Vous êtes sur la page 1sur 10

.

Livre Blanc

Contrle et Visibilit des applications


Dans le firewall vs. A ct du firewall
Pourquoi les firewalls de nouvelle gnration
annoncent la fin des IPS et des UTMs.

avec

MIEL . LIVRE BLANC

Contrle et Visibilit des Applications


Dans le firewall vs. A ct du firewall

LES ENTREPRISES ONT BESOIN DE CONTROLE ET DE VISIBILITE DES APPLICATIONS ......................................... 3


FIREWALLS DE NOUVELLE GENERATION ET UTM : CE NEST PAS LA MEME CHOSE .......................................... 4
VISIBILITE : OUVRIR LINTERRUPTEUR VS. UTILISER UNE LAMPE TORCHE ............................................................................. 4
CONTROLE : AUTORISATION SURE VS. BLOCAGE AVEUGLE ............................................................................................... 5
NOMBRE DE SIGNATURES : UN JEU DE DUPES ................................................................................................. 6
QUELQUES EXEMPLES SPECIFIQUES : GOOGLE TALK, SHAREPOINT, ET ULTRASURF ........................................ 8
CONCLUSION .................................................................................................................................................... 9

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Les entreprises ont besoin


de contrle et de visibilit des applications
Dans un monde o les rseaux sociaux et les applications dans le nuage sont les sujets
dominants, le besoin de contrle et de visibilit des applications na jamais t aussi grand.
Un nombre croissant demploys trs laise avec Internet accdent toutes les
applications mtiers et personnelles quils dsirent soit pour tre plus productif, soit pour
rester connect. Les avantages semblent clairs, mais il en rsulte des risques vidents de
scurit. De nombreuses entreprises cherchent alors faire en sorte que leur infrastructure
de scurit gagne en visibilit et en contrle sur les applications qui traversent le rseau.

Pour Gartner, le contrle et la visibilit des applications est le critre fondamental de ce qui dfinit les firewalls de nouvelle
gnration. Aujourdhui de nombreux diteurs de scurit surfent sur les termes de nouvelle gnration et de contrle des
applications sous forme de messages marketing pour promouvoir des offres bases sur les ports TCP. Il est trs intressant
de noter que ces diteurs sont dj prsents chez ces mmes clients qui cherchent pourtant toujours un contrle et une
visibilit approfondie de ces applications.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Firewalls de nouvelle gnration et UTM :


ce nest pas la mme chose
Palo Alto Networks est le seul firewall qui peut classifier le trafic par application, grce la technologie App-IDTM. Identifier
lapplication est la premire tche effectuer quand le trafic atteint le firewall et cest la base de toutes les autres fonctions. Les
offres disponibles jusqu prsent utilisaient linspections des paquets par tat (stateful inspection) pour classifier le trafic et
tentaient didentifier les applications dans un second temps en utilisant une fonction additionnelle de style UTM (typiquement un
systme de prvention dintrusion, ou IPS). Les diffrences architecturales entre un firewall de nouvelle gnration et un UTM
(Unified Threat Management) sont significatives et ont un fort impact.

Effectuer lidentification de lapplication dans le firewall permet de tirer parti de deux


caractristiques du firewall :
1. Le firewall est le seul composant de scurit qui voit absolument tout le trafic
2. Le firewall est le bon endroit pour appliquer une rgle de contrle
Il utilise uniquement un modle de contrle positif (autorise certaines communications et bloque toutes les autres)
Il dfinit les zones de confiance

Ce qui a des implications srieuses, les plus importantes tant relative la visibilit et au contrle.

Visibilit :
Ouvrir linterrupteur vs. Utiliser une lampe torche
Un firewall doit classifier tout le trafic, travers tous les ports - cest la base dun firewall. Un IPS (ou un UTM utilisant un IPS
pour identifier les applications) ne voit que les lments quil cherche expressment, typiquement sur certains ports spcifiques.
Quel est lavantage de faire cela directement dans un firewall ? Ladministrateur a une vue claire et comprhensible de toutes
les applications du rseau. Pourvus de ces informations, les administrateurs peuvent prendre des dcisions plus pertinentes.
Ceci est comparable allumer un interrupteur dans une pice sombre-tout sclaire soudainement, devient facilement visible et
les administrateurs peuvent agir dessus. Dans une solution type Firewall traditionnel+IPS ou autres ajouts, les administrateurs
nont pas ce niveau de dtail. Ils ne connaissent que les objets chercher pours lesquels lIPS a t configur. Cest trs
similaire utiliser une lampe torche dans une chambre sombre. Votre visibilit nest limite qu la petite zone que vous pointez
avec votre lampe.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Contrle :
Autorisation sre vs. Blocage aveugle
Un firewall de nouvelle gnration est conu pour autoriser et contrler laccs lapplication, et, si ncessaire, pour scanner
son contenu par un IPS pour dtecter les menaces.
Quel est lavantage deffectuer lidentification et le contrle de lapplication dans le firewall ? La scurisation des applications
sous toutes ses formes. Les socits peuvent autoriser, refuser, autoriser pour certains groupes, autoriser certaines fonctions,
autoriser mais appliquer une QoS, ou autoriser mais scanner les menaces et les donnes confidentielles. A loppos, le modle
de contrle dun systme IPS est ngatif et dfinitif, ce qui veut dire quun IPS ne peut que bloquer, ce qui est insuffisant pour
contrler une application. Avec un IPS ou un UTM, une socit pourra uniquement bloquer en aveugle , dans une action du
type trouvez-le et tuez-le .

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Nombre de signatures : un jeu de dupes


De toute vidence, linfrastructure de scurit identifie un trs grand nombre dapplications. De nombreuses solutions base
dIPS se vantent de possder une norme quantit de signatures des applications, et le jeu est celui qui prtendra avoir la
liste de signatures la plus importante. Il faut dune part bien faire la diffrence entre dtecter une signature et identifier une
application et dautre part considrer o cette application est dtecte. Le lieu didentification de ces applications est en effet
encore plus important (dans le firewall ou ct du firewall), comme nous lavons soulign dans les paragraphes prcdents.
Il y a dautres points considrer avec la mme importance : la qualit, la prcision et la richesse de lidentification. Une simple
signature dIPS qui identifie une version unique dun client unique nest pas comparable une technologie base firewall aussi
sophistique que App-IDTM de Palo Alto Networks
App-ID peut consister en une combinaison de plusieurs signatures et comportements pour une application donne. Par
exemple Palo Alto Networks a une seule App-ID du trafic BitTorrent, quels que soient le client et la version du client. Les autres
diteurs ont une signature liste pour chaque version de chaque client compatible BitTorrent, ce qui donne une liste
impressionnante de signatures sur le papier mais ne sert finalement rien.
Ce qui importe est quen utilisant le modle de scurit positive dun firewall de nouvelle gnration, on peut appliquer une rgle
qui permet lutilisation de certaines applications, indpendamment du port, du protocole, ou du chiffrement SSL. Pour les
applications autorises, les socits peuvent alors ajouter des tapes supplmentaires -comme scanner pour trouver des
menaces ou des donnes confidentielles.
En revanche, dans le cas de lutilisation dun firewall classique dinspection par tat du paquet (inspection stateful ) en
plus dun systme IPS pour identifier et contrler les applications, lorganisation doit se fier de simples signatures que le
chiffrement SSL ou le changement dynamique de port rendent inutilisables. Trouvez-le et tuez-le ne marche que quand vous
tes certain de pouvoir le trouver. Et tout le reste passe au travers. Au final, tout ceci limite considrablement la capacit
contrler de manire effective les applications.
Une signature applicative ne vaut que par lutilisation qui en est faite et le lieu o elle est applique. Le nombre de signatures et
le nombre dapplications sont 2 lments diffrents. Le jeu du plus grand nombre de signature est un jeu de dupes.

Point essentiel : Si le firewall utilise linspection stateful pour classifier le trafic, ce nest pas
un firewall de nouvelle gnration. Si ce nest pas un firewall de nouvelle gnration, il ne
pourra rien changer votre scurit rseau.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Palo Alto Networks

UTM (firewall + IPS)

Impact

Mcanisme de

App-ID : Lidentit de

Inspection

UTM : Les applications ne sont pas invariablement associes au

base de

lapplication est

stateful :

port ou protocole. La classification par port est inefficace, noffre

classification du

dtermine

trafic

indpendamment du
port, protocole ou
chiffrement SSL.

Par port et protocole

aucune visibilit et ne permet quun faible contrle.

rseau. Le port du

Palo Alto Networks : App-ID permet une visibilit pertinente et

protocole est

un contrle granulaire.

suppos connu
(souvent tort)

Critre de base

Lidentit de

Association

des rgles de

lapplication.

suppose de

scurit

UTM : Autorise le port 80, bloque le port 5605.

trafics spcifiques

Concrtement cette rgle ne bloque rien car les ports ne


fournissent plus le niveau adquat de contrle.

des numros de port


et des protocoles.

Palo Alto Networks : Lidentit relle de lapplication est utilise :


ex : autoriser Gmail, bloquer BitTorrent et Ultrasurf.

Visibilit de

Une image complte

Limit au reporting

UTM : La consultation des logs aprs la bataille, la donne est

lidentit de

de tout le trafic

et au filtrage des

fournie trop tard et incompltement car elle ne reflte que les

lapplication

applicatif saffiche

logs de lIPS.

applications expressment recherches.

graphiquement ;

Palo Alto Networks : lidentit de lapplication-ce quelle fait,

Utilis comme lment

comment elle fonctionne, et qui lutilise-est llment de base de

de base de la rgle ;

la rgle.

Vue dans le logging et


le reporting.
Modle de

Contrle positif:

contrle de

Nautorise que ce qui

lapplication

a t configur,
bloque tout le resteidal pour une
utilisation sre.

Contrle ngatif:
Bloque ce qui a t

UTM : Le modle grossier force les administrateurs dire non


trop souvent.

configur, autorise

Palo Alto Networks : Les employs ont plus de libert vis--vis

tout le reste-

des applications tout assurant la protection et la conformit du

fastidieux pour une

rseau de lentreprise pour les administrateurs.

utilisation sre.

Intgration dans

Affichage graphique;

Lintgration est

UTM : Utiliser ladresse IP au lieu des users et des groupes rend

les services

en tant qulment de

dans un but

pratiquement impossible le contrle positif des applications.

dannuaire de

rgle; dans le logging

dauthentification

lentreprise

et le reporting..

seulement; ou il est
limit un lment

Palo Alto Networks : Lautorisation de lapplication peut tre


base sur des users et des groupes en plus ou
indpendamment de ladresse IP.

secondaire de
rgles.
Visibilit et

Oui

contrle du trafic

Non

UTM : Tout le trafic SSL nest pas contrl, ni scann et est


invisible linfrastructure de scurit et aux administrateurs.

SSL (entrant et

Palo Alto Networks : Incorpore le dchiffrement et linspection de

sortants)

SSL sur la base de rgles ( la fois sur le trafic entrant et


sortant), pour visibilit totale.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Quelques exemples spcifiques :


Google Talk, SharePoint, et Ultrasurf
Le contrle et la visibilit des applications doit permettre aux entreprises de spcifier ce qui
doit tre autoris, et pas seulement ce qui doit tre bloqu. La meilleure faon de dmontrer
lintrt dutiliser le firewall comme lment de contrle est par lexemple. Prenons trois
applications et rgles associes auxquelles les organisations devront faire face : bloquer
Google Talk, bloquer Ultrasurf, et autoriser SharePoint.

Commenons par Google Talk.


Il semblerait facile pour un IPS davoir une signature pour identifier Google Talk, permettant un administrateur de bloquer
Google Talk. Cet IPS pourrait aussi avoir des signatures pour bloquer Google Talk Gadget, Gmail Chat, et Google Talk File
Transfer. Cependant, il y a 2 challenges potentiels :
Lagilit de ces applications sur les ports utiliss rendent lidentification de lapplication incertaine (les moteurs des IPS
continuent dutiliser le port pour dterminer quel dcodeur utiliser, et les signatures sont crites pour des dcodeurs
spcifiques). Les administrateurs doivent alors spcifier tous les ports explorer.
Gmail transite par dfaut dans SSL, et la plupart des IPS ne sont pas capables de dcrypter le trafic SSL sortant

Ainsi Gmail fonctionne bien, quel que soit la rgle mis en place sur lUTM. La technologie App-ID de Palo Alto Networks inclut la
possibilit de dcrypter SSL, couple lindentification de lapplication. Dans ce cas on inclut le contrle des transferts de
fichiers dans Gmail aussi bien que dans Gmail Talk (une implmentation spciale de Google Talk embarque dans Gmail).

Bloquer UltraSurf.
Quiconque sait ce quUltraSurf fait aimerait le bloquer dans la mesure o il permet aux utilisateurs de faire passer nimporte
quelle application Internet dans un tunnel encrypt capable de traverser les firewalls traditionnels, les proxys et les systmes
IPS. Le challenge rside dans lutilisation par UltraSurf dune implmentation propritaire de SSL pour contourner les
dcodages de protocole et la dtection de signature, afin que les IPS ne puisse ni identifier, ni bloquer UltraSurf. La technique
du trouvez-le et tuez-le ne fonctionne que si vous pouvez le trouver. Dans la mesure o UltraSurf peut tre utilis pour
tunneliser nimporte quelle application, tous les autres contrles dapplication sont rendus inutiles. App-ID de Palo Alto
Networks utilise son moteur heuristique pour identifier UltraSurf, et pour suivre ses tactiques dvasion souvent changeantes.

Autoriser SharePoint.
Les systmes IPS sont conus pour bloquer, pas autoriser, cest pourquoi il nest pas possible dautoriser SharePoint de
manire sre. Au lieu de cela, il faudrait bloquer tout le reste. Mais comment faire ? Il faudrait connaitre toutes les applications
du march et avoir une interface dadministration qui permette de faire une slection du type tout sauf SharePoint . Or
aucune solution nexiste ni ne sera disponible compte tenu du rythme darrive des nouvelles applications sur le march.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

La technologie App-ID de Palo Alto Networks rend lautorisation scurise de SharePoint trs simple. Il nest mme pas
ncessaire de connaitre les ports utiliss. Il est possible de contrler les fonctions lintrieur de SharePoint (SharePoint,
SharePoint Admin, SharePoint Blog Posting, SharePoint Calendar, SharePoint Documents, et SharePoint Wiki) et/ou de limiter
leur utilisation (par exemple rserver SharePoint Admin pour les administrateurs informatiques). On scurise ensuite en
scannant les menaces qui ciblent nimporte lequel des composants de SharePoint (ex. : SQL Server, IIS).

Conclusion
Les solutions IPS ont t conues pour contourner un dfaut systmique du firewall : le
manque de visibilit et de contrle des applications. Pour viter une administration complexe
multi-solutions, certains diteurs ont ajout dans une mme appliance des solutions IPS et
antimalwares un firewall classique de type stateful : cest lUTM. Dans les 2 cas, ces
solutions restent dpendantes du modle de base de classification du firewall et
interviennent a posteriori, pour dtecter les malwares ou autres vulnrabilits et pour bloquer
aveuglment. Le modle de contrle ngatif dun IPS pose des problmes de granularit et
na aucune action sur les signatures non dtectes.

Palo Alto Networks corrige les dfauts du firewall en sattaquant au cur du problme :
lidentification de lapplication, indpendamment du port, du protocole, du chiffrement SSL ou
de toute autre technique dvasion. Lidentification de lapplication devient alors la base des
rgles du firewall. Un contrle aussi granulaire, qui associe de surcrot lutilisateur et non
ladresse IP, ne peut sappliquer que sur une plateforme conue en amont dans cet objectif,
et avec des technologies didentification sans prcdent : cest le firewall de nouvelle
gnration. Cest Palo Alto Networks.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

10

Traduit de langlais. Octobre 2010.

A propos de Palo Alto


Palo Alto Networks a t fonde en 2005 par le visionnaire de la scurit, Nir
Zuk, avec pour mission de r-inventer le pare-feu afin quil soit de nouveau
lquipement le plus stratgique dans le dispositif de scurit dun rseau
d'entreprise.
Son conseil d'administration et son quipe de direction sont constitus
danciens dirigeants et/ou fondateurs parmi les plus importantes socits de
scurit rseau et technologies connexes, incluant l'invention du Stateful
Inspection, les matriels de scurit et de prvention d'intrusion.
Quant son quipe de recherche et dveloppement, elle a fait la preuve de ses
comptences dans des fonctions similaires dans des entreprises telles que
Check Point, Cisco, NetScreen, McAfee, Juniper Networks et d'autres.
La socit a commenc distribuer sa famille de Nouvelle gnration de parefeu en 2007 et a install cette solution dans des centaines d'entreprises et
organisations du monde entier, y compris de nombreuses entreprises classes
Fortune 500 et compte ce jour plus de 1200 clients actifs dans le Monde.
Palo Alto Networks a ouvert des bureaux de vente rpartis en Amrique du
Nord, Europe, Asie-Pacifique, et au Japon, et commercialise ses pare-feu par
l'intermdiaire d'un rseau mondial de distributeurs et de revendeurs.

A propos de Miel
Depuis 1985, Miel dcouvre et distribue en France les nouvelles technologies
pour l'informatique des entreprises dans les domaines des rseaux, des
systmes, de la scurit et de l'informatique industrielle. Ses ingnieurs
s'appuient sur un rseau de partenaires intgrateurs pour diffuser ces produits
sur le march.
APPELEZ LE 01 60 19 34 52

et

vous proposent le pare-feu de nouvelle gnration