Fortinet Confidential

Contrôle ApplicatifFiltrage multi-couches

Dimitri WAEYAERTIngénieur Avant Ventedwaeyaert@exclusive-networks.be

Fortinet Confidential

Evolution des applications La sécurité autour des applications est obsolète

2

• Au départ− Les applications étaient facilement définies

▪ Port ou Protocole− Les règles étaient facilement définies

▪ Autoriser ou bloquer▪ Le contenu et le comportement sontprévisibles

• Puis vint le Web …

Fortinet Confidential3

Le parefeu classique sait il contrer les menaces?Les applications ont changé

• N’ouvrir qu’une porte ne suffit plus !− HTTP : une seule porte (80/tcp) mais plusieurs applications− Une application web : plusieurs sous applications

• Fermer une porte ne suffit plus !− Skype !− Certaines applications sont indispensables

• Le canal SSL permet de contourner le contrôle applicatif

EMAI

LW

EB N

TERN

ET

EMUL

ESK

YPE

FTP

TRAN

SFER

T

FIREWALL CLASSIQUE

Port 80

Messagerie Instantanée

• Tchat• Communication Vidéo• Échange de fichier

RHhttp://www.facebook.com

Firewall

Proxy SSL

Tunnel SSL (HTTPS)

http://www.facebook.com

Utilisateur

HTTP

Je bloque Facebook...

Mais je ne vois rien...

Fortinet Confidential

Bilan des comportements actuels Les utilisateurs font plus ou moins ce qu’ils veulent

4

Web browser HTTP Web + plugin HTTP Flash, applicationsproxy, P2P, tunnel

Source IPSOS 2011

71%

25% 4%

Consommation de la Bande PassanteVidéo AudioJeux et réseaux sociaux

• Les activités extra-professionnelles consomment énormément de BP− Certains évènements épuisent les

ressources (Coupe du monde de football, funérailles de M. Jackson)

− Baisse de la productivité− Sécurité des systèmes menacée− Couts inutiles en Bande Passante

TOP 10 applications- Rapport fortinet 2011 -

Fortinet Confidential5

Le parefeu classique contrôle t-il l’accès au réseau?Les rôles clients-serveurs ont changé

Réseau actuel

Où est la plus grande densité des serveurs ?

Non…Seulement 10% des serveurs sont ici

90% des serveurs sont hébergés par les

postes clients

Serveur Emule

intrusion

Fortinet Confidential

Pourquoi ne pas bloquer les flux avec l’IPS? Les solutions classiques restent incomplètes

6

• L’IPS ne suffit pas à répondre à tous les besoins− Identifier les utilisateurs et contrôler les flux− Contrôler le contenu des informations véhiculées par les applications autorisées− Prioriser les flux par applications (gestion de la BP, wan optimisation…)

IP.A

IP.B

IP.C

B

C

Firewall

A

IP.S

IP.S

IP.S

Seul le chef (A) passera...Mais qui est le chef ?

S

FirewallJe tolère Twitter...Firewall

Utilisateur

Adresse IP

Application

Fortinet Confidential7

EMAI

LW

EB N

TERN

ET

EMUL

ESK

YPE

FTP

TRAN

SFER

T

7

FIREWALL

APPLICATION CONTROL

Actions des nouveaux parefeuxLe parefeu doit faire ce pour quoi il a été conçu

1. Identifier les applications sans notion de ports, d’IP, de protocole ou de chiffrement

2. Identifier les utilisateurs puis et les relier à ces applications

3. Contrôler le contenu véhiculé en temps réel et le sécuriser

4. Visualiser les applications et toutes leurs fonctionnalités

5. Gérer les ressources par application (QOS, traffic shaping) et accélérer les flux grâce à l’ASIC

Fortinet Confidential

Demodu concret…

8

Identifier les protocolesAjuster les actionsShaping par application

Fortinet Confidential

Demoles logs

9

Bloquer SKYPEQuelque soit le port

Fortinet Confidential

• Plus de 1500 applications détectées !• Bloquer une application véhiculée par https• Bloquer tout ou partie de l’application

Demoen images…

Fortinet Confidential

• Pour les équipements FortiGate munis d’un disque dur, il est désormais possible :−D’activer le logging SQL (base SQLite)−De créer des widgets de rendu d’activité−De créer et générer des rapports

Plus de contrôle et de flexibilitéReporting Local

11

Fortinet Confidential

Example 1 Drill Down Reports

Top applications Cat by BandwidthBusiness

Salesforce

Ryan

Top users by bandwidthAnita

Media

YouTube video

Eva

Ryan’s top applications by Bandwidth

Eva’s top applications by Bandwidth

Top business applications by Bandwidth

Anita’s top categories by bandwidth

Top salesforce users by Bandwidth

Top media application by Bandwidth

Top youtube video users by Bandwidth

Fortinet Confidential

Example 2 Drill Down Reports

Top destination countries by bandwidthCanadaTop users for Canada by bandwidthAnitaTop destination countries for Anita by bandwidthBelgiumTop applications for Belgium by bandwidth

Fortinet Confidential

Pourquoi Fortinet exclusivement ?

Fortinet Confidential

Contrôle des applications

Contrôle des utilisateurs

Contrôle de l’information

Sécurite consolidée Sécurite Nouvelle Génération

Et pourquoi Fortinet exclusivement?Pour la puissance du coeur Multi-sécurité à base d’ASICs

Fortinet Confidential

Gamme FortiGate

SOHO/Branch

FG20C / FW20C FG40C / FW40C FG60C / FW 60C FG80C / FWF-80CFG82C

Medium Enterprise

FG110C / FG111C FG200B FG-300C FG-600C

Large Enterprise

FG1240B

TelCo/Core/MSSP

RTM-XB2FG-5001ASW / DW

FS-5003A

FG5020 FG5050FG5140

FG1000C FG3950BFG3040B / FG3140B

Fortinet Confidential

Services Fortinet & localisation

Vancouver, CanadaSophia Antipolis, France

Bangalore, India

Beijing, China

Tokyo,Japan

Kuala Lumpur,Malaysia

• FortiGuard Global Research: Redondance intelligente• Antivirus• IPS• Web Filtering• Antispam

• Services support FortiCare: Assistance technique• Plusieurs niveaux de

service pour répondre aux besoins des clients

• Centre de Sophia Antipolis:

+ Benchmarks+ Management

19

Fortinet Confidential20

Solution technique maitrisée

Technologie 100% propriétaire• Licence illimitée• Pas d’accord OEM• Maitrise des fonctionnalités intégrées

(moteurs à jour, interropérabilité…) • L’OS tire partie des ASICs

Mais encore…

Logique de Gamme

Certifications

La différence au profit de l’utilisateur Les avantages Fortinet par rapport à la concurrence

Convient à tous les profiles entreprises• Même OS sur tous les types de boitiers• Administration et rapports centralisés• Evolutivité des performance (cluster)• Virtualisation x10 incluse• Hardware variés (wifi, 3G, cartes SD…)

• Support / Recherche en France• 650 ingénieurs en R&D• Meilleur rapport Coûts /

Performances grâce aux ASICs• Des gens sympas

Fortinet Confidential

Merci!