IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Analyse protocolaire
Certains flux malveillants peuvent avoir les mêmes caractéristiques réseau que des flux autorisés. Le blocage de ces flux est impossible par de simples règles de filtrage sans impact sur le trafic légitime. L’équipement SNS est doté de capacités d’analyses protocolaires permettant un filtrage fin. L’inspection effectuée sur les flux traités par une règle de filtrage peut être paramétrée suivant un des trois niveaux disponibles : Firewall, IPS ou IDS.
Au niveau Firewall, le pare-feu n’effectue que des vérifications sommaires de conformités. En particulier, il contrôlera le respect du sens d’établissement des connexions. Il ne vérifiera ni les drapeaux utilisés, ni les numéros de séquence, ni les options TCP.
ATTENTION
Au niveau Firewall, lorsqu’une session est abandonnée par le pare-feu, il envoie un paquet de réinitialisation possédant un numéro de séquence nul. Le correspondant, ne pouvant le relier à une connexion existante, n’en clôturera aucune.
Au niveau IPS, le pare-feu effectue des vérifications supplémentaires sur le respect des standards des protocoles, ainsi que des analyses reposant sur des signatures d’attaques déjà connues. Ces analyses sont réalisées grâce à des modules d’inspection dédiés à chaque protocole. Suivant le réglage mis en place, le module concerné pourra bloquer les flux identifiés comme malveillants.
Le niveau IDS réalise les mêmes inspections que le niveau IPS, mais ne lèvera que des alarmes si du trafic semble malveillant, sans le bloquer. Le niveau IDS peut être utilisé en pré-production pour analyser les flux qui transitent dans un système et ainsi faciliter l’action de l’administrateur dans sa tâche visant à configurer les modules d’inspection.
Aux niveaux IPS et IDS, il existe différents modes de fonctionnement :
-
Par défaut, les modules d’inspection sont chargés automatiquement, en fonction des ports utilisés dans les règles de filtrage et des caractéristiques du trafic observé par l’équipement. Dans la suite, nous parlerons alors de "mode automatique",
-
Il est également possible de limiter le chargement de ces modules en indiquant ceux à utiliser dans la règle de filtrage. Dans ce cas, le pare-feu n’effectuera que les analyses correspondant au protocole demandé. Nous utiliserons dans ce document le terme de "mode transport" dès lors que les modules indiqués sont uniquement des protocoles de transport (TCP, UDP, ...),
-
Les modules peuvent aussi concerner un protocole applicatif particulier. Nous utiliserons par la suite la notion de "mode applicatif". Dès lors que les modules chargés ont fait l’objet d’une évaluation dans le cadre de la qualification (il s’agit des modules liés aux protocoles suivants : FTP, HTTP (incluant WebDAV), SIP, SMTP, DNS, Modbus, S7 et UMAS), nous utiliserons la dénomination "mode applicatif qualifié".
Le niveau IPS en mode automatique est sélectionné par défaut à la création d’une règle de filtrage. Cependant, le chargement de modules d’analyses protocolaires augmente la charge processeur du pare-feu ainsi que sa surface d’attaque. Dans la mesure du possible, il convient de faire réaliser les fonctions d’analyse protocolaire par des équipements dédiés comme des serveurs proxy afin de limiter le risque de compromission du pare-feu.
R31 | Adapter le type d'inspection de trafic au rôle de l'équipement
Il est recommandé d’utiliser les niveaux Firewall, IPS en mode transport ou IPS en mode applicatif qualifié en cohérence avec le rôle joué par l’équipement dans l’architecture du système d’information considéré. En particulier, il convient d’être vigilant quant à son exposition aux menaces, à son rôle et à la criticité des ressources à protéger.
Le niveau d’analyse et le mode associé sont à définir pour chaque règle de filtrage et varient en fonction du rôle de l’équipement. Par exemple :
-
Si l’équipement est utilisé exclusivement en tant que passerelle VPN en bordure de SI et qu’il est lui-même protégé par d’autres pare-feux, le niveau Firewall permet de dédier ses ressources aux fonctions cryptographiques tout en réduisant sa surface d’attaque,
-
Si le pare-feu est situé entre un SI d’entreprise et le réseau Internet, le niveau IPS en mode transport permet de limiter la surface d’attaque de l’équipement tout en assurant un filtrage fin des connexions,
-
Si le pare-feu protège des serveurs applicatifs joignables uniquement depuis le réseau interne d’une entreprise, le niveau IPS en mode applicatif qualifié peut être utilisé.
La colonne Inspection de sécurité des règles de filtrage (menu Filtrage et NAT) permet de choisir le niveau d’inspection, Firewall, IPS ou IDS. Dans les cas de l’IPS et de l’IDS, la colonne Protocole permet de limiter le niveau d’analyse. L’option Type de protocole positionnée à Protocole IP permet de choisir un protocole de transport dans le menu Protocole IP. Si cette option est positionnée à Protocole applicatif, le menu du même nom permet de choisir le protocole applicatif sur lequel l’équipement agira. Un seul protocole (applicatif ou de transport) peut être choisi par règle de filtrage.
Les niveaux IPS et IDS reposent sur l’utilisation de Profils d’inspection. Ces profils permettent de configurer le comportement du pare-feu en fonction du trafic traité (types d’alarmes à lever, blocage du flux). Avant le passage en production de l’inspection protocolaire, dans un environnement réputé sain (typiquement un environnement de pré-production), il est souhaitable de désactiver les alarmes qui seraient inutilement générées par le trafic légitime afin de ne pas polluer la supervision de sécurité après le passage en production. L’utilisation de multiples profils doit permettre d’ajuster les configurations au contexte d’emploi. Il est en particulier recommandé de créer des profils d’inspection plus fins et donc plus restrictifs pour les applications les plus critiques.
R32 | Adapter les profils d'inspection en fonction du contexte d’emploi du pare-feu
Lorsque l’analyse protocolaire est active, il est recommandé d’ajuster au mieux la politique aux réseaux à protéger en s’appuyant sur différents profils d’inspection.
Parmi les profils d’inspection pré-configurés, deux sont utilisés par défaut : le profil 00 en entrée et le profil 01 en sortie. Le choix du profil se fait à chaque règle de filtrage, à l’onglet Inspection de sécurité. La configuration de ces profils se fait dans le menu Protection applicative > Profils d'inspection, en sélectionnant Accéder aux profils. Chaque profil est alors basé sur les politiques définies au menu Protection applicative > Protocoles. Ces politiques définissent les analyses générales réalisées sur les différents protocoles : les ports par défaut, les commandes à restreindre, le type d’analyse à effectuer, etc. De plus, le menu Protection applicative > Applications et protections définit les analyses plus spécifiques comme la recherche de buffer overflow, de format d’encodage, etc. Ce menu propose une vue par profil ou par contexte.