Guide de UTM
Guide de UTM
Guide de UTM
génération « UTM/NGFW » ?
par LOIC DUVAL, le 6 février 2015 08:00 - Source TOM'S HARDWARE FR
Voici tout ce qu’il faut savoir avant d’opter pour un tel équipement et choisir celui qui
correspond le mieux à vos besoins et votre budget.
On trouve sur ce marché de purs acteurs des pare-feu comme Cisco Systems (et
son acquisition de Sourcefire), Check
Point, Fortinet, JuniperNetworks, Barracuda ou Palo Alto Networks. On y trouve
aussi d’autres acteurs notamment venus du marché des solutions de sécurité en
appliance et de l’anti-malware tels que WatchGuard,Blue Coat
Systems,FireEye,Sophos,McAfee(Stonesoft), Dell (SonicWall), ou Huawei
Technologies. Il existe même des acteurs 100% français commeArkoon et sa
marque StormShield, une filiale d’Airbus Defense & Space.
L’objectif de cette nouvelle génération de pare-feu n’est pas de remplacer tous ceux
existant aux frontières du système d’information ou sur les postes de travail
(rappelons que tous les postes Windows incorporent un pare-feu activé par défaut
depuis XP SP2). Il faut savoir les utiliser à bon escient et les placer aux endroits du
réseau où ils sont résolument stratégiques.
Bien évidemment, ces nouveaux pare-feu ne sont qu’une arme de plus dans
l’arsenal défensif. Ils ne se suffisent pas à eux-mêmes et il serait utopique de penser
que leur simple intégration dans l’infrastructure informatique de l’entreprise suffit à la
préserver de tout danger. La sécurité à 100% n’existe pas, et comme les tests
du NSS Labs l’ont récemment démontré toutes les solutions du marché sont
susceptibles d’être perméables à au moins une technique d’évasion parmi les
millions de combinaisons possibles.
NGFW ou UTM ?
Pour désigner ces nouvelles appliances de sécurité multicompétences, les
constructeurs utilisent parfois le terme NGFW (Next Gen FireWall) ou UTM (Unified
Threat Management) voire USG (Unified Security Gateway). Aujourd’hui, tous ces
termes désignent des boîtiers aux fonctionnalités très similaires pour ne pas dire
identiques. La différenciation est historique et marketing. Le terme NGFW a été
utilisé au départ par Gartner pour désigner les nouvelles appliances des fabricants
traditionnels de pare-feu qui incorporaient des fonctionnalités IPS et de supervision
applicative. Le terme UTM a été utilisé quant à lui par IDC pour désigner des
appliances réseau créées par des acteurs plus connus pour leurs solutions anti-
malwares et dérivant souvent de celles-ci. Mais les concepts d’UTM et de NGFW
fusionnent.
Aujourd’hui, on utilise plus volontiers le mot UTM pour désigner des appareils «
entrée de gamme », destinés aux petites et moyennes entreprises et gérant un
nombre limité d’utilisateurs (quelques dizaines). Le terme NGFW est en revanche
davantage employé pour désigner des solutions d’entreprise fortement focalisées sur
les capacités en matière de bande passante afin de soutenir des centaines
d’utilisateurs.
Notre sélection :
* Les malwares et les botnets sont de plus en plus sophistiqués, de plus en plus
discrets, et ne s’arrêtent pas par un simple blocage de ports.
* Les APT (Advanced Persistent Threats) s’installent sur le long terme au cœur des
infrastructures. Leur objectif principal consiste à implanter des mécanismes qui
permettent de voler des informations et des identités sans être repérés. C’est la clé
du business des cybercriminels. De fait, ces APT peuvent être actives durant de
nombreux moins et parfois même des années avant d’être détectées et éradiquées.
* Les AET (Advanced Evasion Techniques) sont l’un des nouveaux moyens
d’implantation des APTs. Les cybercriminels utilisent différentes techniques
d’évasion pour échapper aux protections réseau. Les techniques les plus simples
consistent à altérer les ports standards des applications protégées pour les faire
utiliser des ports autorisés, à glisser des activités interdites au sein d’un protocole
autorisé (comme le VPN), à chiffrer les contenus malveillants. Aujourd’hui, les
techniques avancées (AET) combinent plusieurs mécanismes et divisent les attaques
en actions autorisées – car jugées individuellement non dangereuses – qui, une fois
regroupées et combinées, forment une menace.
* Les attaques par déni de service (DDoS) sont de plus en plus répandues et
désormais à la portée de n’importe qui, y compris votre grand-mère. On trouve en
effet très aisément sur Internet des services en ligne façon SaaS (Software As A
Service) qui permettent, moyennant quelques euros, de porter une telle attaque
contre n’importe quel serveur, site ou entreprise. La plupart du temps, ces attaques
cherchent à rendre inaccessible un site ou un eCommerce avec parfois du chantage
à la clé (arrêt des attaques contre une rançon). Quelquefois ces attaques sont aussi
là pour créer un bruit de fond afin de masquer une intrusion plus sournoise.
Parce qu’ils sont au cœur du réseau, les pare-feu conservent une place stratégique
pour parer les cybercriminels. Mais face à cette variété de menaces et de techniques
cybercriminelles, les pare-feu classiques ne suffisent plus et ne peuvent plus jouer le
rôle de gardien qu’on leur attribuait autrefois. Les techniques d’évasion permettent
de les contourner bien trop facilement. Car les concepts des pare-feu classiques (SPI
Firewalls) ont été créés bien avant l’invasion des malwares et du Web 2.0.
Philosophie générale
Un pare-feu « nouvelle génération » combine les fonctionnalités d’un pare-feu
classique avec un ensemble d’autres boucliers défensifs autrefois commercialisés
séparément, à commencer par un IPS intelligent et une protection anti-malware
avancée. En embarquant ainsi davantage d’intelligence, ils permettent de simplifier
l’infrastructure en limitant la multiplication d’outils indépendants, à
l’administration difficilement centralisable.
Source: ZyxelEnfin, ces NGFW ont aussi pour vocation de fournir une vue globale
du réseau en tenant compte non seulement des appareils qui y sont connectés mais
aussi des utilisateurs et des applications afin de mieux appréhender les contextes et
mieux cerner les comportements suspects ou à risque. Dès lors ils sont très utilisent
pour analyser les usages Internet des utilisateurs de l’entreprise. Ils permettent de
savoir quels utilisateurs accèdent à quels services et dans quel contexte. Ils donnent
aussi toutes sortes de statistiques sur les sites les plus fréquentés, les
consommations de bande passante, les applications Web en mode SaaS réellement
utilisées par les collaborateurs, etc.
Le blocage par géolocalisation des IPs, par exemple pour n’autoriser le contrôle à
distance que depuis les pays que vos collaborateurs visitent, ou l’accès à votre FTP
que depuis les pays où vous avez des clients.
* Bouclier Anti-DDOS : Les attaques par déni de service sont un grand classique.
Certains UTM/NGFW fournissent des filtres spéciaux et combinent les boucliers IPS,
Réputation et Géolocalisation des IP pour nettoyer les flux entrants, jeter les paquets
provenant de sources indésirables et réduire l’impact des attaques.
* Contrôle des utilisateurs : Les UTM/NGFW savent aussi contrôler les utilisateurs
et permettent de définir des règles en fonction des utilisateurs. C’est évidemment
essentiel pour personnaliser les contrôles applicatifs et les contrôles d’accès mobiles
en fonction des catégories d’utilisateurs. Mais il devient ainsi possible de combiner
géolocalisation, application, trafic et utilisateurs pour mieux discerner les activités
suspectes.
La gestion du réseau
Par définition, le pare-feu est un élément clé du réseau par lequel gravite tout le trafic
à protéger. Un UTM/NGFW compte en général plusieurs ports Ethernet qui peuvent
être attribués à différents VLANs (réseaux virtuels) ou utilisés comme un switch
filtrant d’un réseau unique.
Certains modèles offrent d’ailleurs des fonctionnalités plus avancées pour vous
permettre de déployer plusieurs points d’accès partout dans l’entreprise mais aussi
de centraliser leur gestion au sein d’un seul écran depuis le pare-feu nouvelle
génération.
Certaines appliances vont encore plus loin en permettant de gérer des points d’accès
« invités ». Cette fonctionnalité est indispensable aux entreprises qui veulent offrir un
accès sans fil particulier aux clients qui viennent dans leurs locaux ou encore pour
les hôtels qui veulent proposer un accès Internet dans les chambres. Ces fonctions
permettent parfois d’imposer l’affichage d’un écran d’accueil (un portail captif) et la
saisie d’une authentification ou d’un mot de passe avant d’autoriser l’accès Internet à
ces terminaux « invités ». L’UTM/NGFW agira alors pour empêcher certaines
activités illégales comme le téléchargement P2P, l’accès aux sites de streaming
illégaux, ou l’utilisation de l’accès Internet de l’entreprise (ou hôtel, restaurant, etc.) à
des fins illicites.
Source: ZyxelEnfin, la mobilité croissante impose d’offrir aux collaborateurs le moyen
d’accéder aux ressources clés de l’entreprise depuis l’extérieur tout en préservant la
sécurité du réseau. Tous les UTM/Firewall du marché proposent des solutions VPN
(Virtual Private Network). Évidemment, tous permettent le « Pass-Through » pour
implémenter des VPN PPTP, L2TP ou OpenVPN via des serveurs Windows ou
Linux. Mais certains agissent eux-mêmes comme des serveurs VPN. La plupart
d’entre eux fournissent des services VPN IPSec qui exigent souvent l’utilisation d’un
client spécifique (ce qui, dès lors, pose le problème du coût de ce client et de sa
compatibilité Android et iOS). Certains autorisent aussi des VPN SSL (pour créer des
tunnels permettant l’accès aux applications internes plutôt qu’au réseau de
l’entreprise) mais il faudra alors vérifier combien d’accès simultané sont autorisés en
standard et le coût des accès supplémentaires.
Efficacité
Il ne suffit pas de proposer des fonctionnalités. Il faut encore que celles-ci se
comportent comme espéré et qu’elles se montrent véritablement efficaces face aux
multiples techniques d’évasions et notamment face aux AET.
L’efficacité commence d’abord par vérifier comment le Pare-feu nouvelle
génération gère les flux chiffrés(typiquement https) de plus en plus utilisés dans
tous les échanges y compris ceux relevant du trafic cybercriminel. Le boîtier doit être
en mesure de déchiffrer ces flux pour que ses fonctionnalités antivirales, antispam et
IPS puissent fonctionner. Certains boîtiers peuvent se révéler aveugles sur de tels
flux. D’autres vont imposer l’installation d’un certificat sur chaque poste.
Deux autres informations sont souvent fournies pour analyser les performances : le
nombre de connexions maximales (qui ne signifie pas grand chose) et le nombre de
nouvelles connexions par seconde (qui donne une bonne idée de la puissance du
boîtier et de son logiciel). Attention, ce nombre de connexions simultanées n’a
pas de rapport avec le nombre d’utilisateurs (typiquement, l’affichage d’une page
Web déclenche l’ouverture de plusieurs connexions, sans parler de Skype et autres
outils installés).
Bien choisir
Choisir un UTM/NGFW n’est pas une mince affaire. Il faut s’intéresser aux
fonctionnalités défensives, à l’interface utilisateur, aux performances et aux
fonctionnalités de gestion du réseau. Pour autant, la partie la plus complexe est
ailleurs : il n’est jamais simple de déterminer le prix réel de la solution. En effet,
tous les fabricants n’ont pas les mêmes politiques de licences. Certains peuvent
facturer à part certaines fonctionnalités avancées, d’autres réclament un abonnement
annuel pour continuer à recevoir les signatures (anti-malware notamment), d’autres
imposent la souscription à des contrats de support annuel, etc.
Dès lors la comparaison des rapports qualité/prix n’est pas simple et parfois même
directement impossible. Notre tableau offre une vue aussi complète que possible
pour vous aider à vous faire une opinion et indique à la fois le prix d’acquisition et le
coût annuel avec toutes les fonctionnalités clés activées. Toutefois, le prix indiqué
s’appuie sur les tarifs officiels. En pratique, on obtient souvent d’importantes
ristournes.
Surtout, il ne faut pas perdre de vue que la sécurité est une affaire de spécialistes
et qu’il vaut parfois mieux la confier à d’autres. De plus en plus de partenaires
proposent désormais d’acquérir un NGFW/UTM sous forme de service. Moyennant
un abonnement mensuel fixe et prévisible, ils vous installent le matériel, le
configurent, l’administrent au quotidien, en contrôlent les mises à jour, produisent des
rapports d’activité, remédient aux anomalies remontées par les alertes, réagissent
aux attaques et répondent à vos questions. Le prix du matériel et des abonnements
est intégré et dispatché dans la facture mensuelle du service. Pour les TPE/PME
sans personnel IT, c’est souvent une excellente solution.