FTP

Onglet « IPS »

Le protocole FTP supporte la RFC principale [RFC959] ainsi que de nombreuses extensions.

L’activation de ce protocole permet de prévenir des grandes familles d’attaques applicatives basées sur le protocole FTP. Ce protocole effectue diverses analyses comme l’analyse de conformité aux RFC, la vérification de la taille des paramètres des commandes FTP ou les restrictions sur le protocole (SITE EXEC par exemple). Ces analyses, permettent ainsi de stopper les attaques comme FTP Bounce, FTP PASV DoS, Buffer Overflow…Ce protocole est indispensable pour permettre au trafic FTP de traverser le firewall et de gérer dynamiquement les connexions de données du protocole FTP.

Détecter et inspecter automatiquement le protocole

Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.

Authentification

Autoriser l’authentification SSL

Activation du support de l’authentification SSL pour le protocole (FTP uniquement). En cochant cette option, les données personnelles comme le login et le mot de passe pourront être chiffrées, et donc, protégées.

Ne pas analyser la phase d'authentification FTP

Aucune vérification des données ne sera effectuée

Taille des éléments (en octets)

La mise en place d’une taille maximale pour les éléments (en octets) permet de lutter contre les attaques par débordement de tampon (buffer overflow).

Nom d’utilisateur

Nombre maximum de caractères que peut contenir un nom d’utilisateur : Celui-ci est compris entre 10 et 2048 octets.

Mot de passe utilisateur

Nombre maximum de caractères pour le mot de passe FTP. Il doit être compris entre 10 et 2048 octets.

Chemin (répertoire + nom de fichier)

Nombre maximum de caractères que peut contenir le parcours suivi par l’exécution du programme, soit le circuit emprunté dans l’arborescence pour parvenir au fichier FTP. Ce nombre est compris entre 10 et 2048 octets.

Commande SITE

Nombre maximum de caractères que peut contenir la commande SITE (entre 10 et 2048 octets).

Autres commandes

Nombre maximum de caractères que peut contenir les commandes supplémentaires (entre 10 et 2048 octets)

Support

Désactiver la prévention d’intrusion

En cochant cette option, l'analyse du protocole FTP sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.

Tracer chaque requête FTP

Activation ou désactivation de la remontée des logs concernant le protocole FTP.

 

Onglet « Proxy »

Filtrer la bannière d’accueil envoyée par le serveur FTP

En cochant cette option, la bannière du serveur ne sera plus envoyée lors d’une connexion FTP.

Interdire les rebonds (FTP bounce)

Permet d’éviter le spoofing, ou usurpation d’adresse IP. Une machine extérieure, en exécutant la commande PORT et en spécifiant une adresse IP interne, pourrait accéder à des données confidentielles, en exploitant les failles d’un serveur FTP ou d’une machine vulnérables par « rebond ».

Connexion

Conserver l’adresse IP source originale

Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande.

 

Si cette option est cochée, cette nouvelle requête utilisera l’adresse IP source originale du client web qui a émis le paquet. Dans le cas contraire, c’est l’adresse du firewall qui sera utilisée.

Modes de transfert autorisés

Entre le client et le proxy

Lorsque le client FTP envoie une requête au serveur, celle-ci est d’abord interceptée par le proxy qui l’analyse. Du point de vue du « client » FTP, le proxy correspond au serveur. Cette option permet de définir le mode de transfert autorisé :

 

Si Actif uniquement est spécifié, le client FTP détermine le port de connexion à utiliser pour transférer les données. Le serveur FTP initialisera la connexion de son port de données (port 20) vers le port spécifié par le client.

 

Si Passif uniquement est spécifié, le serveur FTP détermine lui-même le port de connexion à utiliser afin de transférer les données (data connexion) et le transmet au client.

 

Si Actif et passif est spécifié, le client FTP aura le choix entre les deux modes de transfert au moment de la configuration du firewall.

Entre le proxy et le serveur

Lorsque le proxy a terminé l’analyse de la requête cliente, il la transfère au serveur FTP. Ce dernier interprète le proxy comme le client FTP, puisque le proxy a un rôle intermédiaire, il est transparent.

 

Les modes de transfert autorisés sont les mêmes que pour l’option précédente.

Onglet « Commandes FTP »

Proxy

Commandes principales

Bouton Modifier les commandes d’écriture : Ce bouton permet de passer sans analyser bloquer ou analyser la syntaxe et vérifier que la commande est conforme aux RFC en vigueur, ceci, pour les commandes d’écriture.

Bouton Modifier toutes les commandes : Ce bouton permet de passer sans analyser, bloquer ou analyser la syntaxe et vérifier que la commande est conforme aux RFC en vigueur, ceci, aussi bien pour les commandes génériques que les commandes de modification.

 

Commande

Nom de la commande.

Action

3 autorisations possibles entre « Passer sans analyser », « Analyser » et « Bloquer ».

Type de commande

Indication du type de commande. Les commandes FTP dites «d’écriture» définies dans les RFC sont des commandes pouvant entraîner des modifications au niveau du serveur comme, par exemple, la suppression de données ou encore la création de répertoires. Le fonctionnement de ces commandes est identique aux commandes dites « génériques » : en effet, vous pouvez laisser passer une commande, la bloquer ou analyser la syntaxe et vérifier que la commande est conforme aux RFC en vigueur.

Autres commandes autorisées

Il est possible d’Ajouter des commandes supplémentaires, dans la limite de 21 caractères, et de les Supprimer si besoin.

IPS

Commandes FTP autorisées

Il est possible de définir des commandes FTP au sein de la prévention d’intrusion, en cliquant sur Ajouter, dans la limite de 115 caractères. La suppression est également autorisée.

Commandes FTP interdites

Il est possible d’interdire des commandes FTP au sein de la prévention d’intrusion, dans la limite de 115 caractères.

Liste des commandes génériques FTP et détail du filtrage

  • ABOR : Commande qui interrompt le transfert en cours. Cette commande n’accepte pas d’argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • ACCT : Commande qui spécifie le compte à utiliser pour se connecter. Cette commande n’accepte qu’un seul argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • ADAT : Commande qui envoie des données de sécurité pour l’authentification. Cette commande n’accepte qu’un seul argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • AUTH : Commande qui sélectionne le mécanisme de sécurité pour l’authentification. Cette commande n’accepte qu’un seul argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • CCC : Commande qui autorise le message non protégé.
  • CDUP : Commande qui modifie le répertoire de travail au parent. Cette commande n’accepte pas d’argument. . Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • CONF : Commande qui spécifie le message « confidentiel » utilisé pour l’authentification.
  • CWD : Cette commande modifie le répertoire de travail. Cette commande accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • ENC : Cette commande spécifie le message « privé » utilisé pour l’authentification. Cette commande n’accepte qu’un seul argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • EPRT : Cette commande active le mode de transfert actif étendu. Cette commande n’accepte qu’un seul argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • EPSV : Cette commande sélectionne le mode de transfert passif étendu. Cette commande doit être passée avec au plus un argument. Cette commande est bloquée par défaut.
  • FEAT : Cette commande affiche les extensions supportées par le serveur.  Elle n’accepte pas d’argument. Le résultat de cette commande est filtré par le proxy si on demande le filtrage de la commande FEAT.
  • HELP : Cette commande retourne les détails pour une commande donnée. Cette commande doit être passée avec au plus un argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • LIST : Cette commande liste le contenu d’une localisation donnée d’une manière amicale.
  • MDTM : Cette commande affiche le dernier temps de modification pour un fichier donné. Cette commande accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • MIC : Cette commande spécifie le message « sain » utilisé pour l’authentification. Cette commande n’accepte qu’un seul argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • MLSD : Cette commande affiche le contenu du dossier normalisé. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • MLST : Cette commande affiche l’information du fichier normalisé. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • MODE : Cette commande spécifie le mode de transfert. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC. Cette commande fait l’objet d’un filtrage plus important. Elle n’est autorisée qu’avec les arguments S, B, C et Z. Si l’analyse antivirale est activée, seul l’argument S est autorisé.
  • NLST : Cette commande liste le contenu d’une localisation donnée de l’ordinateur de manière amicale. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • NOOP : Cette commande ne fait rien. Elle n’accepte pas d’arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • OPTS : Cette commande spécifie les options d’état pour la commande donnée. Cette commande accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • PASS : Cette commande spécifie le mot de pass utilisé pour la connexion. Cette commande n’accepte qu’un seul argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • PASV : Cette commande sélectionne le mode de transfert passif. Cette commande n’accepte pas d’argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • PBSZ : Cette commande spécifie la taille des blocs encodés. Cette commande n’accepte qu’un seul argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • PORT : Cette commande sélectionne le mode de transfert actif. Cette commande n’accepte qu’un seul argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • PROT : Cette commande spécifie le niveau de protection. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC. Cette commande fait l’objet d’un filtrage plus important. En effet, seuls les arguments C, S E et P sont acceptés.
  • PWD : Cette commande affiche le dossier de travail en cours. Cette commande n’accepte pas d’argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • QUIT : Cette commande termine la session en cours et la connexion. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • REIN : Cette commande termine la session en cours (initialisée avec l’utilisateur). Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • REST : Cette commande spécifie l’offset par lequel le transfert doit être repris. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC. Cette commande fait l’objet d’un filtrage plus important. En effet, elle est interdite en cas d’analyse antivirale. Dans le cas contraire, le proxy vérifie qu’un seul argument est présent.
  • RETR : Cette commande récupère un fichier donné. Cette commande accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC
  • SITE : Cette commande exécute une commande spécifique du serveur. Cette commande n’accepte qu’un seul argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • SIZE : Cette commande affiche la taille de transfert pour un fichier donné. Cette commande accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • SMNT : Cette commande modifie la structure de données du système en cours. Cette commande accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • STAT : Cette commande affiche l’état en cours. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • STRU : Cette commande spécifie la structure des données transférées. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC. Cette commande fait l’objet d’un filtrage plus important. Elle n’est autorisée qu’avec les arguments F, R et P. Si l’analyse antivirale est activée, alors seul l’argument F est autorisé.
  • SYST : Cette commande affiche l’information à propos du système d’opération du serveur. Cette commande n’accepte pas d’argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • TYPE : Cette commande spécifie le type des données transférées. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC. Cette commande fait l’objet d’un filtrage plus important. Elle n’est autorisée qu’avec les commandes ASCII, EBCDIC, IMAGE, I, A, E, L. Si l’analyse antivirale est activée, seuls les arguments ASCII, IMAGE, I et A sont autorisés. L’option L peut être suivie d’un argument numérique. L’option L peut être suivie d’un argument numérique. Les options E, A, EBCDIC et ASCII acceptent les arguments suivants : N, C et T.
  • USER : Cette commande spécifie le nom de l’utilisateur utilisé pour se connecter.
  • XCUP : Cette commande modifie le dossier de travail au parent. Cette commande n’accepte pas d’argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • XCWD : Cette commande modifie le dossier de travail. Cette commande accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.
  • XPWD : Cette commande affiche le dossier de travail en cours. Cette commande n’accepte pas d’argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC.

Liste des commandes de modification FTP et détail du filtrage

  • ALLO : Cette commande alloue de l’espace de stockage sur ce serveur. Elle accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC si l’option « Activer les commandes de modification » est activée. Sinon, la commande est bloquée.
  • APPE : Cette commande ajoute (ou crée) à la localisation donnée. Cette commande fait l’objet d’un filtrage plus important. En effet, cette commande est interdite lorsque l’analyse antivirale est activée (risque de contournement). Dans le cas contraire, on vérifie qu’au moins un argument est présent.
  • DELE : Cette commande supprime un fichier donné. Elle accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC si l’option « Activer les commandes de modification » est activée. Sinon, la commande est bloquée.
  • MKD : Cette commande crée un nouveau répertoire. Elle accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC si l’option « Activer les commandes de modification » est activée. Sinon, la commande est bloquée.
  • RMD : Cette commande supprime le répertoire donné. Elle accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC si l’option « Activer les commandes de modification » est activée. Sinon, la commande est bloquée.
  • RNFR : Cette commande sélectionne un fichier qui doit être renommé. Elle accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC si l’option « Activer les commandes de modification » est activée. Sinon, la commande est bloquée.
  • RNTO : Cette commande spécifie le nouveau nom du fichier sélectionné. Elle accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC si l’option « Activer les commandes de modification » est activée. Sinon, la commande est bloquée.
  • STOR : Cette commande conserve un fichier donné. Elle accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC si l’option « Activer les commandes de modification » est activée. Sinon, la commande est bloquée.
  • STOU : Cette commande conserve un fichier donné avec un nom unique. Cette commande n’accepte pas d’argument. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC si l’option « Activer les commandes de modification » est activée. Sinon, la commande est bloquée.
  • XMKD : Cette commande créée un nouveau répertoire. Elle accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC si l’option « Activer les commandes de modification » est activée. Sinon, la commande est bloquée.
  • XRMD : Cette commande supprime le répertoire donné. Elle accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC si l’option « Activer les commandes de modification » est activée. Sinon, la commande est bloquée.

Onglet « Utilisateurs FTP »

Liste des utilisateurs

Utilisateurs autorisés

Il est possible de définir des utilisateurs FTP au sein de la prévention d’intrusion, en cliquant sur Ajouter, dans la limite de 127 caractères. La suppression est également autorisée.

Utilisateurs refusés

Il est possible d’interdire des utilisateurs FTP au sein de la prévention d’intrusion, en cliquant sur Ajouter, dans la limite de 127 caractères. La suppression est également autorisée.

Onglet « Analyse des fichiers »

Taille max. pour l'analyse antivirale et sandboxing (Ko)

Il est possible ici de déterminer la taille maximale utilisée pour l’analyse des fichiers.

Vous pouvez également configurer l’action à entreprendre si le fichier est supérieur à la taille autorisée.

AVERTISSEMENT

Lorsque vous définissez une taille limite de données analysées manuellement, veillez à conserver un ensemble de valeurs cohérentes. En effet, l’espace mémoire total correspond à l’ensemble des ressources réservées pour le service Antivirus. Si vous définissez que la taille limite des données analysées sur FTP est de 100% de la taille total, aucun autre fichier ne pourra être analysé en même temps.

 

La taille positionnée par défaut dépend du modèle de firewall :

  • Firewalls modèle S (U30S, U70S, SN150, SN160(W), SN200, SN210(W), SN300 et SN310) : 4000 Ko.
  • Firewalls modèle M (U150S, U250S, V50, V100, SN500, SN510, SN700, SN710 et SNi40) : 4000 Ko.
  • Firewalls modèle L (U500S, U800S, SN900 et SN910) : 8000 Ko.
  • Firewalls modèle XL (VS5, VS10, VS-VU, SN2000, SN2100, SN3000, SN3100, SN6000 et SN6100) : 16000 Ko.
Analyser les fichiers

Cette option permet de choisir le type de fichier devant être analysé : les fichiers « téléchargés et envoyés » ; les fichiers « téléchargés uniquement » ou les fichiers « envoyés uniquement ».

Actions sur les fichiers

Lorsqu’un virus est détecté

Cette option propose deux actions : « Passer » et « Bloquer ». En sélectionnant « Bloqué », le fichier analysé n’est pas transmis. En sélectionnant « Passer », l’antivirus transmet le fichier en cours d’analyse.

Lorsque l’antivirus ne peut analyser

Cette option définit l’état de l’antivirus si l’analyse du fichier qu’il est en train de scanner échoue.

Exemple

Il ne réussit pas à analyser le fichier parce qu’il est verrouillé.

Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis.

Si Passer sans analyser est spécifié, le fichier en cours d’analyse est transmis.

Lorsque la collecte des données échoue

Cette option décrit le comportement de l’antivirus face à certains événements. Il est possible de Bloquer le trafic en cas d’échec de la récupération des informations, ou de le laisser passer sans analyser

Onglet « Analyse sandboxing»

Sandboxing

Etat

Cette colonne affiche l’état (Activé/Désactivé) de l'analyse sandboxing pour le type de fichier correspondant. Double-cliquez dessus pour changer l’état.

Type de fichiers

L'option sandboxing propose l'analyse de quatre types de fichiers:

  • Archive : sont inclus les principaux types d'archives (zip, arj, lha, rar, cab…)
  • Document bureautique (logiciels Office): tous les types de documents pouvant être ouverts avec la suite MS Office.
  • Exécutable: fichiers exécutables sous windows (fichiers avec extension ".exe",".bat",".cmd",".scr", …).
  • PDF: fichiers au format Portable Document Format (Adobe).
  • Flash (fichiers avec extension ".swf").
  • Java (fichiers compilé java. Exemple : fichiers avec extension ".jar").
Taille max. des fichiers analysés (Ko) Ce champ permet de définir la taille maximale des fichiers devant être soumis à l'analyse sandboxing. Par défaut, cette valeur est égale à celle du champ Taille max. pour l'analyse antivirale et sandboxing (Ko) présent dans l'onglet Analyse des fichiers. Elle ne peut l'excéder.

Action sur les fichiers

Lorsqu’un malware connu est identifié Ce champ contient 2 options. En sélectionnant « Bloquer », le fichier analysé n’est pas transmis. En sélectionnant « Passer », le fichier est transmis dans son état.
Lorsque sandboxing ne peut analyser

Cette option définit le comportement de l’option sandboxing si l’analyse du fichier échoue.

 

Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis.

Si Passer sans analyser est spécifié, le fichier en cours d’analyse est transmis.