vendredi 3 juillet 2020    || Inscription
BanniereNews
 
 
La sécurité des données est un des objectifs des politiques de consolidation serveurs. Cette consolidation connaît néanmoins des problématiques de performances en matière d´accès fichiers au sein des réseaux étendus (WAN), auxquelles les outils d´accélération répondraient s´ils n´étaient pas souvent rendus inactifs face à la signature SMB. Ce protocole de sécurité de Microsoft, garant de l´intégrité et de la validité des fichiers disséminés sur un réseau étendu, est en effet susceptible de peser sur le fonctionnement des équipements d´accélération. Cet article propose une approche pour concilier accélération des accès fichiers et sécurité.

IMG/jpg/Mark_Urban.jpg



Le WAFS (Wide Area File Service), une technologie de virtualisation de fichiers, est souvent utilisé par les appliances d´accélération des flux applicatifs sur WAN. Il vise à répondre aux problématiques de performances générées par des protocoles orientés LAN, à l´instar du Common Internet File System (CIFS) de Microsoft. CIFS est en effet un de ces protocoles particulièrement “bavard” qui multiplie les échanges et autres accusés de réception avant d´exécuter une simple tâche d´ouverture de fichier par exemple. Ces flux d´échanges bilatéraux ne sont pas vraiment problématiques au sein des LAN. En revanche, la simple ouverture d´un fichier sur un réseau WAN s´expose aux phénomènes de latence (délai d´acheminement des données sur le lien WAN) qui freinent les performances : cette tâche prendra ainsi jusqu´à plusieurs minutes, tandis que le délai d´exécution des transactions WAN s´allonge jusqu´à peser sur la productivité des collaborateurs.



Pourquoi un accès fichiers lent constitue-t-il une problématique aussi délicate actuellement ?

La réponse tient aux projets de consolidation serveur qui s´inscrivent dans une politique de maîtrise des coûts matériels et logiciels, de rationalisation des tâches administratives sur les sites distants et de sécurité des données d´entreprise, ce dernier objectif étant le plus urgent. La législation européenne en matière de confidentialité, la loi américaine Sarbannes Oxley, ainsi que la criticité de facto des données d´entreprise ont motivé la décision de nombreux DSI de consolider leurs données sur un lieu centralisé et parfaitement sécurisé. Cette centralisation des données est justement à l´origine des problématiques de performances.

Parallèlement à ces performances médiocres, une autre problématique se veut tout aussi cruciale : celle d´assurer l´intégrité des données en prévenant toute altération lors de leur acheminement.

Validation des données et impact sur l´accélération

Le protocole CIFS de Microsoft assure la sécurité des fichiers grâce à une signature SMB (Server Message Block) qui sécurise les paquets acheminés contre les attaques de type “Man-in-the-middle” et autres actes de piratage d´information. Cette protection pourrait être considérée comme superflue au sein d´un LAN. En revanche, dans le cas du WAN, l´intégrité des paquets est primordiale, notamment lorsque ce réseau s´étend via Internet.

La signature SMB permet d´authentifier les paquets. Les utilisateurs d´une application CIFS s´authentifient dans un premier temps et une signature SMB numérique est rajoutée à chaque paquet transmis entre un client et un serveur. Ces signatures vérifient la concordance entre les éléments d´authentification et d´identité sur le serveur et ceux attendus par le client, et vice-versa. Ce processus sécurise ainsi les communications en validant que chaque paquet provient d´une source authentifiée.

L´algorithme qui génère la signature numérique amplifie les charges informatiques tant du côté client que serveur, dans une fourchette de 10 à 15 % selon Microsoft. Dans le cadre d´un périmètre LAN sécurisé, la nouvelle couche de sécurité définie pour les signatures numériques est souvent considérée comme superflue et de nombreuses entreprises désactivent la signature SMB proposée par CIFS pour ainsi accélérer les débits. Côté serveur, cette fonctionnalité est susceptible d´être activée avec un statut facultatif, pour communiquer avec les clients ayant désactivé cette signature.

Une telle configuration est susceptible de générer des problèmes serveurs sur le WAN, en rendant le trafic vulnérable aux attaques de type “Man-in-the-middle” et au piratage d´informations. Le besoin d´une signature SMB, adossée à une solution WAFS s´est fait plus urgent ces derniers temps, avec la prolifération rapide de “SmbRelay”, cet outil de hacking qui automatise l´attaque “Man-in-the-middle” lorsque le protocole SMB est utilisé. Cette signature devient donc une protection contre le piratage de sessions SMB et autre attaques similaires en empêchant qu´un scan passif du réseau n´usurpe ou n´utilise une session établie. La signature SMB fait ainsi partie de ces meilleures pratiques qui sécurisent les solutions WAFS et permettent l´utilisation du CIFS sur l´ensemble du WAN.

Pour autant, les entreprises connaissent deux problématiques majeures avec les solutions WAFS : En premier lieu, l´impossibilité d´utiliser la signature SMB conjointement au WAFS, une situation souvent fortuite pour les entreprises qui utilisent CIFS sans aucun problème depuis des années, mais qui n´ont jamais eu besoin d´activer la signature SMB ou qui l´ont désactivée intentionnellement.

La seconde problématique apparaît lors de l´activation de la signature SMB: les échecs d´ouverture de sessions se multiplient tandis que le débit sur WAN devient poussif. Ces performances médiocres ne sont pas dues à la charge informatique supplémentaire, mais à l´incapacité de certains outils WAFS de compresser et d´accélérer de façon pérenne le trafic authentifié par signature.





WAFS et signature SMB - quelle approche adopter?

Certains produits d´accélération des flux réseau qui se contentent de techniques d´interception du trafic pour mettre en œuvre le spoofing de protocole et compresser les paquets, sont susceptibles d´impacter les processus de signature SMB en ne restaurant pas les paquets à l´identique, à savoir dans leur état et avec leur contenu initiaux. Tout changement, même à l´échelle de l´octet, pèse sur le résultat de l´algorithme qui traite la signature numérique. Dans ce cas, ces types de produits forcent les entreprises à arbitrer entre sécurité WAN et performances.

Pour déployer le WAFS en environnement CIFS, il est important de miser sur un proxy situé aux deux terminaisons d´une connexion lors d´un échange CIFS. Le proxy assure la validation de la signature numérique à l´échelle du LAN, avant tout acheminement des paquets via le WAN, puis établit à nouveau une session CIFS, sécurisée par signature SMB, vers la destination du flux. Ces solutions de proxy doivent garantir que les paquets acheminés via le WAN disposent d´une signature et/ou sont cryptés pour préserver la sécurité activée par SMB.

Cette approche de proxy apporte également aux entreprises utilisatrices du WAFS l´avantage d´une compatibilité avec les autres processus de sécurité et de protection déjà actifs : authentification avec demande d´accès et réponse, protection des ressources partagées et verrouillage des fichiers, mise en cache en lecture/écriture, journalisation et processus de restauration. En optant pour une utilisation de CIFS dans son mode natif, les entreprises concilient sécurité et performances pour leur environnement WAN.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 142933
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI