1

Présentation CLUSIR8 janvier 2002

2

Agenda

• Introduction– Evolution de la menace

• Les limites des technologies existantes– Différentes technologies de filtrage– Limites des architectures existantes

• La technologie FAST– Présentation et bénéfices– Intégration et bénéfices– Evolution

• Conclusion

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

3

Evolution de la menace

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

4

0%

100%

Quelle est la menace ?

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

Attaques ciblées – Grandes entreprises

Boites à outils – Scan d’adresse IP – Cible très large et mal protégée (PME-PMI)

Toutes les cibles (Grandes entreprises, PME, particuliers,…)Propagation classique par disquette ou e-mail

Toutes les ciblesPropagation de plus en plus rapide par internet via les e-mail, les pages Web en utilisant les failles des outils de communication

Hackers

Script Kiddies

DoS

Virus

Virus

Ver

Type Code Red

Déni de service – Attaques généralement ciblées

5

Niv 3

Niv 4

Niv

5

à

7

0%

100%

Quelles types d’attaques ?

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

Attaques exploitants les failles IP (plus utilisées)

Attaques de niveau 4 minoritaires (vol de session)Attaques généralement sophistiquées

Attaques applicatives sont les plus nombreusesLes firewall sont généralement perméablesElles utilisent des failles des outils de communication(serveur Web, serveur DNS, clients messagerie…)

6

• Exemples– Sircam– Nimda– Badtrans– Goner

• Propagation via messagerie, serveurs web, …

• Utilisation de failles au niveau applicatif

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

Les vers applicatifs

7

Les attaques applicatives

• Dépassement de buffer• Violation de protocole (non-conformité de

commande, de paramètre, …)• Mauvaise configuration de serveurs (mot de

passe faible, …)• Trou de sécurité dans les applications

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

8

Les attaques de demain

• Protocoles complexes : l’utilisation de flux « complexes » pour véhiculer ces attaques :– Visioconférence : H323– Partage fichiers/Chat : type ICQ

• Nouveaux protocoles

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

9

Evolution de la menace - conclusion

• Des attaques de grandes envergures sont cachées dans le contenu des requêtes

• De plus en plus de déni de service par violation de protocoles applicatifs

• Les « Vers », attaques de niveau 7 relèguent au deuxième plan la menace des Hackers et des Script Kiddies

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

10

Les limites des technologies existantes

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

11

Session tracking / Stateful

• Bénéfices– Conserve la table des connexions actives

(TCP/UDP)– Premier niveau de recherche dans le « corps »

du paquet

• Inconvénients– Contrôle par sondage mais pas de contrôle global

et exhaustif du contenu– Mécanisme de contrôle applicatif peut être biaisé

• Conclusion– Mode de protection le plus répandu, il n’est pas

étanche au regard des attaques applicatives.

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

Degré de protection

Niv 3

Niv 4

Niv

5

à

7

12

Proxy

• Bénéfices– Analyse des données applicatives

• Inconvénients– Technique plus tournée compréhension et

re-formulation que recherche d’attaque– Performances / Flexibilité

• Conclusion– De moins en moins utilisé car lourd, contraignant

et peu performant

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

Degré de protection

Niv 3

Niv 4

Niv

5

à

7

13

Limites des technologies actuelles

• Conclusion – Choix à faire entre sécurité et performance– Pas d’analyse complète des données

applicatives– Perméables à nombre d’attaques pourtant

connues (Attaques Web type Nimda, Troyens sur ports ouverts, Déni de service par violation de protocole, …)

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

14

Les limites en terme d’architecture

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

15

• Un remède à chaque mal

ou une solution globale ?

• Nécessité d’un mur de sécurité– Différentes briques interconnectée– Des briques de sécurités hétérogènes

difficiles à faire fonctionner ensemble

Limites en terme d’architecture

0% 20% 40% 60% 80% 100%

Firewalls

Virus scanner

VPN

Detection d'intrusion

Test de vulnérabilité

Filtrage de contenu

PKI

Biometrie

Autres

Quelle sécurité avez vous déployée ?

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

16

• Présentation d’un schéma type

Limites en terme d’architecture

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

Pare-f eux

Serv eurantiv irus

Serv eurf iltrage URL

Relaismessagerie

17

Conclusion

• Les limites des technologies existantes– Performance des filtrages– Complexité + lourdeur (briques hétérogènes)– Nécessité de compétences pointues en

interne sur chaque composante– Modèle réactif de sécurité (mots clés, IDS)– Performance des systèmes Antivirus

externes– Analyse anti-virus des flux http difficile avec

les outils actuels

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

18

La technologie FAST

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

19

La technologie FAST

FLUX IP FLUX IPFIREWALLFIREWALL

FLUX IP FLUX IP FLUX IP FLUX IP FIREWALLFIREWALL

ANALYSER ANALYSER FLUX IP FLUX IP

FIREWALL STATEFUL :

FIREWALL / ANALYSER « ARKOON »:

NORME RFChfhfhhhvjhhlj jkgggjkjhfjhfghgfdkjgj fgfgff hgfgjhgfghfghfgjhff hfhjgjhjhf jhfhjhfhjf vjhjhjhjghhjhjhjhf jhgfh

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

20

La technologie FAST

Flux sortant

PHYSIQUELIAISON

Module Fragments

Cohérence niveau 3

Cohérence niveau 4

HTTPHTTP

DNSDNSFTPFTP

SMTPSMTP

POP3POP3

H323H323

…….…….…….…….

…….…….

CLOSED

LISTEN

SYN SENTSYN SENT

TCPTCP

IP

TCP

IP

Vérification individuelle du paquet défragmenté Table de suivi des connexions actives

……

Connexion active n°2Connexion active n°2Connexion active n°1Connexion active n°1

FAST

Interceptiondes paquets

NOYAU DU SYSTEME

Automate de contrôle applicatif

RESEAUTRANSPORT

SESSIONPRESENTATION

APPLICATION

21

La technologie FAST • Firewall « niveau 7 applicatif »

– Session Tracking : suivi des sessions (tables connexions actives)

– Vérification couche OSI/3 (IP) et OSI/4 TCP/UDP/ICMP (Normes RFC)

• Analyseur de protocoles applicatifs TCP/IP– Vérification « à la lettre » du respect des protocoles applicatifs

(HTTP, FTP, SMTP, POP3, NNTP, DNS, IMAP4, RTSP, H323, Netbios) en fonction des normes RFC

– Filtrage dynamique complet au niveau applicatif avec analyse de l’intégralité du message

• Règles protocolaires– Permet d’interdire certaines commandes d’un protocole – Règles protocolaires applicatives sans Proxy

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

22

La technologie FAST

• Sécurité– Permet un contrôle total des flux par une

compréhension de l’intégralité de ce qui est transporté (Détection des attaques par violation de protocole)

– Restriction du champ d’action applicatif grâce aux règles protocolaires (Par exemple, interdiction de ‘..’ dans URLs)

– Détection d’attaques sans nécessité de base de signatures d’attaques (Nimda, Code Red/Blue, …)

– Permet d’anticiper sur les attaques futures

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

Degré de protection

Niv 3

Niv 4

Niv

5

à

7

23

La technologie FAST

• Performances élevées– Analyse applicative en mode noyau et non en mode

utilisateur– Optimisation du noyau linux et processeur > 1 GHz– Validation de la solution jusqu’à 560 Mbps –

650 000 sessions simultanées

• Une technologie pour faire face aux défis de l’ouverture des systèmes d’information

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

SECURITE APPLICATIVE

SQL

SAPXXX

FAST

2002

2001

2003

24

L’intégration d’une suite sécurité

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

25

Les différentes briques des solutions ARKOON

• ARKOON Firewall FAST• ARKOON Proxy Web & Relay Messagerie• ARKOON Antivirus• ARKOON VPN• ARKOON Services balancing• ARKOON Gestion de bande passante• ARKOON Manager / Monitoring

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

26

S

ER

VIC

ES

S

ER

VIC

ES

N

oyau

AR

KO

ON

Noyau

AR

KO

ON

Architecture intégrée

NoyauLinux

FIREWALL / ANALYSER

1-AnalyseTCP/IP

3- AnalyseApplicative

2-Règles

SQL

ServiceD’ADMINISTRATION

ConfigurationMonitoring

ANTIVIRUS

PROXYWEB

RELAYSMTP

ConfigurateurNOYAU

PACKET IP PACKET IP

ADMINÀ

DISTANCE

VPN IPSEC

Mise à JourÀ

DISTANCE

Configuration

Monitoring

ROUTAGE

SERVICEWEB

SERVICESMTP

ServiceBalancing

NAT

SERVICEROUTAGEAVANCE

VPNDISTANT

Serveur/Client

SERVICE

H.A.

27

ARKOON Antivirus

• Développé en collaboration avec SOPHOS

• Analyse du flux et du contenu à la volée• Mise à jour quotidienne, automatique et

sécurisée (certificat SSL V3)

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

28

ARKOON AntiVirus

FLUX IP FLUX IP

FLUX IP FLUX IP FLUX IP FLUX IP PROXYPROXY

FLUX IP FLUX IP

FIREWALL + AntiVirus Classique :

ARKOON + AntiVirus « Suite ARKOON » :

ANTIVIRUS ANTIVIRUS

PROXYPROXY

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

29

Bénéfice du couplage FAST et d’un moteur antivirus SOPHOS

• Sécurité– Excellent rapport sécurité/performances– Facilité d’administration– Répond aux attaques d’aujourd’hui et à celles de

demain • Analyse anti-virus de flux complexes (pop3, h323,

netbios,…)

• Performance– Librairie intégrée dans le code ARKOON– Pas de programme externe ou de protocole type

CVP pour analyser les fichiers

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

30

Conclusion

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

31

Conclusion

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses

• Technologie– Une sécurité accrue car elle permet un contrôle total des

flux et la vérification de l’intégralité du message transporté

– Une capacité à contrer des attaques non référencées qui en majorité s’appuient sur des failles et des violations de protocoles

• Intégration– Simplicité d’administration et d’implémentation– Performances accrues

32

Questions / Réponses

Evolution de lamenace

La technologieFAST

Les limites des technologies existantes

Conclusions

QuestionsRéponses