WatchGuard Technologies Inc.

Utilisation abusive dInternet dans lentreprise : comment garder le contrle ?

Pierre Poggi

france@watchguard.com

Agenda
Internet dans lentreprise Outil de communication et de progrs social Internet = de nouveaux risques pour lentreprise Utilisation de laccs au rseau et de la messagerie lectronique pour des fins personnelles Encadrer et limiter cette utilisation : outils juridiques et techniques Garder le contrle de ses flux Politique de scurit / Changement de comportement des utilisateurs Monitorer et filtrer Inspection HTTPS : pour quoi faire ? Qui utilise la bande passante, avec quelles applications ? Un Botnet, cest quoi ?

La Socit
Fonde in 1996, HQ Seattle, Washington ~500 employs Pionnier dans lappliance de scurit (1996) 1re socit utiliser les fonctions de proxies applicatifs transparent (1997) 2006: rajout des fonctionnalits UTM (Unified Threat Management) sur toute la gamme: Edge, Core, Peak. Plus de 600,000 appliances dployes Clients dans plus de 150 pays Rpartition des ventes mondiales 50% Americas (Canada, USA, South America) 38% EMEA 12% APAC

WatchGuard Security Solutions

XCS
Anti-Spam Web Security Data Loss Prevention Encryption Queue Replication

XTM
Firewall VPN Reputation Enabled Defense SpamBlocker WebBlocker Contrle dapplication Gateway AV Intrusion Prevention Service

SSL
Portail Applicatif SSL Reverse Proxy OWA Authentification forte intgre

Utilisation dInternet au sein de lentreprise

Rencontre entre deux univers divergents
Internet : monde de libert individuelle Entreprise : monde de rglementations et de prservation des droits des tiers

Lemployeur est responsable des agissements de ses salaris

Responsabilit civile de lemployeur du fait de ses prposs (article 1384 alina 5 du Code civil)

Prrogatives du pouvoir de direction:

Fixer les modalits dusage dInternet et des TIC Mettre en place des dispositifs de surveillance Contrler et sanctionner les abus

Les Lois HADOPI entrent dans le cadre de cette gestion des risques (Haute Autorit pour la diffusion des uvres et la protection des droits sur Internet)

Utilisation dInternet au sein de lentreprise Internet = de nouveaux risques pour lentreprise 1. Utilisation de laccs au rseau des fins personnelles, en laissant des traces de lentreprise 2. Encombrement de la bande passante 3. Mise en cause de la scurit informatique (virus, malware, botnet) 4. Tlchargement illicite de fichiers 5. Utilisation de la messagerie lectronique des fins personnelles 6. Divulgation dinformations confidentielles 7. Diffamations et injures en ligne .

Article 6 Dlit de ngligences

Obligation de surveillance par les usagers : toute personne titulaire d'un accs des services de communication au public en ligne aura l'obligation de veiller ce que cet accs ne fasse pas l'objet d'une utilisation des fins de reproduction, de reprsentation, de mise disposition ou de communication au public d'uvres ou d'objets protgs par le droit d'auteur. Les recommandations adresses aux abonns par la HADOPI les informent sur l'offre lgale en ligne, sur la date et l'heure des usages illicites constats et sur l'existence de moyens de scurisation

Mais pourtant !!!!

Je suis protg monsieur le juge !!

Changement de comportement des utilisateurs

Que vont faire les particuliers qui auront peur de tlcharger de chez eux ??? La peur du gendarme.... et de la coupure de la connexion Internet les pousseront tlcharger sur leur lieu de travail Lducation des utilisateurs sera la fois plus importante et plus inutile.

Les outils Anti Hadopi 2

Paradoxalement, Hadopi 2 vulgarise ces techniques plus ou moins volues auprs du grand public : Metro, Les Echos , NouvelObs, etc !!! http://fr.wikipedia.org/wiki/Loi_Cration_et_Internet Blog Linux Manua (les 10 antidotes anti-hadopi) jusquau routeur anti hadopi

UltraSurf

UltraSurf est un anonymizer de seconde gnration (et gratuit)

Plus besoin daller sur un site Web Proxy , le logiciel le fait directement en SSL avec des adresses multiples et dynamiques Trafic compltement encrypt via les ports ouverts (auto dtection des ports disponibles en sortie par le logiciel)

Classement en France (Fvrier 2011)

Rank 1 3 8 12 15 16 19 20 21 22 24 27 28 30 34 37 40 41 45 50 51 52 53 58 59 60 61 62 63 64 65 66 88 96

Site
facebook.com youtube.com leboncoin.fr laredoute.fr dailymotion.com ebay.fr over-blog.com partypoker.fr blogspot.com cdiscount.com amazon.fr groupon.fr aufeminin.com priceminister.com deezer.com voyages-sncf.com 3suisses.fr meteofrance.com megaupload.com rueducommerce.fr canalblog.com mozilla.com spartoo.com jeuxvideo.com hotmail.com pixmania.com lequipe.fr vente-privee.com lefigaro.fr sarenza.com viamichelin.fr marmiton.org jeux.fr seloger.com

Unique Visitors (users)

23,000,000 16,000,000 9,000,000 6,200,000 5,600,000 5,600,000 5,100,000 5,100,000 4,600,000 4,600,000 3,800,000 3,800,000 3,800,000 3,500,000 3,100,000 2,900,000 2,600,000 2,600,000 2,400,000 2,400,000 2,400,000 2,300,000 2,200,000 2,200,000 2,100,000 2,100,000 2,100,000 2,100,000 2,000,000 2,000,000 1,900,000 1,900,000 1,600,000 1,500,000

Reach
50.90% 35.30% 19.70% 13.60% 12.30% 12.20% 11.10% 11.20% 10.10% 10% 8.30% 8.30% 8.40% 7.70% 6.90% 6.30% 5.80% 5.80% 5.20% 5.20% 5.20% 5.10% 4.80% 4.70% 4.70% 4.70% 4.70% 4.60% 4.30% 4.30% 4.20% 4.20% 3.50% 3.20%

Page Views
44,000,000,000 3,300,000,000 4,800,000,000 400,000,000 190,000,000 1,100,000,000 160,000,000 61,000,000 120,000,000 340,000,000 250,000,000 61,000,000 130,000,000 170,000,000 340,000,000 210,000,000 210,000,000 97,000,000 110,000,000 120,000,000 80,000,000 74,000,000 66,000,000 170,000,000 61,000,000 88,000,000 370,000,000 410,000,000 80,000,000 98,000,000 37,000,000 73,000,000 190,000,000 160,000,000

Source : http://www.google.com/adplanner/static/top100countries/fr.html

Filtrage des sites Web Une premire tape pour se protger

Le filtrage dURL est la premire barrire pour empcher les utilisateurs daller sur :

des sites de tlchargement, sur des sites de streaming des proxies relais

Internet

Contrle dApplications
Plus de 2300 signatures, 1800 applications uniques
Catgories
Instant Messaging Mail Web 2.0/Social Media P2P Remote Access Terminals Database File Transfer Voice Over IP Streaming Media Network Management Tunnel (Web bypass proxies)

Applications
QQ; MSN; Yahoo; GoogleTalk Hotmail; Gmail; Yahoo; MS Exchange Facebook; LinkedIn; Twitter Gnutella, Foxy, Winny; Bittorrent; eMule TeamViewer; GoToMyPC MS SQL; Oracle Peercast; Megaupload Skype QuickTime; YouTube; Hulu MS Update; Adobe; Norton; McAfee Ultrasurf; Avoidr; Circumventor

Applications approuves

Applications dangereuses ou bloques

Comment bloquer les logiciels qui tentent de se cacher ?

Inspection du contenu HTTP encrypt via SSL Une fois dcrypt, le flux est identifi comme flux HTTP lgitime ou comme du flux applicatif encapsul en SSL

Analyse de contenu HTTPS

Un nouveau certificat avec le dtails du site web est sign avec la clef du Firewall

Importation du certificat pour linspection HTTPS du Firewall dans le navigateur de lutilisateur

Site Web Scuris

Firebox HTTPS Inspection

INTERNET

La connexion ssl rcupre le certificat du site web

Lutilisateur tente daccder le site web en HTTPS

La connexion ssl est tablie avec un certificat web resign par le firewall

Tous les quipements de scurit nont pas les mmes capacits

Tous les quipements de scurit ne filtrent pas les sites Web Tous les quipements de scurit ne filtre pas le contenu des pages Web Tous les quipements de scurit ninspectent pas les flux crypts Tous les quipements de scurit ne disposent pas forcment de la granularit voulue au niveau de la politique de scurit Etc...

Authentification transparente : Qui est qui?

Authentification automatique des utilisateurs de lAD, pas dauthentification manuelle des utilisateurs (et donc pas de risque de fraude) association adresse IP nom dutilisateur Support de CITRIX et TSE Utilisation dun agent SSO pour donner les informations au Firewall de manire automatique
Alice autorise sans avoir sidentifier manuellement

Requte SSO

Alice se logue
SSO Info Utilisateur : Alice = IP 10.0.1.100

SSO Agent

Hadopi et les Botnets

Lentreprise a la responsabilit de se scuriser et de nettoyer son rseau des machines zombies fournissant un partage ou des tlchargements automatiques, avec les pnalits associes en cas de manquement (les sanctions sont sur lentreprise, pas les employs)

Comment identifier un tlchargement dun employ par rapport celui dune machine Zombie? Ou tout simplement comment arriver reprer les Botnets qui sont de plus en plus perfectionns ?!

Tracer les connexions en temps rel

Affichage du dbit par connexion et dtection des comportements louches Trouvez qui utilise trop la bande passante et qui tlcharge peut tre !

Projet de Spcifications Fonctionnelles HADOPI (SFH)

Les journaux scuriss doivent tre archivs et conservs par le titulaire de labonnement pendant la priode dune anne lment 1 : Observation en temps rel et sans enregistrement des flux et protocoles qui transitent par laccs ; sur la base de lobservation et de la politique de scurit choisie, une ou plusieurs des actions techniques suivantes peuvent sappliquer : laisser faire ou bloquer (selon des critres dfinis dans le prsent document, et qui incluent notamment le type de flux ou protocoles, selon le protocole applicatif, des listes1, des caractristiques de formats, de dbits, de volumes, des profils dutilisateurs, des plages horaires). lment 2 : Analyse optionnelle de la gestion de configuration informatique (ex : analyse statique de la configuration de postes informatiques ; logiciels installs), analyse statique de la configuration rseau (ex : analyse de la configuration routeur / botier ADSL) ; analyse dynamique des logiciels en fonctionnement, et contrle des utilisations par le titulaire de la connexion. lment 3 : Affichage de notifications et dalertes pdagogiques (ex : Vous allez tlcharger un fichier en utilisant le protocole pair pair nom du protocole : voulez-vous continuer ? ). lment 4 : Double journalisation (version normale en clair et version scurise ; les deux versions sont identiques, sauf si la version en clair est manipule) des vnements significatifs (ex : lments de la vie interne du moyen de scurisation : dmarrage, arrt, activation, dsactivation, modification des profils de scurit, etc. ; Les lments 1, 2 et 3 sont la discrtion et dans les termes choisis par le titulaire. Llment 4 est obligatoire et sopre automatiquement ds lors que le moyen de scurisation est en fonctionnement (mme si les lments 1, 2 et 3 ne sont pas activs).

Dcret n 2011-219 du 25 fvrier 2011

Dcret n 2011-219 du 25 fvrier 2011 relatif la conservation et la communication des donnes permettant d'identifier toute personne ayant contribu la cration d'un contenu mis en ligne. La dure de conservation des donnes mentionnes larticle 1er est dun an
Les donnes que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes : a) Lidentifiant de la connexion ; b) Lidentifiant attribu par ces personnes labonn ; c) Lidentifiant du terminal utilis pour la connexion lorsquelles y ont accs ; d) Les dates et heure de dbut et de fin de la connexion ; e) Les caractristiques de la ligne de labonn ; http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id

Archivage des logs

Le Firebox envoie ses logs chiffrs au Serveur de Logs

LAdministrateur Rseau et Systme consulte logs et rapports

Les Logs sont stocks dans une base SQL et archivs pour la dure lgale ncessaire

Serveur de Logs et Rapports

WatchGuard Log Server

Protocole propritaire bas sur TCP (en mode connect) Automatiquement Chiffr Mcanisme de backup

Alternative au standard de fait Syslog qui ne convient pas cette fonction

Le WatchGuard Log Server est inclut en standard avec les produits WatchGuard

Log / Report Architecture

Logs are stored in a SQL Database

Firebox connects to Log Server to store the logs

Log Viewer Log Server Firebox

Automatic Refresh of reports

Report Manager 27

Report Server

Gnration de rapports
+ de 50 rapports prdfinis en standard : applications web utilises (par catgorie et applications), poste client le plus actifs, IPS, traffic web, sites les plus populaires Les rapports deviennent une obligation pour sassurer du bon usage dinternet par ses utilisateurs
Un outil essentiel pour affiner la politique de scurit

28

Rapports

Rponse Gradue

Ajustement de la charte dentreprise

La Charte dentreprise devra reflter les obligations de lentreprise vis--vis de cette loi

Quid de la Politique de scurit en entreprise

Arriver bloquer tous les types de trafic de type tlchargement ou streaming va devenir un casse tte pour les administrateurs

WatchGuards Best-In-Class Security

Moving Security Forward

Protger votre rseau en intgrant les meilleures technologies de scurit pour vous permettre de grer les risques, et amlorier lfficacit.

XTM, XCS et VPN SSL

Une combinaison de solutions regroupes dans une seule appliance.

Rsum des Avantages :

Productivit amliore Simple installer et administrer

Couts dexploitation faibles

Moins de problmes dadministration : Appliance tout-en-un

Compliance assure

Permet la mise en place de rgles spcifiques fonctionnalits daudit et reporting en standard Les services LiveSecurity offre le Support Technique, les mises jour mineures et ainsi que la garantie matrielle avec change anticip.

Retour sur Investissement maximis

Merci !