11 fonctions utiles dont devrait disposervotre pare-feu

Au-delà du blocage des menaces : protection, gestion et contrôle du trafic applicatif

Table des matièresLe pare-feu évolue 3Quel est le rôle de SonicWall Application Intelligence and Control ? 4Comment fonctionne SonicWall Application Intelligence and Control ? 51re fonction utile : contrôler les applications autorisées sur le réseau 62e fonction utile : gérer la bande passante pour les applications vitales 73e fonction utile : bloquer les applications P2P 84e fonction utile : bloquer les éléments non productifs d’une application 95e fonction utile : visualiser le trafic applicatif 106e fonction utile : gérer la bande passante pour un groupe d’utilisateurs 117e fonction utile : bloquer les ransomwares et les infractions 128e fonction utile : identifier les connexions par pays 139e fonction utile : empêcher les fuites de données par courrier électronique 1410e fonction utile : empêcher les fuites de données par messagerie Web 1511e fonction utile : gérer la bande passante pour les flux audio et vidéo 16Au bout du compte 17

3

Le pare-feu évolueLes pare-feux traditionnels à inspection stateful des paquets se chargent de bloquer les menaces de la couche réseau en évaluant les ports et les protocoles utilisés dans le trafic. Les pare-feux de toute dernière génération, pour leur part, utilisent l’inspection approfondie des paquets pour scanner toute la charge utile des paquets, assurant ainsi les services avancés de prévention des intrusions, d’anti-malware, de filtrage de contenu et d’anti-spam. Nombre d’applications transitent par les ports communs de partage Web et les protocoles HTTP ou HTTPS. Des applications face auxquelles les pare-feux traditionnels sont, pour ainsi dire, aveugles et donc incapables d’accorder une quelconque priorité au trafic productif et sûr par rapport au trafic incertain. Les pare-feux de nouvelle génération permettent de regarder à l’intérieur des applications, chose aujourd’hui essentielle pour les professionnels des réseaux.

Face à l’adoption croissante des technologies de cloud computing et Web 2.0, les pare-feux doivent relever un nouveau défi : le contrôle des applications.

4

Quel est le rôle de SonicWall Application Intelligence and Control ?Les pare-feux SonicWall vous permettent d’identifier et de contrôler l’ensemble des applications utilisées sur votre réseau. Ce supplément de contrôle améliore la conformité et la prévention des fuites de données en identifiant les applications selon leur signature unique, et non selon les ports ou les protocoles. La visualisation du trafic applicatif permet de déterminer des modes de comportement, puis de créer des règles granulaires associées à des applications, des utilisateurs, voire des groupes d’utilisateurs, à l’heure du jour et autres variables, permettant ainsi un contrôle flexible et adaptable aux exigences de n’importe quel réseau.

Allouez la bande passante aux applications vitales et sensibles aux délais.

5

Comment fonctionne SonicWall Application Intelligence and Control ?Grâce à une vaste bibliothèque de signatures, enrichie en permanence et automatiquement mise à jour, SonicWall identifie les applications par leur « ADN », et non par des attributs moins spécifiques tels que le port source, le port de destination ou le type de protocole. Vous pouvez, par exemple, autoriser les messageries instantanées, mais bloquer le transfert de fichiers ou permettre l’accès à Facebook, mais bloquer celui aux jeux proposés sur Facebook. Ces contrôles s’appliquent également au trafic SSL chiffré qui doit être inspecté au même titre que les connexions non chiffrées. Et vous pouvez facilement visualiser les résultats de vos contrôles, ce qui vous permet de régler avec précision l’utilisation des applications et d’optimiser la consommation de la bande passante réseau.

Contrôlez des catégories d’applications, des applications individuelles, mais aussi certaines fonctionnalités au sein de ces applications.

6

1re fonction utile :

Contrôler les applications autorisées sur le réseauVous voulez vous assurer que tous vos employés utilisent la dernière version d’Internet Explorer. Votre mission consiste à garantir que tous les employés lançant IE9 ou IE10 sont automatiquement redirigés vers la page de téléchargement d’IE11 et que tout autre accès à Internet est restreint. Vous disposez des solutions suivantes :

• vérifier physiquement la version du navigateur sur chaque système, chaque jour,

• écrire un script personnalisé vérifiant automatiquement les versions de navigateur,

• établir une règle avec SonicWall Application Intelligence and Control... et cesser de vous tracasser.

Créer une règle redirigeant les utilisateurs d’IE9 ou IE10 de manière à ce qu’ils téléchargent la dernière version du navigateur et bloquer l’accès à Internet par IE9 ou IE10

1. Le moteur d’inspection approfondie des paquets (DPI) recherche l’agent utilisateur = IE 9.0 ou IE 10.0 dans l’en-tête HTTP.

2. La règle redirige les utilisateurs d’IE9 ou IE10 vers la page de téléchargement d’IE11 et bloque l’accès à toute autre page Web par IE9 ou IE10.

La visualisation des applications vous permet de « voir » quels navigateurs sont utilisés avant de créer la règle.

IE10IE11

7

2e fonction utile :

Gérer la bande passante pour les applications vitalesBeaucoup d’applications vitales – Live Meeting, Salesforce.com®, SharePoint®, ... – sont basées sur le Cloud, ou fonctionnent sur des réseaux dispersés géographiquement. La productivité de l’entreprise peut être améliorée en garantissant que ces applications ont la priorité sur les activités Internet non productives.

Créer une règle accordant la priorité sur la bande passante à l’application Live Meeting

1. Le moteur d’inspection approfondie des paquets recherche la signature de l’application ou son nom.

2. Une plus grande priorité est accordée à l’application Live Meeting sur la bande passante.

Salesforce.com

Live Meeting

SharePointAutres

La priorité à certaines applications peut être accordée en fonction de la date (pensez à la priorité en fin de trimestre aux applications de vente par exemple).

8

3e fonction utile :

Bloquer les applications P2PLes applications peer-to-peer (P2P) telles que BitTorrent, non productives, sont souvent utilisées pour télécharger des versions sans licence de médias protégés par copyright. Elles peuvent rapidement épuiser la bande passante, voire transmettre des programmes malveillants. Toutefois, la création de nouvelles applications P2P ou de simples modifications (numéro de version, par ex.) ont lieu en permanence, ce qui rend difficile le blocage manuel de ce genre d’applications.

SonicWall actualise en continu la base de données d’Application Intelligence and Control, en y ajoutant les nouvelles applications P2P dès qu’elles sont disponibles. La création d’une seule règle simple permet désormais de bloquer toutes les applications P2P.

Créer une règle pour bloquer les applications P2P1. Le moteur d’inspection approfondie des paquets utilise des signatures

prédéfinies d’application P2P, issues de la liste de signatures de l’application.

2. Choisir les applications P2P dans la liste de signatures prédéfinies.

3. Appliquer la règle à tous les utilisateurs.

4. Bloquer les applications P2P par des restrictions de bande passante et d’horaires.

Liste de signatures d’applications

BitTorrent-6.1

BitTorrent-6.0.3

BitTorrent-6.0.2

BitTorrent-6.0.1

… et des centaines d’autres

Liste de signatures d’applications

Les mises à jour de SonicWall sont reçues et appliquées

Liste de signatures d’applications

BitTorrent-6.1.1

BitTorrent-6.1

BitTorrent-6.0.3

BitTorrent-6.0.2

… et des centaines d’autres

Résultats

• Vous pouvez gérer et contrôler les applications P2P

• Vous n’avez pas besoin de passer du temps à actualiser les règles de signatures IPS

+ =

9

4e fonction utile :

Bloquer les éléments non productifs d’une applicationLes applications de réseaux sociaux telles que Facebook, Instagram ou YouTube sont devenues de nouvelles voies de communication, pour les particuliers comme pour les entreprises. S’il peut être contre-productif de bloquer toutes ces applications, vous souhaiterez éventuellement en contrôler l’utilisation sur le lieu de travail.

Peut-être voulez-vous, par exemple, autoriser les employés du service marketing à actualiser la page Facebook de l’entreprise, tout en leur interdisant de jouer à des jeux Facebook de type Candy Crush ou Mafia Wars. Application Intelligence and Control vous permet de créer une règle autorisant l’accès à Facebook, tout en bloquant les jeux.

Créer une règle pour autoriser Facebook, mais bloquer les jeux Facebook1. Sélectionner « tous » les utilisateurs.

2. Sélectionner « jeux Facebook » comme catégorie.

3. Créer une règle empêchant tous les utilisateurs d’accéder aux jeux sur Facebook.

Vous pouvez de la même manière autoriser les messageries instantanées, mais bloquer le transfert de fichiers par ces applications.

10

5e fonction utile :

Visualiser le trafic applicatifQue se passe-t-il sur mon réseau ? Qui gaspille ma bande passante ? Pourquoi mon réseau est-il si lent ? Des questions que vous vous êtes déjà posées ? Vous pouvez faire appel à un ensemble d’outils pour y répondre, mais cela prend du temps et ne vous donnera que des informations « après coup ». La fonctionnalité SonicWall de visualisation en temps réel du trafic applicatif vous permet de répondre instantanément à ces questions, de diagnostiquer rapidement les problèmes, de détecter une utilisation non conforme du réseau, de créer des règles adaptées et de vérifier immédiatement l’efficacité de ces règles.

Voir tout le trafic en temps réel grâce à l’Application Flow Monitor1. Visualiser des graphiques en temps réel de tout le trafic applicatif.

2. Visualiser tous les graphiques en temps réel de la bande passante en entrée et en sortie.

3. Visualiser des graphiques en temps réel des sites Internet consultés et de toute l’activité des utilisateurs.

4. Créer un filtrage personnalisé vous fournissant les informations les plus utiles.

La visualisation donne aux administrateurs un feedback instantané sur les flux du trafic réseau.

11

6e fonction utile :

Gérer la bande passante pour un groupe d’utilisateursQue faire quand votre patron se plaint que les vidéos des actualités économiques qu’il veut regarder tous les matins sont instables et ne passent pas bien ? Vous menez l’enquête et constatez que cela est dû à la règle de gestion de la bande passante que vous avez instaurée à l’échelle de l’entreprise pour tous les flux vidéo ? Vous pourriez être plus souple sur les restrictions de bande passante pour tout le monde, mais il existe désormais une meilleure réponse : la gestion de la bande passante par groupe.

Créer une règle pour exclure la direction de la gestion de bande passante pour les flux vidéo

1. Choisir le groupe de direction importé de votre serveur LDAP.

2. Le moteur d’inspection approfondie des paquets utilise les signatures d’applications de flux vidéo prédéfinies de sa liste.

3. Appliquer une restriction de bande passante au trafic comportant cet en-tête.

Bande passante désirée pour les flux vidéo

Bande passante accordée au service commercial pour les flux vidéo

Bande passante accordée aux autres utilisateurs pour les flux vidéo

Beaucoup d’entreprises ont constaté que les employés sont plus contents quand on leur donne entièrement accès à Internet, même si la bande passante est réduite pour les sites non productifs.

12

7e fonction utile :

Bloquer les ransomwares et les infractionsLa sécurité réseau doit être tout en haut des priorités d’un administrateur informatique. La capacité à bloquer les attaques de type ransomware et les infractions véhiculées par les logiciels malveillants et les tentatives d’intrusion libère l’entreprise d’un risque majeur et lui permet d’économiser des ressources qui auraient pu être gaspillées. Les services de sécurité SonicWall, exécutés via l’architecture hautes performances et à très faible latence des pare-feux de nouvelle génération SonicWall, sont en mesure de bloquer des millions de menaces connues et inconnues aux portes du réseau, avant qu’elles ne deviennent un danger pour votre entreprise. SonicWall Capture élargit les fonctionnalités de prévention des menaces du pare-feu en détectant et en prévenant les attaques inconnues et zero-day par un service Cloud de sandbox multi-moteur.

Bloquez les attaques de logiciels malveillants et les intrusions avant qu’elles ne pénètrent sur votre réseau !

13

8e fonction utile :

Identifier les connexions par paysVous constatez une connexion à une adresse IP d’un pays étranger depuis votre bureau local voisin ou une succursale : s’agit-il d’une simple personne surfant sur Internet ou de l’activité d’un botnet ? L’intelligence applicative peut vous servir de puissant outil d’analyse forensique afin de savoir précisément ce qui se passe sur votre réseau et d’où provient l’activité.

Voir les connexions par pays ou créer des filtres pour certains pays1. Contrôler quelles applications se connectent à des adresses IP étrangères.

2. Voir quels utilisateurs et quels ordinateurs se connectent aux adresses IP d’autres pays.

3. Créer des filtres en vue de restreindre le trafic aux pays que vous aurez spécifiés par le biais de listes d’exclusion.

Une fois que vous avez répondu à la question, vous pouvez parler à l’utilisateur, inspecter l’ordinateur utilisant l’adresse IP indésirable ou activer un utilitaire de capture de paquets sur le pare-feu afin d’analyser exactement l’activité de cette connexion. SonicWall Application Intelligence and Control vous permet d’identifier et de traiter les problèmes dont vous n’auriez peut-être pas eu conscience autrement.

14

9e fonction utile :

Empêcher les fuites de données par courrier électroniqueDans certaines entreprises, les e-mails sortants ne passent pas par le système de sécurisation de messagerie ou bien ce système ne vérifie pas le contenu des pièces jointes. Dans les deux cas, des pièces jointes confidentielles peuvent facilement sortir de l’entreprise. Comme le trafic réseau sortant passe par votre pare-feu, vous pouvez détecter et bloquer ces « données en mouvement ».

Créer une règle pour bloquer les pièces jointes portant un tatouage numérique « Confidentiel »

Le moteur d’inspection approfondie des paquets recherche :

1. le contenu d’e-mail = « confidentiel » et

2. le contenu d’e-mail = « propriété de l’entreprise » et

3. le contenu d’e-mail = « propriété privée », etc.

Pièce jointe :

Confidentiel

Pièce jointe :

Non confidentiel

15

Vous pouvez faire de même avec le contenu FTP.

OK

STOP

10e fonction utile :

Empêcher les fuites de données par messagerie WebSupposons maintenant que votre protection anti-spam existante puisse détecter et bloquer un e-mail sortant normal contenant des informations confidentielles. Et si jamais un employé utilise une messagerie Web comme Yahoo® ou Gmail® pour envoyer des informations confidentielles ?

Créer une règle pour bloquer les pièces jointes confidentielles dans le trafic Web1. Le moteur d’inspection approfondie des paquets recherche « confidentiel » dans les fichiers transférés via

http ou https.

2. Bloquer le message et avertir l’expéditeur que le message est confidentiel

De : le_bon@votre_entreprise.com

À : le_bon@partenaire.com

Objet : Validation feuille de pointage Jim

Je valide tes heures pour cette semaine. Joe

De : le_truand@votre_entreprise.com

À : le_truand@concurrent.com

Objet : Feuille de route design

Voici la feuille de route.

9 janvier – sortie version 7.0

Ce document est confidentiel

16

11e fonction utile :

Gérer la bande passante pour les flux audio et vidéoUtile dans certains cas, la consultation de sites de diffusion vidéo, comme YouTube.com, est souvent abusive. Bloquer leur accès peut constituer une solution, mais il est préférable de limiter la bande passante totale accordée à ce type de sites, quelle qu’en soit la provenance. Il en va de même pour les sites de diffusion audio, comme les stations de radio en ligne ou les services de streaming musical comme Spotify et Apple Music. Ce trafic ne vient pas nécessairement de sites connus, il peut également être hébergé sur des blogs. L’objectif est donc d’identifier ce trafic selon sa nature plutôt que son origine. L’inspection approfondie des paquets excelle dans cette activité.

Créer une règle pour limiter les flux audio et vidéo par une liste de signatures prédéfinies

1. Sélectionner les flux audio et vidéo comme catégories d’applications.

2. Définir la quantité de bande passante que vous voulez allouer à ces catégories (par ex. 10 %).

3. Créer une règle imposant à tout le monde une consommation maximum de 10 % de la bande passante pour les flux audio et vidéo (à l’exception éventuellement de certains groupes, comme le groupe de formation).

4. Le cas échéant, programmer la règle de manière à ce qu’elle s’applique durant les heures normales de bureau, mais pas à l’heure du déjeuner ou après 18 h.

5. Confirmer l’efficacité de votre nouvelle règle à l’aide de la visualisation en temps réel en vous connectant à l’Application Flow Monitor.

17

Au bout du compte Plateforme hautes performances

+ Inspection approfondie des paquets

+ Prévention des intrusions

+ Surveillance, contrôle et visualisation des applications

Pare-feu de nouvelle génération SonicWallPerformances, protection et contrôle des applications

18

© 2017 SonicWall, Inc. TOUS DROITS RÉSERVÉS.

SonicWall est une marque commerciale ou déposée de SonicWall Inc. et/ou de ses filiales aux États-Unis et/ou dans d’autres pays. Toutes les autres marques commerciales et déposées sont la propriété de leurs sociétés respectives.

Les informations contenues dans ce document sont fournies en relation avec les produits de SonicWall Inc. et/ou de ses filiales. Aucune licence, expresse ou implicite, par estoppel ou un autre moyen, quant à un quelconque droit de propriété intellectuelle n’est accordée par le présent document ou en lien avec la vente de produits SonicWall. SAUF DISPOSITION CONTRAIRE DANS LES CONDITIONS DU CONTRAT DE LICENCE, LA SOCIÉTÉ SONICWALL ET/OU SES FILIALES DÉCLINENT TOUTE RESPONSABILITÉ, QUELLE QU’ELLE SOIT, ET REJETTENT TOUTE GARANTIE EXPRESSE, IMPLICITE OU STATUTAIRE CONCERNANT LEURS PRODUITS, Y COMPRIS ET SANS S’Y LIMITER, LES GARANTIES IMPLICITES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER OU DE NON-CONTREFAÇON. EN AUCUN CAS, SONICWALL OU SES FILIALES NE SERONT RESPONSABLES DES DOMMAGES DIRECTS, INDIRECTS, CONSÉCUTIFS, PUNITIFS, SPÉCIAUX OU FORTUITS (Y COMPRIS, SANS LIMITATION, LES DOMMAGES POUR PERTE DE PROFITS, INTERRUPTION DE L’ACTIVITÉ OU PERTE D’INFORMATIONS) PROVENANT DE L’UTILISATION OU L’IMPOSSIBILITÉ D’UTILISER CE DOCUMENT, MÊME SI SONICWALL ET/OU SES FILIALES ONT ÉTÉ INFORMÉS DE L’ÉVENTUALITÉ DE TELS DOMMAGES. SonicWall et/ou ses filiales ne font aucune déclaration ou ne donnent aucune garantie en ce qui concerne l’exactitude ou l’exhaustivité du contenu de ce document et se réservent le droit d’effectuer des changements quant aux spécifications et descriptions des produits à tout moment sans préavis. SonicWall Inc. et/ou ses filiales ne s’engagent en aucune mesure à mettre à jour les informations contenues dans le présent document.

À propos de nousEn 25 ans d’histoire, SonicWall a toujours été un partenaire industriel de confiance dans le domaine de la sécurité. De la sécurité réseau à celle des accès, en passant par la sécurisation de messagerie, SonicWall n’a cessé de développer son portefeuille de produits, permettant aux entreprises d’innover, d’aller plus vite et de croître. Avec plus d’un million d’appareils de sécurité en place dans près de 200 pays et territoires de par le monde, SonicWall permet à ses clients de dire en toute confiance oui à l’avenir.

Pour toute question concernant l’usage potentiel de ce document, contactez :

SonicWall, Inc.5455 Great America ParkwaySanta Clara, CA 95054

Consultez notre site Internet pour de plus amples informations. www.sonicwall.com

Ebook-11CoolThings-Firewall-US-KS-26242