Vue par profil d’inspection
Sélectionner le profil de configuration
Vous pouvez configurer jusqu’à 10 profils, portant par défaut les noms de « IPS_00 », « IPS_01» etc. Leurs noms ne sont pas modifiables dans le module Alarmes mais au sein du menu Protection applicative > Profils d’inspection (Bouton Accéder aux profils) :
- Sélectionnez une configuration au sein de la liste déroulante.
- Cliquez sur le bouton Éditer et sélectionnez Renommer.
- Changez ensuite le nom du profil dans l’emplacement prévu à cet effet et ajoutez un commentaire si besoin.
- Cliquez sur Mettre à jour.
Vous retrouvez votre profil modifié dans la liste déroulante des configurations du module Applications et Protections.
La sélection multiple
La sélection multiple permet d’assigner une même action à plusieurs alarmes. Sélectionnez plusieurs alarmes se succédant à l’aide de touche Shift ñ ou individuellement avec la touche Ctrl. Vous pourrez également soustraire une sélection à une sélection existante, avec la touche Ctrl.
Certains intitulés de colonnes affichent l’icône . Par un simple clic, un menu s’affiche et propose d’assigner un même paramètre à plusieurs alarmes sélectionnées (Action, Niveau, Nouveau et Avancé).
Exemple : Il est possible de supprimer plusieurs lignes en même temps, en les sélectionnant avec la touche Ctrl puis en cliquant sur Supprimer.
Au sein d’un profil, vous pouvez effectuer plusieurs actions :
Appliquer un modèle
Plusieurs modèles permettent de configurer le profil des alarmes en paramétrant leur action (Autoriser ou Interdire) et leur niveau (Ignorer, Mineur ou Majeur).
Les modèles BASSE, MOYENNE et HAUTE se différencient essentiellement par l’action des alarmes de type Protections, comme les alarmes relatives aux réseaux "peer-to-peer" ou aux messageries instantanées. Par défaut, les alarmes de type Applications autorisent le trafic et les alarmes de type Malwares le bloquent.
Le modèle INTERNET désactive les alarmes pouvant gêner l’utilisation classique d’Internet, souvent due à de mauvaises pratiques trop répandues pour être interdites. Un exemple est l’alarme levée en cas d'URL contenant des caractères non ASCII.
Par défaut, le profil (1) IPS_01 est basé sur le modèle INTERNET, étant destiné au trafic dont l'adresse IP source fait partie d'un réseau protégé (Voir Profils d’Inspection). Les autres profils sont configurés sur le modèle MOYENNE qui assure un niveau de sécurité standard.
Internet | Cette configuration est adaptée au trafic sortant. La plupart des alarmes sont configurées avec l’action Autoriser, quand elles ne présentent pas de danger pour le réseau interne. |
Basse | Les alarmes les moins critiques sont configurées avec l’action Autoriser. |
Moyenne | Ce modèle est un compromis entre sécurité et blocage excessif ; il est appliqué par défaut au trafic entrant. |
Haute | La majorité des alarmes sont configurées avec l’action Bloquer. |
Sélection
Des boutons vous permettent d’effectuer un tri sur les alarmes du profil d’inspection. Les 3 catégories dans lesquelles ces alarmes sont réparties sont Applications, Protections et Malwares. La sélection s’effectue par les 3 boutons du même nom. Le bouton Tous réinitialise la sélection.
Applications | Ce type d’alarme est levé par l’utilisation d’applications courantes. Cette sélection permet l’élaboration d’une politique de sécurité applicative. |
Protections | Ces alarmes sont levées suite à l’analyse effectuée par le moteur IPS : elles résultent du blocage d’attaques connues ou d’utilisations anormales des protocoles conformément aux RFC. |
Malwares | Ces alarmes sont basées sur les signatures connues de logiciels malveillants, reconnus par des types d’activité suspects. Il est conseillé d’examiner les machines à l’origine de cette catégorie d’alarmes. |
Rechercher
Cet emplacement permet de n’afficher que la ou les alarmes contenant la lettre ou le mot saisi. La recherche est instantanée, afin de filtrer plus facilement les profils et les contextes, sans devoir appuyer sur « Entrée ».
Présélection
Cette liste contient les alarmes générées par un trafic relatif à des familles d’applications. Vous pouvez effectuer un tri et n’afficher que les alarmes faisant partie des catégories suivantes :
Aucune | Toutes les alarmes seront affichées, sans distinction de catégorie. |
BYOD | Trafic généré par les appareils mobiles de type téléphone ou tablette électronique pour la pratique qui consiste à utiliser ses équipements personnels (Bring your own device). |
Stockage en ligne | Applications proposant l’hébergement de données en ligne. |
Applications de messagerie en ligne. | |
Jeu | Applications de jeux en ligne. |
Communication | Messagerie instantanée et applications de VOIP ou de visioconférence (Skype, Google talk etc.). |
Multimédia | Site d’images, de vidéos ou de musique en ligne. |
Peer to peer | Échange direct de fichiers entre utilisateurs. |
Accès distant | Contrôle d’ordinateur à distance. |
Réseaux sociaux | Sites de communautés en ligne. |
Web | Autres applications basées sur les protocoles HTTP / HTTPS. |
Protocoles industriels | Alarmes liées au filtrage et à la détection de protocoles industriels (contrôle et fonctionnement d'automates,...) |
DoT / DoH | Alarmes liées aux requêtes DNS sur HTTPS (DoH) et sur TLS (DoT). |
Cette liste peut être amenée à être modifiée par sa mise à jour via Active Update.
Les différentes colonnes
Pour afficher les colonnes Signatures, Modèle et Profil applicatif, cliquez sur la flèche apparaissant au survol de l’intitulé d’une colonne et cochez les cases correspondantes proposées dans le menu Colonnes.
Signatures | Nombre de variantes de l’attaque ou du trafic que la signature levant l’alarme bloque. |
Modèle | Modèle appliqué au profil d’inspection qui configure les alarmes en paramétrant leur action et leur niveau. Consultez la section précédente Appliquer un modèle. |
Message | Texte décrivant l’alarme et ses caractéristiques. Lors de la sélection d’une alarme, un bouton Aide apparaît. Ce lien ouvre une fenêtre d’aide décrivant l’alarme et résumant son action et son niveau. |
Profil applicatif | Profil applicatif contenant l’alarme configurée dans ce profil d’inspection. |
Action | Lorsqu’une alarme est remontée, le paquet qui a provoqué cette alarme subit l’action associée. Vous pouvez choisir d’Autoriser ou d’Interdire un trafic qui remonte une alarme. |
Niveau | Trois niveaux d’alarmes sont disponibles : "Ignorer", "Mineur" et "Majeur". |
Nouveau | Permet de visualiser les nouvelles alarmes, matérialisées par l’icône . |
Contexte : id | Intitulé de l’alarme. L’icône représente les alarmes dites sensibles. Référez-vous au paragraphe ci-dessous pour plus d’informations. |
Avancé | Envoyer un e-mail : un e-mail sera envoyé au déclenchement de l’alarme (cf. module Alertes e-mails) avec les conditions suivantes :
Cliquez ensuite sur Appliquer. |
Pour chacun des 10 profils, vous pouvez effectuer la configuration comme vous le souhaitez, en en modifiant les paramètres décrits ci-avant.
Alarme sensible
L’action Autoriser d’une alarme stoppe l’analyse protocolaire sur le trafic. Il est donc fortement recommandé de dédier aux flux concernés par l'alarme, une règle de filtrage en mode Firewall (ou IDS pour les traces), plutôt que d’Autoriser ce type d’alarme.
Exemple de l’alarme sensible HTTP 47
Microsoft IIS (Internet Information Server) permet la gestion de serveur d’application en utilisant les technologies Microsoft. La gestion de serveurs web propose l'encodage de caractères étendus en utilisant le format "%uXXXX" propriétaire à Microsoft. Cet encodage n'étant pas un standard, les systèmes de détection d'intrusion ne peuvent pas détecter les attaques utilisant cette méthode.
L’accès à un site ayant une URL contenant ce type de caractères encodés, et ne correspondant à aucun caractère valide, lève l’alarme HTTP n°47 - Encodage en caractère %u invalide dans l'URL (Invalid %u encoding char in URL). Cette alarme considérée comme sensible, bloque l’accès au site.
L’action Autoriser appliquée à une alarme bloquant le trafic, stoppe l’analyse protocolaire de cette connexion (incluant les requêtes suivantes).
Afin de maintenir la protection contre ce type d’attaque et dans le même temps, autoriser un accès à ce type de serveur, il est recommandé de dédier une règle de filtrage en mode Firewall (ou IDS pour les traces), au trafic concerné plutôt que d'Autoriser le trafic bloqué par une alarme dite sensible. Pour rappel, les modes Firewall et IDS autorisent l’ensemble du trafic levant des alarmes (avec détection, pour le mode IDS).