Cet article est le 3ème d’une série d’articles consacré à la convergence pare-feux – sondes, à l’occasion de la sortie de son produit CyFRONT « Frontal de Sécurité ».

site de discussion rencontre gratuit Article 1 : Pare-feu, IDS, IPS en environnement industriel

http://sta2i.fr/archives.php Article 2 : Approche par signature ou comportementale

Présentation générale

Les cas d’application présentés ci-dessous ne sont nullement exhaustifs. Ils ont pour objet de présenter quelques-unes des possibilités de cet équipement.

Les descriptions se basent sur le modèle Purdue, dans une déclinaison assez classique et standard pour les opérateurs d’infrastructure ou de process continu1. Tout n’est pas représenté. Le zonage est figuré par des LANs, qui dans de nombreux cas (et malheureusement pour la qualité du cloisonnement) sont des VLANs.

Le schéma type à partir duquel les cas d’usage seront détaillés est le suivant :

Les accès distants ne sont pas détaillés selon leur nature, avec des criticités et expositions très différentes.

Dans les exemples qui vont suivre, le terme de déconnexion sélective suppose que l’on dispose d’un switch pour isoler les flux sur des câbles Ethernet spécifiques. Ce switch doit dans ce cas être spécifique pour CyFRONT et ne pas porter d’autre fonction.

(1) Les process batch sont dépendants d’une couche intermédiaire entre l’IT et l’OT pour l’ordonnancement, la maintenance, la relation avec un ERP, ceci correspondant à peu près au MES (Manufacturing Execution System). La couche MES est généralement considérée dans la partie IT soit le niveau haut du modèle Purdue.

Produit CyFRONT de Cybelius : Frontal de Sécurité

CyFRONT est une appliance qui combine :

  • Pare-feu
  • Routeur
  • IDS signature
  • IDS comportemental
  • IPS

La première carte CPU du CyFRONT contient le pare-feu de CyFRONT, la fonction de routage, et l’IDS Suricata (ou Snort).

La deuxième carte CPU du CyFRONT contient la sonde comportementale CyPRES (IDS).

L’une des originalités de CyFRONT est de disposer d’une troisième carte électronique permettant de Catarroja couper physiquement une communication réseau en RJ45. Cette coupure est physique par relais, assurant l’air-gap entre les deux segments du réseau.

Le pilotage de cette coupure provient :

  • Soit des détections IDS signature
  • Soit des détections IDS comportemental
  • Soit d’une commande distante (SOC).

On reconstitue donc une fonction IPS qui consiste à bloquer le trafic avec toutefois deux caractéristiques tout à fait uniques :

  • Ce blocage est physique
  • Il peut être sélectif, si on divise les différents VLANs en LAN via un switch.

Alors qu’un IPS est généralement en coupure sur le réseau, et donc visible par un attaquant, il n’y a aucun élément actif détectable sur le réseau avec CyFRONT. Pour la partie capture, la sonde CyPRES est passive, sans adresse IP, n’émet rien, et est alimentée à partir d’un port mirroring d’un switch. Les relais électromécaniques ne sont pas détectables lorsqu’ils sont fermés. Une fois ouvert, il n’y a aucune possibilité de réactiver l’alimentation électrique d’un équipement pour forcer la refermeture.

Une autre originalité de CyFRONT est que l’IDS comportemental est totalement distinct du pare-feu et de l’IDS sur signature. L’IDS comportemental est invisible sur le réseau et ne peut pas être contaminé par une compromission du pare-feu ou un contournement de l’IDS sur signature.

Ceci permet, en général au moyen d’un switch spécifique à CyFRONT, de disposer de toutes les fonctions de sécurité, regroupées dans une seule appliance, mais sans mode commun entre la sonde et le pare-feu.