HTTP

L'activation de ce protocole permet la prévention de grandes familles d'attaques applicatives basées sur le protocole HTTP. Les différentes analyses effectuées par ce protocole (notamment la vérification de la conformité aux RFC), la validation de l'encodage utilisé dans l'URL ou la vérification de la taille de l'URL et du corps de la requête, vous permettent de stopper des attaques telles que Code RED, Code Blue, NIMDA, HTR, Buffer Overflow ou encore Directory Traversal.

La gestion des débordements de tampons (ou Buffer Overflow) est primordiale chez Stormshield Network, c’est pourquoi la définition des tailles maximales permises pour les tampons dans le cadre du protocole HTTP est particulièrement développée.

Onglet « IPS »

Détecter et inspecter automatiquement le protocole

Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.

Options des moteurs de recherche

Activer le filtrage des moteurs de recherche (Safesearch)

Ce mécanisme permet d’exclure des sites web, les documents ou images manifestement inappropriés ou indésirables des résultats d’une recherche effectués sur les principaux moteurs de recherche (Google, Bing, Yahoo)

Limitation du contenu YouTube

Ce champ permet de sélectionner le type de limitations qui seront appliquées aux résultats d'une recherche de vidéos lors d'une recherche sur la plate-forme YouTube :

  • le choix "stricte" permet de filtrer les vidéos non appropriées,
  • le choix "modérée" présente les résultats les plus pertinents et peut donc peut laisser passer des vidéos inappropriées.
Services et comptes Google autorisés

 

Cette option permet de restreindre l’accès aux services et comptes Google en renseignant dans cette liste, les seuls domaines autorisés.

Renseignez dans cette liste le domaine avec lequel vous vous êtes inscrit à Google Apps, ainsi que les éventuels domaines secondaires que vous y avez ajoutés. L’accès aux services Google à partir d'un compte non autorisé sont redirigés une page de blocage de Google.

 

Le principe est que le firewall intercepte le trafic SSL à destination de Google et y ajoute l'en-tête HTTP « X-GoogApps-Allowed-Domains », dont la valeur est la liste des noms de domaine autorisés, séparés par des virgules. Pour plus d’informations, consultez le lien suivant :

FR https://support.google.com/a/answer/1668854?hl=fr

EN https://support.google.com/a/answer/1668854?hl=en

NOTE 

Cette fonctionnalité nécessite d'activer l'inspection SSL dans la politique de filtrage.

Analyses HTML/JavaScript

Inspecter le code HTML

Toute page contenant du contenu HTML susceptible d’être malveillant sera bloquée.

Longueur max. d'un attribut HTML (octets)

Nombre maximum d’octets pour un attribut d’une balise HTML (Min : 128 ; Max : 65536)..

Inspecter le code JavaScript

Afin d’éviter que des contenus malveillants ne viennent endommager les pages web dynamiques et interactives que fournit le langage de programmation JavaScript, une analyse est effectuée afin de les détecter.

 

De la même façon que l’option Inspecter le code HTML, si cette case est cochée, une page contenant du contenu JavaScript susceptible d’être malveillant sera bloquée.

Supprimer automatiquement les contenus malveillants

Plutôt que d’interdire la connexion TCP, l'analyse efface le contenu malveillant (ex: attribut, balise HTML) et laisse passer le reste de la page HTML.

 

Exemple d’action malveillante : Toute redirection à votre insu, vers un site web non souhaité.

NOTE

Cocher cette case désactive l'option Activer la décompression à la volée des données.

Activer la décompression à la volée des données

Lorsque les serveurs HTTP présentent des pages compressées, activer cette option permet de décompresser les données et de les inspecter au fur et à mesure de leur passage par le firewall. Aucune réécriture de données n'étant effectuée, cette opération n'induit donc aucun délai supplémentaire.

NOTE

Cocher cette case désactive l'option Supprimer automatiquement les contenus malveillants.

Liste d’exclusion de la suppression automatique de code malveillant (User-Agent)

Celle-ci regroupe les navigateurs et leurs données qui ne seront pas supprimés automatiquement par l’option cité ci-dessus. Il est possible d’Ajouter ou de Supprimer des éléments de cette liste en cliquant sur les boutons du même nom.

Authentification

Vérifier la légitimité de l'utilisateur

En cochant cette case, vous activez l’authentification des utilisateurs via l'entête HTTP "Authorization". Le plugin HTTP est ainsi capable d'extraire l'utilisateur et de le comparer à la liste des utilisateurs authentifiés dans le firewall.

Lorsqu’aucun utilisateur authentifié ne correspond, le paquet est alors bloqué.

Configuration avancée

URL : taille maximale des éléments (en octets)

La mise en place d’une taille maximale pour les éléments (en octets) permet de lutter contre les attaques par débordement de tampon (buffer overflow).

URL (domaine + chemin)

Taille maximum d’une URL, nom de domaine et chemin compris [128 – 4096 octets]

Par paramètre (après le '?' [argument])

Taille maximum d’un paramètre dans une URL [128 – 4096 (octets)]

Requête complète (URL+ paramètres) 

Nombre maximal d’octets pour la requête entière :

http://URLBuffer ?QueryBuffer [128 – 4096] (octets)]

URL

Nombre maximum de paramètres (après le '?')

Nombre maximum de paramètres dans une URL (Min :0  ; Max : 512).

Format des entêtes HTTP (en octets)

Nombre de lignes par requête cliente

Nombre maximum de lignes (ou headers) que peut contenir une requête, du client vers le serveur (Min :16 ; Max : 512).

Nombre de plages par requête cliente

Nombre maximum de plages de données (ou range) que peut contenir une requête, du client vers le serveur (Min : 0 ; Max : 1024).

Nombre de lignes par réponse serveur

Nombre maximum de lignes (ou headers) que peut contenir une réponse du serveur vers le client (Min : 16 ; Max : 512).

Taille maximale des champs HTTP (en octets)

Champ AUTHORIZATION

Nombre maximum d’octets pour le champ AUTHORIZATION incluant les attributs de formatage. (Min : 128 ; Max : 4096).

Champ CONTENTTYPE

Nombre maximum d’octets pour le champ CONTENTTYPE incluant les attributs de formatage. (Min : 128 ; Max : 4096).

Champ HOST

Nombre maximum d’octets pour le champ HOST incluant les attributs de formatage. (Min : 128 ; Max : 4096).

Champ COOKIE

Nombre maximum d’octets pour le champ COOKIE incluant les attributs de formatage. (Min : 128 ; Max : 8192).

Autres champs

Nombre maximum d’octets pour les autres champs incluant les attributs de formatage. (Min : 128 ; Max : 4096).

Champ Authorization (NTLM) Nombre maximum d’octets pour le champ AUTHORIZATION (NTLM) incluant les attributs de formatage. (Min : 128 ; Max : 4096).
Champ Content-Security-Policy Nombre maximum d’octets pour le champ Content-Security-Policy incluant les attributs de formatage. (Min : 128 ; Max : 65535).

Paramètres de sessions HTTP (en secondes)

Durée max. d’une requête

Programmée à 30 secondes par défaut (Max : 600 secondes).

Extensions du protocole HTTP

Autoriser le protocole Shoutcast

Cette option autorise le transport de son à travers le protocole HTTP.

 

Exemples : Webradio, webtv.

Autoriser les connexions WebDAV (lecture et écriture)

Cette option permet d’ajouter des fonctionnalités d’écriture et de verrou au protocole HTTP, ainsi que de sécuriser plus facilement les connexions HTTPS.

Commandes HTTP autorisées

Liste des commandes HTTP autorisées (au format CSV). Toutes les commandes incluses ne peuvent excéder 126 caractères. Il est possible d’Ajouter ou de Supprimer des commandes via les boutons du même nom.

Commandes HTTP interdites

Liste des commandes HTTP interdites (au format CSV). Toutes les commandes incluses ne peuvent excéder 126 caractères. Il est possible d’Ajouter ou de Supprimer des commandes via les boutons du même nom.

Support

Désactiver la prévention d’intrusion

En cochant cette option, l'analyse du protocole HTTP sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.

Tracer chaque requête HTTP

Active ou désactive les logs permettant de tracer les requêtes HTTP.

Onglet « Proxy »

Connexion

Conserver l’adresse IP source originale

Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande.

 

Si cette option est cochée, cette nouvelle requête utilisera l’adresse IP source originale du client web qui a émis le paquet. Dans le cas contraire, c’est l’adresse du firewall qui sera utilisée.

Filtrage URL (base Extended Web Control uniquement)

Lorsque l'URL n'a pas pu être classifiée

Le choix est l’action Passer ou Bloquer. Si une URL n’est pas répertoriée dans une catégorie d’URL, cette action détermine si l’accès au site est autorisé.

Autoriser les adresses IP dans les URL

Une option permet d’autoriser ou non l'usage d'adresse IP dans l’URL, c’est-à-dire l'accès à un site par son adresse IP et non par son nom de domaine. En effet, cet usage peut être une tentative de contournement du filtrage URL.

Si l’option est décochée et que l’URL interrogée (contenant une adresse IP) ne peut être classifiée par le système de Filtrage URL, son accès sera bloqué. Cependant, cette option est conçue pour s’appliquer après l’évaluation du filtrage.

 

En conséquence, un serveur interne joint par son adresse IP, ne sera pas bloqué si son accès est explicitement autorisé dans la politique de filtrage (politique différente de pass all). Cet accès peut être autorisé via les objets Réseau de base du firewall (RFC5735) ou le groupe « Private IP » de la Base URL EWC.

NOTE

Que l’option précédente soit activée ou non, une adresse IP écrite dans un format différent du type a.b.c.d, est systématiquement bloquée.

Extensions du protocole HTTP

Autoriser les connexions WebDAV (lecture et écriture)

WebDAV est un ensemble d’extensions au protocole HTTP concernant l’édition et la gestion collaborative de documents. Si cette option est cochée, le protocole WebDav est autorisé au travers du firewall Stormshield Network.

Autoriser les tunnels TCP (méthode CONNECT)

La méthode CONNECT permet de réaliser des tunnels sécurisés au travers de serveurs proxies.

 

Si cette option est cochée la méthode CONNECT est autorisée au travers du firewall Stormshield Network.

Tunnels TCP : Liste des ports de destinations autorisés

Cette zone sert à spécifier quels types de service peuvent utiliser la méthode CONNECT.

Port de destination (objet service)

Le bouton Ajouter vous permet d’ajouter des services via la base d’objets.

 

Pour modifier un service, sélectionnez la ligne à modifier puis faites votre nouvelle sélection.

 

Le bouton Supprimer vous permet de supprimer le service sélectionné.

Configuration avancée

Qualité de la protection

Vérifier l’encodage de l’URL

En cochant cette option, la politique de filtrage ne peut être contournée.

Trafic émis vers le serveur

Ajouter l’utilisateur authentifié dans l’en-tête HTTP

Si le proxy HTTP externe nécessite une authentification des utilisateurs, l’administrateur peut cocher cette option pour envoyer au proxy externe les informations concernant l’utilisateur recueilli par le module d’authentification du firewall.

Proxy explicite

Le proxy explicite permet de référencer le proxy du firewall dans le navigateur et de lui transmettre directement les requêtes HTTP.

Activer l'authentification "Proxy-Authorization" (HTTP 407)

Le navigateur demande à l’utilisateur de s’authentifier via une fenêtre de message et l’information de connexion est relayée au  Firewall via l’entête HTTP.

NOTE

L’authentification "Proxy-Authorization" (HTTP 407) par le navigateur n’autorise pas les méthodes SSL (certificats) et SPNEGO, car ces méthodes ne font pas intervenir le portail d’authentification, même si celui-ci doit être activé.

 

Pour plus d’informations, consultez l’aide du module Authentification, section « Proxy HTTP transparent ou explicite et objets Multi-utilisateur »

Onglet « ICAP »

Réponse HTTP (reqmod)

Les contenus Web et Mail sont principalement visés par le protocole ICAP. Il fournit une interface aux proxies HTTP (pour le web) et aux relais SMTP (pour les mails).

Transmettre les requêtes HTTP au serveur ICAP

Chaque requête cliente vers un site web est transmise au serveur ICAP.

Serveur ICAP

Serveur

Indication du serveur ICAP.

Port Icap

Indication du port ICAP.

Nom du service ICAP

Indication du nom du service à mettre en place. Cette information est différente suivant la solution utilisée, le serveur ICAP ainsi que le port utilisé.

Authentification sur le serveur ICAP

On peut utiliser les informations disponibles sur le firewall pour réaliser des services ICAP.

Exemple

Il est possible de définir dans un serveur ICAP que tel ou tel site n’est destiné qu’à telle ou telle personne. Dans ce cas, vous pouvez filtrer selon un identifiant LDAP ou une adresse IP.

Transmettre le nom d’utilisateur/le groupe

Cette option permet de se servir des informations relatives à la base LDAP (notamment l’identifiant d’un utilisateur authentifié).

Transmettre l’adresse IP du client

Cette option permet de se servir des adresses IP des clients HTTP effectuant la requête à Adapter (objet utilisé pour faire la traduction entre le format ICAP et le format demandé).

Configuration avancée

Liste blanche (pas de transmission au serveur ICAP)

Serveur HTTP (Machine – Réseau – Plage d’adresse)

Permet d’ajouter des machines, des réseaux ou des plages d’adresses dont les informations ne seront pas transmises au serveur ICAP. Ceux-ci peuvent être supprimés de la liste à tout moment.

Onglet « Analyse des fichiers »

Transfert de fichiers

Téléchargement partiel

Par exemple lorsqu’on télécharge un fichier via HTTP si le téléchargement ne s’effectue pas jusqu’au bout (erreur de connexion par exemple), il est possible de relancer le téléchargement à partir de là où a surgi l’erreur plutôt que de devoir tout télécharger de nouveau. Il s’agit dans ce cas d’un téléchargement partiel (le téléchargement ne correspond pas à un fichier complet).

 

L’option Téléchargement partiel permet de définir le comportement du proxy HTTP du firewall vis-à-vis de ce type de téléchargement.

 

  • Bloquer : le téléchargement partiel est interdit
  • Bloquer si l’antivirus est actif : le téléchargement partiel est autorisé sauf si le flux correspond à un trafic inspecté par une règle avec analyse antivirale.
  • Passer : le téléchargement partiel est autorisé mais il n’y a pas d’analyse antivirale effectuée.
Taille maximale d’un fichier [0-2147483647(Ko)]

Lorsque les fichiers téléchargés sur l’Internet, via HTTP, sont trop imposants, ils peuvent dégrader la bande passante du lien Internet et cela pour une durée parfois très longue.

 

Pour éviter cela, indiquez la taille maximum en Ko pouvant être téléchargée par le protocole HTTP.

URLs exclues de l'analyse antivirale

Une catégorie d'URL ou groupe de catégorie peut être exclue de l’analyse antivirale. Par défaut, il existe dans la base Objet, un groupe d’URL nommé antivirus_bypass contenant les sites de mise à jour Microsoft.

Filtrage des fichiers (par type MIME)

Etat

Indique l’état actif ou inactif du fichier. 2 positions sont disponibles : « Activé » ou « Désactivé »

Action

Indique l’action à mettre en place pour le fichier en question, il existe 3 possibilités :

 

  • Détecter et bloquer les virus : Le fichier est analysé afin de détecter les virus pouvant s’y être glissé, ceux-ci seront bloqués.
  • Passer sans analyse des fichiers : Le fichier peut être téléchargé librement, aucune analyse antivirale n’est effectuée.
  • Bloquer : Le téléchargement du fichier est interdit.
Type MIME

Indique de quel type de contenu de fichier il s’agit. Cela peut être du texte, de l’image ou de la vidéo, à définir dans ce champ.

 

Exemples :

« text/plain* »

« text/* »

« application/* »

Taille max. pour l'analyse antivirale et Sandboxing (Ko)

Ce champ correspond à la taille maximale qu’un fichier peut atteindre afin qu’il soit analysé.

La taille positionnée par défaut dépend du modèle de firewall :

  • Firewalls modèle S (U30S, U70S, SN150, SN160(W), SN200, SN210(W), SN300 et SN310) : 4000 Ko.
  • Firewalls modèle M (U150S, U250S, V50, V100, SN500, SN510, SN700, SN710 et SNi40) : 8000 Ko.
  • Firewalls modèle L (U500S, U800S, SN900 et SN910) : 16000 Ko.
  • Firewalls modèle XL (VS5, VS10, VS-VU, SN2000, SN2100, SN3000, SN3100, SN6000 et SN6100) : 32000 Ko.

Actions sur les fichiers

Lorsqu’un virus est détecté

Ce champ contient 2 options. En sélectionnant « Bloquer », le fichier analysé n’est pas transmis. En sélectionnant « Passer », l’antivirus transmet le fichier dans son état.

Lorsque l’antivirus ne peut analyser

Cette option définit le comportement de l’antivirus si l’analyse du fichier qu’il est en train de scanner échoue.

 

Exemple :

Il ne réussit pas à analyser le fichier parce qu’il est verrouillé.

 

Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis.

Si Passer sans analyser est spécifié, le fichier en cours d’analyse est transmis.

Lorsque la collecte de données échoue

Cette option décrit le comportement de l’antivirus face à certains événements. Il est possible de Bloquer le trafic en cas d’échec de la récupération des informations, ou de le laisser passer sans analyser.

 

Exemple :

Si le disque dur est plein, le téléchargement des informations ne pourra pas être effectué.

Onglet « Analyse sandboxing»

Sandboxing

Etat

Cette colonne affiche l’état (Activé/Désactivé) de l'analyse sandboxing pour le type de fichier correspondant. Double-cliquez dessus pour changer l’état.

Type de fichiers

L'option sandboxing propose l'analyse de quatre types de fichiers:

  • Archive : sont inclus les principaux types d'archives (zip, arj, lha, rar, cab…)
  • Document bureautique (logiciels Office) : tous les types de documents pouvant être ouverts avec la suite MS Office.
  • Exécutable : fichiers exécutables sous windows (fichiers avec extension ".exe",".bat",".cmd",".scr", …).
  • PDF: fichiers au format Portable Document Format (Adobe).
  • Flash (fichiers avec extension ".swf").
  • Java (fichiers compilé java. Exemple : fichiers avec extension ".jar").
Taille max. des fichiers analysés (Ko) Ce champ permet de définir la taille maximale des fichiers devant être soumis à l'analyse sandboxing. Par défaut, cette valeur est égale à celle du champ Taille max. pour l'analyse antivirale et sandboxing (Ko) présent dans l'onglet Analyse des fichiers. Elle ne peut l'excéder.

Action sur les fichiers

Lorsqu’un malware connu est identifié Ce champ contient 2 options. En sélectionnant « Bloquer », le fichier analysé n’est pas transmis. En sélectionnant « Passer », le fichier est transmis dans son état.
Lorsque sandboxing ne peut analyser

Cette option définit le comportement de l’option sandboxing si l’analyse du fichier échoue.

 

Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis.

Si Passer sans analyser est spécifié, le fichier en cours d’analyse est transmis.