Le développement de l’accès à internet permet à votre entreprise d’ouvrir son réseau à ses partenaires commerciaux, clients et fournisseurs.
Mettre à profit la puissance d’internet et ses faibles coûts de communication est un avantage concurrentiel fort dans une économie en perpétuel mouvement, mais cela rend votre entreprise vulnérable au vol ou à la destruction de données.
Connectées en permanence au réseau et à l'internet, les machines sont exposées aux attaques notamment par virus, malwares et spam. Elles deviennent des cibles potentielles pour les « pirates ».
Un système de protection « pare-feu » ou « firewall » est donc essentiel pour prévenir ces risques et protéger l'accès à vos données et à vos applications.
La société LLiS vous propose une solution basée sur les logiciels standards les plus reconnus du marché de l'open source et parmi les plus utilisés par les professionnels de la sécurité informatique, solution pouvant être associée à une batterie de services managés.
Plateforme complète, cette solution intègre donc les fonctionnalités de :
Cette solution réseau et sécurité clé en main comprend :
une architecture matérielle,
une architecture système et logicielle,
des services de déploiement et configuration,
l’accès illimité à notre Help Desk pour la maintenance de la solution.
Architecture
Ce pare-feu décline en deux versions selon les besoins de votre entreprise
Une version à deux interfaces pour une sécurisation simple d’un accès internet permettant de :
Partager la connexion internet entre tous les postes du réseau local,
Bloquer les accès à votre réseau local à partir de l’internet,
Filtrer les accès à internet afin d’éviter tout gaspillage de bande passante par des applications non désirables,
Remplacer efficacement un routeur dans le cas d’une connexion ADSL sachant que le modem reste nécessaire (nous consulter pour d’autres types de connexion tel SDSL).
Une version à trois interfaces pour une sécurisation avancée de votre entreprise permettant de fournir des services internet, tels :
serveur Web,
serveur FTP,
serveur de messagerie.
La troisième interface permet d’héberger les serveurs diffusant ces services dans une zone dite « démilitarisée » (communément appelée DMZ).
Votre réseau interne reste ainsi hors d’atteinte du réseau internet.
Vous disposez d’une plus grande autonomie pour ouvrir votre entreprise aux « marchés en ligne ».
Dans cette configuration, en sus des fonctionnalités précédentes, ce pare-feu permet de :
Filtrer les accès à la DMZ à partir de l’internet ou du réseau local,
Offrir l’accès aux services de la DMZ à vos utilisateurs internet, et ce même si vous ne disposez que d’une unique adresse IP publique (adresse IP fixe nécessaire).
Fonctionnalités
La mise en place du pare-feu vous permet de profiter de toutes les fonctionnalités suivantes selon vos besoins :
Proxy/cache Web : cette fonction permet d’optimiser la bande passante utilisée pour l’accès aux pages Web en stockant les informations les plus fréquemment demandées
Filtrage d’url : cette fonctionnalité s’adjoint au proxy/cache pour interdire l’accès aux sites de certaines catégories (pornographie, publicité/spam, …) et s’appuie sur une base de données statique répertoriant les sites connus à un instant donné. La procédure de mise à jour automatique de cette liste est incluse aux services LLiS
Détection d’intrusion réseau : dans le cadre des configurations à trois interfaces avec DMZ, ce pare-feu est capable de surveiller le trafic circulant ainsi que de détecter les attaques réseau dont votre organisation est la cible (déni de service, flood, scan, …). Une base de signatures d’attaques est utilisée dans ce but et sa mise à jour est comprise dans le contrat de support
Détection d’intrusion système : les fichiers de configuration ainsi que les exécutables utilisés par le pare-feu sont extrêmement sensibles. Cette fonctionnalité a pour but de vérifier régulièrement qu’aucun de ces fichiers n’est altéré. L’intégrité du fonctionnement de la passerelle est donc assurée
Accès VPN site à site : vous disposez d’un ou plusieurs sites distants ? Vous désirez les interconnecter de façon entièrement sécurisée sans avoir recours à de coûteuses lignes spécialisées ? Cette fonctionnalité vous permet de le faire en passant simplement par votre connexion internet. Les trafics sont lourdement cryptés (3DES) et ces « tunnels sécurisés » utilisent la technologie IPSec, la plus sûre à l’heure actuelle
Accès VPN itinérant : vos collaborateurs peuvent aussi accéder à votre réseau local grâce à cette fonctionnalité. Il leur suffit de disposer d’une connexion internet. Pour faciliter au maximum l’intégration d’une telle solution, LLiS s'appuie sur les protocoles préconisés par Microsoft, à savoir PPTP. Les trafics sont là aussi cryptés pour circuler de façon sécurisée sur l’internet
Reporting : via l’accès à un serveur Web, le pare-feu fournit un rapport complet et quotidien sur les activités réseau et internet : activité Web, statistiques sur les trafics bloqués, rapport sur les intrusions détectées (liste non exhaustive)
La forte valeur ajoutée de la solution réside dans sa souplesse : après étude des besoins spécifiques à votre organisation, nos ingénieurs vous proposent des paramétrages spécifiques permettant à la passerelle de s’intégrer au mieux dans votre architecture existante.
Environnement technique
Plateforme/Système :
Plateforme de type PC ix86,
Noyau 2.4.x
Connexions Internet supportées :
Toute connexion à l’arrière d’un routeur
ADSL : derrière le modem directement (PPTP et PPPoE)
Filtrage IP :
Filtrage IP type « Statefull »,
Translation d’adresses et de ports (NAT/PAT, Source NAT, Destination NAT)
Masquerading
Redirection de ports
Redirection d'adresses
IP accounting
VPN site à site :
Base IPSec (échange de clé IKE en MDA-5, SHA-1, Diffie-Hellman groupe 5)
Cryptage 3DES
Nombre maximal de tunnels : dépend de la puissance de la machine.
VPN Itinérants :
Protocole PPTP (Encryptage MPPE)
Authentification MSCHAP et MSCHAP V2
Nombre maximum de tunnels simultanés : 10 (ajustable)
Support et services associés
Surveillance préventive :
Engagement contractuel de LLiS à fournir un audit mensuel détaillé sur l'état de sécurité de l'architecture du Client (Firewall et DMZ) telle qu'elle est perçue depuis l'extérieur (internet)
Mises à jour de sécurité du Firewall et des serveurs supportés de la DMZ assurées, ce qui vous protège de toute faille de sécurité,
Vérification régulière de l’intégrité des différents éléments de configuration (fichiers, exécutables, noyau, …) de façon à pallier à toute compromission du Firewall,
Information par mail de toute mise à jour effectuée.
Surveillance Continue :
Réception en « temps réel » des alertes concernant d'éventuelles tentatives d’intrusion détectées par exemple sur des services de la DMZ,
Réception en « temps réel » des informations sur les paquets bloqués par le Firewall pouvant présager d’une future attaque,
Réception des alertes lors de toute modification d’un ou plusieurs fichiers de configuration et/ou exécutables résultant d’une compromission d’un des systèmes de l’architecture (Firewall ou serveurs supportés de la DMZ),
Analye de toutes les alertes reçues et conduite des tests nécessaires,
Si l’analyse montre qu’une attaque est en cours ou sur le point d’être commise, l'équipe LLiS configure « à la volée » les règles de filtrage au niveau du Firewall de façon à stopper ou empêcher toute attaque.
Intervention sur alertes confirmées :
Si une attaque s’avère avoir causé des dommages, LLiS intervient à distance et si nécessaire sur site pour remettre en service toute fonctionnalité se révélant dégradée sur l’un des éléments de l’architecture supportée,
Notre équipe analyse le problème à posteriori de façon à ajuster le ou les éléments de configuration défaillants dans le but d’empêcher qu’une attaque identique ne se reproduise,
En cas de gros problème empêchant la remise en l’état de la configuration actuelle, LLiS remplace le ou les éléments concernés (matériel) ainsi que la configuration.
Pour un audit, un devis, une question, contactez nous :
