IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Vue par profil d’inspection
Sélection du profil de configuration
Vous pouvez configurer jusqu’à 10 profils, portant par défaut les noms de « IPS_00 », « IPS_01» etc. Leurs noms ne sont pas modifiables dans le module Alarmes mais au sein du menu Protection applicative\Profils d’inspection (Bouton Accéder aux profils) :
Sélectionnez une configuration au sein de la liste déroulante.
Cliquez sur le bouton « Editer » et sélectionnez « Renommer ».
Changez ensuite le nom du profil dans l’emplacement prévu à cet effet et ajoutez un commentaire si besoin.
Cliquez sur « Mettre à jour ».
Vous retrouvez votre profil modifié dans la liste déroulante des configurations du module Applications et Protections.
La sélection multiple
La sélection multiple permet d’assigner une même action à plusieurs alarmes. Sélectionnez plusieurs alarmes se succédant à l’aide de touche Shift ñ ou individuellement avec la touche Ctrl. Vous pourrez également soustraire une sélection à une sélection existante, avec la touche Ctrl.
Certains intitulés de colonnes affichent l’icône 
. Par un simple clic, un menu s’affiche et propose d’assigner un même paramètre à plusieurs alarmes sélectionnées (Action, Niveau, Nouveau et Avancé).
Exemple : Il est possible de supprimer plusieurs lignes en même temps, en les sélectionnant avec la touche « Ctrl » puis en cliquant sur Supprimer.
Au sein d’un profil, vous pouvez effectuer plusieurs actions :
Appliquer un modèle
Plusieurs modèles permettent de configurer le profil des alarmes en paramétrant leur action (Autoriser ou Interdire) et leur niveau (Ignorer, Mineur ou Majeur).
Les modèles BASSE, MOYENNE et HAUTE se différencient essentiellement par l’action des alarmes de type Protections, comme les alarmes relatives aux réseaux "peer-to-peer" ou aux messageries instantanées. Par défaut, les alarmes de type Applications autorisent le trafic et les alarmes de type Malwares le bloquent.
Le modèle INTERNET désactive les alarmes pouvant gêner l’utilisation classique d’Internet, souvent due à de mauvaises pratiques trop répandues pour être interdites. Un exemple est l’alarme levée en cas d'URL contenant des caractères non ASCII.
Par défaut, le profil (1) IPS_01 est basé sur le modèle INTERNET, étant destiné au trafic dont l'adresse IP source fait partie d'un réseau protégé (Voir Profils d’Inspection). Les autres profils sont configurés sur le modèle MOYENNE qui assure un niveau de sécurité standard.
| Internet |
Cette configuration est adaptée au trafic sortant. La plupart des alarmes sont configurées avec l’action « Autoriser », quand elles ne présentent pas de danger pour le réseau interne. |
| Basse |
Les alarmes les moins critiques sont configurées avec l’action « Autoriser ». |
| Moyenne |
Ce modèle est un compromis entre sécurité et blocage excessif ; il est appliqué par défaut au trafic entrant. |
| Haute |
La majorité des alarmes sont configurées avec l’action « bloquer ». |
Nouvelles alarmes
| Approuver les nouvelles alarmes |
En sélectionnant cette option, toutes les nouvelles alarmes matérialisées par l’icône |
seront acceptées. Cela permet de valider l’action et le niveau de l’alarme fixés par défaut. Sélection
Des boutons vous permettent d’effectuer un tri sur les alarmes du profil d’inspection. Les 3 catégories dans lesquelles ces alarmes sont réparties sont Applications, Protections et Malwares. La sélection s’effectue par les 3 boutons du même nom. Le bouton Tous réinitialise la sélection.
| Applications |
Ce type d’alarme est levé par l’utilisation d’applications courantes. Cette sélection permet l’élaboration d’une politique de sécurité applicative. |
| Protections |
Ces alarmes sont levées suite à l’analyse effectuée par le moteur ASQ : elles résultent du blocage d’attaques connues ou d’utilisations anormales des protocoles conformément aux RFC. |
| Malwares |
Ces alarmes sont basées sur les signatures connues de logiciels malveillants, reconnus par des types d’activité suspects. Il est conseillé d’examiner les machines à l’origine de cette catégorie d’alarmes. |
Rechercher
Cet emplacement permet de n’afficher que la ou les alarmes contenant la lettre ou le mot saisi. La recherche est instantanée, afin de filtrer plus facilement les profils et les contextes, sans devoir appuyer sur « Entrée ».
Présélection
Cette liste contient les alarmes générées par un trafic relatif à des familles d’applications. Vous pouvez effectuer un tri et n’afficher que les alarmes faisant partie des catégories suivantes :
| Aucune |
Toutes les alarmes seront affichées, sans distinction de catégorie. |
| BYOD |
Trafic généré par les appareils mobiles de type téléphone ou tablette électronique pour la pratique qui consiste à utiliser ses équipements personnels (Bring your own device). |
| Stockage en ligne |
Applications proposant l’hébergement de données en ligne. |
|
Applications de messagerie en ligne. |
|
| Jeu |
Applications de jeux en ligne. |
| Communication |
Messagerie instantanée et applications de VOIP ou de visioconférence (Skype, Google talk etc.). |
| Multimédia |
Site d’images, de vidéos ou de musique en ligne. |
| Peer to peer |
Echange direct de fichiers entre utilisateurs. |
| Accès à distance |
Contrôle d’ordinateur à distance. |
| Réseaux sociaux |
Sites de communautés en ligne. |
| Web |
Autres applications. |
Cette liste peut être amenée à être modifiée par sa mise à jour via Active Update.
Les différentes colonnes
Pour afficher les colonnes Signatures, Modèle et Profil applicatif, cliquez sur la flèche apparaissant au survol de l’intitulé d’une colonne et cochez les cases correspondantes proposées dans le menu Colonnes.
| Signatures |
Nombre de variantes de l’attaque ou du trafic que la signature levant l’alarme bloque. |
| Modèle |
Modèle appliqué au profil d’inspection qui configure les alarmes en paramétrant leur action et leur niveau. Consultez la section précédente Appliquer un modèle. |
| Message |
Texte décrivant l’alarme et ses caractéristiques. Lors de la sélection d’une alarme, un bouton Aide apparait. Ce lien ouvre une fenêtre d’aide décrivant l’alarme et résumant son action et son niveau. |
| Profil applicatif |
Profil applicatif contenant l’alarme configurée dans ce profil d’inspection. |
| Action |
Lorsqu’une alarme est remontée, le paquet qui a provoqué cette alarme subit l’action associée. Vous pouvez choisir d’Autoriser ou d’Interdire un trafic qui remonte une alarme. |
| Niveau |
Trois niveaux d’alarmes sont disponibles, "Ignorer", "Mineur" et "Majeur". |
| Nouveau |
Permet de visualiser les nouvelles alarmes, matérialisées par l’icône |
| Contexte : id |
Intitulé de l’alarme. L’icône |
| Avancé |
Envoyer un e-mail : un e-mail sera envoyé au déclenchement de l’alarme (cf. module Alertes e-mails) avec les conditions suivantes :
Mettre la machine en quarantaine : la machine responsable de l’alarme sera bloquée avec les paramètres suivants. Pour lever la mise en quarantaine, utilisez Stormshield Network Realtime Monitor.
Capturer le paquet responsable de la remontée de l'alarme : cette capture pourra être visualisée lors de la consultation des alarmes, grâce à un analyseur de réseau (sniffer) tel que Wireshark .
Qos appliquée au flux : chaque flux applicatif générant une alarme peut désormais se voir appliquer une file d’attente de qualité de service. Cette option permet ainsi d’affecter une limitation de bande passante ou une priorité plus faible au flux à l’origine de l’alarme. Cliquez ensuite sur Appliquer. |
représente les alarmes dites sensibles. Référez-vous au paraghraphe ci-dessous pour plus d’informations.Pour chacun des 10 profils, vous pouvez effectuer la configuration comme vous le souhaitez, en en modifiant les paramètres décrits ci-avant.
Alarme sensible
L’action Autoriser d’une alarme stoppe l’analyse protocolaire sur le trafic. Il est donc fortement recommandé de dédier aux flux concernés par l'alarme, une règle de filtrage en mode Firewall (ou IDS pour les traces), plutôt que d’Autoriser ce type d’alarme.
Exemple de l’alarme sensible HTTP 47
Microsoft IIS (Internet Information Server) permet la gestion de serveur d’application en utilisant les technologies Microsoft. La gestion de serveurs web propose l'encodage de caractères étendus en utilisant le format "%uXXXX" propriétaire à Microsoft. Cet encodage n'étant pas un standard, les systèmes de détection d'intrusion ne peuvent pas détecter les attaques utilisant cette méthode.
L’accès à un site ayant une URL contenant ce type de caractères encodés, et ne correspondant à aucun caractère valide, lève l’alarme HTTP n°47 - Encodage en caractère %u invalide dans l'URL (Invalid %u encoding char in URL). Cette alarme considérée comme sensible, bloque l’accès au site.
L’action Autoriser appliquée à une alarme bloquant le trafic, stoppe l’analyse protocolaire de cette connexion (incluant les requêtes suivantes).
Afin de maintenir la protection contre ce type d’attaque et dans le même temps, autoriser un accès à ce type de serveur, il est recommandé de dédier une règle de filtrage en mode Firewall (ou IDS pour les traces), au trafic concerné plutôt que d'Autoriser le trafic bloqué par une alarme dite sensible. Pour rappel, les modes Firewall et IDS autorisent l’ensemble du trafic levant des alarmes (avec détection, pour le mode IDS).