WatchGuard Technologies Inc. Utilisation abusive d’Internet dans l’entreprise : comment garder le contrôle ? Pierre Poggi [email protected]
WatchGuard Technologies Inc.
Utilisation abusive d’Internet dans l’entreprise :
comment garder le contrôle ?
Pierre Poggi
Agenda
Internet dans l’entreprise
• Outil de communication et de progrès social
• Internet = de nouveaux risques pour l’entreprise
• Utilisation de l’accès au réseau et de la messagerie électronique pour
des fins personnelles
• Encadrer et limiter cette utilisation : outils juridiques et techniques
Garder le contrôle de ses flux
• Politique de sécurité / Changement de comportement des utilisateurs
• « Monitorer » et filtrer
• Inspection HTTPS : pour quoi faire ?
• Qui utilise la bande passante, avec quelles applications ?
• Un Botnet, c’est quoi ?
La Société
Fondée in 1996, HQ à Seattle, Washington
~500 employés
Pionnier dans l’appliance de sécurité (1996)
1ère société à utiliser les fonctions de proxies applicatifs transparent
(1997)
2006: rajout des fonctionnalités UTM (Unified Threat Management) sur
toute la gamme: Edge, Core, Peak.
Plus de 600,000 appliances déployées
Clients dans plus de 150 pays
Répartition des ventes mondiales
50% Americas (Canada, USA, South America)
38% EMEA
12% APAC
WatchGuard Security Solutions
XCS
Anti-Spam
Web Security
Data Loss Prevention
Encryption
Queue Replication
XTM
Firewall
VPN
Reputation Enabled
Defense
SpamBlocker
WebBlocker
Contrôle d’application
Gateway AV
Intrusion Prevention Service
SSL
Portail Applicatif SSL
Reverse Proxy OWA
Authentification forte
intégrée
Utilisation d’Internet au sein de l’entreprise
Rencontre entre deux univers divergents Internet : monde de liberté individuelle
Entreprise : monde de règlementations et de préservation des droits des tiers
L’employeur est responsable des agissements de ses salariés Responsabilité civile de l’employeur du fait de ses préposés (article 1384
alinéa 5 du Code civil)
Prérogatives du pouvoir de direction: Fixer les modalités d’usage d’Internet et des TIC
Mettre en place des dispositifs de surveillance
Contrôler et sanctionner les abus
Les Lois HADOPI entrent dans le cadre de cette gestion des risques
(Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet)
Utilisation d’Internet au sein de l’entreprise
Internet = de nouveaux risques pour l’entreprise
1. Utilisation de l’accès au réseau à des fins personnelles, en laissant des traces de l’entreprise
2. Encombrement de la bande passante
3. Mise en cause de la sécurité informatique (virus, malware, botnet)
4. Téléchargement illicite de fichiers
5. Utilisation de la messagerie électronique à des fins personnelles
6. Divulgation d’informations confidentielles
7. Diffamations et injures en ligne ….
Article 6 – Délit de négligences
« Obligation de surveillance par les usagers : toute personne
titulaire d'un accès à des services de communication au
public en ligne aura l'obligation de veiller à ce que cet accès
ne fasse pas l'objet d'une utilisation à des fins de
reproduction, de représentation, de mise à disposition ou de
communication au public d'œuvres ou d'objets protégés par
le droit d'auteur. »
Les recommandations adressées aux abonnés par la HADOPI les
informent sur l'offre légale en ligne, sur la date et l'heure des
usages illicites constatés et sur l'existence de moyens de
sécurisation
Mais pourtant !!!!
Je suis protégé
monsieur le juge !!
Changement de comportement
des utilisateurs
Que vont faire les particuliers qui auront peur de
télécharger de chez eux ???
La peur du gendarme.... et de la coupure de la
connexion Internet les pousseront à télécharger
sur leur lieu de travail
L’éducation des utilisateurs sera à la fois plus
importante et … plus inutile….
Les outils Anti Hadopi 2
Paradoxalement, Hadopi 2 vulgarise ces techniques plus ou
moins évoluées auprès du grand public :
Metro, Les Echos , NouvelObs, etc… !!!
http://fr.wikipedia.org/wiki/Loi_Création_et_Internet
Blog Linux Manua (les 10 antidotes anti-hadopi)
jusqu’au routeur anti hadopi…
UltraSurf
UltraSurf est un anonymizer de seconde génération (et gratuit…)
Plus besoin d’aller sur un site Web Proxy , le logiciel le fait
directement en SSL avec des adresses multiples et dynamiques
Trafic complètement encrypté via les ports ouverts (auto détection
des ports disponibles en sortie par le logiciel)
Classement en France (Février 2011)
Source : http://www.google.com/adplanner/static/top100countries/fr.html
Rank Site Unique Visitors (users) Reach Page Views 1 facebook.com 23,000,000 50.90% 44,000,000,000
3 youtube.com 16,000,000 35.30% 3,300,000,000
8 leboncoin.fr 9,000,000 19.70% 4,800,000,000
12 laredoute.fr 6,200,000 13.60% 400,000,000
15 dailymotion.com 5,600,000 12.30% 190,000,000
16 ebay.fr 5,600,000 12.20% 1,100,000,000
19 over-blog.com 5,100,000 11.10% 160,000,000
20 partypoker.fr 5,100,000 11.20% 61,000,000
21 blogspot.com 4,600,000 10.10% 120,000,000
22 cdiscount.com 4,600,000 10% 340,000,000
24 amazon.fr 3,800,000 8.30% 250,000,000
27 groupon.fr 3,800,000 8.30% 61,000,000
28 aufeminin.com 3,800,000 8.40% 130,000,000
30 priceminister.com 3,500,000 7.70% 170,000,000
34 deezer.com 3,100,000 6.90% 340,000,000
37 voyages-sncf.com 2,900,000 6.30% 210,000,000
40 3suisses.fr 2,600,000 5.80% 210,000,000
41 meteofrance.com 2,600,000 5.80% 97,000,000
45 megaupload.com 2,400,000 5.20% 110,000,000
50 rueducommerce.fr 2,400,000 5.20% 120,000,000
51 canalblog.com 2,400,000 5.20% 80,000,000
52 mozilla.com 2,300,000 5.10% 74,000,000
53 spartoo.com 2,200,000 4.80% 66,000,000
58 jeuxvideo.com 2,200,000 4.70% 170,000,000
59 hotmail.com 2,100,000 4.70% 61,000,000
60 pixmania.com 2,100,000 4.70% 88,000,000
61 lequipe.fr 2,100,000 4.70% 370,000,000
62 vente-privee.com 2,100,000 4.60% 410,000,000
63 lefigaro.fr 2,000,000 4.30% 80,000,000
64 sarenza.com 2,000,000 4.30% 98,000,000
65 viamichelin.fr 1,900,000 4.20% 37,000,000
66 marmiton.org 1,900,000 4.20% 73,000,000
88 jeux.fr 1,600,000 3.50% 190,000,000
96 seloger.com 1,500,000 3.20% 160,000,000
Filtrage des sites Web
Une première étape pour se protéger
Le filtrage d’URL est la première barrière pour empêcher les utilisateurs d’aller sur :
des sites de téléchargement,
sur des sites de streaming
des proxies relais
Internet
Contrôle d’Applications Plus de 2300 signatures, 1800 applications uniques
Catégories Applications
Instant Messaging QQ; MSN; Yahoo; GoogleTalk
Mail Hotmail; Gmail; Yahoo; MS
Exchange
Web 2.0/Social Media Facebook; LinkedIn; Twitter
P2P Gnutella, Foxy, Winny;
Bittorrent; eMule
Remote Access Terminals TeamViewer; GoToMyPC
Database MS SQL; Oracle
File Transfer Peercast; Megaupload
Voice Over IP Skype
Streaming Media QuickTime; YouTube; Hulu
Network Management MS Update; Adobe; Norton;
McAfee
Tunnel (Web bypass
proxies)
Ultrasurf; Avoidr; Circumventor
Applications approuvées
Applications dangereuses
ou bloquées
Comment bloquer les logiciels qui tentent
de se cacher ?
Inspection du contenu HTTP encrypté via SSL
Une fois décrypté, le flux est identifié comme flux HTTP légitime
ou comme du flux applicatif encapsulé en SSL
INTERNET
Site Web Sécurisé
Firebox HTTPS Inspection
La connexion ssl
récupère le certificat du
site web
L’utilisateur tente
d’accéder le site web en
HTTPS
Importation du
certificat pour
l’inspection HTTPS
du Firewall dans le
navigateur de
l’utilisateur
Un nouveau certificat avec le
détails du site web est signé
avec la clef du Firewall
La connexion ssl est établie avec un
certificat web resigné par le firewall
Analyse de contenu HTTPS
Tous les équipements de sécurité n’ont
pas les mêmes capacités
Tous les équipements de sécurité ne filtrent pas les sites Web
Tous les équipements de sécurité ne filtre pas le contenu des
pages Web
Tous les équipements de sécurité n’inspectent pas les flux
cryptés
Tous les équipements de sécurité ne disposent pas forcément
de la granularité voulue au niveau de la politique de sécurité
Etc...
Authentification transparente :
Qui est qui?
Authentification automatique des utilisateurs de l’AD, pas
d’authentification manuelle des utilisateurs (et donc pas de risque de
fraude) – association adresse IP – nom d’utilisateur
Support de CITRIX et TSE
Utilisation d’un agent SSO pour donner les informations au Firewall de
manière automatique
Alice se logue
SSO Agent
Requête SSO
SSO Info
Utilisateur : Alice = IP 10.0.1.100
Alice autorisée sans avoir à s’identifier manuellement
Hadopi et les Botnets
L’entreprise a la responsabilité de se sécuriser et de
nettoyer son réseau des machines zombies
fournissant un partage ou des téléchargements
automatiques, avec les pénalités associées en cas
de manquement (les sanctions sont sur l’entreprise,
pas les employés)
Comment identifier un téléchargement d’un employé
par rapport à celui d’une machine Zombie? Ou tout
simplement… comment arriver à repérer les Botnets
qui sont de plus en plus perfectionnés ?!
Tracer les connexions en temps réel
Affichage du débit par connexion et détection des comportements
« louches »
Trouvez qui utilise trop la bande passante et qui télécharge peut être !
Projet de Spécifications Fonctionnelles HADOPI (SFH)
« Les journaux sécurisés doivent être archivés et conservés par le titulaire de l’abonnement pendant la
période d’une année »
Élément 1 : Observation en temps réel et sans enregistrement des flux et protocoles qui transitent par
l’accès ; sur la base de l’observation et de la politique de sécurité choisie, une ou plusieurs des actions
techniques suivantes peuvent s’appliquer : laisser faire ou bloquer (selon des critères définis dans le
présent document, et qui incluent notamment le type de flux ou protocoles, selon le protocole
applicatif, des listes1, des caractéristiques de formats, de débits, de volumes, des
profils d’utilisateurs, des plages horaires).
Élément 2 : Analyse optionnelle de la gestion de configuration informatique (ex : analyse statique de la
configuration de postes informatiques ; logiciels installés), analyse statique de la configuration réseau (ex :
analyse de la configuration routeur / boîtier ADSL) ; analyse dynamique des logiciels en fonctionnement, et
contrôle des utilisations par le titulaire de la connexion.
Élément 3 : Affichage de notifications et d’alertes pédagogiques (ex : « Vous allez télécharger un fichier en
utilisant le protocole pair à pair « nom du protocole » : voulez-vous continuer ? »).
Élément 4 : Double journalisation (version normale en clair et version sécurisée ; les deux versions sont
identiques, sauf si la version en clair est manipulée) des événements significatifs (ex : éléments de la vie
interne du moyen de sécurisation : démarrage, arrêt, activation, désactivation, modification des profils de sécurité,
etc. ;
Les éléments 1, 2 et 3 sont à la discrétion et dans les termes choisis par le titulaire. L’élément 4 est
obligatoire et s’opère automatiquement dès lors que le moyen de sécurisation est en
fonctionnement (même si les éléments 1, 2 et 3 ne sont pas activés).
Décret n° 2011-219 du 25 février 2011
Décret n° 2011-219 du 25 février 2011 relatif à la conservation et
à la communication des données permettant d'identifier toute
personne ayant contribué à la création d'un contenu mis en
ligne.
”La durée de conservation des données mentionnées à l’article 1er
est d’un an”
Les données que les personnes sont tenues de conserver en vertu de cette disposition, sont les
suivantes :
a) L’identifiant de la connexion ;
b) L’identifiant attribué par ces personnes à l’abonné ;
c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l’abonné ;
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id
Archivage des logs
L’Administrateur Réseau et Système consulte logs et
rapports
Le Firebox envoie ses logs chiffrés au
Serveur de Logs
Les Logs sont stockés dans une base SQL et archivés pour la durée
légale nécessaire
Serveur de Logs et Rapports
WatchGuard Log Server
Protocole propriétaire basé sur TCP (en mode connecté)
Automatiquement Chiffré
Mécanisme de backup
Alternative au standard de fait “Syslog” qui ne convient pas à cette fonction
Le WatchGuard Log Server est inclut en standard avec les produits WatchGuard
27
Logs are stored in a SQL Database
Log / Report Architecture
Firebox Log Server
Firebox connects to Log Server to
store the logs
Log Viewer
Report Manager Report Server
Automatic
Refresh of reports
Génération de rapports
28
+ de 50 rapports prédéfinis en standard : applications
web utilisées (par catégorie et applications), poste client
le plus actifs, IPS, traffic web, sites les plus populaires…
Les rapports deviennent une obligation pour s’assurer
du bon usage d’internet par ses utilisateurs
Un outil essentiel pour affiner la politique de sécurité
Rapports
Réponse Graduée
Ajustement de la charte d’entreprise
La Charte d’entreprise devra refléter les obligations
de l’entreprise vis-à-vis de cette loi
Quid de la Politique de sécurité en entreprise
Arriver à bloquer tous les types de trafic de type
téléchargement ou streaming va devenir un casse
tête pour les administrateurs
WatchGuard’s Best-In-Class Security Moving Security Forward
Protéger votre réseau en intégrant les meilleures technologies
de sécurité pour vous permettre de gérer les risques, et amélorier l’éfficacité.
XTM, XCS et VPN SSL
Une combinaison de solutions regroupées dans une seule appliance.
Résumé des Avantages :
Simple à installer et à administrer Productivité
améliorée
Moins de problèmes d’administration :
Appliance « tout-en-un » Couts d’exploitation faibles
Permet la mise en place de règles spécifiques
fonctionnalités d’audit et reporting en standard
Compliance
assurée
Les services LiveSecurity offre le Support Technique, les mises à jour mineures et ainsi que la garantie matérielle avec échange anticipé.
Retour sur Investissement maximisé
Merci !