Avant de commencer

Produit concerné : SNS 3 et versions supérieures

Dernière mise à jour : juillet 2017

Les signatures de protection contextuelle personnalisées sont destinées à l'analyse par le firewall d'applications développées au sein de l'entreprise ou en complément des signatures développées par Stormshield.

Elles sont basées sur des expressions régulières (appelées "variantes") permettant de retrouver des chaînes de caractères dans les données des paquets réseaux échangés. Les alarmes associées peuvent alors bloquer ou laisser passer le flux détecté, selon le paramétrage réalisé au sein de la signature personnalisée (ce paramétrage peut par la suite être modifié sur chaque firewall au sein du module Configuration > Protection applicative > Applications et protections).

L'exemple présenté dans cette note technique consiste à détecter la chaîne "perdu.org" dans une requête TCP ou UDP et à déployer automatiquement cette signature sur un parc de firewalls. Il met en œuvre quatre catégories d'équipements : un poste de développement, un firewall de recette des signatures de protection contextuelle personnalisées, un serveur Active Update pour la distribution automatisée des signatures, et des firewalls clients.

Bien que l'écriture du fichier de définition des signatures personnalisées puisse être réalisé directement sur le firewall de recette, l'un des avantages du poste de développement consiste en la disponibilité de nombreux outils de validation d'expressions régulières, en ligne, ou à installer localement.

Dans la suite de ce document, les signatures de protection contextuelle personnalisées seront appelées signatures personnalisées.

 

Notez bien que les signatures personnalisées peuvent révéler des informations habituellement masquées dans les journaux de traces du firewall.