Configuration globale des protocoles

Le bouton « Accéder à la configuration globale » s’applique à l’ensemble des profils du protocole sélectionné.

Cette option est proposée pour chaque protocole sauf pour les protocoles IP, RTP, RTCP et S7.

Protocole : liste des ports TCP - ou UDP - par défaut

Cette option définit la liste des ports (TCP ou UDP) analysés par défaut par le plugin du protocole que l’on paramètre. Il est possible d’Ajouter ou de Supprimer des ports en cliquant sur les boutons du même nom.

Protocole over SSL : liste des ports TCP par défaut

Les ports ajoutés dans la liste des protocoles sécurisés seront au préalable analysés par le plugin SSL, puis par le plugin du protocole paramétré si le trafic est déchiffré. Il est possible d’Ajouter ou de Supprimer des ports en cliquant sur les boutons du même nom.

Cette sélection est proposée pour les protocoles HTTPS, SMTPS, FTPS, POP3S, OSCAR over SSL, NetBios CIFS over SSL, NetBios SSN over SSL et SIP over SSL.

EXEMPLE
Le choix du port HTTPS dans la liste "HTTPS : liste des ports TCP par défaut" entrainera deux temps d’analyse :
  • Le trafic HTTPS sera analysé par le plugin SSL.
  • Le trafic déchiffré par le proxy SSL sera analysé par le plug-in HTTP.

Proxy

Cette option s’active en configuration globale des protocoles HTTP, SMTP, POP3 et SSL. Elle s’applique à l’ensemble des profils d’inspection.

Appliquer la règle de NAT sur le trafic analysé Par défaut, le trafic analysé par un proxy implicite est réémis avec l’adresse de l’interface de sortie du Firewall.
Dans le cas d’une politique de NAT et en cochant cette option, la translation d’adresse est appliquée sur ce trafic sortant de l’analyse du proxy. Cette option n’est pas appliquée pour une translation sur la destination.

Configuration globale du protocole TCP/UDP

Onglet IPS

Déni de Service (DoS)

Nb max. ports par seconde Afin d’éviter le scan de ports, cette valeur est la limite du nombre de ports différents (compris entre 1 et 1024) accessibles en 1 seconde pour une destination protégée donnée. Ce nombre doit être compris entre 1 et 16 ports.
Fréquence de purge table de session (secondes)  Une fois la table de connexions / sessions saturée, un mécanisme de purge des connexions inactives est programmé. Définissez le temps minimum entre deux purges des tables de sessions compris entre 10 et 172800 secondes, afin de ne pas surcharger le boîtier.

Connexion

Autoriser les connexions semi-ouvertes (RFC 793, section 3.4) Cette option permet d’éviter le déni de service pouvant opérer au sein des connexions dites « normales ».

http://tools.ietf.org/html/rfc793#section-3.4

Support

Tracer chaque connexion TCP Option pour activer la génération de log pour les connexions TCP.
Tracer chaque pseudo-connexion UDP Option pour activer la génération de log pour les connexions UDP.

Configuration globale du protocole SSL

Onglet Proxy

Génération des certificats pour émuler le serveur SSL

C.A (signe les certificats) Choisissez la Sous-autorité utilisée pour signer les certificats générés par le proxy SSL. Vous devez l’avoir importée au préalable dans le module Certificat (menu Objet).
Mot de passe de l'autorité Renseignez le mot de passe de l’autorité de certification choisie.
Durée de vie du certificat (jours) Ce champ précise la Validité (jours) des certificats générés par le proxy.

SSL : liste des ports TCP par défaut

Cette option est proposée pour la liste des ports TCP par défaut. Les ports par défaut des protocoles ajoutés seront analysés par le plugin SSL.

Proxy

Cette option s’applique à l’ensemble des profils d’inspection. Cette option n’est pas appliquée pour la translation sur la destination.

Appliquer la règle de NAT sur le trafic analysé Par défaut, le trafic analysé par un proxy implicite obtient en sortie, l’adresse de l’interface de sortie du Firewall.
Dans le cas d’une politique de NAT et en cochant cette option, la translation d’adresse est appliquée sur ce trafic sortant de l’analyse du proxy. Cette option n’est pas appliquée pour une translation sur la destination.

Onglet Autorités de certification personnalisées

Ajouter la liste de C.A personnalisée aux autorités de confiance Cette option permet d’activer la fonctionnalité d’import d’autorités de certifications non publiques. Ces C.A. seront considérées comme autorité de confiance. Les certificats délivrés par ces C.A. personnalisées seront donc considérés comme digne de confiance.

Il est possible d’Ajouter ou de Supprimer des autorités de certifications en cliquant sur les boutons du même nom.

Onglet Autorités de certification publiques

Il est possible de désactiver une autorité  de certification publique par double-clic sur l’icône d’état, par défaut activée. Vous pouvez également choisir de Tout activer ou de Tout désactiver ces C.A. publiques en cliquant sur les boutons du même nom.

Afin d’améliorer le contrôle, ces autorités de certification racines de confiance sont maintenues à jour dans la liste du firewall via Active-Update.

Onglet Certificats de confiance

Il s’agit d’une liste blanche de certificats pour lesquels les traitements d’inspection de contenu (certificats auto-signés, certificats expirés, etc.), définis dans l’onglet Proxy de la configuration des profils SSL, ne seront pas appliqués.

Cette fenêtre permet d’Ajouter ou de Supprimer des certificats de confiance en cliquant sur les boutons du même nom.

Onglet IPS

Analyse des certificats

Délai de conservation des certificats dans le cache (TTL)

Pour optimiser les performances d'analyse des certificats serveur, un mécanisme de cache a été implémenté afin de ne pas déclencher la récupération d'un certificat lorsque celui-ci est déjà connu du moteur de prévention d'intrusion.

Ce mécanisme définit ainsi un délai de conservation des entrées du cache, exprimé en secondes.
Lorsque cette durée maximale de conservation est atteinte par un certificat présent dans le cache, l'entrée correspondante est automatiquement supprimée.

Configuration globale du protocole ICMP

Onglet IPS

IPS

Taux global maximum de paquets d'erreurs ICMP (paquets par seconde et par coeur) Lorsque le nombre de paquets d'erreur ICMP dépasse cette limite (25000 par défaut), les paquets supplémentaires sont ignorés par le firewall avant d'appliquer les règles de filtrage. Cette option permet de protéger le firewall contre des attaques de type Blacknurse.