PROTOCOLE. Qu'ont en commun le Peer-to-Peer, l' Internet Surfing, la Backdoor, l'Instant Messaging, le Soap, le Tunneling
HTTP ou encore les codes mobiles? Tous font appel au port 8O
Sécurisation des flux HTTP pour les postes clients
1. l ZO O M
Sécurisation du port 8O. Un article d’e-Xpert Solutions
Sécurisation des flux HTTP
pour les postes clients
PROTOCOLE. Qu’ont en commun le Peer-to-Peer, l’Internet
Surfing, la Backdoor, l’Instant Messaging, le Soap, le Tunneling
HTTP ou encore les codes mobiles? Tous font appel au port 8O.
pose des problèmes de sécurité, réponse dépend bien entendu
notamment pour ce qui est de la du risque qu’une entreprise est
protection des applications ou prête à accepter, sachant que le
des services web, mais surtout port 80, s’il est mal contrôlé,
pour celle des entreprises auto- peut ouvrir la porte à un grand
risant leurs employés à surfer nombre d’attaques : virus,
sur Internet. Malware, Spyware; Tunneling
Le but de cet article est de se HTTP; fuite d’informations;
focaliser sur ce dernier point. exécution de codes malicieux;
Soit d’évoquer les mesures portes dérobées (Backdoors;
techniques qu’il est possible de vol de données; etc.).
mettre en œuvre au sein d’une
entreprise pour assurer une Plusieurs axes de contrôle
protection réellement efficace Outre la mise en application
des systèmes. Outre les aspects d’un antivirus local sur tous les
techniques de la sécurité, il est postes clients, on peut faire res-
possible d’avoir recours à toute sortir plusieurs axes de
une série de mesures plus contrôle : l’authentification; le
«organisationnelles» pour contrôle du contenu; le filtrage
D
Sécurité Il faut veiller e plus en plus, le port 80 répondre à la politique de sécu- des URL; la journalisation des
à ce que l’entreprise soit (HTTP) est utilisé rité de l’entreprise. On peut accès. Il existe plusieurs appro-
bien «verouillée» par rapport comme protocole de penser au filtrage d’URL, à ches pour sécuriser le port 80.
aux virus. transport universel. Il est l’accès ou non à Internet, etc. L’une d’entre elles consiste à
devenu un des moyens les plus Ces points ne seront toutefois traiter le problème par l’instal-
aisés pour échanger des infor- pas traités dans cet article. lation de logiciels spécialisés
mations, car généralement auto- (FW personnels, HIDS, HIPS,
risé par la plupart des firewalls. Votre firewall périmétrique etc.) sur tous les postes clients.
Initialement conçu pour est-il suffisant? Une autre est de mutualiser ces
transporter des informations La plupart des entreprises contrôles en un point unique.
liées à HTTP/HTML, il est dés- connectées à Internet ont
ormais le protocole de prédilec- aujourd’hui mis en place un Contrôle du port 80
tion d’un nombre croissant firewall, voire un système de par la technologie proxy
d’autres applications, tels le détection et/ou de prévention Pour mettre en place les diffé-
Peer-to-Peer, les codes mobiles, d’intrusions réseau. Ceci cons- rents axes de contrôle, l’idée
la messagerie instantanée, le titue la «protection périmé- est de faire transiter tous les
transfert de fichiers, les services trique» et c’est sans conteste flux du port 80 à travers un
web (Soap), etc. une très bonne approche. Mais proxy. Celui-ci est générale-
Article paru dans IB Cet état de fait a toutefois son qu’en est-il du système de ment placé en amont du fire-
com, fév. 2004 revers. Dès lors que le port 80 sécurité relatif aux accès inter- wall périmétrique. Avec une
devient en quelque sorte la cou- net des postes clients? Peut-on telle architecture, il devient
che transport, la plupart des fire- sans autre laisser le port 80 tra- impossible de «sortir» sur
walls ne sont plus en mesure de verser le firewall périmétrique Internet sans un passage par cet
le filtrer correctement. Cela sans contrôle spécifique? La outil de contrôle.
28 l 02/04
2. l ZO O M
L’authentification : utilisés par les applications la fuite d’informations au sein lement une source importante
une des mesures de base web. Ces langages apportent de l’entreprise. Dès lors qu’il de renseignements. Ces logs
Une des premières mesures de un réel plus. Il n’en demeure s’agit de filtrer les communi- peuvent en effet être utilisés
sécurité à appliquer réside pas moins qu’employés à mau- cations – afin de les bloquer ou pour déceler des intrusions,
dans l’authentification soit de vais escient ils deviennent de les restreindre –, le proxy retracer une fuite d’informa-
l’utilisateur, soit du poste de redoutables et peuvent com- est un outil très efficace, pour tions, etc.
travail pour pouvoir utiliser le promettre les postes clients. autant qu’il soit à même d’a-
proxy. Toute communication Un moyen efficace de les nalyser de façon très granu- Conclusion
non authentifiée est rejetée par contrôler est alors de recourir à laire le contenu du port 80. On le voit de plus en plus, le
le proxy. Cette mesure a pour un logiciel spécialisé dans l’a- C’est le cas des proxies de la port 80 est et deviendra un des
effet de contrôler de façon très nalyse des codes mobiles, cou- nouvelle génération qui autori- moyens de transport les plus
granulaire qui ou quel poste est plé au proxy, pour analyser les sent, par exemple, l’utilisation utilisés pour faire transiter de
autorisé à surfer sur Internet et flux en temps réel. Du point de des messageries instantanées, l’information sur Internet. Or,
avec quels droits d’accès. vue de l’architecture, le proto- tout en bloquant la fonctionna- les firewalls classiques ne sont
Il existe plusieurs façons de cole ICAP est, là encore, une lité du transfert de fichiers. plus à même de le gérer cor-
faire. Une des plus simples est des meilleures solutions. rectement. Il devient ainsi
de recourir à l’existant, tel un Le Tunneling HTTP urgent de mettre en œuvre des
annuaire d’entreprise (AD Les flux chiffrés SSL – La technique du Tunneling outils adaptés au port 80,
Microsoft, Novell, etc.). La «Man in the Middle» HTTP consiste à faire passer d’instaurer des mécanismes de
plupart des proxies sont Comme déjà évoqué ci-dessus, d’autres applications, telle sécurité offrant une réelle pro-
aujourd’hui capables de tra- il est fortement recommandé qu’une «Backdoor», dans le tection pour les entreprises
vailler avec des mécanismes d’analyser les flux avec un port 80 : un utilisateur mal connectées à Internet. Les pro-
d’authentification tels que antivirus et un logiciel d’ana- intentionné ou un attaquant xies répondent en grande par-
LDAP, NTLM, Radius, Kerbe- lyse des codes mobiles. Mais externe peut ainsi faire tran- tie à ce nouveau défi. l
ros, certificats numériques, etc. comment faire avec un flux siter des informations entre
chiffré (HTTP over SSL)? une entreprise et l’extérieur (et Sylvain Maret-Directeur
Le contrôle de contenu Celui-ci pose un réel problème inversement). Là encore, un veille technologique
Le terme de contenu utilisé ici dans la mesure où il n’est nor- proxy de la nouvelle généra- e-Xpert Solutions SA
est générique. Il définit les malement pas possible d’ins- tion est capable de déceler ce
contrôles possibles sur les pecter son contenu. Alors, que genre de trafic parasite et de le
flux, entrants et sortants, du faire? Ne pas examiner ces stopper. e-Xpert
port 80 : les virus, les codes
mobiles, les flux chiffrés
flux? Les interdire? Ou cher-
cher un mécanisme permettant L’URL filtering
Solutions SA
(SSL), le Peer-to-Peer et la de les contrôler? Un système de filtrage est sou- Au bénéfice d'une longue
expérience dans les secteurs
messagerie instantanée, le Ce mécanisme, c’est le SSL vent utilisé pour bloquer l’accès
financiers et industriels, e-
Tunneling HTTP. – «Man in the Middle». Il per- à certaines catégories de sites. Il
Xpert Solutions SA propose à
met d’analyser un flux chiffré se peut aussi qu’il soit installé sa clientèle des solutions «clés
Les virus au même titre qu’un flux dans l’optique d’une meilleure en main» dans le domaine de
Au même titre que pour la HTTP en clair. Ce logiciel productivité des collaborateurs. la sécurité informatique des
messagerie internet, le joue le rôle d’intermédiaire Mais on peut le voir sous l’an- réseaux et des applications.
contrôle des virus pour les entre un poste client et le ser- gle d’un outil de protection, au Des solutions qui vont de la
flux web est un des éléments veur SSL : il permet de déchif- même titre qu’un antivirus. En sécurité d'architecture – tels le
de base de la sécurité informa- frer le flux pour en analyser le effet, certains systèmes de fil- firewall, VPN (SSL, IPSEC), IDS,
tique. Il est recommandé, dans contenu et de le rechiffrer trage d’URL sont capables FIA, le contrôle de contenu,
la mesure du possible, d’utili- ensuite pour l’envoyer au ser- d’empêcher l’accès aux sites l’antivirus – aux solutions plus
avant-gardistes comme la pré-
ser un logiciel antivirus diffé- veur. Cette technique fonc- susceptibles de contenir des
vention des intrusions (appro-
rent de celui des postes de tra- tionne très bien et peut facile- virus ou des codes malicieux
che comportementale), les fire-
vail. Le but est en effet d’offrir ment s’interfacer avec un pouvant compromettre l’entre- walls applicatifs HTTP, l'au-
une complémentarité pour proxy, par exemple en utilisant prise. Cette méthode est com- thentification forte, la
mieux lutter contre les virus. le protocole ICAP. plémentaire à l’approche plus biométrie, les architectures PKI
Du point de vue de l’architec- classique de l’antivirus et de ou encore la sécurisation des
ture à retenir avec un proxy, Le Peer-to-Peer et l’inspection de codes mobiles. OS Unix et Microsoft et des
une des meilleures approches la messagerie instantanée postes clients.
est celle du protocole ICAP : il De plus en plus, les logiciels La journalisation des accès e-Xpert Solutions SA
permet une intégration fiable Peer-to-Peer et ceux de messa- Enfin, il est recommandé de Chemin du Creux 3,
et performante avec le proxy. gerie instantanée s’appuient mettre en place un système de 1233 Bernex-Genève
sur le port 80 pour communi- journalisation des accès tran- Tél. : +41 22 727 05 55
Les codes mobiles quer. Cela pose la question de sitant par le proxy. Utiles pour info@e-xpertsolutions.com,
ActiveX, VBScript, Java, la propagation des virus ou des effectuer des statistiques, ces www.e-xpertsolutions.com
JavaScript sont de plus en plus codes malicieux, mais aussi de informations constituent éga-
02/04 l 29