Avant de commencer

Produits concernés : SNS 3.0 et versions supérieures - SES 7.2 et versions supérieures

Dernière mise à jour : avril 2017

L'objectif de ce document est de présenter l'interaction de la gestion de réputation des machines sur un firewall Stormshield Network Security (SNS) avec le niveau de sécurité appliqué par Stormshield Endpoint Security (SES) à une machine infectée.

En effet, lorsque la gestion de réputation des machines internes est activée, et si la réputation d’une machine dépasse une valeur déterminée, il est possible d’augmenter localement le niveau de sécurité du poste à l’aide de SES.

L’exemple décrit dans cette Note Technique présente le cas d’un poste interne infecté. Stormshield Network Vulnerability Manager ayant détecté les vulnérabilités présentes sur cette machine, le score de réputation de celle-ci augmente donc naturellement. Le niveau de sécurité affecté au poste est alors automatiquement accru via SES afin d’éviter que l’infection ne s’étende au reste du réseau interne.

Comprendre l'interaction entre SES et le firewall SNS

Pour réaliser cette configuration, il est nécessaire de créer :

  • une règle de filtrage basée sur la réputation des machines sources et le protocole ICMP. Cette règle interdit un Ping à destination d’une cible normalement joignable en permanence lorsque la réputation des machines sources excède un niveau déterminé.
  • des scripts SES générant des requêtes ICMP vers la destination de la règle de filtrage. Lorsque une machine au score de réputation élevé n’est plus autorisée par le firewall à joindre cette destination, l’échec des Ping entraîne une modification du comportement de l'agent SES afin d’augmenter le niveau de sécurité du poste.

Consultez la suite de ce document pour les détails de la mise en place de chaque étape. Il s'agit d'un exemple, que vous pourrez adapter à d'autres situations du même type.