Prérequis et fonctionnement

Versions SNS compatibles avec les services Web

  • SNS 4.5 et versions supérieures

Vue en clair des flux DNS

Le firewall SNS doit pouvoir voir en clair (non chiffrés) les flux DNS le traversant car le principe d'identification des services Web repose sur la reconnaissance des FQDN. Sans cela, le firewall SNS ne peut pas identifier les services Web basés sur des FQDN.

L'analyse protocolaire DNS doit être activée sur les flux DNS (niveau d'inspection IPS ou IDS).

Blocage des protocoles DoH et DoT

Le firewall SNS bloque par défaut les protocoles DNS chiffrés DoH et DoT afin de forcer un retour (fallback) vers le protocole DNS classique dans le but de voir les flux DNS en clair.

Ce retour intervient seulement si le navigateur Web utilisé l'autorise et après un certain nombre d'essais successifs, ce qui peut entraîner une latence jusqu'à l'apparition de la page Web demandée. À noter que le nombre d'essais et la durée de la latence dépendent du navigateur Web et ne sont pas configurables sur le firewall SNS.

Le blocage des protocoles DoH et DoT sur le firewall SNS est possible grâce à la détection de signatures contextuelles (module Configuration > Protection applicative > Applications et protections). Le blocage du protocle DoT est également possible lorsqu'il est détecté dans l'extension ALPN du protocole TLS (module Configuration > Protection applicative > Protocoles > SSL, onglet IPS, cadre Application-Layer Protocol Negotiation (ALPN)).

IMPORTANT
Il est indispensable de maintenir le blocage de ces protocoles pour que l'identification des services Web s'effectue correctement.

Utilisation d'adresses IP publiques

Seules des adresses IP publiques peuvent être utilisées dans les bases des services Web officiels et personnalisés. L'utilisation d'adresses IP privées n'est pas possible.

Principe de dépendance des services Web

Certains services Web peuvent être dépendants d'autres services Web, par exemple lorsqu'un fournisseur héberge son service chez un autre fournisseur ou encore lorsqu'un fournisseur propose plusieurs services.

Lors de l'utilisation de services Web dans la configuration du firewall SNS, et afin d'éviter de bloquer ou d'autoriser à tort certains flux Web, nous vous recommandons de vérifier au préalable si un service Web est dépendant d'un autre ou si des services Web dépendent de lui. Les dépendances connues sont affichées sur le site Stormshield Security Portal.