Laurent Delfour

Pourquoi migrer vers la version 9 de Netasq ?

Par Laurent Delfour : Responsable Technique AT&MIS

Lancée en mai 2011, la version 9 du firmware de Netasq constitue une avancée majeure dans la protection en temps réel des connexions réseau. En complément d'une performance applicative accrue et d'une plus grande facilité d'utilisation, cette version apporte un niveau de protection inégalé par sa capacité à analyser en temps réel les connexions Web et notamment le trafic SSL. Il devient ainsi possible d'appliquer des politiques extrêmement granulaires en autorisant les services conformes à la politique de l'entreprise tout en bloquant les usages non autorisés et bien sûr le code malveillant.

Netasq version 9

Performances accrues

Migrer de la V8 à la V9 se traduit tout d'abord par un gain de performance appréciable. A niveau d'inspection équivalent, les gains observés vont jusqu'à 50 % sur la gamme NG. La performance se mesure également à la continuité de service. Tout comme dans la V8, la nouvelle version apporte la haute disponibilité dans des configurations en cluster, cette fonctionnalité ayant été améliorée grâce à des temps de bascule inférieurs à la seconde entre deux firewalls.

Contrôle facilité

Le deuxième point fort de cette nouvelle version consiste dans une plus grande  facilité de contrôle des politiques de sécurité. Grâce à un nouveau moteur d'analyse de la cohérence des règles, il est bien plus aisé d'éviter les erreurs humaines à l'origine de nombreuses failles de sécurité. On pourra ainsi éviter de définir deux fois la même règle, mais on pourra également repérer les règles trop complexes qui peuvent rentrer en contradiction avec la politique de sécurité de l'entreprise.

L'administration est aussi améliorée. Plus simple, elle intègre une mise à jour automatique et transparente sur la partie licensing sans oublier un niveau d'inspection qui apporte la capacité de traiter tous les flux de manière granulaire. 

tableau de bord

Le tableau de bord de la nouvelle version

On apprécie également la possibilité d'administrer le firewall depuis un navigateur ce qui permet au technicien en charge de la sécurité du réseau de se connecter de n'importe où sans qu'il soit nécessaire d'installer un logiciel sur le poste utilisé.

Protection renforcée

Mais le principal apport de la V9 consiste certainement dans un niveau de sécurité réseau inédit reposant sur l'analyse à la volée des applications Web et notamment du trafic SSL.

Le nouveau module de déchiffrement SSL permet en effet une analyse des éléments cryptés évitant ainsi de bloquer le trafic https. On pourra ainsi appliquer un traitement anti-virus, un filtrage applicatif et une analyse comportementale sur des trames SSL.

module de déchiffrement

Permettre aux utilisateurs d'accéder à des services grand public

L'analyse complète des communications Web, qui représente désormais plus de 80 % du trafic réseau de l'entreprise, est garante de la sécurité du système d'information de l'entreprise. En analysant les trames à la recherche de vers, de trames mal formées, on pourra aisément sécuriser les connexions sans porter atteinte aux besoins légitimes des utilisateurs.

L'analyse applicative rendue possible par la V9 permet en effet d'autoriser les employés à se connecter sur des sites nécessaires à leur activité tout en bloquant ce qui sort du cadre des activités légitimes.

A titre d'exemple, un utilisateur se connectant à Facebook pour converser avec des partenaires ou des clients pourra se voir interdire le Chat ou encore l'usage de jeux développés sur cette plateforme. Grâce à l'analyse dynamique des trames échangées, il devient possible de définir ce qui est autorisé sur un service sans pour autant en bloquer complètement l'accès.

Dans le même esprit, on pourra donner accès à des services d'échange grand public comme MSN ou Skype tout en analysant en temps réel les fichiers qui pourraient s'échanger via ces outils.

Un contrôle granulaire

La granularité du contrôle apporté par la V9 permet en outre d'appliquer des règles spécifiques dans le cas d'applications « maison » ne respectant pas forcément les standards RFC (Request For Comment) de l'Internet mondial. Ces applications pourront malgré tout être utilisées si elles s'avèrent nécessaires au bon fonctionnement de l'entreprise.

Cette granularité des traitements applicables repose sur la capacité de Netasq V9 à définir le niveau d'inspection voulu pour chaque flux identifié :

Trois niveaux sont disponibles. Le niveau IPS (Intrusion Prevention System) appliqué par défaut qui détecte et bloque les trames non conformes. Le niveau IDS (Intrusion Detection System) détecte et remonte une alerte mais sans nécessairement générer une action. Le mode firewall enfin qui permet de ne plus faire d'analyse au niveau applicatif.

Jusqu'à la V8 la sécurité était au niveau IPS par défaut sans compromis possible. Dans ce mode l'appliance pratique une analyse poussée sur tous les flux transitant dans l'entreprise. Le firewall va s'assurer que les flux respectent les RFC.

Avec la V9 le niveau d'inspection devient paramétrable. On peut décider sur un flux déterminé de ne pas activer un niveau IPS mais seulement IDS, ce qui va permettre de déclencher une alarme sans pour autant bloquer le flux. Dans le cas d'une application développée en interne et qui ne serait pas complètement conforme aux RFC, cette souplesse permettra de laisser passer le trafic réseau qui autrement aurait été bloqué.

Analyse des flux « à la volée »

Afin de permettre aux collaborateurs d'échanger en toute sécurité sur le Web il est nécessaire d'être capable d'examiner tout ce qui se passe concernant le trafic Web comme le code Javascript, les contrôles Active X, la vidéo, les applications « peer to peer » ...

On doit être en mesure d'analyser les flux à la volée, de façon précise, afin de bloquer l'exécution de code à risque qui pourrait ouvrir une faille de sécurité. Jusqu'à une date récente, cette analyse n'était pas possible concernant les connexions SSL.  

On pourra ainsi désormais autoriser les connexions de téléassistance qui auraient bloquées pour éviter tout risque d'intrusion sur le réseau.  

Autre intérêt majeur : la prévention « zero day ». Si Windows ou par exemple le navigateur d'un utilisateur n'est pas à jour, le pare feu protègera malgré tout l'utilisateur contre les failles de sécurité existantes et non corrigées par l'application des correctifs de l'éditeur.

Authentification transparente

Netasq V9 permet également une authentification transparente des utilisateurs. Le firewall reconnait l'utilisateur qui s'est logué et lui permet de se connecter sur les différents sites dont il a besoin selon le filtrage établi par l'administrateur. On va pouvoir appliquer les règles définies en fonction de son profil et bloquer si nécessaire l'accès à certaines applications en fonction de l'heure de connexion ou de la machine utilisée.

Suppression de la latence

La technologie utilisée par Netasq V9 est aussi plus rapide et plus performante que les solutions basées sur un proxy habituellement utilisées pour le filtrage de trafic http et https. Le proxy s'intercale entre le client et le serveur et engendre de ce fait une latence inévitable. Les procédés en oeuvre dans la V9, reposant sur un proxy optimisé, permettent de traiter les flux en temps réel. Le gain de performance obtenu pouvant aller jusqu'à un facteur dix par rapport à l'utilisation d'un proxy standard. 

Netasq V9 fait reposer son analyse sur les signatures de flux, mais également sur l'analyse du code HTML ou Java. Le pare feu va lire la page comme le ferait un navigateur et repérer les appels de code et les actions non conformes aux RFC. 

Plus de liberté aux utilisateurs sans sacrifier la sécurité

Cette souplesse et ce niveau de granularité permet de répondre à la demande des entreprises de laisser les utilisateurs utiliser les messageries instantanées dont ils ont besoin pour échanger tout en garantissant la sécurité des connexions. On peut désormais appliquer un contrôle anti-virus en temps réel sur une pièce jointe envoyée par MSN, Skype, ... même si ces connexions sont cryptées.

L'entreprise décide de ce qu'elle souhaite déchiffrer. Si par défaut les connexions vers des sites bancaires ne sont pas déchiffrées, le processus de commande sur le site fera l'objet d'une inspection.

On rappellera que le firewall est en mesure de conserver les logs de connexions permettant ainsi de se conformer aux obligations légales en la matière.

Il faut enfin souligner que l'ensemble des règles régissant la navigation des collaborateurs d'une entreprise doit faire l'objet d'une charte d'utilisation et que les analyses pratiquées doivent faire l'objet d'une déclaration à la CNIL.

Partenariat privilégié avec Netasq

AT&MIS est partenaire « Gold » de la société Netasq, c'est-à-dire que nous disposons d'un niveau d'expertise et d'un nombre d'ingénieurs qualifiés répondant au plus haut niveau de compétences exigé par Netasq. Nos techniciens ont obtenu les certifications CNA (Certified Netasq Administrator) et CNE (Certified Netasq Expert).

Ce partenariat nous donne accès, si nécessaire, au support technique de niveau 3  du constructeur.

Un audit de sécurité gratuit

Afin de vous permettre d'évaluer les apports de cette nouvelle version de Netasq, AT&MIS vous propose la réalisation d'un audit de sécurité gratuit.

N'hésitez pas à nous contacter à cet effet en appelant le : 02 51 89 61 89 ou en écrivant à l'adresse suivante : invisible

Lettre d'information N° 15 - AT&MIS Nantes           Infogérance - Intégration & Déploiement - Maintenance informatique retour