1
Présentation CLUSIR8 janvier 2002
2
Agenda
• Introduction– Evolution de la menace
• Les limites des technologies existantes– Différentes technologies de filtrage– Limites des architectures existantes
• La technologie FAST– Présentation et bénéfices– Intégration et bénéfices– Evolution
• Conclusion
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
3
Evolution de la menace
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
4
0%
100%
Quelle est la menace ?
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
Attaques ciblées – Grandes entreprises
Boites à outils – Scan d’adresse IP – Cible très large et mal protégée (PME-PMI)
Toutes les cibles (Grandes entreprises, PME, particuliers,…)Propagation classique par disquette ou e-mail
Toutes les ciblesPropagation de plus en plus rapide par internet via les e-mail, les pages Web en utilisant les failles des outils de communication
Hackers
Script Kiddies
DoS
Virus
Virus
Ver
Type Code Red
Déni de service – Attaques généralement ciblées
5
Niv 3
Niv 4
Niv
5
à
7
0%
100%
Quelles types d’attaques ?
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
Attaques exploitants les failles IP (plus utilisées)
Attaques de niveau 4 minoritaires (vol de session)Attaques généralement sophistiquées
Attaques applicatives sont les plus nombreusesLes firewall sont généralement perméablesElles utilisent des failles des outils de communication(serveur Web, serveur DNS, clients messagerie…)
6
• Exemples– Sircam– Nimda– Badtrans– Goner
• Propagation via messagerie, serveurs web, …
• Utilisation de failles au niveau applicatif
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
Les vers applicatifs
7
Les attaques applicatives
• Dépassement de buffer• Violation de protocole (non-conformité de
commande, de paramètre, …)• Mauvaise configuration de serveurs (mot de
passe faible, …)• Trou de sécurité dans les applications
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
8
Les attaques de demain
• Protocoles complexes : l’utilisation de flux « complexes » pour véhiculer ces attaques :– Visioconférence : H323– Partage fichiers/Chat : type ICQ
• Nouveaux protocoles
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
9
Evolution de la menace - conclusion
• Des attaques de grandes envergures sont cachées dans le contenu des requêtes
• De plus en plus de déni de service par violation de protocoles applicatifs
• Les « Vers », attaques de niveau 7 relèguent au deuxième plan la menace des Hackers et des Script Kiddies
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
10
Les limites des technologies existantes
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
11
Session tracking / Stateful
• Bénéfices– Conserve la table des connexions actives
(TCP/UDP)– Premier niveau de recherche dans le « corps »
du paquet
• Inconvénients– Contrôle par sondage mais pas de contrôle global
et exhaustif du contenu– Mécanisme de contrôle applicatif peut être biaisé
• Conclusion– Mode de protection le plus répandu, il n’est pas
étanche au regard des attaques applicatives.
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
Degré de protection
Niv 3
Niv 4
Niv
5
à
7
12
Proxy
• Bénéfices– Analyse des données applicatives
• Inconvénients– Technique plus tournée compréhension et
re-formulation que recherche d’attaque– Performances / Flexibilité
• Conclusion– De moins en moins utilisé car lourd, contraignant
et peu performant
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
Degré de protection
Niv 3
Niv 4
Niv
5
à
7
13
Limites des technologies actuelles
• Conclusion – Choix à faire entre sécurité et performance– Pas d’analyse complète des données
applicatives– Perméables à nombre d’attaques pourtant
connues (Attaques Web type Nimda, Troyens sur ports ouverts, Déni de service par violation de protocole, …)
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
14
Les limites en terme d’architecture
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
15
• Un remède à chaque mal
ou une solution globale ?
• Nécessité d’un mur de sécurité– Différentes briques interconnectée– Des briques de sécurités hétérogènes
difficiles à faire fonctionner ensemble
Limites en terme d’architecture
0% 20% 40% 60% 80% 100%
Firewalls
Virus scanner
VPN
Detection d'intrusion
Test de vulnérabilité
Filtrage de contenu
PKI
Biometrie
Autres
Quelle sécurité avez vous déployée ?
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
16
• Présentation d’un schéma type
Limites en terme d’architecture
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
Pare-f eux
Serv eurantiv irus
Serv eurf iltrage URL
Relaismessagerie
17
Conclusion
• Les limites des technologies existantes– Performance des filtrages– Complexité + lourdeur (briques hétérogènes)– Nécessité de compétences pointues en
interne sur chaque composante– Modèle réactif de sécurité (mots clés, IDS)– Performance des systèmes Antivirus
externes– Analyse anti-virus des flux http difficile avec
les outils actuels
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
18
La technologie FAST
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
19
La technologie FAST
FLUX IP FLUX IPFIREWALLFIREWALL
FLUX IP FLUX IP FLUX IP FLUX IP FIREWALLFIREWALL
ANALYSER ANALYSER FLUX IP FLUX IP
FIREWALL STATEFUL :
FIREWALL / ANALYSER « ARKOON »:
NORME RFChfhfhhhvjhhlj jkgggjkjhfjhfghgfdkjgj fgfgff hgfgjhgfghfghfgjhff hfhjgjhjhf jhfhjhfhjf vjhjhjhjghhjhjhjhf jhgfh
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
20
La technologie FAST
Flux sortant
PHYSIQUELIAISON
Module Fragments
Cohérence niveau 3
Cohérence niveau 4
HTTPHTTP
DNSDNSFTPFTP
SMTPSMTP
POP3POP3
H323H323
…….…….…….…….
…….…….
CLOSED
LISTEN
SYN SENTSYN SENT
TCPTCP
IP
TCP
IP
Vérification individuelle du paquet défragmenté Table de suivi des connexions actives
……
Connexion active n°2Connexion active n°2Connexion active n°1Connexion active n°1
FAST
Interceptiondes paquets
NOYAU DU SYSTEME
Automate de contrôle applicatif
RESEAUTRANSPORT
SESSIONPRESENTATION
APPLICATION
21
La technologie FAST • Firewall « niveau 7 applicatif »
– Session Tracking : suivi des sessions (tables connexions actives)
– Vérification couche OSI/3 (IP) et OSI/4 TCP/UDP/ICMP (Normes RFC)
• Analyseur de protocoles applicatifs TCP/IP– Vérification « à la lettre » du respect des protocoles applicatifs
(HTTP, FTP, SMTP, POP3, NNTP, DNS, IMAP4, RTSP, H323, Netbios) en fonction des normes RFC
– Filtrage dynamique complet au niveau applicatif avec analyse de l’intégralité du message
• Règles protocolaires– Permet d’interdire certaines commandes d’un protocole – Règles protocolaires applicatives sans Proxy
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
22
La technologie FAST
• Sécurité– Permet un contrôle total des flux par une
compréhension de l’intégralité de ce qui est transporté (Détection des attaques par violation de protocole)
– Restriction du champ d’action applicatif grâce aux règles protocolaires (Par exemple, interdiction de ‘..’ dans URLs)
– Détection d’attaques sans nécessité de base de signatures d’attaques (Nimda, Code Red/Blue, …)
– Permet d’anticiper sur les attaques futures
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
Degré de protection
Niv 3
Niv 4
Niv
5
à
7
23
La technologie FAST
• Performances élevées– Analyse applicative en mode noyau et non en mode
utilisateur– Optimisation du noyau linux et processeur > 1 GHz– Validation de la solution jusqu’à 560 Mbps –
650 000 sessions simultanées
• Une technologie pour faire face aux défis de l’ouverture des systèmes d’information
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
SECURITE APPLICATIVE
SQL
SAPXXX
FAST
2002
2001
2003
24
L’intégration d’une suite sécurité
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
25
Les différentes briques des solutions ARKOON
• ARKOON Firewall FAST• ARKOON Proxy Web & Relay Messagerie• ARKOON Antivirus• ARKOON VPN• ARKOON Services balancing• ARKOON Gestion de bande passante• ARKOON Manager / Monitoring
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
26
S
ER
VIC
ES
S
ER
VIC
ES
N
oyau
AR
KO
ON
Noyau
AR
KO
ON
Architecture intégrée
NoyauLinux
FIREWALL / ANALYSER
1-AnalyseTCP/IP
3- AnalyseApplicative
2-Règles
SQL
ServiceD’ADMINISTRATION
ConfigurationMonitoring
ANTIVIRUS
PROXYWEB
RELAYSMTP
ConfigurateurNOYAU
PACKET IP PACKET IP
ADMINÀ
DISTANCE
VPN IPSEC
Mise à JourÀ
DISTANCE
Configuration
Monitoring
ROUTAGE
SERVICEWEB
SERVICESMTP
ServiceBalancing
NAT
SERVICEROUTAGEAVANCE
VPNDISTANT
Serveur/Client
SERVICE
H.A.
27
ARKOON Antivirus
• Développé en collaboration avec SOPHOS
• Analyse du flux et du contenu à la volée• Mise à jour quotidienne, automatique et
sécurisée (certificat SSL V3)
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
28
ARKOON AntiVirus
FLUX IP FLUX IP
FLUX IP FLUX IP FLUX IP FLUX IP PROXYPROXY
FLUX IP FLUX IP
FIREWALL + AntiVirus Classique :
ARKOON + AntiVirus « Suite ARKOON » :
ANTIVIRUS ANTIVIRUS
PROXYPROXY
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
29
Bénéfice du couplage FAST et d’un moteur antivirus SOPHOS
• Sécurité– Excellent rapport sécurité/performances– Facilité d’administration– Répond aux attaques d’aujourd’hui et à celles de
demain • Analyse anti-virus de flux complexes (pop3, h323,
netbios,…)
• Performance– Librairie intégrée dans le code ARKOON– Pas de programme externe ou de protocole type
CVP pour analyser les fichiers
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
30
Conclusion
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
31
Conclusion
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
• Technologie– Une sécurité accrue car elle permet un contrôle total des
flux et la vérification de l’intégralité du message transporté
– Une capacité à contrer des attaques non référencées qui en majorité s’appuient sur des failles et des violations de protocoles
• Intégration– Simplicité d’administration et d’implémentation– Performances accrues
32
Questions / Réponses
Evolution de lamenace
La technologieFAST
Les limites des technologies existantes
Conclusions
QuestionsRéponses
Top Related