Vue par profil d’inspection

Sélection du profil de configuration

Vous pouvez configurer jusqu’à 10 profils, portant par défaut les noms de « IPS_00 », « IPS_01» etc. Leurs noms ne sont pas modifiables dans le module Alarmes mais au sein du menu Protection applicative\Profils d’inspection (Bouton Accéder aux profils) :

Sélectionnez une configuration au sein de la liste déroulante.

Cliquez sur le bouton « Editer » et sélectionnez « Renommer ».

Changez ensuite le nom du profil dans l’emplacement prévu à cet effet et ajoutez un commentaire si besoin.

n4 Cliquez sur « Mettre à jour ».

Vous retrouvez votre profil modifié dans la liste déroulante des configurations du module Applications et Protections.

La sélection multiple

La sélection multiple permet d’assigner une même action à plusieurs alarmes. Sélectionnez plusieurs alarmes se succédant à l’aide de touche Shift ñ ou individuellement  avec la touche Ctrl. Vous pourrez également soustraire une sélection à une sélection existante, avec la touche Ctrl.

Certains intitulés de colonnes affichent l’icône . Par un simple clic, un menu s’affiche et propose d’assigner un même paramètre à plusieurs alarmes sélectionnées (Action, Niveau, Nouveau et Avancé).

Exemple : Il est possible de supprimer plusieurs lignes en même temps, en les sélectionnant avec la touche « Ctrl » puis en cliquant sur Supprimer.

 

Au sein d’un profil, vous pouvez effectuer plusieurs actions :

Appliquer un modèle

Plusieurs modèles permettent de configurer le profil des alarmes en paramétrant leur action (Autoriser ou Interdire) et leur niveau (Ignorer, Mineur ou Majeur).

Les modèles BASSE, MOYENNE et HAUTE se différencient essentiellement par l’action des alarmes de type Protections, comme les alarmes relatives aux réseaux "peer-to-peer" ou aux messageries instantanées. Par défaut, les alarmes de type Applications autorisent le trafic et les alarmes de type Malwares le bloquent.

Le modèle INTERNET désactive les alarmes pouvant gêner l’utilisation classique d’Internet, souvent due à de mauvaises pratiques trop répandues pour être interdites. Un exemple est l’alarme levée en cas d'URL contenant des caractères non ASCII.

Par défaut, le profil (1) IPS_01 est basé sur le modèle INTERNET, étant destiné au trafic dont l'adresse IP source fait partie d'un réseau protégé (Voir Profils d’Inspection). Les autres profils sont configurés sur le modèle MOYENNE qui assure un niveau de sécurité standard.

Internet

Cette configuration est adaptée au trafic sortant. La plupart des alarmes sont configurées avec l’action « Autoriser », quand elles ne présentent pas de danger pour le réseau interne.

Basse

Les alarmes les moins critiques sont configurées avec l’action « Autoriser ».

Moyenne

Ce modèle est un compromis entre sécurité et blocage excessif ; il est appliqué par défaut au trafic entrant.

Haute

La majorité des alarmes sont configurées avec l’action « bloquer ».

Nouvelles alarmes

Approuver les nouvelles alarmes

En sélectionnant cette option, toutes les nouvelles alarmes matérialisées par l’icône seront acceptées. Cela permet de valider l’action et le niveau de l’alarme fixés par défaut.

Sélection

Des boutons vous permettent d’effectuer un tri sur les alarmes du profil d’inspection. Les 3 catégories dans lesquelles ces alarmes sont réparties sont Applications, Protections et Malwares. La sélection s’effectue par les 3 boutons du même nom. Le bouton Tous réinitialise la sélection.

Applications

Ce type d’alarme est levé par l’utilisation d’applications courantes. Cette sélection permet l’élaboration d’une politique de sécurité applicative.

Protections

Ces alarmes sont levées suite à l’analyse effectuée par le moteur ASQ : elles résultent du blocage d’attaques connues ou d’utilisations anormales des protocoles conformément aux RFC.

Malwares

Ces alarmes sont basées sur les signatures connues de logiciels malveillants, reconnus par des types d’activité suspects. Il est conseillé d’examiner les machines à l’origine de cette catégorie d’alarmes.

Rechercher

Cet emplacement permet de n’afficher que la ou les alarmes contenant la lettre ou le mot saisi. La recherche est instantanée, afin de filtrer plus facilement les profils et les contextes, sans devoir appuyer sur « Entrée ».

Présélection

Cette liste contient les alarmes générées par un trafic relatif à des familles d’applications. Vous pouvez effectuer un tri et n’afficher que les alarmes faisant partie des catégories suivantes :

Aucune

Toutes les alarmes seront affichées, sans distinction de catégorie.

BYOD

Trafic généré par les appareils mobiles de type téléphone ou tablette électronique pour la pratique qui consiste à utiliser ses équipements personnels (Bring your own device).

Stockage en ligne

Applications proposant l’hébergement de données en ligne.

Email

Applications de messagerie en ligne.

Jeu

Applications de jeux en ligne.

Communication

Messagerie instantanée et applications de VOIP ou de visioconférence (Skype, Google talk etc.).

Multimédia

Site d’images, de vidéos ou de musique en ligne.

Peer to peer

Echange direct de fichiers entre utilisateurs.

Accès à  distance

Contrôle d’ordinateur à distance.

Réseaux sociaux

Sites de communautés en ligne.

Web

Autres applications.

Cette liste peut être amenée à être modifiée par sa mise à jour via Active Update.

Les différentes colonnes

Pour afficher les colonnes Signatures, Modèle et Profil applicatif, cliquez sur la flèche apparaissant au survol de l’intitulé d’une colonne et cochez les cases correspondantes proposées dans le menu Colonnes.

Signatures

Nombre de variantes de l’attaque ou du trafic que la signature levant l’alarme bloque.

Modèle

Modèle appliqué au profil d’inspection qui configure les alarmes en paramétrant leur action et leur niveau. Consultez la section précédente Appliquer un modèle.

Message

Texte décrivant l’alarme et ses caractéristiques.

Lors de la sélection d’une alarme, un bouton Aide apparait. Ce lien ouvre une fenêtre d’aide décrivant l’alarme et résumant son action et son niveau.
Profil applicatif

Profil applicatif contenant l’alarme configurée dans ce profil d’inspection.

Action

Lorsqu’une alarme est remontée, le paquet qui a provoqué cette alarme subit l’action associée. Vous pouvez choisir d’Autoriser ou d’Interdire un trafic qui remonte une alarme.

Niveau

Trois niveaux d’alarmes sont disponibles, "Ignorer", "Mineur" et "Majeur".

Nouveau

Permet de visualiser les nouvelles alarmes, matérialisées par l’icône .

Contexte : id

Intitulé de l’alarme.

L’icône représente les alarmes dites sensiblesRéférez-vous au paraghraphe ci-dessous pour plus d’informations.

Avancé

Envoyer un e-mail : un e-mail sera envoyé au déclenchement de l’alarme (cf. module Alertes e-mails) avec les conditions suivantes :

  • Nombre d’alarme avant l'envoi: nombre minimal d’alarmes requises avant le déclenchement de l’envoi, pendant la période fixée ci-après.
  • Pendant la période de (secondes) : délai en secondes pendant lequel les alarmes sont émises, avant l’envoi de l’email.

 

Mettre la machine en quarantaine : la machine responsable de l’alarme sera bloquée avec les paramètres suivants. Pour lever la mise en quarantaine, utilisez Stormshield Network Realtime Monitor.

  • pour une période de (minutes) : durée de la mise en quarantaine

 

Capturer le paquet responsable de la remontée de l'alarme : cette capture pourra être visualisée lors de la consultation des alarmes (Realtime Manager ou Unified Reporter), grâce à un analyseur de réseau (sniffer) tel que Wireshark .

 

Qos appliquée au flux : chaque flux applicatif générant une alarme peut désormais se voir appliquer une file d’attente de qualité de service. Cette option permet ainsi d’affecter une limitation de bande passante ou une priorité plus faible au flux à l’origine de l’alarme.

Cliquez ensuite sur Appliquer.

Pour chacun des 10 profils, vous pouvez effectuer la configuration comme vous le souhaitez, en en modifiant les paramètres décrits ci-avant.

Alarme sensible

L’action Autoriser d’une alarme stoppe l’analyse protocolaire sur le trafic. Il est donc fortement recommandé de dédier aux flux concernés par l'alarme, une règle de filtrage en mode Firewall (ou IDS pour les traces), plutôt que d’Autoriser ce type d’alarme.

 

Exemple de l’alarme sensible HTTP 47

Microsoft IIS (Internet Information Server) permet la gestion de serveur d’application en utilisant les technologies Microsoft. La gestion de serveurs web propose l'encodage de caractères étendus en utilisant le format "%uXXXX" propriétaire à Microsoft. Cet encodage n'étant pas un standard, les systèmes de détection d'intrusion ne peuvent pas détecter les attaques utilisant cette méthode.

L’accès à un site ayant une URL contenant ce type de caractères encodés, et ne correspondant à aucun caractère valide, lève l’alarme HTTP n°47 - Encodage en caractère %u invalide dans l'URL (Invalid %u encoding char in URL). Cette alarme considérée comme sensible, bloque l’accès au site.

L’action Autoriser appliquée à une alarme bloquant le trafic, stoppe l’analyse protocolaire de cette connexion (incluant les requêtes suivantes).

Afin de maintenir la protection contre ce type d’attaque et dans le même temps, autoriser un accès à ce type de serveur, il est recommandé de dédier une règle de filtrage en mode Firewall (ou IDS pour les traces), au trafic concerné plutôt que d'Autoriser le trafic bloqué par une alarme dite sensible. Pour rappel, les modes Firewall et IDS autorisent l’ensemble du trafic levant des alarmes (avec détection, pour le mode IDS).