Vue par profil d’inspection

Sélectionner le profil de configuration

Vous pouvez configurer jusqu’à 10 profils, portant par défaut les noms de « IPS_00 », « IPS_01» etc. Leurs noms ne sont pas modifiables dans le module Alarmes mais au sein du menu Protection applicative > Profils d’inspection (Bouton Accéder aux profils) :

  1. Sélectionnez une configuration au sein de la liste déroulante.
  2. Cliquez sur le bouton Éditer et sélectionnez Renommer.
  3. Changez ensuite le nom du profil dans l’emplacement prévu à cet effet et ajoutez un commentaire si besoin.
  4. Cliquez sur Mettre à jour.

Vous retrouvez votre profil modifié dans la liste déroulante des configurations du module Applications et Protections.

La sélection multiple

La sélection multiple permet d’assigner une même action à plusieurs alarmes. Sélectionnez plusieurs alarmes se succédant à l’aide de touche Shift ñ ou individuellement  avec la touche Ctrl. Vous pourrez également soustraire une sélection à une sélection existante, avec la touche Ctrl.

Certains intitulés de colonnes affichent l’icône . Par un simple clic, un menu s’affiche et propose d’assigner un même paramètre à plusieurs alarmes sélectionnées (Action, Niveau, Nouveau et Avancé).

Exemple : Il est possible de supprimer plusieurs lignes en même temps, en les sélectionnant avec la touche Ctrl puis en cliquant sur Supprimer.

Au sein d’un profil, vous pouvez effectuer plusieurs actions :

Appliquer un modèle

Plusieurs modèles permettent de configurer le profil des alarmes en paramétrant leur action (Autoriser ou Interdire) et leur niveau (Ignorer, Mineur ou Majeur).

Les modèles BASSE, MOYENNE et HAUTE se différencient essentiellement par l’action des alarmes de type Protections, comme les alarmes relatives aux réseaux "peer-to-peer" ou aux messageries instantanées. Par défaut, les alarmes de type Applications autorisent le trafic et les alarmes de type Malwares le bloquent.

Le modèle INTERNET désactive les alarmes pouvant gêner l’utilisation classique d’Internet, souvent due à de mauvaises pratiques trop répandues pour être interdites. Un exemple est l’alarme levée en cas d'URL contenant des caractères non ASCII.

Par défaut, le profil (1) IPS_01 est basé sur le modèle INTERNET, étant destiné au trafic dont l'adresse IP source fait partie d'un réseau protégé (Voir Profils d’Inspection). Les autres profils sont configurés sur le modèle MOYENNE qui assure un niveau de sécurité standard.

Internet Cette configuration est adaptée au trafic sortant. La plupart des alarmes sont configurées avec l’action Autoriser, quand elles ne présentent pas de danger pour le réseau interne.
Basse Les alarmes les moins critiques sont configurées avec l’action Autoriser.
Moyenne Ce modèle est un compromis entre sécurité et blocage excessif ; il est appliqué par défaut au trafic entrant.
Haute La majorité des alarmes sont configurées avec l’action Bloquer.

Sélection

Des boutons vous permettent d’effectuer un tri sur les alarmes du profil d’inspection. Les 3 catégories dans lesquelles ces alarmes sont réparties sont Applications, Protections et Malwares. La sélection s’effectue par les 3 boutons du même nom. Le bouton Tous réinitialise la sélection.

Applications Ce type d’alarme est levé par l’utilisation d’applications courantes. Cette sélection permet l’élaboration d’une politique de sécurité applicative.
Protections Ces alarmes sont levées suite à l’analyse effectuée par le moteur IPS : elles résultent du blocage d’attaques connues ou d’utilisations anormales des protocoles conformément aux RFC.
Malwares Ces alarmes sont basées sur les signatures connues de logiciels malveillants, reconnus par des types d’activité suspects. Il est conseillé d’examiner les machines à l’origine de cette catégorie d’alarmes.

Rechercher

Cet emplacement permet de n’afficher que la ou les alarmes contenant la lettre ou le mot saisi. La recherche est instantanée, afin de filtrer plus facilement les profils et les contextes, sans devoir appuyer sur « Entrée ».

Présélection

Cette liste contient les alarmes générées par un trafic relatif à des familles d’applications. Vous pouvez effectuer un tri et n’afficher que les alarmes faisant partie des catégories suivantes :

Aucune Toutes les alarmes seront affichées, sans distinction de catégorie.
BYOD Trafic généré par les appareils mobiles de type téléphone ou tablette électronique pour la pratique qui consiste à utiliser ses équipements personnels (Bring your own device).
Stockage en ligne Applications proposant l’hébergement de données en ligne.
E-mail Applications de messagerie en ligne.
Jeu Applications de jeux en ligne.
Communication Messagerie instantanée et applications de VOIP ou de visioconférence (Skype, Google talk etc.).
Multimédia Site d’images, de vidéos ou de musique en ligne.
Peer to peer Échange direct de fichiers entre utilisateurs.
Accès distant Contrôle d’ordinateur à distance.
Réseaux sociaux Sites de communautés en ligne.
Web Autres applications basées sur les protocoles HTTP / HTTPS.
Protocoles industriels Alarmes liées au filtrage et à la détection de protocoles industriels (contrôle et fonctionnement d'automates,...)
DoT / DoH Alarmes liées aux requêtes DNS sur HTTPS (DoH) et sur TLS (DoT).

Cette liste peut être amenée à être modifiée par sa mise à jour via Active Update.

Les différentes colonnes

Pour afficher les colonnes Signatures, Modèle et Profil applicatif, cliquez sur la flèche apparaissant au survol de l’intitulé d’une colonne et cochez les cases correspondantes proposées dans le menu Colonnes.

Signatures Nombre de variantes de l’attaque ou du trafic que la signature levant l’alarme bloque.
Modèle Modèle appliqué au profil d’inspection qui configure les alarmes en paramétrant leur action et leur niveau. Consultez la section précédente Appliquer un modèle.
Message Texte décrivant l’alarme et ses caractéristiques.
Lors de la sélection d’une alarme, un bouton Aide apparaît. Ce lien ouvre une fenêtre d’aide décrivant l’alarme et résumant son action et son niveau.
Profil applicatif Profil applicatif contenant l’alarme configurée dans ce profil d’inspection.
Action Lorsqu’une alarme est remontée, le paquet qui a provoqué cette alarme subit l’action associée. Vous pouvez choisir d’Autoriser ou d’Interdire un trafic qui remonte une alarme.
Niveau Trois niveaux d’alarmes sont disponibles : "Ignorer", "Mineur" et "Majeur".
Nouveau Permet de visualiser les nouvelles alarmes, matérialisées par l’icône .
Contexte : id Intitulé de l’alarme.
L’icône représente les alarmes dites sensibles.
Référez-vous au paragraphe ci-dessous pour plus d’informations.
Avancé Envoyer un e-mail : un e-mail sera envoyé au déclenchement de l’alarme (cf. module Alertes e-mails) avec les conditions suivantes :
  • Nombre d’alarmes avant l'envoi: nombre minimal d’alarmes requises avant le déclenchement de l’envoi, pendant la période fixée ci-après.
  • Pendant la période de (secondes) : délai en secondes pendant lequel les alarmes sont émises, avant l’envoi de l’e-mail.
  • Mettre la machine en quarantaine : la machine responsable de l’alarme sera bloquée avec les paramètres suivants.
  • Pour une période de (minutes) : durée de la mise en quarantaine
  • QoS appliquée au flux : chaque flux applicatif générant une alarme peut désormais se voir appliquer une file d’attente de qualité de service. Cette option permet ainsi d’affecter une limitation de bande passante ou une priorité plus faible au flux à l’origine de l’alarme.
  • Capturer le paquet responsable de la remontée de l'alarme : cette capture pourra être visualisée lors de la consultation des alarmes, grâce à un analyseur de réseau (sniffer) tel que Wireshark .
  • File d'attente d'acquittement (ACK) : chaque flux TCP de type ACK peut désormais se voir appliquer une file d’attente d'acquittement (ACK). Cette option permet ainsi d’affecter une limitation de bande passante ou une priorité plus faible au flux à l’origine de l’alarme.

Cliquez ensuite sur Appliquer.

Pour chacun des 10 profils, vous pouvez effectuer la configuration comme vous le souhaitez, en en modifiant les paramètres décrits ci-avant.

Alarme sensible

L’action Autoriser d’une alarme stoppe l’analyse protocolaire sur le trafic. Il est donc fortement recommandé de dédier aux flux concernés par l'alarme, une règle de filtrage en mode Firewall (ou IDS pour les traces), plutôt que d’Autoriser ce type d’alarme.

Exemple de l’alarme sensible HTTP 47

Microsoft IIS (Internet Information Server) permet la gestion de serveur d’application en utilisant les technologies Microsoft. La gestion de serveurs web propose l'encodage de caractères étendus en utilisant le format "%uXXXX" propriétaire à Microsoft. Cet encodage n'étant pas un standard, les systèmes de détection d'intrusion ne peuvent pas détecter les attaques utilisant cette méthode.

L’accès à un site ayant une URL contenant ce type de caractères encodés, et ne correspondant à aucun caractère valide, lève l’alarme HTTP n°47 - Encodage en caractère %u invalide dans l'URL (Invalid %u encoding char in URL). Cette alarme considérée comme sensible, bloque l’accès au site.

L’action Autoriser appliquée à une alarme bloquant le trafic, stoppe l’analyse protocolaire de cette connexion (incluant les requêtes suivantes).

Afin de maintenir la protection contre ce type d’attaque et dans le même temps, autoriser un accès à ce type de serveur, il est recommandé de dédier une règle de filtrage en mode Firewall (ou IDS pour les traces), au trafic concerné plutôt que d'Autoriser le trafic bloqué par une alarme dite sensible. Pour rappel, les modes Firewall et IDS autorisent l’ensemble du trafic levant des alarmes (avec détection, pour le mode IDS).