Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste :
ficheasq

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
ficheasq [2022/11/13 11:41] techer.charles_educ-valadon-limoges.frficheasq [2022/11/13 11:43] (Version actuelle) – [Les niveaux d’inspection de sécurité] techer.charles_educ-valadon-limoges.fr
Ligne 38: Ligne 38:
 D'autres niveaux d'inspections peuvent être utilisés, à des fins de tests ou par nécessité ; par exemple si on contacte un serveur ne respectant pas la RFC des protocoles qu'il gère. D'autres niveaux d'inspections peuvent être utilisés, à des fins de tests ou par nécessité ; par exemple si on contacte un serveur ne respectant pas la RFC des protocoles qu'il gère.
 Ces niveaux sont à sélectionner dans la colonne Inspection de sécurité de la règle de filtrage concernée. Ces niveaux sont à sélectionner dans la colonne Inspection de sécurité de la règle de filtrage concernée.
-{{:stormshield_filtrageapp_02.jpg|}}+ 
 +{{:stormshield_filtrageapp_02.jpg  |}}
   * **IPS : Détecter et bloquer** (choix par défaut). L'ASQ va soumettre le paquet à l'ensemble des couches qu'il est capable d'analyser et le bloquer en cas d'anomalie.   * **IPS : Détecter et bloquer** (choix par défaut). L'ASQ va soumettre le paquet à l'ensemble des couches qu'il est capable d'analyser et le bloquer en cas d'anomalie.
   * **IDS : Détecter**. L'ASQ effectue une analyse similaire à l'IPS sauf que le paquet est toujours autorisé. C'est un profil permettant de faire un audit rapide pour une règle de filtrage donnée.   * **IDS : Détecter**. L'ASQ effectue une analyse similaire à l'IPS sauf que le paquet est toujours autorisé. C'est un profil permettant de faire un audit rapide pour une règle de filtrage donnée.
   * **Firewall** : Ne pas inspecter. L'ASQ ne va effectuer que très peu d’analyses sur le paquet reçu. Il se comporte comme un simple routeur filtrant.   * **Firewall** : Ne pas inspecter. L'ASQ ne va effectuer que très peu d’analyses sur le paquet reçu. Il se comporte comme un simple routeur filtrant.
  
-L'ASQ est composé de 10 configurations (également nommées **profils IPS**). Chacune de ces configurations peut être éditée en fonction des besoins de l'administrateur.\\+L'ASQ est composé de 10 configurations (également nommées **profils IPS**). Chacune de ces configurations peut être éditée en fonction des besoins de l'administrateur. 
 + 
 La configuration par défaut, comme indiqué dans le menu **Configuration ⇒ Protection applicative ⇒  La configuration par défaut, comme indiqué dans le menu **Configuration ⇒ Protection applicative ⇒ 
-Profils d'inspection**, applique les profils **IPS_00 et IPS_01** respectivement aux **connexions entrantes** (paquet dont l'adresse IP source ne fait pas partie d'un réseau protégé) et aux **connexions sortantes** (paquet dont l'adresse IP source fait partie d'un réseau protégé).\\ +Profils d'inspection**, applique les profils **IPS_00 et IPS_01** respectivement aux **connexions entrantes** (paquet dont l'adresse IP source ne fait pas partie d'un réseau protégé) et aux **connexions sortantes** (paquet dont l'adresse IP source fait partie d'un réseau protégé). 
-Si des flux sains déclenchent des alarmes, il sera sûrement nécessaire de modifier les paramètres de l’ASQ pour ne pas bloquer la production. Dans ce cas, les modifications doivent être faites au plus spécifique. De préférence dans un profil dédié qui sera appliqué sur les règles identifiant précisément le trafic concerné. \\ + 
-Il est alors possible, dans la table de filtrage, de forcer l'utilisation d'un profil ASQ spécifique depuis la colonne **Inspection de sécurité**. Les profils sont ensuite configurables et administrables depuis les menus **Protocoles et Applications et protections** sous **Configuration ⇒ Protection applicative**. \\+ 
 +Si des flux sains déclenchent des alarmes, il sera sûrement nécessaire de modifier les paramètres de l’ASQ pour ne pas bloquer la production. Dans ce cas, les modifications doivent être faites au plus spécifique. De préférence dans un profil dédié qui sera appliqué sur les règles identifiant précisément le trafic concerné.  
 + 
 + 
 +Il est alors possible, dans la table de filtrage, de forcer l'utilisation d'un profil ASQ spécifique depuis la colonne **Inspection de sécurité**. Les profils sont ensuite configurables et administrables depuis les menus **Protocoles et Applications et protections** sous **Configuration ⇒ Protection applicative**.  
 + 
 Enfin, par défaut, l’IPS est actif sur toutes les règles de filtrage en mode de **détection automatique du protocole**. Afin de mieux inspecter les flux, il est recommandé de qualifier manuellement le type de protocole si le port utilisé n’est pas standard. L’IPS risquerait de ne pas détecter correctement l’application. Enfin, par défaut, l’IPS est actif sur toutes les règles de filtrage en mode de **détection automatique du protocole**. Afin de mieux inspecter les flux, il est recommandé de qualifier manuellement le type de protocole si le port utilisé n’est pas standard. L’IPS risquerait de ne pas détecter correctement l’application.
 +
 +===== Mode Proxy transparent du pare-feu =====
 +
 +Selon les flux, certaines inspections de sécurité applicatives (analyse antivirale, analyse antispam, filtrage URL, …) peuvent être activées. L’analyse applicative complète des flux, qu’ils soient initialement chiffrés ou pas, induit l’utilisation d’un mode Proxy sur les firewalls Stormshield. L’activation d’une inspection applicative sur une règle de filtrage du firewall entraîne ainsi le démarrage des analyses en mode Proxy transparent :
 +  * Le firewall se fait passer pour le client auprès du serveur et pour le serveur auprès du client.
 +  * La configuration du poste client n’est pas modifiée (c’est le principe du mode transparent), par exemple, le port d’écoute et l’adresse IP du Proxy n’ont pas à être configurés sur son navigateur Internet.
 +**N.B.** : une analyse sur une règle de filtrage en mode IPS seulement n’utilise pas de mécanisme de type Proxy.
  
 ==== Retour  ==== ==== Retour  ====
ficheasq.1668336102.txt.gz · Dernière modification : 2022/11/13 11:41 de techer.charles_educ-valadon-limoges.fr