Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Eric Leblanc, Packeteer : Une sécurité intelligente pour les architectures d’entreprise multisite

mars 2008 par Eric Leblanc, Country manager, France et Suisse Romande, Packeteer

La sécurité d’une entreprise fait face à de nombreuses menaces potentielles et doit gérer plusieurs domaines : sécurité physique, contrôle d’accès aux données, authentification des utilisateurs, etc. La confidentialité des données et la sécurité des fichiers et des communications comptent également parmi les préoccupations majeures. Les nouvelles menaces de sécurité (phishing, spam, attaques ciblées et autres spyware) témoignent d’attaques toujours plus sophistiquées, initiées à partir du périmètre externe d’une entreprise.

Un produit idéal capable de contrer la totalité des risques de sécurité, relève sans doute d’un vœu pieu. En revanche, Il existe des solutions qui ciblent les aspects les plus critiques et vulnérables du réseau d’entreprise. C’est le sujet de cet article qui se penche sur la prolifération des virus et des attaques de type déni de service qui visent les réseaux multisite. L’article suggère également des approches qui concrétiseront les avantages suivants :
• Bénéficier de la prévention des intrusions sur un réseau MPLS multisite.
• Optimiser le retour sur investissement, en adossant la prévention d’intrusion à une Qualité de service des services applicatifs, ainsi qu’à une accélération, une compression et une mise en cache des flux applicatifs.
• Des services de sécurité étendus : identification, cryptage des fichiers, mise en cache virtuelle des fichiers et authentification IPSec.

Sécurité et nouvelles topologies réseau

Nombre d’entreprises s’étendent aujourd’hui sur de multiples sites distants et les collaborateurs qui évoluent hors du siège social d’une l’entreprise sont désormais majoritaires. Aujourd’hui l’entreprise doit étendre son réseau à ses différents sites, même si l’émergence de nouvelles applications rend ces architectures multisites plus complexes.

En effet, l’avènement de l’IP a permis des centaines d’applications de divertissement (peer-to-peer, radio et TV par Internet, messageries instantanées, etc.), définissant ainsi de nouveaux modèles pour acheminer les données, des contenus riches et des flux de voix et vidéo via Internet. De nouvelles technologies, comme les services web entendent redéfinir la conception classique des applications logicielles, en fragmentant les informations et les fonctionnalités en des composants qui seront réutilisés efficacement. Ces nouvelles tendances accentuent les risques de sécurité liés aux topologies de réseau en étoile ou “any-to-any”.

Les topologies réseau en étoile impliquent de déployer des Circuits Virtuels Permanents sur les liens Frame Relay ou ATM, voire des liens de point à point, généralement à partir des sites distants vers certains centres de données ou nœuds d’agrégation régionaux. Le réseau d’entreprise dirige ainsi les flux de données vers un ou quelques points centralisés, avant de les acheminer vers leur destination finale. Les topologies réseau en étoile sont un gage de sécurité pour l’entreprise, mais connaissent des limites en matière de souplesse et sont, à ce titre, source de frustration pour ceux qui souhaitent activer rapidement une telle infrastructure. Les services MPLS se sont imposés en réponse à ces carences, redéfinissant ainsi les fondamentaux des structures réseau en étoile.

Le MPLS favorise les communications “any-to-any” en entreprise, en permettant aux sites secondaires de communiquer entre eux. À l’opposé d’un réseau en étoile, le MPLS offre aux entreprises de tirer pleinement avantage de la puissance des réseaux IP, bien que ce niveau de performance ne soit pas exempt de risques. Le maillage MPLS permet aux sites distants de communiquer entre eux, grâce à de nouveaux schémas d’acheminement pour des applications de type Téléphonie sur IP et les architectures SOA (Service Oriented Architectures). Mais ces flux applicatifs légitimes ne sont pas les seuls à être transportés par un lien MPLS.

Les nouveaux risques de sécurité : dénis de services et virus

Les liens MPLS sont ouverts à toutes les applications, et notamment les applications non administrées et malveillantes. Lorsqu’un PC portable infecté lors d’un voyage ou d’une session de télétravail se reconnecte au réseau d’entreprise, les virus et vers sont susceptibles d’utiliser le maillage MPLS pour proliférer au sein de l’entreprise, avec pour conséquence, de lourdement grever les performances du réseau et des applications.

Quelle est l’étendue de ce risque ?

Considérons les chiffres suivants :

• Les virus et les attaques de type déni de service constituent respectivement la première et la cinquième menace la plus coûteuse en entreprise (source : Computer Security Institute et le FBI, 2006)

• 41% des entreprises connaissent une indisponibilité ou une défaillance de leurs services, suite à une attaque « zero day ». 60 % de ces entreprises estiment l’impact financier de ces attaques comme « important » ou « très important » (étude menée par The InfoPro Networking, Nov 2006).

Le coût, un frein pour les sites distants

Plusieurs approches permettent de maîtriser l’impact des attaques sur les réseaux MPLS qui alimentent les sites distants, mais encore faut-il justifier économiquement ces approches compte tenu des avantages escomptés. Le tableau ci-après détaille les avantages et les contraintes des différentes méthodes.

Les composantes d’une détection d’intrusion sur sites distants

Voici quelques fonctionnalités requises pour un système de détection d’intrusion et de fourniture intelligente des flux applicatifs pour les sites distants. L’idée n’est pas de se pencher sur toutes les menaces potentielles mais de garantir la haute disponibilité des applications critiques tout en identifiant et en isolant les menaces potentielles.

La complexité croissante générée par le trafic réseau implique de classifier les flux. En cas de menaces de sécurité, les classifications selon une adresse IP simple et des ports statiques connaissent leurs limites. Il faut une solution de classification qui assure une fourniture intelligente des flux applicatifs : elle détecte l’adresse dynamique des ports IP, discrimine entre des applications utilisant le même port, et utilise des indicateurs applicatifs de couche 7 pour reconnaître les applications. Avec cette classification, l’utilisateur vérifie via un système de prévention d’intrusion qu’un flux applicatif est bien celui qu’il est supposé être.

Une classification performante des applications est nécessaire face à des pirates toujours plus perspicaces et qui se sont fait une spécialité de contourner les différents obstacles. Imaginons par exemple qu’un collaborateur installe un proxy web comme proxifier, proxster ou proxyshare, qui lui permet d’utiliser des applications telles que KaZaA, Morpheus et ICQ via HTTP. HTTP utilise en effet le port 80 et le logiciel prohibé pourra contourner le pare-feu et ses règles de sécurité. C’est dans un tel contexte qu’une classification des flux applicatifs dévoile tout son intérêt.

Face à un tel scénario, une classification intelligente aide les entreprises à identifier le trafic P2P véhiculé par un tunnel HTTP. Le service Http-tunnel identifie et classifie automatiquement tous les flux acheminés via HTTP ou via un proxy HTTP sur Internet. En classifiant ce trafic, les administrateurs IT vont restreindre le trafic issu de sources malveillantes et lui appliquer les règles adéquates de sécurité.

Contrairement à de nombreux outils d’accélération ciblés ou de masse, les solutions de sécurité intelligente de flux applicatifs sur WAN classifient et valident le trafic, puis l’optimisent et le protègent des menaces de sécurité assurant ainsi une fourniture sécurisée des flux applicatifs sur WAN.

Au final, voici une synthèse des critères majeurs pour choisir une solution pertinente :

• Intelligence, pour identifier et valider le trafic applicatif
• QoS évoluée, pour maîtriser le trafic de divertissement et protéger les principaux processus métiers en cas d’infection virale.
• Accélération, compression et mise en cache, pour optimiser les performances, économiser la bande passante et ainsi améliorer le retour sur investissement.
• Services de sécurité supplémentaires pour le sites distants : sécurité des domaines et de l’authentification, sécurité de fichiers, authentification par IPSec.


Voir les articles précédents

    

Voir les articles suivants