Analyse protocolaire

Certains flux malveillants peuvent avoir les mêmes caractéristiques réseau que des flux autorisés. Le blocage de ces flux est impossible par de simples règles de filtrage sans impact sur le trafic légitime. Le pare-feu SNS est doté de capacités d’analyses protocolaires permettant un filtrage fin. L’inspection effectuée sur les flux traités par une règle de filtrage peut être paramétrée suivant un des trois niveaux d'inspection : Firewall, IPS ou IDS.

Au niveau d'inspection Firewall, le pare-feu SNS n’effectue que des vérifications sommaires de conformités. En particulier, il contrôlera le respect du sens d’établissement des connexions. Il ne vérifiera ni les drapeaux utilisés, ni les numéros de séquence, ni les options TCP.

ATTENTION
Au niveau d'inspection Firewall, lorsqu’une session est abandonnée par le pare-feu SNS, celui-ci envoie un paquet de réinitialisation possédant un numéro de séquence nul. Le correspondant, ne pouvant le relier à une connexion existante, n’en clôturera aucune.

Au niveau d'inspection IPS, le pare-feu SNS effectue des vérifications supplémentaires sur le respect des standards des protocoles, ainsi que des analyses reposant sur des signatures d’attaques déjà connues. Ces analyses sont réalisées grâce à des modules d’inspection dédiés à chaque protocole. Suivant le réglage mis en place, le module concerné pourra bloquer les flux identifiés comme malveillants.

Le niveau d'inspection IDS réalise les mêmes inspections que le niveau d'inspection IPS, mais ne lèvera que des alarmes si du trafic semble malveillant, sans le bloquer. Le niveau d'inspection IDS peut être utilisé en pré-production pour analyser les flux qui transitent dans un système et ainsi faciliter l’action de l’administrateur dans sa tâche visant à configurer les modules d’inspection.

Aux niveaux d'inspection IPS et IDS, il existe différents modes de fonctionnement :

  • Par défaut, les modules d’inspection sont chargés automatiquement, en fonction des ports utilisés dans les règles de filtrage et des caractéristiques du trafic observé par le pare-feu SNS. Dans la suite, nous parlerons alors de "mode automatique",

  • Il est également possible de limiter le chargement de ces modules en indiquant ceux à utiliser dans la règle de filtrage. Dans ce cas, le pare-feu SNS n’effectuera que les analyses correspondant au protocole demandé. Nous utiliserons dans ce document le terme de "mode transport" dès lors que les modules indiqués sont uniquement des protocoles de transport (TCP, UDP, ...),

  • Les modules peuvent aussi concerner un protocole applicatif particulier. Nous utiliserons par la suite la notion de "mode applicatif". Dès lors que les modules chargés ont fait l’objet d’une évaluation dans le cadre de la qualification, nous utiliserons la dénomination "mode applicatif qualifié". Il s’agit des modules liés aux protocoles FTP, HTTP (incluant WebDAV), SIP, SMTP, DNS, Modbus, S7 et UMAS.

Le niveau d'inspection IPS en mode automatique est sélectionné par défaut à la création d’une règle de filtrage. Sans profil d'inspection, tous les modules d’analyses protocolaires peuvent être chargés lors de l'inspection des flux traités par la règle de filtrage, ce qui peut augmenter la charge processeur du pare-feu SNS. Si nécessaire, limitez le chargement de ces modules en utilisant un profil d'inspection, comme avec le niveau d'inspection IPS en mode transport. Dans la mesure du possible, il convient de faire réaliser les fonctions d’analyse protocolaire par des équipements dédiés comme des serveurs proxy afin de limiter le risque de compromission du pare-feu SNS.

R31 | SNS-SMC | Adapter le type d'inspection de trafic au rôle du pare-feu SNS
Il est recommandé d’utiliser les niveaux d'inspection IPS en mode applicatif, IPS en mode transport ou Firewall qualifié en cohérence avec le rôle joué par le pare-feu SNS dans l’architecture du système d’information considéré. En particulier, il convient d’être vigilant quant à son exposition aux menaces, à son rôle et à la criticité des ressources à protéger.

ATTENTION
L'anti-usurpation IP est désactivée avec le niveau d'inspection Firewall.

Le niveau d’analyse et le mode associé sont à définir pour chaque règle de filtrage et varient en fonction du rôle du pare-feu SNS. Par exemple :

  • S'il est utilisé exclusivement en tant que passerelle VPN en bordure de SI et qu’il est lui-même protégé par d’autres pare-feux, le niveau d'inspection Firewall permet de dédier ses ressources aux fonctions cryptographiques tout en réduisant sa surface d’attaque,

  • S'il est situé entre un SI d’entreprise et le réseau Internet, le niveau d'inspection IPS en mode transport permet de limiter la surface d’attaque du pare-feu SNS tout en assurant un filtrage fin des connexions,

  • S'il protège des serveurs applicatifs joignables uniquement depuis le réseau interne d’une entreprise, le niveau d'inspection IPS en mode applicatif qualifié peut être utilisé.

La colonne Inspection de sécurité des règles de filtrage (menu Configuration > Politique de sécurité > Filtrage et NAT > Filtrage) permet de choisir le niveau d’inspection. Pour les niveaux d'inspection IPS et IDS, la colonne Protocole permet de limiter le niveau d’analyse. L’option Type de protocole positionnée à Protocole IP permet de choisir un protocole de transport dans le menu Protocole IP. Si cette option est positionnée à Protocole applicatif, le menu du même nom permet de choisir le protocole applicatif sur lequel le pare-feu SNS agira. Un seul protocole (applicatif ou de transport) peut être choisi par règle de filtrage.

Les niveaux d'inspection Firewall, IPS et IDS reposent sur l’utilisation de profils d’inspection. Ces profils permettent de configurer le comportement du pare-feu SNS en fonction du trafic traité (types d’alarmes à lever, blocage du flux). Avant le passage en production de l’inspection protocolaire, dans un environnement réputé sain (typiquement un environnement de pré-production), il est souhaitable de désactiver les alarmes qui seraient inutilement générées par le trafic légitime afin de ne pas polluer la supervision de sécurité après le passage en production. L’utilisation de multiples profils doit permettre d’ajuster les configurations au contexte d’emploi. Il est en particulier recommandé de créer des profils d’inspection plus fins et donc plus restrictifs pour les applications les plus critiques.

R32 | SNS-SMC | Adapter les profils d'inspection en fonction du contexte d’emploi du pare-feu SNS
Lorsque l’analyse protocolaire est active, il est recommandé d’ajuster au mieux la politique aux réseaux à protéger en s’appuyant sur différents profils d’inspection.

Parmi les profils d’inspection pré-configurés, deux sont utilisés par défaut : le profil 00 pour les flux émis par un réseau externe et le profil 01 pour les flux émis par un réseau interne. Le choix du profil se fait à chaque règle de filtrage, dans l’onglet Inspection. La configuration de ces profils se fait dans le menu Configuration > Protection applicative > Profils d'inspection, en sélectionnant Accéder aux profils. Chaque profil est alors basé sur les politiques définies au menu Configuration > Protection applicative > Protocoles. Ces politiques définissent les analyses générales réalisées sur les différents protocoles : les ports par défaut, les commandes à restreindre, le type d’analyse à effectuer, etc. De plus, le menu Configuration > Protection applicative > Applications et protections définit les analyses plus spécifiques comme la recherche de buffer overflow, de format d’encodage, etc. Ce menu propose une vue par profil ou par contexte.