Configurer la règle de filtrage basée sur la réputation des machines

L'objectif de cette règle est de bloquer les requêtes ICMP des machines internes dont le score de réputation est supérieur à une valeur déterminée. De cette manière, le script générant ces requêtes et présent sur chacune des machines internes détectera l'absence de réponse et provoquera un changement de comportement de l'agent SES (sécurité accrue).

 

  1. Dans le module Politique de sécurité > Filtrage et NAT > onglet Filtrage, sélectionnez votre politique de filtrage active, cliquez sur Nouvelle règle et puis choisissez Règle simple.
  2. Double cliquez sur le champ État afin d’activer la règle.
  3. Double cliquez sur le champ Source afin d’éditer la règle de filtrage.
  4. Dans l’onglet Géolocalisation / réputation, cochez la case Activer le filtrage selon le score de réputation.
  5. Choisissez l’opérateur (« Supérieur à ») et indiquez le score de réputation souhaité.
  6. Sélectionnez la section Destination (menu gauche de la fenêtre d’édition de règle). Pour le champ Machines destination, sélectionnez (ou créez) la machine vers laquelle les requêtes ICMP seront dirigées. Cette machine doit être joignable en permanence. Il peut s'agir, comme dans cet exemple, de l’interface du firewall connectée aux réseaux internes (objet Firewall_in). Si cette interface nécessite d'être joignable en permanence (exemple : pour une solution de supervision réseau), il est conseillé de lui attribuer une seconde adresse IP dédiée à cette règle.
  7. Sélectionnez la section Port / Protocole. Dans la partie Protocoles, remplissez les champs comme suit :
  • Type de protocole : Protocole IP,
  • Protocole IP : icmp,
  • Message ICMP : requête Echo (Ping).
  1. Validez en cliquant sur OK.
  2. En utilisant cette méthode, créez une règle, placée au dessous de celle-ci, et autorisant les requêtes ICMP pour toutes les autres machines.

 

Ces règles de filtrage prennent donc la forme suivante :