Passerelle sécurisée Jérôme MARTINIERE Chef de Produits Lionel CARVALHO Technicien réseau Ateliers techniques - Automne 2007 -
Mar 19, 2016
Passerelle sécurisée
Jérôme MARTINIERE Chef de Produits Lionel CARVALHO Technicien réseau
Ateliers techniques- Automne 2007 -
Les technologies de sécurité évoluent
User-AwareApplication PatrolIP-Based
ZyWALL UTMUnified Threat Management
IPSec VPN
IP-Based
Dual WAN
2000 Signatures
Non Certifié
Anti-Spam
Filtrage des contenus
Hybrid VPN & Advanced(IPSec+SSL)
User / Application Based
Multiple WANICSA-Certified
3000+ SignaturesCertifié NSS
Anti-Spam amélioré
Fonctionnalités améliorées
1. Firewall
2. VPN
3. QoS
4. Répartition de charge
5. Anti-virus
6. IDP
7. Anti-Spam
8. Filtrage des contenus
ZyWALL USGUnified Security gateway
Mid-Large(75-200 users)
SMB(50-75 users)
SB(<50 users)
SOHO/Home
Enterprise200+ users
Nouveaux produits
Evolution de la gamme ZyWALL
Produits existants
ZyWALL 70 UTM
ZyWALL 1050
ZyWALL 35 UTM
ZyWALL 5 UTM
ZyWALL P1ZyWALL 2WG
ZyWALL 2 Plus
ZyWALL SSL10 ZyWALL USG 200 (Mars 2008)
ZyWALL USG 100 (Mars 2008)
ZyWALL USG 1000 (Février 2008)
ZyWALL USG 300 (Disponible)
Principaux avantages Flexibilité
• VPN hybride, IPSec & SSL• Configuration orientée objet• Ports versatiles
Contrôle des applications• 27+ applications IM/P2P reconnues, en mise à jour constante• Gestion de la bande passante par utilisateur / application
Performances • Moteur de scan AV « Stream-based »• Débits firewall / UTM / VPN très élevés
Coûts d’acquisition et de maintenance réduits• Garantie matérielle 5 ans• Mise à jour du microprogramme gratuite • A partir de la version ZLD 2.1, Anti Spam RBL ORDBL gratuit
ZyWALL USG 300
Interfaces(7) Gigabit Ethernet : Rôle Configurable(2) USB : 2.0, évolution future
InterfaceDial-Backup/Dial-InConsole
Slots d’extensionEvolutions futuresCarte 3G, Wireless…
ZyWALL USG 1000
Interfaces(5) Gigabit Ethernet : Rôle Configurable(2) USB : 2.0, évolution future
InterfaceDial-Backup/Dial-InConsole
Slots d’extensionEvolutions futuresCarte 3G, Wireless, disque dur…
Fonctions ZyWALL USG
FonctionFonction ZyWALL USG 300ZyWALL USG 300 ZyWALL USG 1000ZyWALL USG 1000Passerelle Anti-Virus Oui (Kaspersky) Oui (Kaspersky)
IM/P2P Oui (AppPatrol) Oui (AppPatrol)
IDP/ADP (Anomaly Detection) Oui / Oui Oui / Oui
Content Filter Oui (BlueCoat) Oui (BlueCoat)
IPSec VPN (certifié ICSA) Oui Oui
SSL VPN Oui Oui
L2TP VPN Oui Oui
AS RBL/ORDBL Oui (ZLD 2.1, Février 08) Oui (ZLD 2.1, Février 08)
SPI Firewall (ICSA-certified) Oui* Oui*
Gestion de bande passante Oui Oui
Multiple WAN Oui Oui
Règles User-Aware Oui Oui
Authentification à deux facteurs Oui (ZyWALL OTP) Oui (ZyWALL OTP)
Redondance matérielle Oui (A-P mode) Oui (A-P mode)
Performances et Capacité
Performance / CapacitéPerformance / Capacité ZyWALL USG 300ZyWALL USG 300 ZyWALL USG 1000ZyWALL USG 1000
Interfaces 7 x Gigabit 5 x Gigabit
Accélération chiffrement DES/3DES/AES DES/3DES/AES
Accélération UTM SecuASIC (CIP-1001 * 2) SecuASIC (CIP-2001)
Débit SPI Firewall 200Mbps 350Mbps
Débit IPSec VPN 100Mbps 150Mbps
Débit SSL VPN 25Mbps 72Mbps
Sessions NAT 60,000 200,000
Tunnels VPN IPSec 200 1,000
Tunnels VPN SSL 2-10 5-50
Création de sessions 2 000 (sessions/sec) 13 000 (sessions/sec)
Fonctions principales Gateway Anti-Virus Hybrid VPN L2TP VPN AppPatrol (IM/P2P Management) IDP/ADP Device HA Enhancement GUI Enhancement (versus ZLD 1.0x)
Configuration orientée objet L’administrateur peut gérer et modifier de manière centralisée des
objets dans la section dédiée Il est aussi possible de créer des objets depuis une autre section de
l’interface sans retourner au menu « objects »
Anti-Virus
Passerelle AV Stream-based • Powered by Kaspersky Labs• Inspection configurable par zone
Protocoles supportés• HTTP/SMTP/POP3/FTP/IMAP4
Performances• Accélération matérielle – SecuASIC• Pas de limite de taille des fichiers ni de nombre de sessions
Support des fichiers compressés et sessions simultanées :Scans simultanésScans simultanés ZyWALL USG 300ZyWALL USG 300 ZyWALL USG 1000ZyWALL USG 1000
ZIP/GZIP/PKZIP 50 100
RAR 8 16
Signatures Anti-Virus
Signatures• Développées par Kaspersky Labs• Couvrent en permanence les 3000 virus les plus actifs (Wildlist 09/07 :
2304) Mise à jour
• Fréquence moyenne de mise à jour : 3 / semaine Visibilité
• Signatures consultables par l’interface web• Description des virus sur http://www.viruslist.com
Signatures consultables par l’interface web
Recherche par nom, dangerosité ou ID
Liens menant au descriptif surhttp://www.viruslist.com/
Anti-virus
BWL (Blacklist & Whitelist)• Possibilité de détecter des fichiers ou extensions de fichier
définies par l’utilisateur (ex : bloquer *.mp3) • Jusqu’à 512 entrées
Action suite à une détection• Log / Alerte• Destruction du fichier infecté• Envoi d’un message Windows “netsend” (émetteur et récepteur)
Reporting• Tableau de bord : Top-5 virus & Total des virus détectés• Threat Report : Statistiques sur les détections de virus
Blacklist et Whitelist
Blacklist & WhitelistPeut détecter et bloquer (ou autoriser, dans la whitelist) des fichiers par nom ou extension i.e. *.mp3, *.mpeg
L’accès à distance La méthode d’accès la plus répandue est le VPN IPSec IPSec présente des inconvénients pour l’accès à distance:
• Il est obligatoire de préinstaller et de préconfigurer chaque terminal coté client (x 10, 50, 10000?)
• Difficultés pour traverser certains firewall (ESP, UDP-500…) Ces inconvénients entrainent un nombre important
d’appels au support, augmentant le coût de maintenance Les indisponibilités réduisent la productivité des
utilisateurs
Fenêtre de login
Plusieurs niveaux d’accès Accès restreint : Accès complet :
Intranet pour les employés
Avantages du VPN SSL
Accès à distance « clientless »• Pas de pré-installation d’un client logiciel• Pas de pré-configuration d’un client logiciel• Utilise un browser web classique
Application/User-Aware• Règles précises d’accès aux ressources par les utilisateurs
Déploiement facile• Téléchargement automatique des agents
• Pas de blocage par les firewalls / passerelles NAT, et est donc fonctionnel dans un maximum d’environnements
Administration “orientée objet”
Network 1Application 1User 1
Network 2User 2
User 3
User 4
Application 2
Application 3
Application 4
Network 3
Network 4
IP Pool 1
IP Pool 2
IP Pool 3
IP Pool 4
Objets
User 1
User 2
Application 1 IP Pool 1 Network 1
Policy 1 (Commerciaux)
User 3
User 4
Application 1 IP Pool 3 Network 1
Network 3Application 3
Policy 2 (Administration)
Mécanisme d’authentification
Remote Users
ZyWALL SSL VPN
Internet
Base d’utilisateurs locale
Base externe
ActiveDirectory
LDAPRADIUS
UserGroup1
UserGroup2
Serveur OTP
ZyWALL OTP(One-Time Password)
Double sécurité grâce aux Tokens
VID
********
130201
Authentification à deux facteurs
Nécessite un serveur d’authentification Utilisation des tokens « OTP » (One Time Password)
Télétravailleur
Partenaire autorisé
en déplacement avecportable travail
ZyWALL OTP
ZyXEL / Serveur Authenex
ZyWALL OTP
ZyWALL OTP
Internet
LAN
messagerie
Partage de fichiers
ApplicationWeb-based
supervision
Applicationmétier
OA, ERP,CRM
Authentification à deux facteurs
- Starter Kit (Logiciel serveur Authenex + 2 tokens)
- Kit 5 tokens
- Kit 10 tokens
SSL VPN vs. IPSec VPNLiaison SSL-VPN IPSec-VPN
VPN site à site
Accès distant Paramétrage du site central
Paramétrage de chaque client et du site central
Coûts Site central Site central, client
Utilisation Idéal pour l’accès distant
Idéal pour interconnexion de réseaux (site à site)
IPsec VPNSSL-VPN
VPN Hybride : SSL VPN & IPSec VPN
ZyWALL USG (et le ZyWALL 1050) supportent ces deux technologies VPN simultanément
Capacité / PerformancesCapacité / Performances ZyWALL USG 300ZyWALL USG 300 ZyWALL 1050 / ZyWALL 1050 / USG 1000USG 1000
Tunnels VPN SSL sans licence 2 5
Tunnels VPN SSL avec licence 10 50
Tunnels VPN IPSec 200 1,000
Débit VPN SSL 25Mbps 72Mbps
Débit VPN IPSec 100Mbps 150Mbps
Gestion IM/P2P (AppPatrol) Contrôle granulaire des applications IM/P2P
• Reconnait les applications ainsi que leurs fonctions pour des règles plus précises, ex : Connexion, Chat, transfert de fichiers, voix, vidéo
• 28 applications IM/P2P reconnues, mise à jour continue (licence IDP) Gestion de bande passante
• Supporte le BWM dans chaque règle ou pour chaque groupe d’utilisateurs
• Garantit ou limite la bande passante par protocole/application• Maximise l’utilisation de la bande passante en « empruntant » la
bande passante non utilisée dynamiquement Monitoring en temps réel
• Indique quelle application utilise quelle connexion (« Traffic Report »)• Illustre graphiquement l’utilisation de la bande passante par
application
Applications IM/P2P reconnues
Protocol Type Application Type/VersionCommon Filezilla 2.2.18, 2.2.19 (Active/Passive)Common IE 6Common Firefox 2.0, 1.5Common Outlook Express 6
Protocol Type Application Type/VersionIM ICQ 5.1IM Google Talk 1.0IM MSN (v7.5, v8.0)IM QQ2006, QQ2007BetaIM Rediff 8.0IM Web ApplicationsIM Yahoo (8.1.0.195)
Protocol Type Application Type/VersionP2P Bitcommet 0.79P2P EzPeer Plus 1.0P2P Kazaa 3.2P2P Foxy 1.9P2P LimeWire 4.12P2P emule 0.47cP2P VagaaP2P KuroBangP2P Poco 2006P2P PPLive 1.7.26P2P QQLive 3.5P2P Soulseek 156/157test8P2P Thunder 5.5
Protocol Type Application Type/VersionStreaming RealMedia Player v6.0VoIP Netmeeting 3.01VoIP Windows Messenger 5.1VoIP Gizmo 3.0
Granularité IM/P2P
Statistiques IM/P2P
Haute-disponibilité
La bascule du ZyWALL principal vers le ZyWALL backup se fait dès défaillance de l’appareil principal ou de l’une de ses interfaces
FAI 2
FAI 1
LAN WAN
Switch
USG 300 (Maitre, Actif)
USG 300 (Backup, Passif)
Switch
Switch Modem
Modem
Failover
Questions?