Rédigé par Antoine, le Samedi 13 Novembre 2021
Nous sommes souvent confrontés à la mise en place de nouvelles applications dont la matrice des flux n’est pas connue ou incomplète.
Le but de cet article est de proposer un mode opératoire, qui permet de partir de règles de filtrage « permissives » (en provenance et à destination du nouveau serveur par exemple), puis d’analyser les logs correspondants dans Stormshield Visibility Center (abrégé SVC) afin de mettre en lumière quels sont les ports, IP Sources et IP Destinations à ouvrir.
Cet article abordera une configuration rapide de Stormshield Visibility Center et ne détaillera pas l'installation de celui-ci. Une documentation Administrateur est disponible sur le site officiel de Stormshield.
Stormshield Visibility Center (SVC) est un serveur de journaux d’événements (logs) s’adressant davantage à des entreprises ou organisations disposant d’un pare-feu Stormshield d’entrée et moyenne gamme (SN160 jusqu’au SN910).
Intuitive et personnalisable, la solution SVC basée sur Kibana & Elastic Search, elle vous permet de personnaliser vos tableaux de bord, de créer ou d’adapter les visualisations afin de proposer une solution toujours adaptée.
Déployez l’image téléchargée au préalable depuis votre compte MyStormshield et importez le fichier de la machine virtuelle sur votre hyperviseur (VMware, Hyper-V…). Une fois votre machine déployée, le clavier est par défaut en Qwerty. Il vous faudra choisir un mot de passe contenant au moins 3 caractères spéciaux, 3 majuscules, 3 chiffres au minimum.
svc-configurator
afin d’entrer dans le menu de configuration.4. Sélectionnez Syslog source et spécifier le format TCP, d’après la RFC 5424 sur le port TCP 601. Ce sera notre port d’écoute entre le SVC et le pare-feu Stormshield en sélectionnant avec la touche TAB.
Décochez également le protocole UDP :
Sur l'interface d'administration du pare-feu Stormshield, allez dans le menu de navigation CONFIGURATION > NOTIFICATIONS > Traces – Syslog – IPFIX.
On renseigne les différentes informations afin de connecter le serveur Stormshield Visibility Center sur le pare-feu Stormshield :
Choisissez un nom distinct pour votre serveur Syslog. Créez un objet contenant l’adresse IPV4 de votre serveur Stormshield Visibility Center et spécifiez le protocole de communication TCP (qui a été choisis lors de la configuration sur le SVC).
Vérifiez que le port TCP de connexion est choisi et que le format est bien le RFC5424, tel que défini sur le serveur SVC.
Trois types de protocoles sont disponibles pour l'envoi des traces :
Vérifiez que le profil Syslog soit bien activé. Dans le cas contraire, cliquez sur Désactiver ce qui change l’état, cliquez sur Appliquer afin de valider les modifications apportées.
Au niveau de la Configuration Avancée, nous pouvons choisir quels seront les données des traces qui seront envoyées au serveur SVC. Par défaut, toutes les options sont sélectionnées.
Pour vous connecter à l'interface web de SVC, vous devez connaître l'adresse IP du serveur SVC. Dans le SVC Configurator, choisissez le menu Network Status. Le champ Address indique l'adresse IP de votre serveur SVC.
Depuis votre navigateur Web, connectez-vous à cette adresse IP en HTTPS (https://adresse_ ip_svc
).
En revenant sur le serveur SVC, cliquez sur Dashboard, puis SNS Dashboard.
Nous obtenons ainsi des informations depuis les fichiers journaux du pare-feu Stormshield et ainsi des graphiques et des statistiques détaillées.
Nous remarquons que les données ont bien été récupérées pour chaque pare-feu :
Notre objectif est maintenant de créer de nouveaux graphiques afin d’organiser toutes les connexions entrantes, sortantes et les ports de destinations de notre pare-feu. C'est pour cela que nous allons créer trois graphiques afin d’afficher ces données.
2. Cliquez sur la roue crantée et cliquez sur Edit visualisation :
3. Déployez le menu Split Slices, dans la section Buckets et renseignez dans le champ Field « src » pour les adresses IP sources.
Cliquez sur le bouton bleu Play afin d’obtenir un visuel à droite de l’écran.
Enregistrez vos paramètres en cliquant sur Save.
Il est très important de cocher la case « Save as a new visualization » afin de ne pas modifier le modèle du graphique original.
Répétez les mêmes opérations pour les adresses IP sources et spécifiez le champs "dst" pour les différentes connexions sortantes :
Et ainsi que les ports de destination en spécifiant le champ "dstport" :
Une fois les trois modules créés, allez sur le Dashboard de SVC. Cliquez ensuite sur Add en haut de l’écran et recherchez les trois modules précédements créés.
Les widgets ajoutés seront tout en bas de la page principale.
N'oubliez pas de renouvelez l'opération pour chaque graphique créé !
Les graphiques sont alors affichés :
Vous pouvez notamment obtenir des informations détaillées sur un port ou une adresse IP en cliquant sur la partie colorée du graphique.
Les informations sont alors filtrées dans le tableau en dessous des 3 éléments graphiques.
Cette méthode vous permettra notamment, dans un cas d’usage particulier de définir pour une machine spécifique, les ports récurrents à laisser passer. Vous pouvez par exemple filtrer la vue que pour une adresse IP en particulier (d'où l'intérêt du système) :
Nous obtenons les traces de connexions associées à une adresse interne spécifique, voulant joindre les serveurs DNS de Google, sur le port 53.
Grâce à cela, nous pouvons établir simplement une matrice de flux en ne fournissant que les services nécessaire à une machine dans un réseau.