IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
DNS
L’utilisation de certains services (par exemple proxy web) nécessite la résolution de noms de domaine. Dans le cas d’une compromission des serveurs DNS utilisés, un attaquant peut alors rediriger les flux vers des correspondants illégitimes.
R25 | Choisir des serveurs DNS maîtrisés
Il est recommandé de configurer des résolveurs DNS maîtrisés dans le menu Système > Configuration > Paramètres réseaux.
R25 ⁃ | Modifier les serveurs DNS par défaut
Il est recommandé de remplacer les résolveurs DNS configurés par défaut par ceux du fournisseur d’accès si aucun n’est maîtrisé dans le SI.
La base d’objets d’un équipement SNS permet de créer des objets de type statique ou dynamique. Ces derniers dépendent d’un nom de domaine régulièrement résolu par le pare-feu. Il en existe par défaut une quinzaine qui portent un nom se terminant par netasq.com ou stormshield.eu dont une partie est représentée sur l'image ci-dessous (ces noms peuvent évoluer en fonction des mises à jour). Cela génère des requêtes DNS inutiles et intempestives qui ne peuvent pas être bloquées par des règles de filtrage.
L’utilisation d’un miroir interne (recommandation R24) permet à un équipement SNS de ne pas avoir à contacter directement les serveurs de mise à jour de Stormshield. De plus, l’utilisation de serveurs DNS maîtrisés (recommandation R25) permet de déporter la gestion des adresses des autres services de Stormshield (gestion des licences, etc.).
R26 | Limiter l'usage des objets dynamiques
Il est recommandé de supprimer les objets dynamiques non utilisés et de reconfigurer les objets restants en mode statique dans le menu Objets > Objets réseaux.