Contrôler l'accès au réseau

Cette protection permet de contrôler les accès aux réseaux entrants ou sortants réalisés par des applications données.

Elle permet de filtrer sur :

  • Les événements réseau "bind", "accept" (règle Serveur) et "connect" (règle Client),
  • Les protocoles TCP et UDP,
  • Des ports donnés,
  • Des adresses IPv4 ou IPv6 données.

Il n'est pas nécessaire d'ouvrir explicitement les communications entre le serveur SES Evolution et les agents. En effet, le mécanisme d'autoprotection de l'agent garantit qu'aucune règle de sécurité, quelle qu'elle soit, ne puisse bloquer ces communications.

EXEMPLE
Les règles réseau permettent par exemple de :
  • Protéger un serveur en contrôlant les accès à la machine,
  • Forcer les utilisateurs d'un service de l'entreprise à utiliser une application spécifique pour accéder à une ressource réseau donnée.

Vous devez au préalable avoir créé :

  • Les identifiants d'applications pour les applications autorisées ou ne pouvant pas accéder au réseau. Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.
  • Les identifiants de réseaux pour les adresses IP que vous souhaitez protéger. Pour plus d'informations, reportez-vous à la section Créer des identifiants de réseaux.

Il existe deux types de règles : des règles Client et des règles Serveur.

  • Dans le cadre d'un jeu de règles s’appliquant à des postes de travail, les règles Client permettent d'autoriser ou non les applications à se connecter sur des ressources distantes (champ Distant), en contrôlant l'événement réseau "connect". Elles permettent aussi de s'adresser à des sous-réseaux spécifiques par exemple (champ Local).
  • Dans le cadre d'un jeu de règles s’appliquant à des serveurs, les règles Serveur permettent d'autoriser ou non les applications à ouvrir des ports et à accepter les connexions entrantes (champ Local), en contrôlant les événements réseau "bind" et "accept". Elles permettent aussi de spécifier la provenance des connexions (champ Distant).

Pour créer une règle d'accès au réseau :

  1. Choisissez le menu Sécurité > Politiques et cliquez sur votre politique.
  2. Sélectionnez un jeu de règles.
  3. Cliquez sur l'onglet Réseaux > Firewall.
  4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  5. Choisissez d'ajouter une règle réseau Client ou une règle réseau Serveur en cliquant sur un des boutons Ajouter une règle. Une nouvelle ligne s'affiche.
  6. Dans la partie gauche de la règle, choisissez le ou les identifiants de réseaux des ressources à protéger :
    • Include (Local) : Ressource locale concernée par la règle. Par exemple, si le poste de travail dispose de plusieurs cartes réseau, vous pouvez préciser laquelle est concernée.
    • Exclude (Local) Ressource locale exclue de la règle.
    • Include (Remote) : Ressource distante concernée par la règle. Par exemple, vous pouvez spécifier la Zone internet.
    • Exclude (Remote) : Ressource distante exclue de la règle.
  7. Dans le champ Ports, indiquez les ports concernés par la règle réseau. Il s'agit des ports de destination pour les règles Client et des ports locaux pour les règles Serveur.
    • Pour ajouter plusieurs ports à la fois, séparez-les d'une virgule. Exemple : 8080,8081.
    • Pour ajouter une plage de ports, séparez la première valeur et la dernière valeur par un tiret. Exemple : 80-90.
    • Pour spécifier que tous les ports sont concernés, laissez le champ vide.
  8. Choisissez le protocole de transport TCP ou UDP, ou bien les deux.
  9. Dans la zone Comportement par défaut, choisissez le comportement pour chaque événement réseau Connect, Accept ou Bind :
    • Accept (pour une règle Serveur): interdit ou autorise les applications spécifiées à recevoir des connexions entrantes sur la ou les ressources réseau indiquées,
    • Bind (pour une règle Serveur) : interdit ou autorise les applications spécifiées à ouvrir des connexions sur la ou les ressources réseau indiquées,
    • Connect (pour une règle Client) : interdit ou autorise les applications spécifiées à se connecter sur la ou les ressources réseau indiquées.

      • Les comportements possibles dans une règle de protection sont les suivants :

      • Autoriser pour autoriser par défaut l'action,
      • Bloquer pour bloquer par défaut l'action,
      • Bloquer et interrompre pour bloquer par défaut l'action et arrêter le processus à l'origine de l'action.
      • Bloquer, interrompre et mettre en quarantaine pour bloquer par défaut l'action, arrêter le processus à l'origine de l'action, et mettre en quarantaine les fichiers suspects. Pour plus d'informations, reportez-vous à la section Gérer la mise en quarantaine de fichiers.
  10. Cliquez sur l'icône + Ajouter un comportement spécifique et choisissez la ou les identifiants d'application correspondant aux ressources à exclure du comportement par défaut.

EXEMPLE
Voici la règle Client que vous pouvez créer pour bloquer les connexions depuis la carte réseau du réseau non protégé vers la zone internet et le réseau protégé via les ports 80, 443 et 8080 et le protocole TCP. Seul le serveur web spécifié, se trouvant dans le réseau de protégé, sera accessible.Exemple de règle d'accès réseau

  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité.
    • Indiquer si la règle doit générer un contexte lorsqu'elle s'applique. Par défaut, si la règle émet des logs de niveau Urgence ou Alerte, elle génère un contexte, mais vous pouvez désactiver cette fonctionnalité. En cas de génération massive de logs similaires, le contexte n'est pas généré. Pour plus d'informations sur la génération massive de logs, reportez-vous à la section Surveiller l'activité des agents SES Evolution .
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'une notification soit affichée sur l'agent et/ou qu'un script soit exécuté.
    • Saisir une description pour expliquer l'objectif de la règle.
  2. Chaque règle affiche sur sa gauche son numéro de rang. Si besoin, réagencez l'ordre de vos règles en cliquant sur les flèches en dessous et au-dessus du numéro.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.