L’onglet « Filtrage »

La technologie de prévention d’intrusion Stormshield Network inclut un moteur de filtrage dynamique des paquets (« stateful inspection ») avec optimisation du traitement des règles permettant une application de la politique de filtrage de manière sûre et rapide.

La mise en œuvre des fonctions de filtrage est basée sur la confrontation des attributs de chaque paquet IP reçu aux critères de chaque règle de la politique de filtrage actif. Le filtrage porte sur tous les paquets sans exception.

En ce qui concerne l’utilisateur ou le groupe d’utilisateurs autorisés par la règle, à partir du moment où un utilisateur s’est identifié et authentifié avec succès à partir d’une machine donnée, le firewall retient ce fait et attribue le nom de l'identifiant de cet utilisateur à tous les paquets IP en provenance de l’adresse de cette machine.

En conséquence, les règles qui spécifient l’authentification des utilisateurs, même sans préciser de contraintes sur les utilisateurs autorisés, ne peuvent s’appliquer qu’à des paquets IP émis d’une machine à partir de laquelle un utilisateur s’est préalablement authentifié. Chaque règle de filtrage peut spécifier une action de contrôle (voir colonne Action).

Le Filtrage est composé de deux parties. Le bandeau situé en haut de l’écran, permettant de choisir la politique de filtrage, de l’activer, de l’éditer et de visualiser sa dernière modification. La grille de filtrage est dédiée à la création et la configuration des règles.

Vérification en temps réel de la politique

La politique de filtrage d’un firewall est un des éléments les plus importants pour la protection de vos données ou de vos ressources internes. Bien que cette politique évolue sans cesse, s’adapte aux nouveaux services, aux nouvelles menaces, aux nouvelles demandes des utilisateurs, elle doit conserver une cohérence parfaite afin que des failles n’apparaissent pas dans la protection que propose le firewall.

L’enjeu est d’éviter la création de règles qui en inhiberaient d’autres. Lorsque la politique de filtrage est conséquente, le travail de l’administrateur est d’autant plus fastidieux que ce risque s’accroît. De plus, lors de la configuration avancée de certaines règles de filtrage très spécifiques, la multiplication des options pourrait entraîner la création d’une règle erronée, ne correspondant plus aux besoins de l’administrateur.

Pour éviter cela, l’écran d’édition des règles de filtrage des firewalls dispose d’un champ de « Vérification de la politique » (situé en dessous de la grille de filtrage), qui prévient l’administrateur en cas d’inhibition d’une règle par une autre ou d’erreur sur une des règles créées.

Exemple : [Règle 2] Cette règle ne sera jamais appliquée car elle est couverte par la règle 1.

Les actions sur les règles de la politique de filtrage

Rechercher

Ce champ permet la recherche par occurrence, lettre ou mot.

Exemple : Si vous saisissez « Network_internals » dans le champ, toutes les règles de filtrage comportant « Network_internals » s’afficheront dans la grille.

Nouvelle règle

Insérer une ligne prédéfinie ou à définir après la ligne sélectionnée.

 

5 choix sont possibles, les règles d’authentification, d’inspection SSL et de proxy HTTP explicite seront définies via un assistant dans une fenêtre à part :

 

  • Règle simple: Cette option permet de créer une règle vide laissant à l’administrateur la possibilité de remplir les différents champs de la grille de filtrage.
  • Séparateur – regroupement de règles : Cette option permet d’insérer un séparateur au-dessus de la ligne sélectionnée.
  • Ce séparateur permet de regrouper des règles qui régissent le trafic vers les différents serveurs et contribue à améliorer la lisibilité et la visibilité de la politique de filtrage en y indiquant un commentaire.

    Les séparateurs indiquent le nombre de règles regroupées et les numéros de la première et dernière de ces règles. sous la forme : « Nom de la règle (contient nombre total règles, de n° première à n° dernière) ».

    Vous pouvez plier et déplier le nœud du séparateur afin de masquer ou afficher le regroupement de règle. Vous pouvez également copier/coller un séparateur d’un emplacement à un autre.

  • Règle d’authentification : Cette option a pour but de rediriger les utilisateurs non authentifiés vers le portail captif. En la sélectionnant, un assistant d’authentification s’affiche.
  • Vous devrez choisir la Source (affichant « Network_internals » par défaut) et la Destination (affichant « Internet » par défaut) de votre trafic parmi la liste déroulante d’objets, puis cliquer sur Terminer. Le choix du port n'est pas proposé, le port HTTP est choisi automatiquement.

    Vous pouvez spécifier en Destination, des catégories ou groupes d’URL dérogeant à la règle, donc accessibles sans authentification (l’objet web authentication_bypass contient par défaut les sites de mise à jour Microsoft). L’accès à ces sites sans authentification peut donc bénéficier comme les autres règles des inspections de sécurité du Firewall.

  • Règle d’inspection SSL : Cet assistant a pour but de créer des règles inspectant le trafic chiffré SSL. Il est fortement conseillé de passer par cet assistant pour la génération des deux règles indispensables au bon fonctionnement du proxy SSL.
  • Vous devrez définir la Politique du trafic à déchiffrer en indiquant les Machines sources (« Network_internals » par défaut), l’Interface d’entrée (« any » par défaut), la Destination (« Internet » par défaut) et le Port de destination (« ssl_srv » par défaut) parmi la liste déroulante d’objets.

    Afin d’Inspecter le trafic déchiffré via la seconde zone de la fenêtre de l’assistant, vous pourrez définir la configuration du Profil d’Inspection, en choisissant l’une de celles que vous avez définies au préalable ou laisser en mode « Auto ». Ce mode automatique appliquera l’inspection relative à l’origine du trafic (cf  Protection Applicative/ Profils d’inspection).

    Vous pouvez également activer l’Antivirus ou l’Antispam et sélectionner des politiques de filtrage URL, SMTP, FTP ou SSL (vérification du champ CN du certificat présenté).

  • Règle de proxy HTTP explicite : Cette option permet d’activer le proxy HTTP explicite et de définir qui peut y accéder. Vous devrez choisir un objet Machines et une Interface d’entrée via le champ « Source ». Définissez ensuite l’Inspection du trafic relayé en indiquant si vous souhaitez activer l’Antivirus et sélectionner des politiques de filtrage URL.
  • NOTE

    Afin de permettre une politique similaire sur un firewall hébergé dans le Cloud et une appliance physique, le port d’écoute d’un proxy explicite HTTP peut être configuré sur un port différent du port par défaut (8080/TCP).

     

    Cliquez ensuite sur Terminer.

Supprimer

Supprime la ligne sélectionnée.

Monter

Placer la ligne sélectionnée avant la ligne directement au-dessus.

Descendre

Placer la ligne sélectionnée après la ligne directement en dessous.

Tout dérouler

Étendre l’arborescence des règles.

Tout fermer

Regrouper l’arborescence des règles.

Couper

Couper une règle de filtrage dans le but de la coller.

Copier

Copier une règle de filtrage dans le but de la dupliquer.

Coller

Dupliquer une règle de filtrage, après l’avoir copié.

Chercher dans les logs

Lorsqu'une règle de filtrage est sélectionnée, cliquez sur ce bouton pour lancer automatiquement une recherche portant sur le nom de la règle dans la vue "Tous les journaux" (module Logs > Journaux d'audit > Vues).

Chercher dans la supervision Lorsqu'une régle de filtrage est sélectionnée, cliquez sur ce bouton pour lancer automatiquement une recherche portant sur le nom de la règle dans le module de supervision des connexions.
Réinitialiser les statistiques des règles En cliquant sur ce bouton, vous réinitialisez les compteurs numériques et graphiques d'utilisation des règles de filtrage situés dans la première colonne de la grille.
Réinit. colonnes

Lorsque vous cliquez sur la flèche de droite dans le champ du nom d’une colonne (exemple : État), vous avez la possibilité d’afficher des colonnes supplémentaires ou d’en retirer afin qu’elles ne soient pas visibles à l’écran, grâce à un système de coche.

 

Exemple : Vous pouvez cocher les cases « Nom » et « Port src » qui ne sont pas affichées par défaut.

 

En cliquant sur le bouton réinit. colonnes, vos colonnes seront remises à leur état initial, avant que vous n’ayez coché de case additionnelle. Ainsi, les cases Nom et Port src seront de nouveau masquées.

NOTE 

Si vous cliquez rapidement 10 fois sur le bouton "Monter", vous distinguez la règle monter visuellement mais la fenêtre d'attente n'apparaît que lorsqu'on ne touche plus au bouton au-delà de 2 ou 3 secondes. Et au final, une seule commande sera passée. Ceci rend le déplacement des règles beaucoup plus fluide.

Précision sur les symboles rencontrés lors de configuration d'une règle de filtrage

Comparaison mathématique

Chaque fois que vous rencontrerez une liste déroulante d’objets au sein des colonnes (exceptées « Etat » et « Action ») une icône d’opérateur de comparaison mathématique apparaîtra (). Elle ne sera utilisable que si un autre objet que « Any » est sélectionné.

Vous pourrez ainsi personnaliser les paramètres de votre trafic par le biais de l’icône suivante de 4 manières différentes :

  • « = » (ou ): la valeur de l’attribut correspond à ce qui est sélectionné.
  • « != »  (ou ) la valeur de l’attribut est différente de ce qui est sélectionné.
  • « < »  (ou ; utilisable uniquement pour les ports source, ports destination et scores de réputation de machines) : la valeur de l’attribut est inférieure à ce qui est sélectionné.
  • « > » (ou ; utilisable uniquement pour les ports source, ports destination et scores de réputation de machines) : la valeur de l’attribut est supérieure à ce qui est sélectionné.

Ajout / modification d'objet

Certaines listes déroulantes de sélection d'objets proposent le bouton qui permet d'accéder à un menu contextuel :

  • Créer un objet : un nouvel objet peut directement etre créé depuis le module Filtrage/NAT
  • Modifier cet objet : lorsqu'un objet est présent dans le champ, il peut directement être édité pour modification (changement de nom, d'adresse IP pour une machine, ajout dans un groupe...), à l'exception des objets en lecture seule ("Any", "Internet", ..).

La grille de filtrage

Elle vous permet de définir les règles de filtrage à appliquer. Ordonnez-les afin d'avoir un résultat cohérent : le firewall exécute les règles dans l'ordre d'apparition à l'écran (numérotées 1, 2 etc) et s'arrête dès qu’il trouve une règle correspondant au paquet IP.

Il convient donc de définir les règles dans l'ordre du plus restrictif au plus général.

Réorganisation des règles

Dans toute politique de sécurité, chaque règle peut être glissée et déplacée pour réorganiser aisément la politique (filtrage ou NAT). Le symbole ainsi que l'infobulle "Glissez et déplacez pour réorganiser" apparaissent lorsque la souris survole le début de la règle.

Statistiques d’usage des règles 

Dans la politique de sécurité active, chaque règle activée de filtrage et de NAT affiche également un compteur d’utilisation. Au survol de l’icône, une info-bulle indique le nombre exact d’exécution de la règle. Les 4 niveaux d’utilisations correspondent aux valeurs suivantes, selon le pourcentage du compteur de la règle la plus utilisée :

 

0%

  1

de 0 à 2%

  2 de 2 à 20% (de 2 à 100% si le compteur est inférieur à 10 000)
  3 de 20 à 100 %, avec un min. de 10 000 fois (sinon niveau précédent)

Pour obtenir un nouvel indicateur, un bouton « Réinitialiser les statistiques des règles » recommence une nouvelle collecte. Ce compteur est réinitialisé, si :

  • l’un des paramètres de la règle est modifié (sauf le commentaire),
  • une autre politique est activée,
  • le firewall est redémarré.

Si aucune icône n’est affichée, cela signifie que l’information est indisponible.

État

Cette colonne affiche l’état On/ Off de la règle. Double-cliquez dessus pour changer l’état : en effectuant cette manipulation une fois, vous activez la règle de filtrage. Renouvelez l’opération pour la désactiver.

Menu Général de la boite d'édition de la règle de filtrage

Général

État Sélectionnez l'état On ou Off pour respectivement activer ou désactiver la règle en cours d'édition.
Commentaire

Vous pouvez saisir un commentaire : celui-ci sera affiché en toute fin de règle lors de l'affichage de la politique de filtrage.

Configuration avancée

Nom de la règle Vous pouvez affecter un nom à la règle de filtrage : ce nom est repris dans les logs est facilité l'identification de la règle de filtrage lors d'une recherche dans les logs ou vues (menu Logs - journaux d'audit).

Action

Cette zone désigne l’action appliquée sur le paquet remplissant les critères de sélection de la règle de filtrage. Pour définir les différents paramètres de l’action, double-cliquez dans la colonne, une fenêtre contenant les éléments suivants s’affiche :

Onglet « Général »

Général

Action

Il est possible d’effectuer 5 actions différentes :

Passer : Le firewall Stormshield Network laisse passer le paquet correspondant à cette règle de filtrage. Le paquet ne descend plus dans la liste de règles.

 

 

Bloquer : Le firewall Stormshield Network bloque silencieusement le paquet correspondant à cette règle de filtrage : le paquet est supprimé sans que l'émetteur ne s’en aperçoive. Le paquet ne descend plus dans la liste des règles.

 

 

Déchiffrer : Cette action permet de déchiffrer le trafic chiffré. Le flux déchiffré continue descend dans la liste des règles. Il sera de nouveau chiffré après l’analyse (si aucune règle ne le bloque).

 

Tracer uniquement: Le firewall Stormshield Network n'effectue aucune action. Ceci est utile si vous voulez juste tracer certains flux sans appliquer d'action particulière. Dans ce cas, les règles de filtrage continuent à être évaluées car aucune action (Bloquer ou Autoriser) n'a été appliquée sur le trafic.

 

Reinit. TCP/UDP: Cette option concerne surtout les trafics TCP et UDP :

 

Dans le cas d’un trafic TCP, un paquet « TCP reset » sera envoyé à l’émetteur de celui-ci.

Dans le cas d’un trafic UDP, une notification ICMP Destination Unreachable (Port Unreachable) sera envoyée à l’émetteur de celui-ci.

 

En ce qui concerne les autres protocoles IP, le Firewall Stormshield Network bloque simplement le paquet correspondant à cette règle de filtrage.

 

Si vous vous trouvez en mode d’édition de la politique globale de filtrage, une 6ème possibilité apparaît: « Déléguer ».

Cette option permet de ne plus confronter le trafic au reste de la politique globale, mais de le confronter directement à la politique locale.

Niveau de trace

Par défaut, la valeur est fixée sur aucune, donc aucune trace n’est enregistrée. Plusieurs niveaux de traces sont possibles :

Aucun : Aucune trace n’est conservée si le paquet correspond à cette règle de filtrage.

 

NOTE

Cette option est indisponible si vous avez préalablement choisi l’action « Tracer » au sein du champ précédent.

 

Tracer (journal de filtrage): Si vous choisissez cette option, une trace des chaque connexion correspondan à la règle sera ajoutée dans les logs de filtrage.

 

Alarme mineure : Dès que cette règle est appliquée à une connexion, une alarme mineure est générée. Cette alarme est reportée dans les logs, et peut être envoyée par Syslog, (partie Traces - Syslog - IPFIX) ou par e-mail (voir module Alertes e-mails).

 

Alarme majeure : Dès que cette règle est appliquée à une connexion, une alarme majeure est générée. Cette alarme est reportée dans les logs, et peut être envoyée par Syslog, (partie Traces - Syslog - IPFIX) ou par e-mail (voir module Alertes e-mails).

 

Programmation horaire

Sélectionnez ou créez un Objet Temps.

 

Vous pourrez ainsi définir la période/le jour de l’année/le jour de la semaine/ l’heure/la récurrence de validité des règles.

 

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton

 

Routage

Passerelle - routeur

Cette option est utile pour spécifier un routeur particulier qui permettra de diriger le trafic correspondant à la règle vers le routeur défini. Le routeur sélectionné peut être un objet de type « machine » ou de type « routeur ».

 

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton

IMPORTANT

Si des routeurs sont spécifiés dans les règles de filtrage (Policy Based Routing), la disponibilité de ces routeurs est systématiquement testée par l’envoi de  messages ICMP echo request. Lorsque le routeur détecté comme injoignable est un objet « machine », la passerelle par défaut, renseignée dans le module Routage, sera choisie automatiquement. S’il s’agit d’un objet « routeur », le comportement adopté dépendra de la valeur choisie pour le champ Si aucune passerelle n’est disponible dans la définition de cet objet (voir la section Objets Réseau).

Pour plus d’informations techniques, reportez-vous à la Base de connaissance - version anglaise du support technique (article "How does the PBR hostcheck work ?").

 

Cliquer sur Ok pour valider votre configuration.

Onglet « Qualité de service »

Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service.

Dès sa réception ; le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à la bonne file d’attente suivant la configuration du champ QoS de cette règle de filtrage.

 

QoS

File d’attente

Ce champ vous propose de choisir parmi les files d’attente que vous avez définies au préalable au sein du module Qualité de service, du menu Politique de Sécurité.

Répartition

Pas de répartition : Si vous choisissez cette option, aucune attribution particulière de bande passante ne sera effectuée et chaque utilisateur/machine/connexion l’utilisera en fonction de ses besoins.

 

Equité entre les utilisateurs : la bande passante sera répartie équitablement entre les différents utilisateurs.

 

Equité entre les machines : la bande passante sera répartie équitablement entre les différentes machines.

 

Equité entre les connexions : la bande passante sera répartie équitablement entre les différentes connexions.

 

Seuil de connexion

Le firewall Stormshield Network peut limiter le nombre maximal de connexions acceptées par seconde pour une règle de filtrage. On peut définir le nombre désiré, pour les protocoles correspondants à la règle (TCP, UDP, ICMP et quelques requêtes applicatives). Cette option vous permet notamment d'éviter le déni de service que pourrait tenter d'éventuels pirates : vous pouvez ainsi limiter le nombre de requêtes par seconde adressées à vos serveurs.

 

Les paquets reçus une fois cette limite dépassée, seront bloqués et ignorés.

AVERTISSEMENT

La limitation ne s'appliquera qu'à la règle correspondante.

Exemple : Si vous créez une règle FTP, seule la limitation TCP sera prise en compte.

REMARQUE

Si l'option est affectée à une règle contenant un groupe d'objets, la limitation s'applique au groupe dans son ensemble (nombre total de connexions).

 

Si le seuil est atteint

Ne rien faire : aucune limitation de connexions ou requêtes par seconde (c/s) ne sera établie.

 

Protéger des attaques SYN flood: Cette option permet de protéger les serveurs contre les attaques par saturation de paquets TCP SYN (« SYN flooding ») le proxy SYN répondra à la place du serveur et évaluera la fiabilité de la requête TCP, avant de la transmettre.

Vous pourrez limiter le nombre de connexions TCP par secondes pour cette règle de filtrage dans le champ en dessous.

 

Déclencher l'alarme associée : Selon le nombre maximum de connexions par seconde que vous attribuerez aux protocoles ci-dessous, le trafic sera bloqué une fois que le nombre défini sera dépassé. Les identifiants de ces alarmes sont les suivantes : 28 ICMP /  29 UDP / 30 TCP SYN / 253 TCP/UDP.

TCP (c/s)

Nombre de connexions maximum par seconde autorisé pour le protocole TCP.

UDP (c/s)

Nombre de connexions maximum par seconde autorisé pour le protocole UDP.

ICMP (c/s)

Nombre de connexions maximum par seconde autorisé pour le protocole ICMP.

Requêtes applicatives (r/s)

Nombre de requêtes applicatives  maximum par seconde autorisé pour les protocoles HTTP et DNS.

Cliquer sur Ok pour valider votre configuration.

 

DSCP

Le DSCP (Differentiated Services Code Point) est un champ dans l'entête d'un paquet IP. Le but de ce champ est de permettre la différentiation de services contenus dans une architecture réseau. Celle-ci spécifie un mécanisme pour classer et contrôler le trafic tout en fournissant de la qualité de service (QoS).

Forcer la valeur

En cochant cette case, vous dégrisez le champ du dessous et libérez l’accès au service DSCP.

 

Cette option permet de réécrire le paquet avec la valeur donnée, afin que le routeur suivant connaisse la priorité à appliquer sur ce paquet.

Nouvelle valeur DSCP

Ce champ permet de définir une différenciation des flux. Via celui-ci, il est possible de déterminer grâce à un code préétabli, l’appartenance d’un trafic à un certain service plutôt qu’à un autre. Ce service DSCP, utilisé dans le cadre de la Qualité de Service, permet à l’administrateur d’appliquer des règles de QoS suivant la différenciation des services qu’il aura définis.

Cliquer sur Ok pour valider votre configuration.

Onglet « Configuration avancée »

Redirection

Redirection vers le service

Aucun : Cette option implique qu’aucun des deux services suivants ne sera utilisé: l’utilisateur ne passera pas par le proxy HTTP et ne sera pas redirigé vers la page d’authentification.

 

Proxy HTTP : Si vous choisissez cette option, les connexions des utilisateurs seront interceptées par le proxy HTTP qui analysera le trafic.

Ce service sera sélectionné lors de création de règles par l'assistant de règle de proxy HTTP explicite.

 

Authentification : Si vous choisissez cette option, les utilisateurs non authentifiés seront redirigés vers le portail captif lors de leur connexion.

Ce service sera sélectionné lors de création de règles par l'assistant règle d’authentification.

Redirection d’appels SIP (UDP) entrants

Cette option permet au firewall Stormshield Network de gérer les communications entrantes basées sur le protocole SIP vers des machines internes masquées par de la translation d'adresses (NAT).

URLs sans authentification

Ce champ devient accessible si l’option précédente Service redirige le flux vers le portail d’authentification (règle d’authentification).

Il permet de spécifier des catégories ou groupes d’URL dérogeant à l’authentification ; les sites listés deviennent donc accessibles sans authentification, ce qui est par exemple utile pour accéder aux sites de mise à jour. Cet accès peut donc bénéficier des inspections de sécurité du Firewall. Il existe par défaut dans la base objets web, un groupe d’URL nommé authentication_bypass contenant les sites de mise à jour Microsoft.

Traces

Destination des traces pour cette règle

Cette option permet de définir une ou plusieurs méthodes de stockage des traces générées par la règle :

  • Disque : stockage local.
  • Serveur Syslog : le(s) profil(s) Syslog incluant les traces de Politique de filtrage devra(devront) être défini(s) dans l'onglet SYSLOG du menu Notifications > Traces - Syslog - IPFIX.
  • Collecteur IPFIX : le(s) collecteur(s) IPFIX devra(devront) être défini(s) dans l'onglet IPFIX du menu Notifications > Traces - Syslog - IPFIX.

Chaque trace comportera le détail des connexions évaluées au travers de la règle.

Configuration avancée

Compter

Si vous cochez cette case, le firewall Stormshield Network comptera le nombre de paquets correspondants à cette règle de filtrage et génèrera un rapport.

Il est ainsi possible d’obtenir des informations de volumétrie sur les flux désirés.

Forcer en IPSec les paquets source En cochant cette option, et pour cette règle de filtrage, vous obligez les paquets issus du réseau ou des machines sources à emprunter un tunnel IPSec actif pour atteindre leur destination.
Forcer en IPSec les paquets retour En cochant cette option, et pour cette règle de filtrage, vous obligez les paquets retour (réponses) à emprunter un tunnel IPSec actif pour joindre la machine à l'initiative du flux.

Cliquer sur Ok pour valider votre configuration.

Source

Ce champ désigne la provenance du paquet traité, il est utilisé comme critère de sélection pour la règle. Un double-clic sur cette zone permettra de choisir la valeur associée dans une fenêtre dédiée.

Celle-ci comporte trois onglets :

Onglet « Général »

Général

Utilisateur

La règle s’appliquera à l’utilisateur que vous sélectionnerez dans ce champ.

Vous pouvez filtrer l'affichage des utilisateurs selon la méthode ou l'annuaire LDAP désiré en cliquant sur l'icône . Seuls les annuaires et méthodes activés (onglet Méthodes disponibles du module Authentification et annuaires LDAP définis dans le module Configuration des annuaires) sont présentés dans cette liste de filtrage.

 

Selon la méthode d’authentification, plusieurs utilisateurs génériques sont proposés :

  • « Any user@any» : désigne tout utilisateur authentifié, quel que soit l'annuaire ou la méthode d'authentification utilisés.
  • « Any user@guest_users.local.domain » : désigne tout utilisateur authentifié par la méthode « Invité ».
  • « Any user@voucher_users.local.domain » : désigne tout utilisateur authentifié par la méthode « Comptes temporaires ».
  • « Any user@sponsored_users.local.domain » : désigne tout utilisateur se présentant via la méthode « Parrainage ».
  • « Any user@none » : désigne tout utilisateur authentifié par une méthode ne reposant pas sur un annuaire LDAP (exemple : méthode Kerberos).

  • « Unknown users » : désigne tout utilisateur inconnu ou non authentifié.

NOTE

Pour que les utilisateurs non authentifiés soient automatiquement redirigés vers le portail captif, il faut définir au moins une règle qui s’applique à l’objet « Unknown users ». Cette règle s’appliquera également dès qu’une authentification expire.

 

Machines sources

La règle s’appliquera à l’objet (créé préalablement au sein de leur menu dédié : Objets\module Objets réseau) que vous sélectionnerez dans ce champ. La machine source est la machine d’où provient la connexion.

Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône

 

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton

Interface d’entrée

Interface sur laquelle s’applique la règle de filtrage présentée sous forme de liste déroulante. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source.

Il est possible de la modifier pour appliquer la règle sur une autre interface. Cela permet également de spécifier une interface particulière si « Any » a été sélectionnée comme machine source.

Cliquer sur OK pour valider votre configuration.

NOTE

Les règles de filtrage avec une source de type user@objet (sauf any ou unknow@object), avec un protocole autre qu’HTTP, ne s’appliquent pas aux Objets Multi-utilisateurs (Authentification > Politique d’authentification). Ce comportement est inhérent au mécanisme de traitement des paquets effectué par le moteur de prévention d’intrusion.

Onglet « Géolocalisation / Réputation»

Géolocalisation

Sélectionnez une région

Ce champ permet d'appliquer la règle de filtrage aux machines source dont l'adresse IP publique appartient à des pays, continents ou groupes de régions (groupe de pays et/ou de continents - préalablement définis dans le module Objets > Objets réseau).

Réputation des adresses IP publiques

Sélectionnez une catégorie de réputation

Ce champ permet d'appliquer la règle de filtrage aux machines dont l'adresse IP publique est classifiée dans l'une des catégories de réputation prédéfinies :

  • anonymiseur : proxies, convertisseurs IPv4 vers IPv6.
  • botnet : machines infectées exécutant des programmes malveillants.
  • malware : machines distribuant des programmes malveillants
  • phishing : serveurs de messagerie compromis.
  • scanner : machines exécutant du balayage de ports (port scanning) ou des attaques par force brute.
  • spam : serveurs de messagerie compromis.
  • noeud de sortie tor : serveurs d'extrémités du réseau Tor.
  • bad : regroupe l'ensemble des catégories ci-dessus.

NOTE

La réputation d'une adresse IP publique pouvant être à la limite de deux catégories (botnet et malware), et ce champ ne permettant de sélectionner qu'une seule catégorie, il est conseillé d'utiliser le groupe "bad" pour une protection optimale.

 

D'autres catégories de machines sont également disponibles afin de faciliter la mise en place de règles de filtrage pour les solutions Microsoft Online :

  • Exchange Online : serveurs d'hébergement de messagerie d'entreprise.
  • Microsoft Identité et authentification : serveurs d'authentification utilisés pour l'accès à la solution Microsoft Office 365.
  • Office 365 : serveurs d'hébergement de la solution de stockage et de bureautique Microsoft Office 365.
  • Office Online : serveurs d'hébergement de la solution de bureautique en ligne gratuite Microsoft Office.
  • Sharepoint Online : serveurs d'hébergement de la solution collaborative Microsoft Sharepoint en ligne.
  • Skype Entreprise Online : serveurs d'hébergement de la solution professionnelle de messagerie instantanée Skype.
  • Microsoft : regroupe l'ensemble des catégories de machines hébergeant les services Microsoft en ligne.

Réputation des machines

Activer le filtrage selon le score de réputation

Cochez cette case afin d'activer le filtrage en fonction du score de réputation des machines du réseau interne.

 

Pour activer la gestion de réputation des machines et définir les machines concernées par le calcul d'un score de réputation, rendez-vous dans le module Protection applicative > Réputation des machines.

Score de réputation

Ce champ permet de sélectionner le score de réputation au dessus duquel () ou au dessous duquel () la règle de filtrage s'appliquera aux machines supervisée.

 

Cliquer sur Ok pour valider votre configuration.

Onglet « Configuration avancée »

Configuration avancée

Port source

Ce champ permet de préciser le port utilisé par la machine source, si c'est une valeur particulière.

Par défaut, le module "Stateful" mémorise le port source utilisé et seul celui-ci est autorisé pour les paquets retour.

 

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton

Via

Tous : Cette option implique qu’aucun des trois services suivants ne seront utilisés : la connexion ne passera pas par le proxy HTTP, ne sera pas redirigé vers la page d’authentification et ne passera pas par un tunnel VPN IPsec.

Proxy HTTP explicite : Le trafic provient du proxy HTTP.

Proxy SSL : Le trafic provient du proxy SSL.

Tunnel VPN IPsec : Le trafic provient d’un tunnel VPN IPsec.

Tunnel VPN SSL : Le trafic provient d’un tunnel VPN SSL.

DSCP source

Ce champ permet de filtrer en fonction de la valeur du champ DSCP du paquet reçu.

Authentification

Méthode d'authentification

Ce champ permet de restreindre l'application de la règle de filtrage à la méthode d'authentification sélectionnée.

Cliquer sur Ok pour valider votre configuration.

Destination

Objet destination utilisé comme critère de sélection pour la règle, un double-clic sur cette zone permettra de choisir la valeur associée dans une fenêtre dédiée. Celle-ci comporte deux onglets :

Onglet « Général »

Général

Machines destinations

Sélectionnez dans la base objets figurant dans la liste déroulante, la machine destinataire du trafic.Vous pouvez Ajouter ou Supprimer un objet en cliquant sur l’icône  .

 

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton .

Cliquer sur Ok pour valider votre configuration.

Onglet « Géolocalisation / Réputation»

Géolocalisation

Sélectionnez une région

Ce champ permet d'appliquer la règle de filtrage aux machines destination dont l'adresse IP publique appartient à des pays, continents ou groupes de régions (groupe de pays et/ou de continents - préalablement définis dans le module Objets > Objets réseau).

Réputation des adresses IP publiques

Sélectionnez une catégorie de réputation

Ce champ permet d'appliquer la règle de filtrage aux machines destination dont l'adresse IP est classifiée dans l'une des catégories de réputation prédéfinies :

  • anonymizer : proxies, convertisseurs IPv4 vers IPv6.
  • botnet : machines infectées exécutant des programmes malveillants.
  • malware : machines distribuant des programmes malveillants
  • phishing : serveurs de messagerie compromis.
  • scanner : machines exécutant du balayage de ports (port scanning) ou des attaques par force brute.
  • spam : serveurs de messagerie compromis.
  • tor exit node : serveurs d'extrémités du réseau Tor.
  • Bad : regroupe l'ensemble des catégories ci-dessus.

NOTE

La réputation d'une adresse IP publique pouvant être à la limite de deux catégories (botnet et malware), et ce champ ne permettant de sélectionner qu'une seule catégorie, il est conseillé d'utiliser le groupe "Bad" pour une protection optimale.

Réputation des machines

Activer le filtrage selon le score de réputation

Cochez cette case afin d'activer le filtrage en fonction du score de réputation des machines du réseau interne.

 

Pour activer la gestion de réputation des machines et définir les machines concernées par le calcul d'un score de réputation, rendez-vous dans le module Protection applicative > Réputation des machines.

Score de réputation

Ce champ permet de sélectionner le score de réputation au dessus duquel () ou au dessous duquel () la règle de filtrage s'appliquera aux machines destination supervisées.

 

Cliquer sur Ok pour valider votre configuration.

Onglet « Configuration avancée »

Configuration avancée

Interface de sortie

Cette option permet de choisir l’interface de sortie du paquet sur laquelle s’applique la règle de filtrage.

Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP de destination. Il est possible de filtrer en fonction de l’interface de sortie du paquet.

 

NAT sur la destination

Destination

Si vous souhaitez translater l’adresse IP de destination du trafic, sélectionnez en une parmi les objets de la liste déroulante. Sinon, laissez le champ tel qu’il est : à savoir « None » par défaut.

 NOTE

Comme ce trafic est déjà translaté par cette option, les autres règles de NAT de la politique courante ne seront pas appliquées à ce flux.

 

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton .

Publication ARP

Cette option permet de pouvoir spécifier une publication ARP, lorsqu’on utilise une règle de filtrage avec du NAT sur la destination. Elle doit être activée si l'adresse IP publique de destination (avant application du NAT) est une IP virtuelle et n'est pas celle de l'UTM.

 NOTE

Un autre moyen de mettre en place cette publication consisterait à ajouter l’adresse IP virtuelle à l’interface concernée, depuis le module Interfaces.

Cliquer sur Ok pour valider votre configuration.

Port / Protocole

Le port de destination représente le port sur lequel la machine « source » ouvre une connexion sur une machine de «destination ». Cette fenêtre permet également de définir le protocole sur lequel s’applique la règle de filtrage.

Port

Port destination

Service ou groupe de service utilisé comme critère de sélection pour cette règle. Un double-clic sur cette zone permet de choisir l’objet associé. 

Exemples: Port 80 : service HTTP / Port 25 : service SMTP

 

Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône 

 

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton .

Type de protocole

Selon le type de protocole que vous choisissez ici, le champ qui suivra s’affichera différemment :

Détection automatique du protocole (par défaut)

Si vous cochez cette option, un champ du même nom apparaîtra en dessous avec les données suivantes :

Protocole applicatif : Basé sur les ports par défaut ou le contenu

Protocole IP : Tous

Protocole applicatif

L’intérêt de ce choix  est d’appliquer une analyse applicative sur un port différent du port par défaut. Lorsque vous cochez cette case, le champ suivant portant le même nom vous propose de choisir :

Protocole applicatif : Choisissez le protocole souhaité dans la liste déroulante.

Protocole IP : Tous

Protocole IP

Si vous cochez cette option, le champ suivant proposera une liste déroulante de différents protocoles IP.

 NOTE

Il est possible de suivre l‘état des connexions IP pour les protocoles autres que TCP, UDP ou ICMP.

Suivi des états (stateful)

Si vous choisissez le type « Protocole IP », une option « stateful » vous est proposée.

Cette option est cochée par défaut pour tout protocole IP autre que TCP, UDP, ICMP et IGMP.

 NOTE

Par exemple, vous pouvez activer le suivi d’état (mode « stateful ») des connexions pour le protocole GRE, utilisé dans les tunnels PPTP. Grâce à ce suivi, il est possible de réaliser des opérations de translation sur la source (map), la destination (redirection), ou les 2 (bimap).

Toutefois, il est impossible de distinguer 2 connexions qui partagent les mêmes adresses sources et destinations. Concrètement, lorsque le firewall réalise une opération de translation sur la source N -> 1 (map), une seule connexion simultanée vers un serveur PPTP sera possible.

 

En cas de translation de la destination choisie, une option supplémentaire est disponible :

Translation de Port

Port destination translaté

Port vers lequel est faite la translation. Les paquets réseaux reçus seront redirigés sur un port donné d'une machine ou un équipement réseau vers une autre machine ou équipement réseau. Si vous souhaitez translater le port de destination du trafic, sélectionnez en un parmi les objets de la liste déroulante.

Sinon, laissez le champ tel qu’il est : à savoir « None » par défaut. Dans ce cas, le champ Port de destination restera inchangé.

Inspection de sécurité

Type d’inspection

Général

Niveau d’inspection

IPS (Détecter et bloquer)

Si vous sélectionnez cette option, l’IPS Stormshield Network (Intrusion Prevention System) détectera et bloquera les tentatives d’intrusion de la couche « réseau » à la couche « applicative » du modèle OSI.

IDS (Détecter)

En sélectionnant cette option, l’IDS Stormshield Network (Intrusion Detection System) détectera les tentatives d’intrusion sur votre trafic, mais sans les bloquer.

Firewall (Ne pas inspecter)

Cette option ne donne accès qu’aux fonctions de base de sécurité informatique, et ne fera que filtrer votre trafic sans l’inspecter.

Profil d’inspection

Selon le sens du trafic, IPS_ 00 à 09

Vous pouvez personnaliser la configuration de votre inspection de sécurité en lui attribuant une politique prédéfinie, celle-ci apparaîtra dans la grille de filtrage.

Les configurations numérotées peuvent être renommées dans le menu Protection applicative > Profils d’inspection.

NOTE

La valeur proposée par défaut (Selon le sens du trafic) utilise le profil IPS_00 pour les flux entrants et le profil IPS_01 pour les flux sortants.

Inspection applicative

Antivirus

Les boutons On/ Off vous permettent d’activer ou de désactiver l’Antivirus au sein de votre règle de filtrage.

 NOTE

Cette analyse est réalisée uniquement sur les protocoles HTTP, FTP, SMTP, POP3 et leurs variantes en SSL. Elle est paramétrable pour chacun de ces protocoles via le menu Protection applicative > Protocoles.

Sandboxing

Les boutonsOn/Off vous permettent d’activer ou de désactiver l’analyse sandboxing (fichiers malveillants) au sein de votre règle de filtrage.

NOTE

L’activation de cette option nécessite l’utilisation de l’antivirus Kaspersky.

NOTE

Cette analyse est réalisée uniquement sur les protocoles HTTP, FTP, SMTP, POP3 et leurs variantes en SSL. Elle est paramétrable pour chacun de ces protocoles via le menu Protection applicative > Protocoles.

Antispam

Les boutons On/ Off vous permettent d’activer ou de désactiver l’Antispam au sein de votre règle de filtrage.

 NOTE

Cette analyse est réalisée uniquement sur les protocoles SMTP, POP3 et leurs variantes en SSL. Elle est paramétrable pour chacun de ces protocoles via le menu Protection applicative > Protocoles.

Cache HTTP

Les boutons On/Off vous permettent d’activer ou de désactiver le cache HTTP au sein de votre règle de filtrage.

 

Cette fonctionnalité permet la mise en mémoire de tout type de ressources lors des consultations de sites WEB, évitant de re-télécharger ces ressources sur internet lors de nouvelles consultations, et même par des clients différents. Ce mode est cependant préconisé uniquement pour les liaisons internet à faible bande passante ou dont l’accès est restreint à un nombre de sites WEB limité. Cette fonctionnalité est disponible uniquement pour les modèles équipés d’un disque dur.

 NOTE

Cette option ne s’applique que sur le trafic HTTP et HTTPS si l'inspection SSL est activée.

 

La taille de l'ensemble des données mémorisable est de 100Mo sur le disque et de 1Mo en mémoire vive.  La taille maximum d’une ressource pouvant être mémorisée est de 32Ko. Le suivi des ressources mises en mémoire et la gestion du cache peuvent être visualisés via Realtime Monitor (Tableau de Bord).

 

Filtrage URL

Pour activer ce filtrage, choisissez un profil de filtrage URL au sein des profils proposés.

Filtrage SMTP

Pour activer ce filtrage, choisissez un profil de filtrage SMTP au sein des profils proposés.

 NOTE

Le choix d’une politique de filtrage SMTP active également le proxy POP3 dans le cas où la règle de filtrage autorise le protocole POP3.

Filtrage FTP

Les boutons On/ Off vous permettent d’activer ou de désactiver le filtrage FTP au sein de votre règle de filtrage, correspondant aux commandes FTP définies dans le plug-in FTP (module Protocoles).

Filtrage SSL

Pour activer ce filtrage, choisissez un profil de filtrage SSL au sein des profils proposés.

Commentaire

Vous pouvez ajouter une description permettant de distinguer plus facilement votre règle de filtrage et ses caractéristiques.

Le commentaire des nouvelles règles indique la date de création et l'utilisateur l’ayant créée si celui-ci n’est pas le compte « admin », sous la forme « Créée le {date}, par {login} ({adresse IP}) ». Ce renseignement automatique peut être désactivé en décochant l’option «Commentaires des règles avec date de création (Filtrage et NAT) - (Comments about rules with creation date (Filtering and NAT) » l’option proposée dans le module Préférences.