Quelles solutions pour sécuriser le réseau SD-WAN ?

img-post
blog

Rédigé par colas Bonvicini , 27 janvier 2022

Avec la digitalisation croissante de leurs activités, les entreprises utilisent de plus en plus des solutions cloud pour stocker une grande part de leur activité, qu’il s’agisse de données à caractère privé, de certaines données personnelles, et parfois aussi par inadvertance, de données sensibles. 
 
Comme les flux d’information numériques s’intensifient et se cumulent jour après jour, cela implique une montée en charge de la consommation de ressources informatiques pour traiter l’ensemble de ces flux d’information, et par conséquent, cela implique de revoir leurs réseaux afin de les optimiser, et de les sécuriser.  

Pour répondre à ce type besoin, les entreprises peuvent :  
– tirer parti d’une plate-forme de réseau défini par logiciel SDN1 , et simultanément, 
– réduire la complexité ce cette solution en utilisant une superposition SD-WAN2
 
SDN (ou Software Defined Networking), est un modèle d’architecture réseau défini et géré sur logiciel 
SD-WAN (ou Software-Defined Wide-Area Network), est littéralement un réseau étendu à définition logicielle, et plus précisément, une technique logicielle visant à rendre les réseaux étendus plus intelligents et plus flexibles. 

Quelles sont les moteurs d’innovation de notre Firewall Nouvelle Génération Asguard ? 

Si de nouveaux réseaux apparaissent, de nouvelles failles de sécurité réseau apparaitront avec.

Apparus en 2018, les réseaux informatiques de troisième génération SD-WAN permettent de répondre aux besoins croissants des entreprises, et représentent une évolution majeure dans les systèmes de télécommunication. 
 
C’est en constatant qu’il n’existait aucune solution B2B européenne de sécurisation optimisée pour les réseaux SD-WAN, et, que les entreprises étaient contraintes d’utiliser des solutions de sécurisation devenues inadaptées, que nous avons démarré il y a plus de 3 ans, notre projet de développer la première solution européenne de sécurisation optimisée et interopérable qui soit adaptée au réseau SD-WAN. 

Les principaux types d’attaques sur les réseaux SD-WAN 


A propos du sujet global sur la sécurisation des réseaux SD-WAN, il a été identifié que les attaques des groupes commerciaux internationaux se font à partir de plusieurs sources : 

  • L’inondation d’un réseau pour empêcher son fonctionnement ; 
  • La perturbation des connexions, empêchant l’accès aux services ; 
  • L’obstruction d’accès à un service ; 
  • L’envoi des milliards d’octets à une box internet par exemple. 

En grande majorité, les antivirus et les pares-feux de nouvelle génération NGFW sécurisent les réseaux définis par logiciel (SDN). Ces derniers combinent les capacités des pares-feux traditionnels (le filtrage de paquets, la traduction d’adresse NAT, le blocage d’URL et le VPN) avec des fonctionnalités de gestion de la qualité de service, et des caractéristiques généralement absentes des pares-feux.  

Cela recouvre notamment la prévention d’intrusion, l’inspection SSL et SSH, l’inspection de paquets en profondeur (DPI), la détection de logiciels malveillants basée sur la réputation, ou encore la conscience des applications. Les pares-feux de nouvelle génération sont capables de détecter et de bloquer les attaques sophistiquées comme les DoS (Denial of Service, ou, attaques de déni) cités plus haut en appliquant des règles de sécurité au niveau applicatif, ainsi qu’à celui du port, ou de protocole de communication. 

Aujourd’hui, avec l’augmentation des règles de filtrage, de la consommation des ressources informatiques et de la complexité de la configuration et de gestion des réseaux, le nombre de cyber attaques augmente sur les réseaux et particulièrement les réseaux de troisième génération, SD-WAN.  
 
Apparus en 2018, leur nouveauté en fait un terrain de jeu parfait pour les hackers car les techniques de sécurisation type NGFW employées jusqu’à présent ne sont pas adaptées à cette technologie

Après plus de trois années de R&D dédiées à la sécurisation de l’architecture SD-WAN, nous avons saisi l’opportunité d’inclure des services de sécurité réseau à un haut niveau en développant un firewall nouvelle génération (FWNG) appelé Asguard

Qu’est-ce qu’Asguard ?  

En tant que pare-feu nouvelle génération, la solution Asguard protègera l’entreprise cliente des risques d’attaque, en s’interposant entre le réseau client et internet, et ce quel que soit la méthode d’accès (depuis les bureaux de l’entreprise, ou par le biais d’un client à distance, même mobile).  

Ce pare-feu de dernière génération (NGFW) permet de sécuriser les réseaux SD-WAN de manière optimisée et interopérable.

Quelles sont les fonctionnalités de sécurité du Firewall Nouvelle Génération | Asguard ? 

Grâce à ses travaux de R&D menés depuis plusieurs années, la société NUMERYX Technologies a pu développer une solution de sécurisation légère et performante, aujourd’hui brevetée : le filtrage IP à double masque. La solution est protégée par un brevet déposé en 2015. 

  • Le Pare-feu Niveau 4 : Filtre IP Double Masque 

Le filtre IP à double masque est une technique innovante de mise en correspondance IP qui fournit plus de flexibilité ainsi qu’un déploiement sécurisé et efficace des politiques de sécurité. Le filtre IP comprend un premier masque, adapté pour exprimer un premier ensemble d’adresses IP autorisées et un second masque adapté pour exprimer un deuxième ensemble d’adresses IP à exclure du premier ensemble d’adresses IP autorisées. Cette technologie permet une nette compression des règles de filtrage, qui peut atteindre plus de 80%. Avec cette technologie brevetée, nous pourrons désormais générer des listes de contrôle d’accès bien formatées, plus compactes et à moindre coût pour les équipements réseau.

  • Le Virtual Private Network (VPN) 

Permet de chiffrer de bout en bout les flux d’information entre le client et son contact en interne ou en externe.  

Les VPN sont connus pour leur capacité à sécuriser la connexion en procédant à un chiffrement du trafic entrant et sortant de votre appareil, les VPN rendent l’accès à vos données web plus difficile. De plus, même si une personne malintentionnée venait à s’emparer d’informations vous concernant, elle ne pourrait les exploiter car les logiciels VPN ont recours à des algorithmes de chiffrement très puissants. Les VPN protègent donc l’ensemble de vos données personnelles (mots de passe, coordonnées bancaires, sites web consultés…). 

  • La Détection et la Prévention d’Intrusion (IPS et IDS) 

Permet d’être alerté d’une faille ou d’une fragilité dans votre système avant toute tentative d’intrusion, de l’identifier et de la localiser, puis de manière automatique, d’organiser une levée de boucliers contre une intrusion ou une attaque avérée ou non. 

Un IPS se caractérise par le fait qu’il doit être complètement furtif. Ceci implique que les interfaces de la sonde ne doivent pas être visibles (pas d’adresse IP, pas d’adresse MAC) et que l’équipement ne doit pas se comporter comme un proxy ou implémenter des mécanismes de manipulation des adresses (comme NAT par exemple).

L’IPS analyse l’intégralité des paquets en transit, depuis les couches réseaux jusqu’au niveau applicatif. 

  • Asguard assure parfaitement la fonction de proxy web :   

Basé sur Squid, il fait le filtrage en mode cache ou pass through et assure la prise en charge multi interface. Il permet de partager une connexion internet entre plusieurs utilisateurs avec une seule connexion, propose également un mécanisme de cache des requêtes qui permet d’accéder aux données en utilisant les ressources locales au lieu de web et réduit ainsi le temps d’accès et la bande passante. Il enregistre aussi les accès des utilisateurs aux sites qu’ils ont visités.  

 SQUID propose les services suivants :  

  1. Authentification des utilisateurs  
  2. Filtrage d’accès  
  3. La journalisation des requêtes (logging)  
  4. Cache proxy  
  5. Reverse Proxy  
  6. Le proxy transparent  
  • L’antivirus ClamAV  

Conçu pour analyser rapidement les fichiers avec une protection en temps réel (Linux uniquement) le démon d’analyse prend en charge l’analyse à l’accès, y compris la possibilité de bloquer l’accès aux fichiers jusqu’à ce qu’un fichier soit analysé. 

Il détecte plus d’un million de virus, vers et cheval de Troie, y compris Microsoft Office macro virus, logiciels malveillants mobiles et d’autres menaces. 

Les bases de données de signatures signées garantissent que ClamAV n’exécutera que des définitions de signatures approuvées.  

ClamAV analyse les archives et les fichiers compressés, mais protège également contre les bombes d’archives.  Ses capacités d’extraction d’archives intégrées comprennent Zip, RAR, et 7 Zip.  

  • Le reporting & le monitoring 

Le reporting proposé par la solution Asguard permet de consulter l’activité de vos réseaux ainsi que les tentatives d’intrusions sur ce dernier.  
 
Le monitoring vous permet d’accéder en temps réel à une visualisation complète de votre ou de vos réseaux, et d’y observer l’état à l’instant T. 

  • Un portail utilisateur attractif 

Le portail utilisateur mis à disposition de chaque client leur permette de consulter rapidement et intuitivement les statistiques de leurs réseaux, d’extraire des rapports. 

Il permet de piloter l’ensemble des fonctionnalités depuis une interface commune et unique d’une façon homogène et avec la possibilité de personnaliser l’ensemble des paramètres sans besoin de code. Le portail repose sur une technologie de Role Based access permettant de différencier les rôles et les privilèges des utilisateurs. 

Dans quelles mesures Asguard sécurise t ’il les réseaux SD-WAN ?

La rupture technologique portée par NUMERYX dispose de tous les facteurs de réussite pour aboutir à un succès, celui de réduire si ce n’est supprimer les failles de sécurité des grandes entreprises de manière durable et cela en fonction des évolutions des réseaux de communication.  
 
L’objectif à long terme est ainsi d’obtenir un pare-feu nouvelle génération innovant, spécialisé dans les nouvelles technologies et environnements (SASE, 5G, SDN…). 

Légende : La plate-forme Secure Access Service Edge (SASE), à laquelle la technologie NUMERYX Technologies est adaptée 

La solution Asguard peut également s’adapter à d’autres technologies réseaux tels que les réseaux radio 5G ou les réseaux SDN (Metro Ethernet). En effet, les réseaux 5G apportent le concept de “network slice” ou des « réseaux virtuels” (Virtual Network Embedding) pour fournir des services différenciés à ses usagers. Chaque network slice permet de fournir un service de bout-en-bout, composé de différents composants réseaux et systèmes virtuels basés sur une infrastructure partagée.  

Qualifications & Partenariats

Accompagné depuis nos débuts dans l’aventure Asguard et le monde de la Cybersécurité, dans le dépôt de nos brevets ou sur la R&D, du soutien de nos travaux en passant par le développement de notre entreprise, nous ne manquons pas de citer les partenaires et les acteurs majeurs de notre réussite : 

L’INRIA :

Les travaux de NUMERYX Technologies portent notamment sur le développement d’une technologie de filtrage distribuée dans ces slices pour mieux répartir les règles de filtrages sur les switches et les fonctions réseaux. La société a développé des algorithmes en partenariat avec l’INRIA pour répartir ces règles sur les différents équipements, de manière à équilibrer la charge sur les tables, permettre un filtrage des paquets malicieux en amont et rendre le partage de ces tables possibles pour les slices créées par les fournisseurs de services. La technique proposée est aussi applicable dans des environnements comme le cloud et le Datacenter.

L’INPI :

Un brevet a été déposé en 2015 à l’échelle nationale : Bouhoula, A., and Ben, N.N. (2015). “Filtre Ip a Double Masques,” FR3011705 (A1). L’innovation projet Asguard repose sur cette technologie brevetée. 

L’ANSSI :

Convaincue de l’impact commerciale d’une telle certification, la société NUMERYX vise la Certification de Sécurité de Premier Niveau (CSPN), mise en place par l’ANSSI.

Cette certification permet d’estimer la résistance du produit face à des attaques de niveau modéré. Par la suite, la société envisage une qualification avec un visa de sécurité, lui permettant ainsi d’accéder à des marchés réglementés français et européens. La certification et la qualification procureront un avantage concurrentiel face aux acteurs des marchés de la cybersécurité français et internationaux. 

Le pôle de compétitivité Systematic :

Qui a labellisé Asguard en tant que projet innovant 

La French Tech Paris-Saclay :

Notre partenaire et notre soutien dans le développement de NUMERYX depuis ses débuts et son incubation chez SQYcub. 

Actuellement, trois offres sont proposées par NUMERYX afin d’adresser les différents contextes clients : 

  • Offre 1 : Intégration d’Asguard sur des équipements physiques (CPE9) ;  
  • Offre 2 : Intégration d’Asguard en « white box » sur des équipements virtuels (machine virtuelle, vCPE10 sur un hébergement classique) ; 
  • Offre 3 : Intégration d’Asguard en cloud sur des équipements virtuels (machine virtuelle, vCPE hébergés dans le cloud). Cette offre concerne aussi bien les clouds privés que publics. 

Proposition de valeur

Asguard offre une proposition de valeur différenciante qui repose donc sur une solution à la fois : 

  - Sécurisée parfaitement adaptée aux spécificités des réseaux SD-WAN   

   -  Compatible avec les standards du marché  

  -   Optimisée grâce à un taux de compression élevé   

 -     Et interopérable grâce à l’APIsation de la solution   

L’APIsation de la solution la rend universelle, ce qui est un avantage majeur comparé aux autres acteurs, qui fournissent des solutions spécifiques et verrouillées pour une technologie de réseau précis. 

Grâce au développement d’une API, la solution pourra donc être intégrée par tous les éditeurs et intégrateurs du marché. 

ASGUARD​, un firewall nouvelle génération appliqué aux réseaux SD-WAN
ASGUARD​, un firewall nouvelle génération appliqué aux réseaux SD-WAN Lire l'article