Contrôler et adapter la politique de sécurité après le changement de base d'URL EWC

Après le changement de base d'URL EWC, deux solutions s'offrent à l'administrateur pour reconstruire une politique de sécurité conforme à celle présente avant le changement :

  • L'import de profils de filtrage URL / SSL recommandés par Stormshield (solution plus rapide),

  • Une correction manuelle de la politique de sécurité (solution plus longue).

Solution 1 : importer les profils de filtrage URL / SSL recommandés par Stormshield

Stormshield propose un fichier de sauvegarde (format .na) comportant 3 profils de filtrage URL / SSL recommandés que l'administrateur peut restaurer sur son firewall. Ces profils se placent automatiquement dans les 3 premiers profils de filtrage URL / SSL :

  • 00 : profil "permissive",

  • 01 : profil "standard",

  • 02 : profil "restrictive".

Les profils de filtrage URL / SSL recommandés sont présentés dans l'annexe Profils de filtrage URL / SSL recommandés.

IMPORTANT
L'import de ces profils engendre la perte de la totalité des profils de filtrage URL / SSL préalablement configurés sur le firewall.

Sauvegarder la configuration du firewall

Sauvegardez la configuration courante du firewall afin de pouvoir la restaurer en cas de besoin.

  1. Dans le module Système > Maintenance >  Sauvegarder, remplissez le champ Nom donné à la sauvegarde.
    Dans le cadre Configuration avancée, vous pouvez indiquer un mot de passe pour protéger le fichier de sauvegarde.

  2. Cliquez sur Télécharger la sauvegarde de configuration et enregistrez le fichier de sauvegarde (format .na) sur votre poste d'administration.

Importer les profils de filtrage URL / SSL recommandés

  1. Récupérez le fichier templates_Extended_Web_Control.na sur votre espace personnel MyStormshield dans Téléchargements > Téléchargements > Stormshield Network Security > Tools.

  2. Dans le module Système > Maintenance >  Restaurer, sélectionnez le fichier templates_Extended_Web_Control.na.

  3. Dans le cadre Configuration avancée :

    • Décochez la case Restaurer la configuration à partir du fichier,

    • Cochez les cases Filtrage URL et Filtrage SSL.

  4. Cliquez sur Restaurer la configuration à partir du fichier.
    Les profils recommandés sont automatiquement importés dans les profils de filtrage URL / SSL 00, 01 et 02.
    Tous les autres profils de filtrage URL / SSL (profils 03 à 09) sont réinitialisés.

Adapter la politique de sécurité

  1. Dans les modules Configuration > Politique de sécurité > Filtrage URL et Filtrage SSL, adaptez les profils afin de les faire correspondre à l'activité et la politique de votre entreprise.

    ASTUCE
    Vous pouvez copier une politique vers une autre en cliquant sur Editer > Copier vers à droite de son nom et en sélectionnant la politique de destination.
    Si cette dernière est celle utilisée dans la politique de filtrage, vous n'aurez pas besoin de réaliser l'étape suivante.

  2. Dans le module Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage, assurez-vous que les règles de la politique de filtrage utilisent les profils de la nouvelle politique de filtrage URL / SSL. Adaptez la politique de filtrage si nécessaire.

  3. Si vous utilisez des règles d'exception d'authentification dans la politique de filtrage, vous devez les corriger en remplaçant les anciennes catégories par les nouvelles. Les tableaux de correspondances entre les anciennes et nouvelles catégories sont présentés dans la section Annexes.

Contrôler et corriger les groupes de catégories d'URL

Si vous utilisez dans la configuration du firewall des groupes de catégories d'URL, vérifiez qu'ils contiennent toujours les catégories d'URL souhaitées. Pour rappel, ces groupes peuvent être utilisés dans les modules :

  • Filtrage URL,

  • Filtrage SSL,

  • Filtrage et NAT, dans les règles d'exception d'authentification,

  • Protocole HTTP, dans la configuration de l'analyse antivirale concernant les URL exclues.

Solution 2 : corriger manuellement la politique de sécurité

IMPORTANT
Avant de poursuivre, et si ce n'est pas déjà fait, nous vous recommandons vivement de sauvegarder la configuration courante du firewall afin de pouvoir la restaurer en cas de besoin.

Corriger la politique de filtrage URL / SSL

Dans les modules Configuration > Politique de sécurité > Filtrage URL et Filtrage SSL, pour chaque profil de filtrage URL / SSL utilisé :

  1. Cliquez sur Ajouter toutes les catégories prédéfinies pour ajouter les nouvelles catégories non utilisées et ayant une correspondance avec des anciennes catégories. Ces nouvelles catégories sont importées et placées en fin de profil dans des règles activées et ayant comme action l'affichage de la page de blocage BlockPage_00.

    ASTUCE
    Vous pouvez personnaliser les pages de blocage dans le module Configuration > Notifications > Message de blocage > onglet Pages de blocage. Pour plus d'informations, reportez-vous à la section Pages de blocage du Manuel Utilisateur SNS.

     

    Pour rappel, les nouvelles catégories sans équivalence avec les anciennes catégories ont été importées automatiquement lors de la migration et placées dans des règles désactivées avec l'action bloquer.

  2. Sélectionnez les catégories à autoriser / bloquer, construisez et rassemblez les règles correspondantes par sections. Pour rappel, des profils de filtrage URL / SSL recommandés sont présentés dans l'annexe Profils de filtrage URL / SSL recommandés.

  3. Cliquez sur Nettoyer les règles afin de supprimer les règles faisant appel aux catégories inconnues. La liste des catégories concernées se trouve dans l'annexe Anciennes catégories d'URL EWC sans équivalence avec les nouvelles catégories.

  4. Appliquez le modèle "liste noire" en créant en dernière position du profil de filtrage URL / SSL une règle autorisant la catégorie Any.

Corriger la politique de filtrage

  1. Rendez-vous dans le module Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage.

  2. Adaptez la politique de filtrage pour assigner aux règles les profils de la nouvelle politique de filtrage URL / SSL.

  3. Si vous utilisez des règles d'exception d'authentification dans la politique de filtrage, vous devez les corriger en remplaçant les anciennes catégories par les nouvelles. Les tableaux de correspondances entre les anciennes et nouvelles catégories sont présentés dans la section Annexes.

Contrôler et corriger les groupes de catégories d'URL

Si vous utilisez dans la configuration du firewall des groupes de catégories d'URL, vérifiez qu'ils contiennent toujours les catégories d'URL souhaitées. Pour rappel, ces groupes peuvent être utilisés dans les modules :

  • Filtrage URL,

  • Filtrage SSL,

  • Filtrage et NAT, dans les règles d'exception d'authentification,

  • Protocole HTTP, dans la configuration de l'analyse antivirale concernant les URL exclues.