Passerelles applicatives

Et le risque ne fait que croître proportionnellement à une mobilité toujours plus grande.

Pour offrir la transparence aux utilisateurs mobiles, on est en train de s’éloigner des réseaux privés virtuels (VPN, virtual private networks) pour privilégier l’accès à distance sécurisé au niveau applicatif. C’est ainsi que les RPC (remote procedure calls) sur HTTP de Microsoft Exchange 2003 permettent aux utilisateurs d’employer Outlook à l’intérieur ou à l’extérieur du LAN, sans aucune différence pour l’utilisateur.

 Et de plus en plus d’entreprises intègrent les processus avec leurs partenaires, au niveau transactionnel, en utilisant SOAP (Simple Object Access Protocol) et des protocoles associés. Ce faisant, elles présentent une plus grande surface d’attaque au niveau de l’application, et c’est là que les pirates portent leurs assauts. Vous pouvez réduire le risque de ces attaques applicatives de haut niveau. Pour cela, la première mesure consiste à tenir parfaitement à jour toutes les applications qui communiquent avec des systèmes externes douteux.

L’installation systématique de tous les correctifs aux OS et aux applications est primordiale pour le périmètre de sécurité. (Sachez toutefois que le patching peut être mis à mal par des vulnérabilités récentes rendues publiques avant l’annonce d’un correctif.)

Vous pouvez résister plus dynamiquement aux attaques par réseau au niveau applicatif, au moyen d’une passerelle au niveau applicatif (appelée aussi reverse proxy). Les passerelles au niveau applicatif peuvent surveiller des méthodes d’attaque connues spécifiques, mais ce n’est pas leur principale mission. Une passerelle au niveau applicatif insère, entre Internet et le serveur d’applications, un système qui comprend le protocole qui régit l’application. Ce système de passerelle au niveau applicatif apparaît aux yeux du monde extérieur comme le serveur d’applications d’extrémité, mais, en réalité, la passerelle interprète chaque requête entrante, la réduit au lexique interne du serveur d’applications, puis construit une requête entièrement nouvelle, de manière à empêcher tout contenu défectueux ou malveillant de passer au travers.

Ensuite, la passerelle envoie la nouvelle requête au serveur d’applications réel et traite la réponse de celui-ci de la même manière. Par exemple, une passerelle SMTP qui déconstruit soigneusement un message SMTP entrant puis le reconstruit entièrement dans le strict respect du protocole SMTP, ignore les anomalies du genre suites de caractères invalides ou débordements du buffer.