Vous êtes sur la page 1sur 15

Shell Control Box 3 F5

Description du Produit

BalaBit
Shell Control Box

Copyright 2000-2013 BalaBit IT Security ■ Tous droits réservés. ■ www.balabit.com


BalaBit IT Security
3, Allée des Rochers - EUROPARC
94000 Créteil
Tel: +33 1 41 81 21 92
Fax : +33 1 48 83 73 77
Email: france@balabit.com
www.balabit.fr ou www.balabit.com
Introduction
Shell Control Box (SCB) est une solution de surveillance d’activité des comptes à privilèges qui contrôle l’accès aux serveurs distants, aux
postes de travail virtuels ou aux équipements réseau et enregistre les activités des utilisateurs qui accèdent à ces systèmes. Par exemple, SCB
enregistre les opérations des administrateurs système qui configurent vos serveurs de bases de données via SSH ou les transactions réalisées
par vos employés à l’aide d’applications à client léger dans un environnement Citrix. Les pistes d’audit enregistrées peuvent être consultées
comme un film afin de voir les événements exactement comme ils se sont déroulés. Le contenu des pistes d’audit est indexé afin de permettre la
recherche d’événements et la production de rapport automatique. La solution SCB est particulièrement bien adaptée à la supervision de l’accès
des utilisateurs privilégiés comme l’imposent de nombreuses exigences de conformité telles que la norme PCI-DSS. Il s’agit d’un dispositif
externe, totalement transparent et complètement indépendant des clients et des serveurs. La mise en œuvre de la solution SCB ne requiert pas
la modification des applications serveur et client ; elle s’intègre parfaitement à l’infrastructure en place.

La solution SCB enregistre tout le trafic d’administration (dont les changements de configuration, les commandes exécutées, etc.) dans les pistes
d’audit. Toutes les données sont stockées dans des fichiers cryptés, horodatés et signés, ce qui empêche toute modification ou manipulation. En
cas de problème (mauvaise configuration du serveur, manipulation de base de données, arrêt inattendu, etc.), les circonstances de l’événement
sont aisément identifiées dans les pistes d’audit, ce qui permet de trouver sans peine la cause de l’incident. Afin de protéger les informations
sensibles reprises dans les communications, il est possible de séparer les deux sens du trafic (client-serveur et serveur-client) et de les crypter
à l’aide de clés différentes. Ainsi, les informations sensibles comme les mots de passe sont affichées uniquement lorsque cela est nécessaire.

La solution SCB peut retirer le cryptage du trafic et transmettre le trafic en clair à un système de détection des intrusions, ce qui permet d’analyser
le contenu du trafic crypté. Ainsi, le trafic qui n’était pas disponible pour les analyses du système de détection des intrusions peut être vérifié en
temps réel. Les autres protocoles transférés par le biais du tunnel chiffré SSH sont également analysés. De la même manière, la liste des fichiers
transmis ou sollicités dans les protocoles cryptés peut être envoyée au système de prévention des fuites de données.
Domaines d’application
et utilisateurs finaux types

Audits externes ou internes


Plusieurs réglementations (p. ex. PCI-DSS, ISO27000, COBIT, etc.) ont été créées, obligeant les sociétés à enregistrer rigoureusement l’accès
à certaines données. Cela est nécessaire, car de nos jours une quantité importante de données professionnelles existe uniquement sous forme
électronique, ce qui pourrait donner lieu à des abus. Les lois et les normes en vigueur imposent le déploiement d’un système qui ne permet
pas d’effectuer de modification des données financières sans laisser de trace, protégeant ainsi les intérêts des investisseurs, des créditeurs,
des clients et de l’État. En outre, il n’est pas aisé de mettre en œuvre les stratégies internes écrites au sein du département informatique ; les
administrateurs système connaissent les rouages pour les contourner. Un périphérique de surveillance d’activité indépendant permet aux sociétés
d’exercer un meilleur contrôle pour empêcher les administrateurs système de contourner la stratégie de la société.

Surveiller les utilisateurs privilégiés


Une société compte de nombreux utilisateurs privilégiés inconnus, tels que les administrateurs système et les utilisateurs ayant accès au contenu
sensible, plus particulièrement dans les sociétés qui ont recours à des systèmes informatiques hérités. Les administrateurs système sont les
utilisateurs les plus puissants dans un environnement informatique. Il est obligatoire de savoir à quelles fins ils utilisent leur accès afin d’être en
mesure de suivre leur activité. Avec un périphérique de surveillance d’activité, ces ressources peuvent être entièrement transparentes et fiables.
Ils peuvent augmenter leur responsabilité et, de plus, être déchargés de toute responsabilité lors de situations critiques. Cet avantage représente
la plus grande source de motivation des administrateurs pour la mise en œuvre de la solution dans leurs sociétés.

Contrôler les sous-traitants informatiques


D’une part, l’externalisation des ressources informatiques est l’une des tendances les plus prisées dans le domaine informatique. L’externalisation
de processus critiques pour l’entreprise soulève des questions urgentes en matière de confidentialité et de sécurité. À l’heure actuelle, les sociétés
ne disposent d’aucune source fiable pour savoir ce que l’administrateur système d’un sous-traitant fait sur leurs serveurs. Il est d’une part difficile
de conserver un enregistrement du travail effectué, et d’autre part, cela exonère le sous-traitant de ses erreurs et de ses infractions. Il est à noter
que de nombreuses sociétés ont davantage de personnel extérieur que de collaborateurs internes travaillant dans leur département informatique.
Il leur est extrêmement difficile de les contrôler avec leurs stratégies standard. Il est cependant indispensable d’assurer le contrôle du suivi de
leurs activités.

Surveiller les services d’hébergement/de cloud


Les fournisseurs de services de cloud/d’hébergement (MSP), en tant que partenaires, sont censés apporter des solutions proactives en matière
de sécurité et de surveillance, des connaissances spécialisées et des ressources pour les organisations, quelle que soit leur taille. Chaque action
effectuée par un fournisseur sur les serveurs de ses clients peut se solder par une chasse au coupable. En outre, les fournisseurs de cloud font de
plus en plus l’objet de réglementations en matière de protection des données émanant de diverses organisations qui vont de l’ISAE (International
Standard on Assurance Engagement) via le standard SAS70 aux organismes nationaux chargés de l’application de la loi. La solution SCB permet
de contrôler les accès privilégiés aux centres de données basés sur Internet et enregistre les activités de manière inviolable dans le but de
présenter des preuves authentiques pour les questions de responsabilité ou à des fins de conformité.
Troubleshooting et recherches de preuves en cas d’incidents informatiques
Lorsqu’un un incident se produit, tout le monde veut en connaître l’origine. L’analyse des journaux au format texte peut relever du cauchemar et
nécessiter l’intervention d’experts externes. La possibilité de reconstituer facilement le cours des actions effectuées pendant une période précise
permet aux sociétés de réduire la durée des enquêtes et d’éviter des dépenses imprévues.

Contrôles des grandes infrastructures informatiques


Les très grandes entreprises disposant de réseaux très segmentés peuvent employer des centaines d’administrateurs système. Les premières
tentatives visant à déterminer qui a accès à quoi sont souvent abandonnées rapidement. Les directeurs finissent par se rendre compte que
n’importe quel administrateur système dispose ou pourrait disposer de droits illimités sur tous les serveurs de la société. Cette situation, à laquelle
s’ajoute l’absence totale de responsabilité, peut provoquer bien des migraines à la direction, même si seuls un ou deux administrateurs système
principaux sont employés.

Protéger les données sensibles


De nombreuses sociétés gèrent et stockent les données personnelles, telles que les données relatives à la facturation, aux règlements et aux
informations financières personnelles. L’accès des utilisateurs à ces données doit être enregistré et archivé pendant plusieurs années. Si un accès
non authentifié et une fuite de données venaient à se produire, cela porterait gravement atteinte à la réputation de la société.

Contrôler les utilisateurs de VDI


Les entreprises intègrent, de plus en plus souvent, des infrastructures de bureaux virtualisés sur un serveur central. De ce fait, lorsque les
utilisateurs travaillent sur leur ordinateur local, toutes les applications, les données et les processus sont conservés sur le serveur et fonctionnent
de manière centralisée. Cependant, de très nombreuses applications fonctionnant sur ces serveurs de terminaux ne disposent pas d’une capacité
de journalisation suffisante. Par conséquent, il est pour ainsi dire impossible de contrôler l’activité de centaines, voire de milliers, d’utilisateurs
de client léger. La solution SCB peut réaliser un audit des protocoles utilisés dans les applications VDI populaires (p. ex. CITRIX XenDesktop,
VMware View), ce qui permet de surveiller et d’enregistrer les activités des utilisateurs indépendamment de l’application utilisée.

Références publiques
Liste des sociétés et des organisations qui utilisent BalaBit Shell Control Box :
■■ Telenor Group (http://telenor.com/) – Norvège
■■ France Telecom - Orange (http://www.orange.com/en/home) – Roumanie
■■ Dubai Islamic Bank PJS (http://www.dib.ae/) – Émirats arabes unis
■■ National Bank of Hungary (http://www.mnb.hu) – Hongrie
■■ Svenska Handelsbanken AB (http://www.handelsbanken.com/) – Suède
■■ FIDUCIA IT AG (http://www.fiducia.de/) – Allemagne
■■ Ankara University (http://www.ankara.edu.tr/) – Turquie
■■ Leibniz Supercomputer Center (LRZ) ( http://www.lrz.de/english/ ) – Allemagne
■■ Bitbrains IT Services ( http://www.bitbrains.com ) – Pays-Bas
■■ CEZ Group ( http://www.cez.cz/en/home.html ) – République tchèque
Fonctionnalités et
avantages du produit

Indépendant des serveurs et des clients, et Recherche en texte libre pour un


difficile à compromettre dépannage rapide

Fonctionnement en toute Rapports d'activité personnalisés


transparence et intégration facile pour la conformité
dans l'infrastructure en place
Contrôle d'accès granulaire
aux serveurs et aux pistes
Contrôle de tous les
d'audit
protocoles administratifs les
plus couramment utilisés tels
que SSH, RDP, HTTP(s), Autorisation en double
Citrix ICA, VNC ou Telnet regard pour l'accès au
système distant et aux
données
Audit des connexions SCP
et SFTP, opérations sur
fichier de liste et extraction Prévention en temps réel
des fichiers transférés des actions à risque

Gestion aisée sur le Web


Collecte d'informations inviolables
pour les recherches de preuves
informatiques Option haute disponibilité

Archivage et sauvegarde automatiques


Relecture « cinématographique »
des données
Inspection de protocole complète

La solution SCB fait office de passerelle de proxy au niveau de l’application : les connexions transférées et le trafic sont contrôlés au niveau de
l’application (couche 7 dans le modèle OSI) et tout trafic en violation du protocole est rejeté. La protection contre les attaques est efficace. Cette
compréhension de haut niveau du trafic confère un contrôle sur les différentes fonctionnalités des protocoles comme les méthodes d’authentification
et de cryptage utilisées dans les connexions SSH ou les canaux autorisés dans le trafic RDP.

Protocoles pris en charge


La solution SCB prend en charge les protocoles suivants :

■■ Le protocole Secure Shell (SSH) (version 2) utilisé pour l’accès aux serveurs Unix et aux périphériques réseau.

■■ Le protocole RDP (Remote Desktop Protocol) versions 5, 6 et 7 pour l’accès aux plateformes Microsoft Windows, dont 2008 Server et
Windows 7.

■■ Le protocole HTTP/HTTPS utilisé pour l’accès administrateur aux interfaces Web de différents dispositifs et applications, par exemple des
routeurs, des pare-feux, des périphériques, des services Web, etc.

■■ Le protocole X11 réacheminé dans SSH pour l’accès à distance aux interfaces graphiques des systèmes Unix.

■■ Le protocole Telnet utilisé pour l’accès aux périphériques de mise en réseau (commutateurs, routeurs) et le protocole TN3270 utilisé dans les
systèmes et mainframes Unix hérités. Le cryptage TLS ou SSL pour Telnet et TN3270 est également pris en charge.

■■ Le système de partage graphique de bureau Virtual Network Computing (VNC) utilisé pour l’accès graphique à distance dans les environnements
multi-plateformes. Le cryptage TLS ou SSL pour VNC est également pris en charge.

■■ L’application VMware View utilisée pour accéder aux bureaux virtuels distants (pour l’instant, seules les connexions directes via le protocole
d’affichage RDP sont prises en charge).

■■ Le protocole Citrix ICA pour accéder au bureau virtuel et aux infrastructures de serveur d’application conçues par Citrix Systems. SCB est
la première solution qui ne dépend pas des clients et du serveur capable de commander les déploiements XenDesktop et XenApp et d’en
réaliser l’audit en toute transparence. Les connexions fiables connues sous le nom Common Gateway Protocol (CGP) sont également prises
en charge.

■■ Le protocole de passerelle TS afin que la solution SCB puisse agir en tant que passerelle TS (appelé également Passerelle des services
Bureau à distance).
Contrôle détaillé des accès

La solution SCB permet de définir les connexions : l’accès à un serveur est possible uniquement depuis la liste des adresses IP de clients. Des
restrictions supplémentaires peuvent être imposées en modifiant divers aspects de la connexion, par exemple l’heure d’accès au serveur, les noms
d’utilisateur et la méthode d’authentification utilisée dans SSH ou le type de canaux autorisés dans les connexions SSH ou RDP. En contrôlant
l’authentification, la solution SCB peut imposer l’utilisation de méthodes d’authentification forte (clé publique) et vérifier également la clé publique
des utilisateurs. La solution SCB est capable de vérifier les clés et les certificats des hôtes SSH qui identifient les serveurs. Cette caractéristique
permet d’empêcher les attaques de l’intercepteur et autres manipulations. De plus, la solution SCB peut authentifier les utilisateurs dans un
répertoire utilisateur externe. Cette authentification est totalement indépendante de l’authentification de l’utilisateur sur le serveur distant.

La solution SCB prend en charge les banques d’informations d’identification locales ou de tiers, ce qui permet de stocker les données d’identification
des utilisateurs (par exemple, les mots de passe, les clés privées ou les certificats) et de les utiliser pour la connexion au serveur cible sans que
l’utilisateur n’accède aux informations d’identification. Ainsi, les utilisateurs doivent uniquement s’identifier sur SCB à l’aide de leur mot de passe
habituel (qui peut être stocké localement sur SCB ou dans une base de données LDAP centrale). Si l’utilisateur est autorisé à accéder au serveur
cible, SCB ouvre automatiquement une session à l’aide des données reprises dans la banque d’informations d’identification.

Les paramètres suivants peuvent être contrôlés

■■ L’adresse IP du poste client autorisé à accéder au serveur.

■■ Le groupe d’administrateurs autorisés à accéder au serveur (sur la base de liste d’autorisation ou d’interdiction de noms d’utilisateurs ou de
groupes LDAP) en cas d’utilisation du protocole SSH, Telnet ou RDP6 avec authentification au niveau du réseau.

■■ Outre l’authentification réalisée sur le serveur distant, il est possible également d’exiger une authentification complémentaire sortante sur
l’interface Web de la solution SCB. L’autorisation peut reposer également sur cette authentification sortante.
■■ La méthode d’authentification (par exemple, mot de passe, clé publique, certificat) requise pour accéder au serveur via SSH.

■■ La période au cours de laquelle il est possible d’accéder au serveur (par exemple, uniquement pendant les heures de bureau).

■■ Le type de canal SSH ou RDP autorisé vers le serveur (par exemple, réacheminement de port ou de terminal SSH, partage de fichiers RDP,
etc.)

Les règles ci-dessus peuvent être appliquées aussi bien au niveau de la connexion qu’au niveau du canal. Ainsi, il est possible de limiter l’accès
aux canaux spéciaux à un groupe plus restreint d’administrateurs, par exemple aux administrateurs qui doivent vraiment bénéficier d’un accès.

Autorisation en double regard


Dans le but d’éviter les erreurs de configuration accidentelles ou autres erreurs humaines, la solution SCB prend en charge l’autorisation en
double regard. Ceci signifie qu’un agent d’autorisation doit autoriser l’accès des administrateurs au serveur. L’agent d’autorisation peut également
surveiller le travail de l’administrateur en temps réel, comme s’il regardait le même écran.

Le principe de l’autorisation en double regard peut également être appliqué aux auditeurs ; la solution SCB peut utiliser plusieurs clés pour crypter
les pistes d’audit. Dans ce cas, plusieurs clés de décryptage sont nécessaires pour lire les pistes d’audit, ce qui signifie qu’un auditeur seul ne peut
pas accéder à toutes les informations relatives aux systèmes du réseau.

Prévention en temps réel des activités malveillantes


La solution SCB peut surveiller le trafic des connexions SSH, Telnet, RDP et VNC en temps réel et exécuter diverses actions si un schéma donné
(par exemple, une commande ou un texte suspect) apparaît sur la ligne de commande ou à l’écran. Ces schémas prédéfinis peuvent, par exemple,
se présenter sous la forme d’une commande risquée, de texte dans un protocole orienté texte, ou encore d’un titre de fenêtre suspect dans une
connexion graphique. Cette fonctionnalité permet d’empêcher des activités malveillantes provenant d’un utilisateur, au moment même où elles se
produisent, au lieu de se contenter de les enregistrer ou de les signaler. La solution SCB peut, par exemple, bloquer une connexion avant qu’une
commande de destruction d’un administrateur (telle que « supprimer ») ne soit effectuée. La solution SCB peut également détecter des numéros
tels que les numéros de cartes de crédit. Les schémas peuvent être décrits sous forme d’expressions régulières.

Si une action effectuée par un utilisateur est détectée, la solution SCB peut effectuer l’une des actions suivantes :
■■ Enregistrer l’événement dans les journaux système.

■■ Mettre immédiatement fin à la connexion.

■■ Envoyer une alerte par e-mail ou des alertes SNMP relatives à l’événement.

■■ Stocker l’événement dans la base de données des connexions de SCB.


Audits et recherches de preuves
informatiques de grande qualité

La solution SCB enregistre toutes les sessions dans des pistes d’audit avec fonction de recherche, ce qui simplifie la recherche des informations
pertinentes dans le cadre de recherches de preuves informatiques ou dans d’autres situations. Ces pistes d’audit peuvent être consultées en
ligne ou suivies en temps réel afin de contrôler les activités des utilisateurs privilégiés. Toutes les pistes d’audit stockées sur SCB et le serveur
d’archivage sont accessibles depuis l’interface Web de SCB. L’application Audit Player repasse les sessions enregistrées comme un film : toutes
les actions des administrateurs peuvent être observées comme elles sont apparues aux écrans. Les pistes d’audit sont indexées par un serveur
d’indexation séparé. Ainsi, il est possible de lancer des recherches dans les résultats via l’interface graphique Web de SCB. Audit Player permet
de réaliser des avances rapides et de rechercher des événements (par exemple, les clics de souris ou l’utilisation de la touche Entrée) et les textes
consultés par l’administrateur. Il est possible également d’exécuter des recherches sur un nombre important de pistes d’audit afin de retrouver les
sessions qui contiennent des informations ou un événement en particulier. La solution SCB peut également exécuter des recherches et générer
des rapports automatiquement pour les nouvelles pistes d’audit. De plus, la solution SCB prend en charge la création de rapports et de statistiques
personnalisés, notamment des statistiques générées par l’utilisateur et des graphiques qui reposent sur les résultats des recherches, le contenu
des pistes d’audit ou d’autres types de contenu personnalisable.

Outre l’enregistrement des pistes d’audit pour les protocoles inspectés, il est possible également d’enregistrer les protocoles intégrés (par exemple,
d’autres protocoles transférés par le biais du tunnel chiffré SSH, réacheminement de port) et les fichiers transférés. Les fichiers enregistrés au
départ de connexions SCP et SFTP peuvent être extraits en vue d’une analyse plus poussée. Il est même possible de convertir le trafic audité au
format de capture de paquet (pcap) pour l’analyser à l’aide d’outils externes.

Les pistes d’audit sont comprimées ; les connexions inactives ne prennent pas de place sur le disque.

Audit fiable
Un audit repose en général sur les journaux produits par le serveur soumis à l’audit. Ce modèle présente un défaut car en général, les journaux
des événements interactifs ne sont pas trop détaillés et rien ne permet de garantir que les journaux stockés sur le serveur ou transmis par celui-ci
n’ont pas été manipulés par un administrateur ou un individu malveillant. Mais la solution SCB est un dispositif indépendant qui fonctionne en toute
transparence et extrait les informations d’audit directement des communications du client et du serveur. En outre, afin d’empêcher la manipulation
des données et fournir des données fiables à l’auditeur, toutes les pistes d’audit sont horodatées, cryptées et signées par SCB. Ainsi, personne ne
peut modifier les informations soumises à l’audit. Même l’administrateur de la solution SCB ne peut pas manipuler les pistes d’audit cryptées. La
solution SCB produit également des journaux de modification détaillés qui reprennent toutes les modifications de sa configuration.

Conservation de toutes les données pendant plus d’un an


Les sessions SSH et Telnet qui représentent la majorité des tâches d’administration d’un système constituent le trafic le plus intéressant pour
les audits. Mais ce trafic n’occupe en général pas beaucoup d’espace sur le disque dur (seulement 1 Mo par heure environ, en fonction des
circonstances), si bien que la solution SCB peut stocker près de 500 000 heures d’activités d’administrateurs système. Ceci signifie qu’une société
qui emploie 50 administrateurs toujours en ligne (24h/24, 7j/7) peut stocker toutes les sessions SSH et Telnet sur SCB pour plus d’un an dans un
format facilement accessible, lisible et offrant une fonction de recherche. Ces chiffres ne reprennent pas les données archivées sur le serveur de
sauvegarde distant accessibles également depuis la solution SCB. Les sessions RDP occupent beaucoup plus d’espace (mais en général moins
d’1 Mo par minute), ce qui signifie que la solution SCB peut stocker les données de plusieurs semaines de travail.
Intégration simplifiée

Pour simplifier l’intégration à votre infrastructure réseau, la solution SCB prend en charge différents modes de fonctionnement : mode pont, routeur
ou bastion. Afin de simplifier l’intégration aux environnements protégés par un pare-feu, la solution SCB prend en charge les traductions d’adresse
source et cible (SNAT et DNAT).

Mode pont
En mode pont, la solution SCB fonctionne comme un commutateur réseau et connecte le segment de réseau des administrateurs au segment des
serveurs protégés au niveau de la couche de liaison de données (couche 2 dans le modèle OSI).

Mode routeur
En mode router, la solution SCB fonctionne comme un routeur transparent qui connecte le segment de réseau des administrateurs au segment
des serveurs protégés au niveau de la couche réseau (couche 3 dans le modèle OSI).
Mode bastion
Les administrateurs peuvent contacter uniquement SCB, les serveurs administrés ne peuvent pas être contactés directement. Le pare-feu du
réseau doit être configuré de telle sorte que seules les connexions en provenance de la solution SCB puissent accéder aux serveurs. La solution
SCB identifie le serveur auquel il faut se connecter en fonction des paramètres de la connexion entrante (l’adresse IP de l’administrateur et
l’adresse IP et le port cible).

Fonctionnement non-transparent
La solution SCB peut également fonctionner en mode non transparent et extraire l’adresse du serveur cible du protocole inspecté. Le fonctionnement
non-transparent intervient principalement en mode bastion et simplifie l’intégration de la solution SCB à l’infrastructure réseau.
Intégration avec les annuaires
La solution SCB peut se connecter à une base de données LDAP distante (par exemple, un serveur Microsoft Active Directory) pour résoudre
les appartenances de groupe des utilisateurs qui ont accès aux serveurs protégés. Les règles et les stratégies peuvent être définies sur la base
des appartenances aux groupes. Dans le cadre de l’authentification par clé publique dans SSH, la solution SCB peut authentifier l’utilisateur par
rapport à la clé ou au certificat X.509 stocké dans la base de données LDAP.

Les administrateurs et les auditeurs qui accèdent à l’interface Web de SCB peuvent également être authentifiés sur une base de données LDAP.
L’authentification RADIUS (par exemple, à l’aide de SecurID) est également prise en charge pour l’accès à l’interface Web et pour l’authentification
des sessions SSH soumises à l’audit.

Intégration avec les solutions de gestion de mots de passe


Outre le stockage local des informations d’identification, la solution SCB peut être intégrée en toute transparence à Enterprise Random Password
Manager (ERPM), la solution de gestion des identités privilégiées développée par Lieberman Software. Ainsi, les mots de passe des serveurs cible
peuvent être gérés centralement à l’aide d’ERPM tandis que la solution SCB garantit l’accès aux serveurs protégés uniquement via SCB, vu que
les utilisateurs ne connaissent pas les mots de passe requis pour un accès direct.

Outre ERPM, la solution SCB fournit une interface de programmation d’applications (API) qui permet d’intégrer également d’autres systèmes de
gestion des mots de passe.

Intégration aux applications d’éditeurs tiers


Les API à distance de services Web (API RPC) sont également disponibles pour la gestion et l’intégration avec SCB. L’API RPC qui repose sur
SOAP permet d’accéder à la solution SCB depuis des applications distantes, de l’interroger et de la gérer. L’accès à SCB via l’API RPC offre les
avantages suivants :

■■ Intégration aux applications et environnements personnalisés (par exemple, systèmes


de billetterie pour l’assistance)

■■ Recherches souples et dynamiques et gestion depuis des applications externes (par


exemple, des outils de contrôle de système).

Gestion simple
La solution SCB est configurée au départ d’une interface Web sobre et intuitive. Le rôle de
chaque administrateur SCB peut être défini clairement à l’aide d’un ensemble d’autorisations :
■■ gérer la solution SCB en tant qu’hôte ;

■■ gérer les connexions aux serveurs ;

■■ afficher les pistes d’audit et les rapports, etc.

L’accès à l’interface Web de la solution SCB peut être limité à un réseau séparé physiquement dédié à la gestion du trafic. Cette interface de
gestion est également utilisée lors des sauvegardes, des connexions aux serveurs distants et pour d’autres types de trafic d’administration. Les
utilisateurs qui accèdent à l’interface Web peuvent être authentifiés par rapport à une base de données LDAP ou RADIUS. Afin de mettre en œuvre
une méthode d’authentification forte, il est également possible d’imposer un certificat X.509 aux utilisateurs qui accèdent à l’interface Web. Toutes
les modifications de la configuration sont automatiquement consignées ; la solution SCB peut également imposer aux administrateurs l’ajout de
commentaires lorsqu’ils modifient la configuration de SCB. La solution SCB crée des rapports au départ des modifications de la configuration. Les
détails et les descriptions des modifications peuvent être soumis à des recherches et consultés depuis l’interface Web, ce qui simplifie l’audit de
la solution SCB.
Haute disponibilité

SCB est également proposé dans une configuration haute disponibilité (HA, High Availability). Dans ce cas, deux unités SCB (une unité maître et
une unité esclave) présentant une configuration identique sont exploitées simultanément. Les deux unités possèdent un sous-système de fichiers
commun ; les unités maître partagent toutes les données avec les unités esclaves dès que les données sont reçues : chaque modification de la
configuration ou le trafic enregistré est synchronisé immédiatement avec l’unité esclave. En cas d’arrêt de l’unité maître, l’autre unité devient active
sur le champ, ce qui signifie que l’accès aux serveurs protégés n’est jamais interrompu. SCB1000d et les versions plus grandes sont également
dotés de doubles unités d’alimentation.

Sauvegardes automatiques des données et des configurations


Les pistes d’audit enregistrées, la configuration de la solution SCB et n’importe quelles autres données peuvent être transférées à intervalle
régulier vers un serveur distant via les protocoles suivants :

■■ Protocole Network File System (NFS) ;

■■ Rsync sur SSH ;

■■ Protocole Server Message Block (SMB/CIFS).

La dernière sauvegarde en date, dont la sauvegarde de


données, peut être rétablie sans difficultés depuis l’interface
Web de la solution SCB.

Archivage automatique des données


Les pistes d’audit enregistrées sont archivées automatiquement
sur un serveur distant. Les données sur le serveur distant sont
toujours accessibles et peuvent faire l’objet de recherches ;
l’interface Web de la solution SCB permet d’accéder à plusieurs
téraoctets de pistes d’audit. La solution SCB utilise le serveur
distant en tant que disque réseau via le protocole NFS ou SMB/
CIFS.

Mises à niveau logicielles


Les mises à niveau logicielles sont présentées sous la forme d’un fichier image de micrologiciel. La mise à niveau de la solution SCB via son
interface Web est aussi simple que la mise à niveau d’un routeur réseau. La solution SCB peut stocker un maximum de 5 versions du micrologiciel,
ce qui permet un retour à une version antérieure sans aucune difficulté en cas de problème.

Assistance et garantie
Vous pouvez souscrire au logiciel ou à l’assistance SCB pour une période d’un an dans divers formules, dont l’assistance 24h/24 7j/7 et le
remplacement de matériel sur site. Contactez Balabit ou votre représentant local pour obtenir les détails.
Spécifications matérielles
Les dispositifs SCB sont construits sur des serveurs haute performance, fiables et éconénergétiques qui peuvent être installés dans des racks.

BalaBit Shell Control Box N1000 BalaBit Shell Control Box VA

■■ 1 UC Quad Core, 4 Go RAM, 1 To HDD – RAID1 ■■ Dispositif virtuel à exécuter sous VMware ESXi

■■ Licence à partir de 10 équipements, peut être upgradée pour un ■■ Licence à partir de 5 équipements, peut être upgradée pour un
nombre illimité d’équipements. nombre illimité d’équipements.

BalaBit Shell Control Box N1000d

■■ 2 UC Quad Core, 24 Go RAM, alimentation redondante, 1 To


HDD – RAID1

■■ Licence à partir de 10 équipements, peut être upgradée pour un


nombre illimité d’équipements.

BalaBit Shell Control Box N10000

■■ 2 UC Quad Core, 24 Go RAM, alimentation redondante, 10 To


HDD en stockage interne – RAID 50

■■ Licence à partir de 50 équipements, peut être upgradée pour un


nombre illimité d’équipements.

Évaluation gratuite
Vous pouvez obtenir sur demande une version d’évaluation complètement opérationnelle de la solution SCB sous la forme d’une image VMware.
Une démonstration en ligne est également disponible après inscription sur notre site Web.
SI VOUS SOUHAITEZ TESTER BALABIT SHELL CONTROL BOX, DEMANDEZ UNE VERSION D’ÉVALUATION À L’ADRESSE HTTP://WWW.
BALABIT.COM/MYBALABIT/

En savoir plus
Pour en savoir plus sur les produits commerciaux et open source de Balabit, demander une version d’évaluation ou trouver un distributeur, veuillez
cliquer sur les liens suivants :

■■ Page d’accueil de syslog-ng : http://www.balabit.com/network-security/syslog-ng/

■■ Page d’accueil de Shell Control Box : http://www.balabit.com/network-security/scb/

■■ Page d’accueil de syslog-ng Store Box (SSB) : http://www.balabit.com/network-security/syslog-ng/log-server-appliance/

■■ Manuels, guides et autres documentations sur les produits : http://www.balabit.com/support/documentation/

■■ Request an evaluation version: https://www.balabit.com/mybalabit/

■■ Trouver un distributeur : http://www.balabit.com/partnership/commercial/