de contrôle applicatif APPLICATION Connexion active n°1 Connexion active n°2 Une solution de sécurité développée au cœur du système dans le noyau. …… CLOSED LISTEN SYN SENT TCP Flux sortant TCP TCP Module Fragments Cohérence niveau 3 Cohérence niveau 4 IP IP Vérification individuelle du paquet défragmenté Table de suivi des connexions actives Direction Marketing

technologies existantes La technologie FAST  Firewall « niveau 7 applicatif » Session Tracking : suivi des sessions (tables connexions actives) Vérification couche OSI/3 (IP) et OSI/4 TCP/UDP/ICMP (Normes RFC) Analyseur de protocoles applicatifs TCP/IP Vérification « à la lettre » du respect des protocoles applicatifs (HTTP, FTP, SMTP, POP3, NNTP, DNS, IMAP4, RTSP, H323, Netbios) en fonction des normes RFC Filtrage dynamique complet au niveau applicatif avec analyse de l’intégralité du message Règles protocolaires Permet d’interdire certaines commandes d’un protocole Règles protocolaires applicatives sans Proxy Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses

technologies existantes La technologie FAST Degré de protection Niv 3 Niv 4 N i v 5 à 7 Sécurité Permet un contrôle total des flux par une compréhension de l’intégralité de ce qui est transporté (Détection des attaques par violation de protocole) Restriction du champ d’action applicatif grâce aux règles protocolaires (Par exemple, interdiction de ‘..’ dans URLs) Détection d’attaques sans nécessité de base de signatures d’attaques (Nimda, Code Red/Blue, …) Permet d’anticiper sur les attaques futures Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

technologies existantes La technologie FAST Performances élevées Analyse applicative en mode noyau et non en mode utilisateur Optimisation du noyau linux et processeur > 1 GHz Validation de la solution jusqu’à 560 Mbps – 650 000 sessions simultanées Une technologie pour faire face aux défis de l’ouverture des systèmes d’information Evolution de la menace Les limites des technologies existantes La technologie FAST SECURITE APPLICATIVE SQL SAP XXX FAST 2002 2001 2003 Conclusions Questions Réponses

L’intégration d’une suite sécurité Evolution de la menace L’intégration d’une suite sécurité Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

Les différentes briques des solutions ARKOON ARKOON Firewall FAST ARKOON Proxy Web & Relay Messagerie ARKOON Antivirus ARKOON VPN ARKOON Services balancing ARKOON Gestion de bande passante ARKOON Manager / Monitoring Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses

Architecture intégrée SERVICES Mise à Jour À DISTANCE Service D’ADMINISTRATION SQL ANTIVIRUS ADMIN À DISTANCE Configuration Monitoring Configuration SERVICE WEB Configurateur NOYAU PROXY WEB RELAY SMTP Monitoring SERVICE SMTP SERVICE ROUTAGE AVANCE VPN IPSEC VPN DISTANT Serveur/Client SERVICE H.A. Noyau ARKOON Noyau Linux FIREWALL / ANALYSER ROUTAGE 1-Analyse TCP/IP 2-Règles 3- Analyse Applicative NAT Service Balancing PACKET IP PACKET IP

technologies existantes ARKOON Antivirus Développé en collaboration avec SOPHOS Analyse du flux et du contenu à la volée Mise à jour quotidienne, automatique et sécurisée (certificat SSL V3) Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses

technologies existantes ARKOON AntiVirus FIREWALL + AntiVirus Classique : ANTIVIRUS Evolution de la menace PROXY FLUX IP FLUX IP Les limites des technologies existantes La technologie FAST ARKOON + AntiVirus « Suite ARKOON » : Conclusions FLUX IP FLUX IP Questions Réponses PROXY

Bénéfice du couplage FAST et d’un moteur antivirus SOPHOS Sécurité Excellent rapport sécurité/performances Facilité d’administration Répond aux attaques d’aujourd’hui et à celles de demain Analyse anti-virus de flux complexes (pop3, h323, netbios,…) Performance Librairie intégrée dans le code ARKOON Pas de programme externe ou de protocole type CVP pour analyser les fichiers Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses

technologies existantes Evolution de la menace Conclusion Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

technologies existantes Conclusion Technologie Une sécurité accrue car elle permet un contrôle total des flux et la vérification de l’intégralité du message transporté Une capacité à contrer des attaques non référencées qui en majorité s’appuient sur des failles et des violations de protocoles Intégration Simplicité d’administration et d’implémentation Performances accrues Evolution de la menace Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing

technologies existantes Evolution de la menace Questions / Réponses Les limites des technologies existantes La technologie FAST Conclusions Questions Réponses Direction Marketing