Source

Ce champ désigne la provenance du paquet traité, il est utilisé comme critère de sélection pour la règle. Un double-clic sur cette zone permettra de choisir la valeur associée dans une fenêtre dédiée.

Celle-ci comporte trois onglets :

Onglet Général

Zone Général

Utilisateur La règle s’appliquera à l’utilisateur que vous sélectionnerez dans ce champ.
Vous pouvez filtrer l'affichage des utilisateurs selon la méthode ou l'annuaire LDAP désiré en cliquant sur l'icône . Seuls les annuaires et méthodes activés (onglet Méthodes disponibles du module Authentification et annuaires LDAP définis dans le module Configuration des annuaires) sont présentés dans cette liste de filtrage.

Selon la méthode d’authentification, plusieurs utilisateurs génériques sont proposés :
  • « Any user@any» : désigne tout utilisateur authentifié, quel que soit l'annuaire ou la méthode d'authentification utilisés.
  • « Any user@guest_users.local.domain » : désigne tout utilisateur authentifié par la méthode « Invité ».
  • « Any user@voucher_users.local.domain » : désigne tout utilisateur authentifié par la méthode « Comptes temporaires ».
  • « Any user@sponsored_users.local.domain » : désigne tout utilisateur se présentant via la méthode « Parrainage ».

  • « Any user@none » : désigne tout utilisateur authentifié par une méthode ne reposant pas sur un annuaire LDAP (exemple : méthode Kerberos).

  • « Unknown users » : désigne tout utilisateur inconnu ou non authentifié.

NOTE
Pour que les utilisateurs non authentifiés soient automatiquement redirigés vers le portail captif, il faut définir au moins une règle qui s’applique à l’objet « Unknown users ». Cette règle s’appliquera également dès qu’une authentification expire.
Machines sources La règle s’appliquera à l’objet (créé préalablement au sein de leur menu dédié : Objets\module Objets réseau) que vous sélectionnerez dans ce champ. La machine source est la machine d’où provient la connexion.

Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton
Interface d’entrée Interface sur laquelle s’applique la règle de filtrage présentée sous forme de liste déroulante. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source.
Il est possible de la modifier pour appliquer la règle sur une autre interface. Cela permet également de spécifier une interface particulière si « Any » a été sélectionnée comme machine source.

Zone Services Web et réputations IP

Sélectionnez un service ou une catégorie de réputation IP

Ce champ permet d'appliquer la règle de filtrage aux machines dont l'adresse IP publique est classifiée dans l'une des catégories ci-dessous :

  • Services Web officiels (liste mise à jour dynamiquement par le biais du service Stormshield Active Update),
  • Réputations malicieuses (liste mise à jour dynamiquement par le biais du service Stormshield Active Update) :
    • anonymiseur : proxies, convertisseurs IPv4 vers IPv6.
    • botnet : machines infectées exécutant des programmes malveillants.
    • exploit : adresses IP connues comme étant source d'exploits de vulnérabilités.
    • malware : machines distribuant des programmes malveillants
    • nœud d'entrée tor : serveurs d'extrémités entrantes du réseau Tor.
    • nœud de sortie tor : serveurs d'extrémités sortantes du réseau Tor.
    • phishing : serveurs de messagerie compromis.
    • scanneur : machines exécutant du balayage de ports (port scanning) ou des attaques par force brute.
    • spam : serveurs de messagerie compromis.
    • suspect : permet de regrouper des machines et adresses IP présentant peu de gages de confiance et risquant de déclencher de faux positifs. Par défaut, cette catégorie n'est pas incluse dans bad.
  • Groupes :
    • Services Web officiels regroupés par type de fonctionnalité (Accès à distance, Conférence Web ...) ou par fournisseur (Apple, Google ...),
    • Bad : regroupe l'ensemble des catégories de réputations malicieuses à l'exception de la catégorie suspect,
    • Malicious : regroupe bad ainsi que deux bases externes d'URL malicieuses.
    • Nœuds tor : regroupe les catégories nœuds d'entrée tor et nœud de sortie tor.

NOTE
La réputation d'une adresse IP publique pouvant être à la limite de deux catégories (botnet et malware), et ce champ ne permettant de sélectionner qu'une seule catégorie, il est conseillé d'utiliser le groupe "bad" pour une protection optimale.

Cliquer sur OK pour valider votre configuration.

NOTE
Les règles de filtrage avec une source de type user@objet (sauf any ou unknow@object), avec un protocole autre qu’HTTP, ne s’appliquent pas aux Objets Multi-utilisateurs (Authentification > Politique d’authentification). Ce comportement est inhérent au mécanisme de traitement des paquets effectué par le moteur de prévention d’intrusion.

Onglet Géolocalisation / Réputation

Zone Géolocalisation

Sélectionnez une région Ce champ permet d'appliquer la règle de filtrage aux machines source dont l'adresse IP publique appartient à des pays, continents ou groupes de régions (groupe de pays et/ou de continents - préalablement définis dans le module Objets > Objets réseau).

Zone Réputation des machines

Activer le filtrage selon le score de réputation Cochez cette case afin d'activer le filtrage en fonction du score de réputation des machines du réseau interne.
Pour activer la gestion de réputation des machines et définir les machines concernées par le calcul d'un score de réputation, rendez-vous dans le module Protection applicative > Réputation des machines.
Score de réputation Ce champ permet de sélectionner le score de réputation au dessus duquel () ou au dessous duquel () la règle de filtrage s'appliquera aux machines supervisée.

Cliquer sur OK pour valider votre configuration.

Onglet Configuration avancée

Zone Configuration avancée

Port source Ce champ permet de préciser le port utilisé par la machine source, si c'est une valeur particulière.
Par défaut, le module "Stateful" mémorise le port source utilisé et seul celui-ci est autorisé pour les paquets retour.

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton
Via
  • Tous : Cette option implique qu’aucun des trois services suivants ne seront utilisés : la connexion ne passera pas par le proxy HTTP, ne sera pas redirigée vers la page d’authentification et ne passera pas par un tunnel VPN IPsec.
  • Proxy HTTP explicite : Le trafic provient du proxy HTTP.
  • Proxy SSL : Le trafic provient du proxy SSL.
  • Tunnel VPN IPsec : Le trafic provient d’un tunnel VPN IPsec.
  • Tunnel VPN SSL : Le trafic provient d’un tunnel VPN SSL.
DSCP source Ce champ permet de filtrer en fonction de la valeur du champ DSCP du paquet reçu.

Zone Authentification

Méthode d'authentification Ce champ permet de restreindre l'application de la règle de filtrage à la méthode d'authentification sélectionnée.

Cliquer sur OK pour valider votre configuration.