Embed Size (px)
DESCRIPTION
Besoin de visibilité des flux de données
Citation preview
Le constat :
Beaucoup de réseaux sont exploités dans une logique sécuritaire minimaliste. On y retrouve systématiquement le trio commun habituel :
le filtrage firewall / DMZ
systèmes d'anti-virus
politique de gestion des droits utilisateurs.
La réalité :
Dans ce cadre de mise en œuvre, on peut faire les constats suivants :
Aucune information n’est connue sur les flux réels qui transitent sur le réseau interne (volume, encapsulation, origine/destination, type, etc.)
La plupart des situations critiques restent inconnues (car bloquées automatiquement, ou au pire, by-passent les règles de sécurité du réseau d’entreprise)
Aucun contrôle réel de la validité des barrières mises en place (les règles sont-elles bien actives ?)
Aucune vision réelle des usages réel du réseau d’entreprise
Analogie :
Cette manière de gérer la sécurité pourrait être assimilée à un gardien de nuit qui ferait sa ronde dans le noir, avec un éclairage uniquement aux portes d’entrées …
Il serait plutôt judicieux :
d’allumer la lumière dans tous les couloirs
de disposer de détecteurs de présence et/ou de caméra de surveillance
La visibilité des flux d’un réseau d’entreprise :
elle doit être simple et concise
elle doit être accessible
elle est doit être compréhensible par le plus grand nombre d’utilisateurs
elle doit être historisée
Expériences – Conseil Général de G. :
Cas découvert chez un de nos clients, détecté en contrôlant les applications en session avec le réseau public.Découverte que les règles du firewall était devenues inopérantes.
Expériences – Université de A. :
Cas découvert chez TOUS les clients, des flux IPv6 circulent en toute liberté sur les réseaux des clients …
Expériences – Banque L. :
Cas découvert dans une banque : un scan de port était en action sur une station de travail (troyen) …Tout petit volume pour beaucoup de protocoles (applications) différents.
Autres expériences :
Constructeur auto : détection de services serveur pirate sur un réseau …
Assurances M. : détection de flux de jeux collaboratifs entre PC du réseau
Industriel : détection de borne wifi non autorisée
Mairie de M. : détection de connexions sur des sites internet ne disposant pas de nom DNS
Conseil Régional de F. : usage de web proxy https Internet pour outre-passer la sécurité mise en place sur le réseau local …
Banque privée Ch. : détection d’adresse IP qui ne sont pas dans le plan d’adressage IP de l’entreprise
