32
Passerelle sécurisée Jérôme MARTINIERE Chef de Produits Lionel CARVALHO Technicien réseau Ateliers techniques - Automne 2007 -

Passerelle sécurisée

  • Upload
    jaimin

  • View
    76

  • Download
    4

Embed Size (px)

DESCRIPTION

Ateliers techniques - Automne 2007 -. Passerelle sécurisée. Jérôme MARTINIERE Chef de Produits Lionel CARVALHO Technicien réseau. 1. Firewall. 2. VPN. 3. QoS. 4. Répartition de charge. 5. Anti-virus. 6. IDP. 7. Anti-Spam. 8. Filtrage des contenus. - PowerPoint PPT Presentation

Citation preview

Page 1: Passerelle sécurisée

Passerelle sécurisée

Jérôme MARTINIERE Chef de Produits Lionel CARVALHO Technicien réseau

Ateliers techniques- Automne 2007 -

Page 2: Passerelle sécurisée

Les technologies de sécurité évoluent

User-AwareApplication PatrolIP-Based

ZyWALL UTMUnified Threat Management

IPSec VPN

IP-Based

Dual WAN

2000 Signatures

Non Certifié

Anti-Spam

Filtrage des contenus

Hybrid VPN & Advanced(IPSec+SSL)

User / Application Based

Multiple WANICSA-Certified

3000+ SignaturesCertifié NSS

Anti-Spam amélioré

Fonctionnalités améliorées

1. Firewall

2. VPN

3. QoS

4. Répartition de charge

5. Anti-virus

6. IDP

7. Anti-Spam

8. Filtrage des contenus

ZyWALL USGUnified Security gateway

Page 3: Passerelle sécurisée

Mid-Large(75-200 users)

SMB(50-75 users)

SB(<50 users)

SOHO/Home

Enterprise200+ users

Nouveaux produits

Evolution de la gamme ZyWALL

Produits existants

ZyWALL 70 UTM

ZyWALL 1050

ZyWALL 35 UTM

ZyWALL 5 UTM

ZyWALL P1ZyWALL 2WG

ZyWALL 2 Plus

ZyWALL SSL10 ZyWALL USG 200 (Mars 2008)

ZyWALL USG 100 (Mars 2008)

ZyWALL USG 1000 (Février 2008)

ZyWALL USG 300 (Disponible)

Page 4: Passerelle sécurisée

Principaux avantages Flexibilité

• VPN hybride, IPSec & SSL• Configuration orientée objet• Ports versatiles

Contrôle des applications• 27+ applications IM/P2P reconnues, en mise à jour constante• Gestion de la bande passante par utilisateur / application

Performances • Moteur de scan AV « Stream-based »• Débits firewall / UTM / VPN très élevés

Coûts d’acquisition et de maintenance réduits• Garantie matérielle 5 ans• Mise à jour du microprogramme gratuite • A partir de la version ZLD 2.1, Anti Spam RBL ORDBL gratuit

Page 5: Passerelle sécurisée

ZyWALL USG 300

Interfaces(7) Gigabit Ethernet : Rôle Configurable(2) USB : 2.0, évolution future

InterfaceDial-Backup/Dial-InConsole

Slots d’extensionEvolutions futuresCarte 3G, Wireless…

Page 6: Passerelle sécurisée

ZyWALL USG 1000

Interfaces(5) Gigabit Ethernet : Rôle Configurable(2) USB : 2.0, évolution future

InterfaceDial-Backup/Dial-InConsole

Slots d’extensionEvolutions futuresCarte 3G, Wireless, disque dur…

Page 7: Passerelle sécurisée

Fonctions ZyWALL USG

FonctionFonction ZyWALL USG 300ZyWALL USG 300 ZyWALL USG 1000ZyWALL USG 1000Passerelle Anti-Virus Oui (Kaspersky) Oui (Kaspersky)

IM/P2P Oui (AppPatrol) Oui (AppPatrol)

IDP/ADP (Anomaly Detection) Oui / Oui Oui / Oui

Content Filter Oui (BlueCoat) Oui (BlueCoat)

IPSec VPN (certifié ICSA) Oui Oui

SSL VPN Oui Oui

L2TP VPN Oui Oui

AS RBL/ORDBL Oui (ZLD 2.1, Février 08) Oui (ZLD 2.1, Février 08)

SPI Firewall (ICSA-certified) Oui* Oui*

Gestion de bande passante Oui Oui

Multiple WAN Oui Oui

Règles User-Aware Oui Oui

Authentification à deux facteurs Oui (ZyWALL OTP) Oui (ZyWALL OTP)

Redondance matérielle Oui (A-P mode) Oui (A-P mode)

Page 8: Passerelle sécurisée

Performances et Capacité

Performance / CapacitéPerformance / Capacité ZyWALL USG 300ZyWALL USG 300 ZyWALL USG 1000ZyWALL USG 1000

Interfaces 7 x Gigabit 5 x Gigabit

Accélération chiffrement DES/3DES/AES DES/3DES/AES

Accélération UTM SecuASIC (CIP-1001 * 2) SecuASIC (CIP-2001)

Débit SPI Firewall 200Mbps 350Mbps

Débit IPSec VPN 100Mbps 150Mbps

Débit SSL VPN 25Mbps 72Mbps

Sessions NAT 60,000 200,000

Tunnels VPN IPSec 200 1,000

Tunnels VPN SSL 2-10 5-50

Création de sessions 2 000 (sessions/sec) 13 000 (sessions/sec)

Page 9: Passerelle sécurisée

Fonctions principales Gateway Anti-Virus Hybrid VPN L2TP VPN AppPatrol (IM/P2P Management) IDP/ADP Device HA Enhancement GUI Enhancement (versus ZLD 1.0x)

Page 10: Passerelle sécurisée

Configuration orientée objet L’administrateur peut gérer et modifier de manière centralisée des

objets dans la section dédiée Il est aussi possible de créer des objets depuis une autre section de

l’interface sans retourner au menu « objects »

Page 11: Passerelle sécurisée

Anti-Virus

Passerelle AV Stream-based • Powered by Kaspersky Labs• Inspection configurable par zone

Protocoles supportés• HTTP/SMTP/POP3/FTP/IMAP4

Performances• Accélération matérielle – SecuASIC• Pas de limite de taille des fichiers ni de nombre de sessions

Support des fichiers compressés et sessions simultanées :Scans simultanésScans simultanés ZyWALL USG 300ZyWALL USG 300 ZyWALL USG 1000ZyWALL USG 1000

ZIP/GZIP/PKZIP 50 100

RAR 8 16

Page 12: Passerelle sécurisée

Signatures Anti-Virus

Signatures• Développées par Kaspersky Labs• Couvrent en permanence les 3000 virus les plus actifs (Wildlist 09/07 :

2304) Mise à jour

• Fréquence moyenne de mise à jour : 3 / semaine Visibilité

• Signatures consultables par l’interface web• Description des virus sur http://www.viruslist.com

Page 13: Passerelle sécurisée

Signatures consultables par l’interface web

Recherche par nom, dangerosité ou ID

Liens menant au descriptif surhttp://www.viruslist.com/

Page 14: Passerelle sécurisée

Anti-virus

BWL (Blacklist & Whitelist)• Possibilité de détecter des fichiers ou extensions de fichier

définies par l’utilisateur (ex : bloquer *.mp3) • Jusqu’à 512 entrées

Action suite à une détection• Log / Alerte• Destruction du fichier infecté• Envoi d’un message Windows “netsend” (émetteur et récepteur)

Reporting• Tableau de bord : Top-5 virus & Total des virus détectés• Threat Report : Statistiques sur les détections de virus

Page 15: Passerelle sécurisée

Blacklist et Whitelist

Blacklist & WhitelistPeut détecter et bloquer (ou autoriser, dans la whitelist) des fichiers par nom ou extension i.e. *.mp3, *.mpeg

Page 16: Passerelle sécurisée

L’accès à distance La méthode d’accès la plus répandue est le VPN IPSec IPSec présente des inconvénients pour l’accès à distance:

• Il est obligatoire de préinstaller et de préconfigurer chaque terminal coté client (x 10, 50, 10000?)

• Difficultés pour traverser certains firewall (ESP, UDP-500…) Ces inconvénients entrainent un nombre important

d’appels au support, augmentant le coût de maintenance Les indisponibilités réduisent la productivité des

utilisateurs

Page 17: Passerelle sécurisée

Fenêtre de login

Page 18: Passerelle sécurisée

Plusieurs niveaux d’accès Accès restreint : Accès complet :

Intranet pour les employés

Page 19: Passerelle sécurisée

Avantages du VPN SSL

Accès à distance «  clientless »• Pas de pré-installation d’un client logiciel• Pas de pré-configuration d’un client logiciel• Utilise un browser web classique

Application/User-Aware• Règles précises d’accès aux ressources par les utilisateurs

Déploiement facile• Téléchargement automatique des agents

• Pas de blocage par les firewalls / passerelles NAT, et est donc fonctionnel dans un maximum d’environnements

Page 20: Passerelle sécurisée

Administration “orientée objet”

Network 1Application 1User 1

Network 2User 2

User 3

User 4

Application 2

Application 3

Application 4

Network 3

Network 4

IP Pool 1

IP Pool 2

IP Pool 3

IP Pool 4

Objets

User 1

User 2

Application 1 IP Pool 1 Network 1

Policy 1 (Commerciaux)

User 3

User 4

Application 1 IP Pool 3 Network 1

Network 3Application 3

Policy 2 (Administration)

Page 21: Passerelle sécurisée

Mécanisme d’authentification

Remote Users

ZyWALL SSL VPN

Internet

Base d’utilisateurs locale

Base externe

ActiveDirectory

LDAPRADIUS

UserGroup1

UserGroup2

Serveur OTP

ZyWALL OTP(One-Time Password)

Page 22: Passerelle sécurisée

Double sécurité grâce aux Tokens

VID

********

130201

Page 23: Passerelle sécurisée

Authentification à deux facteurs

Nécessite un serveur d’authentification Utilisation des tokens « OTP » (One Time Password)

Télétravailleur

Partenaire autorisé

en déplacement avecportable travail

ZyWALL OTP

ZyXEL / Serveur Authenex

ZyWALL OTP

ZyWALL OTP

Internet

LAN

messagerie

Partage de fichiers

ApplicationWeb-based

supervision

Applicationmétier

OA, ERP,CRM

Page 24: Passerelle sécurisée

Authentification à deux facteurs

- Starter Kit (Logiciel serveur Authenex + 2 tokens)

- Kit 5 tokens

- Kit 10 tokens

Page 25: Passerelle sécurisée

SSL VPN vs. IPSec VPNLiaison SSL-VPN IPSec-VPN

VPN site à site

Accès distant Paramétrage du site central

Paramétrage de chaque client et du site central

Coûts Site central Site central, client

Utilisation Idéal pour l’accès distant

Idéal pour interconnexion de réseaux (site à site)

IPsec VPNSSL-VPN

Page 26: Passerelle sécurisée

VPN Hybride : SSL VPN & IPSec VPN

ZyWALL USG (et le ZyWALL 1050) supportent ces deux technologies VPN simultanément

Capacité / PerformancesCapacité / Performances ZyWALL USG 300ZyWALL USG 300 ZyWALL 1050 / ZyWALL 1050 / USG 1000USG 1000

Tunnels VPN SSL sans licence 2 5

Tunnels VPN SSL avec licence 10 50

Tunnels VPN IPSec 200 1,000

Débit VPN SSL 25Mbps 72Mbps

Débit VPN IPSec 100Mbps 150Mbps

Page 27: Passerelle sécurisée

Gestion IM/P2P (AppPatrol) Contrôle granulaire des applications IM/P2P

• Reconnait les applications ainsi que leurs fonctions pour des règles plus précises, ex : Connexion, Chat, transfert de fichiers, voix, vidéo

• 28 applications IM/P2P reconnues, mise à jour continue (licence IDP) Gestion de bande passante

• Supporte le BWM dans chaque règle ou pour chaque groupe d’utilisateurs

• Garantit ou limite la bande passante par protocole/application• Maximise l’utilisation de la bande passante en « empruntant » la

bande passante non utilisée dynamiquement Monitoring en temps réel

• Indique quelle application utilise quelle connexion (« Traffic Report »)• Illustre graphiquement l’utilisation de la bande passante par

application

Page 28: Passerelle sécurisée

Applications IM/P2P reconnues

Protocol Type Application Type/VersionCommon Filezilla 2.2.18, 2.2.19 (Active/Passive)Common IE 6Common Firefox 2.0, 1.5Common Outlook Express 6

Protocol Type Application Type/VersionIM ICQ 5.1IM Google Talk 1.0IM MSN (v7.5, v8.0)IM QQ2006, QQ2007BetaIM Rediff 8.0IM Web ApplicationsIM Yahoo (8.1.0.195)

Protocol Type Application Type/VersionP2P Bitcommet 0.79P2P EzPeer Plus 1.0P2P Kazaa 3.2P2P Foxy 1.9P2P LimeWire 4.12P2P emule 0.47cP2P VagaaP2P KuroBangP2P Poco 2006P2P PPLive 1.7.26P2P QQLive 3.5P2P Soulseek 156/157test8P2P Thunder 5.5

Protocol Type Application Type/VersionStreaming RealMedia Player v6.0VoIP Netmeeting 3.01VoIP Windows Messenger 5.1VoIP Gizmo 3.0

Page 29: Passerelle sécurisée

Granularité IM/P2P

Page 30: Passerelle sécurisée

Statistiques IM/P2P

Page 31: Passerelle sécurisée

Haute-disponibilité

La bascule du ZyWALL principal vers le ZyWALL backup se fait dès défaillance de l’appareil principal ou de l’une de ses interfaces

FAI 2

FAI 1

LAN WAN

Switch

USG 300 (Maitre, Actif)

USG 300 (Backup, Passif)

Switch

Switch Modem

Modem

Failover

Page 32: Passerelle sécurisée

Questions?