Peaufinez vos règles de filtrage de vos pares-feux Stormshield avec SVC !

Nous sommes souvent confrontés à la mise en place de nouvelles applications dont la matrice des flux n’est pas connue ou incomplète.

Le but de cet article est de proposer un mode opératoire, qui permet de partir de règles de filtrage « permissives » (en provenance et à destination du nouveau serveur par exemple), puis d’analyser les logs correspondants dans Stormshield Visibility Center (abrégé SVC) afin de mettre en lumière quels sont les ports, IP Sources et IP Destinations à ouvrir.

Cet article abordera une configuration rapide de Stormshield Visibility Center et ne détaillera pas l'installation de celui-ci. Une documentation Administrateur est disponible sur le site officiel de Stormshield.

Installation du serveur SysLog Stormshield Visibility Center

Stormshield Visibility Center (SVC) est un serveur de journaux d’événements (logs) s’adressant davantage à des entreprises ou organisations disposant d’un pare-feu Stormshield d’entrée et moyenne gamme (SN160 jusqu’au SN910).

Intuitive et personnalisable, la solution SVC basée sur Kibana & Elastic Search, elle vous permet de personnaliser vos tableaux de bord, de créer ou d’adapter les visualisations afin de proposer une solution toujours adaptée.

Déployez l’image téléchargée au préalable depuis votre compte MyStormshield et importez le fichier de la machine virtuelle sur votre hyperviseur (VMware, Hyper-V…). Une fois votre machine déployée, le clavier est par défaut en Qwerty. Il vous faudra choisir un mot de passe contenant au moins 3 caractères spéciaux, 3 majuscules, 3 chiffres au minimum.

1. Ouvrez une connexion en SSH sur votre SVC.
2. Entrez la commande svc-configurator afin d’entrer dans le menu de configuration.
3. Sur votre menu, sélectionnez Syslog Configuration.

Résultat de la commande "svc-configurator" qui est le menu de gestion principal du serveur SVC

4. Sélectionnez Syslog source et spécifier le format TCP, d’après la RFC 5424 sur le port TCP 601. Ce sera notre port d’écoute entre le SVC et le pare-feu Stormshield en sélectionnant avec la touche TAB.

Décochez également le protocole UDP :



On sélectionne le type de serveur Syslog

On souhaite spécifier le protocole de communication entre le serveur SVC & le pare-feu Stormshield

Configuration du pare-feu Stormshield SNS :

Sur l'interface d'administration du pare-feu Stormshield, allez dans le menu de navigation CONFIGURATION > NOTIFICATIONS > Traces – Syslog – IPFIX.

Menu CONFIGURATION > NOTIFICATIONS > Traces – Syslog – IPFIX

On renseigne les différentes informations afin de connecter le serveur Stormshield Visibility Center sur le pare-feu Stormshield :

On renseigne le nom du profil SVC, le serveur Syslog, le protocole, le port de connexion et la RFC

Choisissez un nom distinct pour votre serveur Syslog. Créez un objet contenant l’adresse IPV4 de votre serveur Stormshield Visibility Center et spécifiez le protocole de communication TCP (qui a été choisis lors de la configuration sur le SVC).

Vérifiez que le port TCP de connexion est choisi et que le format est bien le RFC5424, tel que défini sur le serveur SVC.

Trois types de protocoles sont disponibles pour l'envoi des traces :

• RFC 5424 TCP sur le port 601 Ce protocole permet d'échanger les données sans chiffrement mais avec acquittement des données.
• RFC 5424 TCP TLS sur le port 6514 Ce protocole permet d'échanger les données de manière chiffrée, avec identification et acquittement des données. Il nécessite le déploiement de certificats sur chaque client (SNS, SDS Enterprise, SES).
• RFC 3164 UDP sur le port 514 Ce protocole permet d'échanger les données sans chiffrement et sans acquittement des données. Il est activé par défaut à l'installation de SVC. 

Vérifiez que le profil Syslog soit bien activé. Dans le cas contraire, cliquez sur Désactiver ce qui change l’état, cliquez sur Appliquer afin de valider les modifications apportées.

Au niveau de la Configuration Avancée, nous pouvons choisir quels seront les données des traces qui seront envoyées au serveur SVC. Par défaut, toutes les options sont sélectionnées.

Accéder à l'interface du serveur Stormshield Visibility Center

Pour vous connecter à l'interface web de SVC, vous devez connaître l'adresse IP du serveur SVC. Dans le SVC Configurator, choisissez le menu Network Status. Le champ Address indique l'adresse IP de votre serveur SVC.

Depuis votre navigateur Web, connectez-vous à cette adresse IP en HTTPS (https://adresse_ ip_svc).

L'interface principale du serveur Stormshield Visibility Center

En revenant sur le serveur SVC, cliquez sur Dashboard, puis SNS Dashboard.

Nous obtenons ainsi des informations depuis les fichiers journaux du pare-feu Stormshield et ainsi des graphiques et des statistiques détaillées.

Nous remarquons que les données ont bien été récupérées pour chaque pare-feu :

Des graphiques sont disponibles, mettant en forme les différentes évènements sur le pare-feu (Alarmes, connexions...)

Relever les connexions avec le serveur SVC :

Notre objectif est maintenant de créer de nouveaux graphiques afin d’organiser toutes les connexions entrantes, sortantes et les ports de destinations de notre pare-feu. C'est pour cela que nous allons créer trois graphiques afin d’afficher ces données.

1. Cliquez sur Edit, dans Dashboard > Log View.

2. Cliquez sur la roue crantée et cliquez sur Edit visualisation :

3. Déployez le menu Split Slices, dans la section Buckets et renseignez dans le champ Field « src » pour les adresses IP sources.

Cliquez sur le bouton bleu Play afin d’obtenir un visuel à droite de l’écran.

Spécifier le champ source en renseignant "src" afin de ne sélectionner que les connexions sources

Enregistrez vos paramètres en cliquant sur Save.

Cliquer sur le triangle Play afin de créer une visualisation en direct & enregistrer le graphique en cliquant sur Save

Il est très important de cocher la case « Save as a new visualization » afin de ne pas modifier le modèle du graphique original.

Renseignez un titre explicite à votre nouveau graphique et Sauvegarder dans une nouvelle visualisation

Répétez les mêmes opérations pour les adresses IP sources et spécifiez le champs "dst" pour les différentes connexions sortantes :

Spécifier le champ de destination en renseignant "dst" afin de ne sélectionner que les connexions sortantes

Et ainsi que les ports de destination en spécifiant le champ "dstport" :

Spécifier le champ de destination en renseignant "dstport" afin de ne sélectionner que les ports sortantes

Une fois les trois modules créés, allez sur le Dashboard de SVC. Cliquez ensuite sur Add en haut de l’écran et recherchez les trois modules précédements créés.

Les widgets ajoutés seront tout en bas de la page principale.

N'oubliez pas de renouvelez l'opération pour chaque graphique créé !

Les graphiques sont alors affichés :

Nos trois graphiques sont alors disponible sur l'écran d'accueil de notre serveur SVC

Vous pouvez notamment obtenir des informations détaillées sur un port ou une adresse IP en cliquant sur la partie colorée du graphique.

Les informations sont alors filtrées dans le tableau en dessous des 3 éléments graphiques.

Cette méthode vous permettra notamment, dans un cas d’usage particulier de définir pour une machine spécifique, les ports récurrents à laisser passer. Vous pouvez par exemple filtrer la vue que pour une adresse IP en particulier (d'où l'intérêt du système) :

Exemple pour une adresse IP en 10.13.0.200 : nous obtenons chaque port que la machine a besoin d'atteindre

Nous obtenons les traces de connexions associées à une adresse interne spécifique, voulant joindre les serveurs DNS de Google, sur le port 53.

Grâce à cela, nous pouvons établir simplement une matrice de flux en ne fournissant que les services nécessaire à une machine dans un réseau.