Cet article est le 4ème d’une série d’articles consacré à la convergence pare-feux – sondes, à l’occasion de la sortie de son produit CyFRONT « Frontal de Sécurité ».
Melati Article 1 : Pare-feu, IDS, IPS en environnement industriel
http://patrickgillet.fr/index.php?rest_route=/oembed/1.0/embed Article 2 : Approche par signature ou comportementale
Kafr Nubl Article 3 : Cas d’Application CyFRONT
Produit CyFRONT de Cybelius : Frontal de Sécurité
CyFRONT est une appliance qui combine :
- Pare-feu
- Routeur
- IDS signature
- IDS comportemental
- IPS
La première carte CPU du CyFRONT contient le pare-feu de CyFRONT, la fonction de routage, et l’IDS Suricata (ou Snort).
La deuxième carte CPU du CyFRONT contient la sonde comportementale CyPRES (IDS).
L’une des originalités de CyFRONT est de disposer d’une troisième carte électronique permettant de couper physiquement une communication réseau en RJ45. Cette coupure est physique par relais, assurant l’air-gap entre les deux segments du réseau.
Le pilotage de cette coupure provient :
- Soit des détections IDS signature
- Soit des détections IDS comportemental
- Soit d’une commande distante (SOC).
On reconstitue donc une fonction IPS qui consiste à bloquer le trafic avec toutefois deux caractéristiques tout à fait uniques :
- Ce blocage est physique
- Il peut être sélectif, si on divise les différents VLANs en LAN via un switch.
Alors qu’un IPS est généralement en coupure sur le réseau, et donc visible par un attaquant, il n’y a aucun élément actif détectable sur le réseau avec CyFRONT. Pour la partie capture, la sonde CyPRES est passive, sans adresse IP, n’émet rien, et est alimentée à partir d’un port mirroring d’un switch. Les relais électromécaniques ne sont pas détectables lorsqu’ils sont fermés. Une fois ouvert, il n’y a aucune possibilité de réactiver l’alimentation électrique d’un équipement pour forcer la refermeture.
Une autre originalité de CyFRONT est que l’IDS comportemental est totalement distinct du pare-feu et de l’IDS sur signature. L’IDS comportemental est invisible sur le réseau et ne peut pas être contaminé par une compromission du pare-feu ou un contournement de l’IDS sur signature.
Ceci permet, en général au moyen d’un switch spécifique à CyFRONT, de disposer de toutes les fonctions de sécurité, regroupées dans une seule appliance, mais sans mode commun entre la sonde et le pare-feu.
Cas 1 : protection attaque externe
Ce cas correspond en général à des systèmes de taille moyenne ou petite, pour lesquels tous les éléments du schéma ne sont pas forcément présents.
Dans ce cas la sonde est positionnée sur les sorties « OT » du pare-feu. On a représenté le pare-feu de CyFRONT, mais cela fonctionne de manière identique si ce pare-feu est une autre appliance.
Le LAN sécurité est une cible de choix du fait de la présence d’éléments bien connus des attaquants et non spécifiques au monde industriel. C’est la raison pour laquelle le positionnement de la sonde est principalement sur ces échanges, et se trouve derrière le pare-feu. La sonde n’est pas détectable sur le réseau industriel (elle n’a pas d’adresse IP) et on se trouve à une étape où l’attaquant a déjà franchi le pare-feu.
Les différentes règles de CyPRES (comportemental) permettent de détecter soit des scans soit des chargements malveillants, qui tous influent sur la taille des trames et la dynamique des échanges.
Exemples de règles pour détection DDOS et scans :
Selon la configuration de CyFRONT, on pourra mettre un seuil qui génère un symptôme avec un niveau de gravité. Ce symptôme est transmis au SOC au format Syslog, permettant d’initialiser également une action amont sur les accès externe au système.
La configuration de CyFRONT permet également de protéger le système industriel en l’isolant soit partiellement soit totalement. Cet isolement est fort avec reconstitution de l’air-gap grâce à des relais électromécaniques qui fonctionnent comme un disjoncteur électrique.
Dans l’architecture concernée, nous pouvons choisir de couper soit seulement le lien vers le LAN sécurité, soit également le lien vers le pare-feu « interne OT ». Ce dernier cas correspond à isoler complètement le système industriel de l’extérieur, tout en gardant la communication du LAN sécurité avec lui, et sans impacter les communications externes – IT.
Les isolements du réseau peuvent être rétablis au moyen d’une commande depuis une console d’administration du CyFRONT, par exemple sur la console du LAN Sécurité, ou à distance depuis le SOC. C’est par contre une intervention humaine, qu’il n’est pas recommandé d’automatiser, et qui est liée à l’élimination de la menace, ou bien à des investigations qui auront montré l’absence de réalité de la menace.
Cet exemple met bien en exergue que la configuration de CyFRONT est dépendante d’une approche du risque et de l’organisation du client. On obtient dans l’exemple considéré :
- La continuité opérationnelle, avec une action dès la détection amont
- L’isolement du système industriel qui empêche l’attaquant d’aller plus loin, de manière très forte
- L’alerte du SOC
- La capacité de remédiation simple depuis une console d’administration
- La capacité d’analyse post-incident liée aux enregistrements envoyés au SOC et locaux à CyFRONT.
