Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture»








télécharger 77.68 Kb.
titreRésumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture»
date de publication11.07.2017
taille77.68 Kb.
typeRésumé
ar.21-bal.com > comptabilité > Résumé


Appliance FAST360®

Technical Overview


Technologies d’analyse de contenu




Sommaire


1. Relais HTTP 4

a. Principaux composants 4

b. Moteur antivirus et antispyware 5

c. Authentification 5

d. Filtrage d’URL – Filtrage des applets hostiles 6

e. Interaction avec des outils externes 8

2. Relais FTP 8

a. Authentification 8

b. Antivirus/antispyware intégré 8

3. Antispam « Temps Réel » 10

4. Relais SMTP 12

a. Anti-relais 12

b. Antivirus/antispyware intégré 13

c. Règles de filtrage 14

d. Routage multidomaine 14

5. Relais POP3 transparent 15

Antivirus/antispyware et Antispam intégrés 15



Résumé



  • Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail

  • Intégration « sans couture » dans l’architecture noyau SSA pour optimiser l’administration et la performance

  • Technologie et compétence des partenaires technologiques experts du filtrage de contenu

  • Complémentarité des moteurs pour une meilleure réponse face à la menace de contenu



Les attaques sont de plus en plus souvent détectées dans le contenu des flux de communication. Elles prennent la forme de virus, vers, spywares, spams, dont la vitesse de propagation et l’impact financier sont de plus en plus préoccupants. Les nouvelles générations de menaces utilisent plusieurs modes de propagation (e-mails, fichiers, accès Web, voisinage réseau), ce qui les rend particulièrement efficaces lorsqu’elles sont confrontées à des solutions de sécurité superficielles.
Pour assurer un niveau complet de sécurité, les appliances FAST360® effectuent l’analyse intégrée des contenus de communication. Les contenus hostiles (virus, spywares, scripts, codes malveillants) et les non sollicités (spams, divers Web) sont bloqués avant d’atteindre les systèmes d’information.
Installée comme une passerelle de filtrage de contenus, l’appliance FAST360® agit directement sur les flux de communication et constitue ainsi une barrière indispensable et complémentaire de l’analyse locale (antivirus et antispyware sur poste de travail).
Les modules complets de filtrage des contenus sont le fruit de partenariats technologiques entre ARKOON et des éditeurs spécialisés et reconnus du domaine. Tous les moteurs de filtrage de contenus des appliances FAST360® sont intégrés dans l’architecture SSA pour optimiser leur performance propre et leur complémentarité les uns par rapport aux autres.


  1. FILTRAGE WEB





Fig 1 : Composants du filtrage WEB
Les appliances FAST360® embarque en standard un relais HTTP et un relais FTP.

Les mécanismes d’analyse du contenu s’appliquant aux flux WEB s’appuient sur ces relais.
1.Relais HTTP
a.Principaux composants


  • Cache configurable – Pour naviguer plus rapidement sur Internet.

  • Module antivirus/antispyware – L’administrateur peut demander une analyse globale (tous les objets entrants) ou ciblée (certains types de fichier).

  • Module d’authentification – La liste des utilisateurs/mots de passe est stockée directement dans le système ARKOON ou dans une base de données externe de type Radius, SAM NT ou LDAP.

  • Fonction de filtrage des URL – Permet d’imposer des restrictions aux sites Web accessibles aux utilisateurs. Vous pouvez définir une liste de « règles applicatives » HTTP (portant sur les utilisateurs, les URL et les heures d’accès) avec lesquelles les requêtes seront comparées.

  • Module de gestion des listes noires – Mis à jour automatiquement, ce module facilite l’administration des règles HTTP, par exemple l’interdiction d’accès à certains sites Web (sites sensibles/choquants, sites à forte bande passante, chats/forums, etc.).

  • Fonction de filtrage des scripts et des applets Java (y compris ActiveX et VBScript).

  • Support de ICAP (Internet Content Adaptation Protocol) permettant au relais HTTP de se connecter à un système de filtrage d'URL externe.



b.Moteur antivirus et antispyware
Le module « anti codes malicieux » intégré aux appliances FAST360® est conforme aux spécifications SSA. Il a été développé en collaboration avec SOPHOS. Son intégration et son exploitation sont exécutées dans un environnement d’administration unifié via les outils standard des appliances ARKOON.
Les protocoles analysés sont HTTP, FTP et les protocoles de messagerie standard sur les mails entrants et sortants (SMTP et POP3).
Le moteur d’analyse « anti code malicieux » détecte aussi bien les virus et les vers que les spywares.
La solution antivirus/antispyware bénéficie de l’excellence des prestations de SOPHOS en matière de détection de codes malicieux :

  • Technologie performante développée par une société dédiée à la détection et à la lutte contre les codes malicieux et leader dans le domaine.

  • Technologie Genotype Viral assurant la protection proactive contre la plupart des codes malveillants (virus, vers, spywares, chevaux de Troie). Cette technologie permet de rechercher des signatures génériques pour une famille de virus (90% des nouveaux virus ne sont que des variantes de virus connus).

  • Le plus grand laboratoire d’Europe constitué d’expert et améliorant sans cesse une base de connaissances complète.

  • Une technologie utilisant des signatures de petite taille pour permettre des mises à jour très fréquentes sans affecter les débits (SOPHOS vient du mode de l’antivirus professionnel dans lequel la problématique de mises à jour rapide, sans engorgement des réseaux est fondamentale).


Le module antivirus/antispyware est intégré au cœur du système AKS. Il dialogue avec les autres modules de sécurité de manière à garantir un débit optimum et à éliminer les contraintes d’interopérabilité et de maintenance qui handicapent généralement les solutions hétérogènes.
Les appliances FAST360® sont connectées à Internet en mode sécurisé et reçoivent des mises à jour en mode « pull » à intervalles réguliers (15 minutes minimum). Les nouvelles signatures sont intégrées en mode dynamique (il n’est pas nécessaire de réinitialiser le système). L’administrateur peut vérifier l’état des mises à jour dans l’outil ARKOON Monitoring.

c.Authentification

Le relais HTTP des appliances FAST360® peut s’appuyer sur une base utilisateur interne d’authentification interne ou sur des serveurs d’annuaire externes de type LDAP (OpenLdap, E-Directory, Active Directory…..), NT (Windows NTLM) ou Radius.

Définition du serveur d’authentification


Fig 2 : Serveur d’authentification relais HTTP
Relais HTTP transparent
En mode relais standard, l’appliance FAST360® doit être déclarée sur les hôtes clients (dans les paramètres du navigateur Internet), ce qui peut être un problème pour les réseaux comportant un grand nombre de postes de travail.
En mode transparent, il est possible de transférer automatiquement les flux HTTP qui traversent le système FAST360® vers le relais HTTP (comme c’est le cas avec le relais POP3 transparent). Ce type d’implémentation présente l’intérêt d’être sans impact sur les hôtes réseaux.
En outre, l’appliance FAST360® authentifie les utilisateurs en tâche de fond en consultant la base de données NTLM (Base d’authentification Microsoft). Cette authentification transparente exige une base de données NT ou Active Directory en mode mixte.

Cette configuration permet de contrôler les accès Internet en authentifiant les utilisateurs et en leur imposant des règles d’accès sans qu’ils aient à configurer leur navigateur ou à entrer un mot de passe.


Relais HTTP inverse transparent
Le proxy HTTP d’une appliance FAST360 peut être utilisé en mode proxy inverse transparent. Cette configuration sert généralement à fournir une sécurité supplémentaire pour les serveurs Web locaux auxquels accèdent des clients externes.

d.Filtrage d’URL – Filtrage des applets hostiles
Les appliances FAST360® peuvent être utilisées pour analyser le contenu des pages Web. Il est alors possible d’appliquer des règles de filtrage d’URL et/ou de bloquer les applets hostiles (applets Java, contrôles VB ou ActiveX).

Le relais HTTP des appliances FAST360® collabore avec les autres modules de l’architecture SSA (analyse FAST antivirus/antispyware et authentification…) ce qui permet notamment d’établir des règles de filtrages d’URL dépendantes de plusieurs paramètres :


  • Utilisateur (ou groupe d’utilisateur) authentifié

  • Plages horaires

  • Adresse réseau source





Fig 3 : Filtrage URL


Authentification utilisateur


Critères de sélection (Utilisateurs et Catégories)

Catégories standards  plus de 100 000 Urls

Une base de données de catégories standards d’URL est intégrée (nativement) aux appliances FAST360® qui simplifie la gestion des restrictions d’accès aux sites Web. Cette base de données propose plusieurs catégories prédéfinies de sites :

  • Publicité

  • Agressifs

  • Audio/vidéo

  • Drogues

  • Jeu de casino

  • Hacking

  • Mail

  • Pornographie

  • Relais

  • Violence

  • Warez (logiciels piratés)


Cette base de données est mise à jour automatiquement (via la connexion sécurisée utilisée pour la mise à jour des signatures de virus).
En outre, les administrateurs peuvent définir leurs propres catégories de sites à l’aide d’URL ou de mots clés :

  • Blacklists/listes noires (sites interdits)

  • Whitelists/listes blanches (sites autorisés)


En option, les appliances FAST360® proposent 56 catégories supplémentaires regroupant des URLs sur des thèmes variés.


e.Interaction avec des outils externes
Les appliances FAST360® s’intègrent très facilement dans les environnements existants grâce à 2 techniques :


  • Une fonctionnalité « chaînage de proxies » permet de rediriger certaines requêtes d’un relais http à un autre (par exemple pour double protection antivirus ou filtrage d’URL) Selon le domaine de destination, il est possible d’activer/désactiver ce chaînage et sélectionner le relais cible.




  • Le protocole ICAP (RFC 3507) est supporté par les appliances FAST360® pour le filtrage d’URL (compatibilité certifiée pour un fonctionnement avec un serveur de filtrage d’URL Olféo). L’utilisation du protocole ICAP améliore les performances par rapport à la méthode de chaînage des proxies décrite ci-dessus.


2.Relais FTP
Toutes les appliances FAST360® bénéficient d’une fonctionnalité de relais FTP. Le principe de fonctionnement est le suivant :


  • Le client FTP se connecte au relais FTP via une connexion TCP

  • La phase d’authentification a lieu (voir le paragraphe suivant)

  • Le relais FTP se connecte au serveur FTP final

  • Le relais FTP joue le rôle de mandataire en transférant les commandes du client FTP vers le serveur FTP

  • Si un canal de données a besoin d’être ouvert, le relais FTP jouera alors le rôle de client pour le serveur FTP final et de serveur pour le client FTP


a.Authentification
L’utilisation du relais FTP des appliances FAST360® induit 2 modes :


  • un mode sans authentification sur le relais

  • un mode avec une authentification combinée sur le relais FTP et sur le serveur FTP final


b.Antivirus/antispyware intégré
Le relais FTP bénéficie de l’analyse antivirus et antispyware du moteur anti-codes malicieux. Sa mise en œuvre est la même que celle appliquée sur le relais HTTP.
Ainsi, lors d’un transfert, le relais FTP fera le transfert du fichier entre le Serveur et le client, lorsqu’il a suffisamment d’éléments pour analyser le fichier, il demande à l’antivirus de le contrôler. Si le fichier ne contient pas de virus, le dernier bloc est transmis au client. Mais si un virus est détecté, le dernier bloc n’est pas envoyé et le relais renvoie un code d’erreur.
Fig 5 : Serveur authentification FTP
Fig 4 : Antivirus FTP



  1. FILTRAGE MAIL



La messagerie électronique est au cœur de la politique de sécurité des systèmes d’information. Avec la multiplication des virus et autres malwares, du spam et des attaques de « déni de service », la messagerie électronique est confrontée à des menaces réelles et complexes.
Les conséquences de telles attaques vont au-delà des serveurs de messagerie : elle peuvent endommager sérieusement les applications professionnelles ainsi que d’autres éléments vitaux des systèmes d’information.


Fig 6 : Composants du filtrage Mail

Les appliances FAST360® embarque en standard un relais SMTP et un relais POP3.

Les mécanismes d’analyse du contenu s’appliquant aux flux Mail s’appuient sur ces relais.
3.Antispam « Temps Réel »

FAST360 propose (en option) un Antispam « Temps Réel ». Cette fonctionnalité, issue du partenariat avec la société Commtouch permet d’intégrer la protection anti-spam ‘RPD Commtouch’ dans toute les appliances FAST360.

Ce moteur utilise un Centre de Détection Central qui rassemble et analyse les patterns de message dans les e-mails afin d'évaluer leur « score spam ».
Cette technologie permet d’analyser le contenu des Emails entrants et sortants (sur les protocoles SMTP et POP3).






Fig 7 : Antispam SMTP Fig 8 : Antispam POP3
Le moteur antispam extrait les patterns de message de l’enveloppe, des en-têtes et du corps du message. Comme le mécanisme ne repose pas sur une analyse du contenu du message, il peut détecter les méthodes de spam et de phishing dans n’importe quel langue et format (images, HTML, etc.). Le moteur antispam classe ensuite les patterns de distribution (la manière dont le message est distribué aux destinataires) et de structure (le volume de distribution) pour déterminer si le message constitue une menace.

Le moteur envoie au Centre de Détection une requête contenant un ensemble de signatures de hachage qui représentent les patterns du message. Le Centre de Détection classe les patterns du message et renvoie une classification (« score spam ») au moteur antispam. Le moteur applique alors un traitement (étiquetage, rejet, quarantaine) au message en fonction de sa classification :


  • Soit le mail est rejeté au niveau de la session SMTP

  • Soit le mail est envoyé à une adresse Email externe servant de quarantaine globale. Cette adresse est paramétrable et permet de stocker les spams dans une quarantaine d’entreprise.

  • Soit le mail est marqué comme spam (via l’ajout d’un sujet ou d’un en-tête personnalisé par l’administrateur) et diffusé à l’utilisateur qui peut alors configurer son client de messagerie pour classer le mail dans une quarantaine utilisateur locale.


Remarque : les informations provenant des messages traités par le moteur antispam ne sont pas transmises de manière transparente entre l’appliance FAST360 et le Centre de Détection, car le moteur antispam n’envoie qu’un hachage du message à partir duquel les informations réelles ne peuvent pas être reconstruites.

Aucune donnée n'est stockée sur les serveurs ou les bases de données du centre de données.


Le Base de Données du Centre de Détection est alimentée par des Milliards de mails par mois, collectés sur différents points stratégiques du globe puis analysés et permettant ainsi une classification du trafic mondial en « temps zéro ».


Fig 9 : Politique Antispam Temps Réel

Cette technologie, indépendante des moteurs couramment utilisés (bayésien, heuristique…) fait preuve d’une très grande efficacité :


  • très simple à administrer (pas de mise à jour)

  • taux de détection parmi les meilleurs du marché et des taux de faux-positifs quasi nuls (moins de 0,0001%)

  • vitesse de détection élevée grâce à la base de données « temps réel »

  • protection contre tout type de spam (HTML, UTF-16, caractères chinois….)

  • détection du « Spam Image »



4.Relais SMTP

De type « store-and-forward », le relais SMTP des appliances FAST360® assure une protection maximale des systèmes de messagerie électronique. Complément à la prévention des intrusions garantie par FAST in line IDPS, ce relais assure les fonctions suivantes :

  • Anti-relais

  • Antispam DNS BL

  • Antispam temps réel

  • Antivirus et antispyware

  • Règle de filtrage ou règles applicatives

  • Routage multidomaine


a.Anti-relais
Par défaut, le système bloque tous les messages ; seuls les messages explicitement autorisés par les règles anti-relais peuvent ensuite pénétrer dans le système d’information.

E-mails entrants – Seuls sont autorisés les messages dont le ou les destinataires appartiennent au(x) domaine(s) hébergé(s).

E-mails sortants – Seuls sont autorisés les messages provenant d’un serveur de messagerie interne et dont l’expéditeur appartient à l’un des domaines hébergés.
Avec une appliance FAST360®, le site protégé ne peut pas jouer le rôle de relais pour la propagation de spams ou d’attaques.
Les actions disponibles pour ces règles sont les suivantes :

  • Accepter le message

  • Rejeter le message et avertir le système expéditeur

  • Rejeter le message « discrètement » (pour le système expéditeur, la connexion TCP semble inactive)




Fig 10 : Règle Anti-relais Fig 11 : Antispam DNSBL
Antispam DNS BL
Le relais SMTP des appliances FAST360® interroge des serveurs de listes noires (DNS BL) en temps réel pour valider les e-mails entrants. Pour plus d’efficacité, chaque serveur interrogé voit sa propre réponse pondérée. L’administrateur peut, en outre, créer des listes noires manuellement.

b.Antivirus/antispyware intégré
Les interactions entre le relais SMTP des appliances FAST360® et le module « anti codes malicieux » s’effectuent en mode natif.
L’administrateur sélectionne la ou les mesures à prendre en cas d’infection. Une zone « de quarantaine » permet d’isoler les messages infectés et les messages qui ne peuvent pas être examinés (par exemple des messages protégés par mot de passe).


Fig 12 : Antivirus sur SMTP
c.Règles de filtrage
Les règles de filtrage définies par l’administrateur complètent les contrôles de contenu appliqués aux Emails. Ces règles sont extrêmement précises, elles permettent d’autoriser ou de refuser un Email en fonction des critères suivants :

  • Le ou les expéditeurs, le ou les destinataires

  • Des mots clés

  • Le type MIME du nom ou de l’extension des fichiers joints

  • La taille de l’Email


En cas de détection d’un critère ci-dessus les actions possibles sont :

  • Accepter le message

  • Bloquer le message

  • Refuser le message et le mettre en quarantaine


Lorsqu’un message est bloqué ou mis en quarantaine, l’appliance FAST360® envoie un message de notification au postmaster et/ou au(x) destinataire(s) et/ou au(x) expéditeur(s) pour leur signaler l’impossibilité de transmission de ce message. L’administrateur peut personnaliser le message de notification.
d.Routage multidomaine
Si plusieurs domaines de messagerie sont hébergés dans le réseau, les appliances FAST360® dirigent les Emails vers le serveur associé à leur destination respective.
5.Relais POP3 transparent
Le protocole POP3 facilite la réception du courrier électronique par les postes de travail qui ne disposent pas d’une connexion Internet permanente. Dans ce cas, les messages sont stockés sur un serveur SMTP hébergé sur Internet, et les clients POP3 peuvent récupérer leurs e-mails à partir de ce serveur.
La plupart des comptes de messagerie privés utilisent le protocole POP3 et ne sont pas protégés par des services de sécurité (en particulier par un antivirus). Les employés consultent volontiers leur messagerie privée sur leur lieu de travail, ce qui constitue une menace potentielle pour les systèmes d’information de leur entreprise.
Les appliances FAST360® intègrent un relais POP3 transparent qui permet d’analyser systématiquement le contenu des Emails reçus via le protocole POP3 avec le moteur antivirus/antispyware et le moteur antispam temps réel.


Fig 13 : caractéristiques du relais POP3
Antivirus/antispyware et Antispam intégrés
Le relais transparent POP3 désinfecte les messages téléchargés à travers le système FAST360® via le protocole POP3. Les traitements antivirus et antispam heuristique sont les mêmes que pour le relais SMTP (seule différence : les fichiers joints ne peuvent pas être supprimés et les mails considérés comme spams sont systématiquement marqués).
Le relais POP3 s’intègre dans l’architecture existante sans aucun impact ; il n’exige aucune configuration spécifique sur les postes de travail des clients. Lorsqu’il est activé, les demandes de connexion POP3 interceptées par l’appliance ARKOON sont automatiquement redirigées vers le relais POP3 transparent.
Le relais POP3 propose deux types de fonctionnement :


  • Mode synchrone – Les messages sont traités en mode dynamique par le système. Si un message est altéré (menace potentielle), le client de messagerie est déconnecté. L’utilisateur doit donc se reconnecter pour recevoir d’autres messages. En dehors de cet inconvénient de déconnexion/reconnexion, le mode synchrone permet d’éviter les problèmes de dépassement de délai que l’on constate parfois avec certains clients POP3.




  • Mode asynchrone – Le système ARKOON télécharge la totalité des messages, puis les analyses ; les messages ne présentant aucune altération (menace potentielle) sont transmis au client de messagerie. Chaque fois qu’un message altéré est détecté, il est supprimé ou mis en quarantaine (le client de messagerie reçoit un message de notification à cet effet). La connexion est maintenue et l’utilisateur peut continuer à récupérer ses messages. Le mode asynchrone est plus orienté utilisateur que le mode synchrone.



Copyright © 2008 ARKOON Network Security


similaire:

Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture» iconRappel sur la genèse du logiciel sshproxy
«Total Secure» (utm pare-feu, Proxy, vpn, av, as, ids/ips, filtrage url), «MailServer» (Relais de messagerie), «WatchServer» (Supervision),...

Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture» iconArchitecture de communication pour les applications multimedia interactives...
«cross ‐ layer» qui permet alors d'améliorer de façon significative la réactivité du système. Afin de faciliter l'intégration et...

Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture» iconRésumé Mobilisant des textes littéraires et exploitant une perspective...
«Chaque invention dévoile du réel en même temps que de l’historique» (Michel Serres)

Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture» iconNouveautes presse transmission de données en temps réel

Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture» iconRésumé : (1043 caractères, espaces compris)
«L’homme est un document comme les autres : du World Wide Web au World Life Web»

Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture» iconSefas Innovation étend sa présence sur les pays d’Europe Germanophone...
«Le caractère ouvert de l’architecture de la suite Open Print est un atout pour nos utilisateurs et nous permet, dans un même temps,...

Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture» iconCommuniqué de presse
«M2m coffee Link»pour la communication en temps réel entre la machine à café et l'administration

Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture» iconRésumé : La communication conteste la possibilité de gérer conjointement...
«opérations sans valeur ajoutée», comme le stockage ou les contrôles qualité, opérations qui avaient précisément comme caractéristique...

Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture» iconE-mail : Web
«Mettre mes compétences en informatique et mes capacités en gestion de projets complexes au service de projets ambitieux, Nécessitant...

Résumé Antivirus, antispyware, antispam ‘temps réel’, filtrage Web, filtrage Mail Intégration «sans couture» iconI. web sémantique [1] Définition
«The Semantic Web is an extension of the current web in which information is given well-defined meaning, better enabling computers...








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com