Fournisseur de boîtiers de sécurité tout en un à destination des
PME, WatchGuard a publié un livre blanc sur les enjeux techniques de l'UTM (Unified Threat
Management - Gestion Unifiée des Menaces de sécurité).
Afin d'optimiser la sécurité des PME, WatchGuard préconise tout d'abord de renforcer la détection des anomalies protocolaires. De nombreux pirates utilisent en effet la violation des protocoles des couches d'application
pour créer une attaque par déni de service ou pour accéder au serveur. Le
renforcement d'un protocole RFC ou d'un protocole standard peut ainsi prévenir un grand
nombre d'attaques.
La limitation des accès aux commandes du réseau est une seconde préconisation du fournisseur. Plusieurs protocoles d'application contiennent en effet des commandes permettant d'envoyer et
recevoir des données. Pour éviter que des données dangereuses ne soient
autorisées à entrer dans le réseau, il est recommandé de limiter l'accès à ces
commandes.
Les commandes potentiellement dangereuses comme les sites FTP ou
les commandes DEBUG SMTP devraient ainsi être systématiquement bloquées.
Le principe du "cloacking", cher aux référenceurs, s'applique aussi en matière de sécurité. Le principe est ici de cacher aux pirates les informations critiques
concernant le serveur. Par exemple, en ce qui concerne les messageries, il est
possible d'échanger les noms de domaine, de cacher le type de serveur mail et le
niveau de patch mis en place.
| Appliquer le "cloacking" aux informations de sécurité utiles aux pirates |
Il est également possible
de retirer les informations pour l'identification des
postes. Cette dissimulation empêche les hackers d'identifier le serveur et
d'utiliser les attaques spécifiques à celui-ci.
Afin d'optimiser sa protection, WatchGuard énonce trois principes clé pour une meilleure performance. Le premier est de prioriser le traitement des informations. A chaque flux de trafic, le minimum de traitement est appliqué pour détecter les
attaques. Grâce à ce système, les attaques simples comme les dénis de services,
plus faciles à détecter, sont éliminées en premier.
Le trafic qui nécessite une
vérification approfondie, comme la prévention contre les intrusions, est ainsi
considérablement réduit. Enfin, l'optimisation de l'ordre de traitement des
informations permet également la réduction du nombre de signatures nécessaires
pour la protection contre les intrusions.
Deuxième principe : établir une communication entre les couches de sécurité. Dans la plupart des boîtiers de sécurité, les fonctions de sécurité travaillent de manière
indépendante, ce qui rend chaque fonction moins efficace. Ainsi, le trafic autorisé est
souvent vérifié inutilement plusieurs fois par différentes couches de sécurité. La
communication entre les couches permet de réduire et d'estimer au mieux le niveau
de protection requis.
Enfin, WatchGuard recommande d'effectuer un blocage des adresses IP, une technique baptisée shunning. La plupart des attaques sont en effet lancées automatiquement par des pirates
constamment à la recherche de nouvelles vulnérabilités sur le réseau.
A l'exception
de l'attaque par déni de service et du spam, les attaques proviennent souvent
d'une même adresse IP. Pour cette raison, il est essentiel de pouvoir détecter ces
recherches - en plus des attaques - afin d'utiliser ces informations pour bloquer les sites
malveillants. Ceci réduit le trafic sur le système attaqué.
|
Dossier 
