Bonne pratique

Peaufinez vos rĂšgles de filtrage de vos pares-feux Stormshield avec SVC !

Rédigé par Antoine, le Samedi 13 Novembre 2021

Nous sommes souvent confrontĂ©s Ă  la mise en place de nouvelles applications dont la matrice des flux n’est pas connue ou incomplĂšte.


Le but de cet article est de proposer un mode opĂ©ratoire, qui permet de partir de rĂšgles de filtrage « permissives Â» (en provenance et Ă  destination du nouveau serveur par exemple), puis d’analyser les logs correspondants dans Stormshield Visibility Center (abrĂ©gĂ© SVC) afin de mettre en lumiĂšre quels sont les ports, IP Sources et IP Destinations Ă  ouvrir.


Cet article abordera une configuration rapide de Stormshield Visibility Center et ne détaillera pas l'installation de celui-ci. Une documentation Administrateur est disponible sur le site officiel de Stormshield.



Installation du serveur SysLog Stormshield Visibility Center

Stormshield Visibility Center (SVC) est un serveur de journaux d’évĂ©nements (logs) s’adressant davantage Ă  des entreprises ou organisations disposant d’un pare-feu Stormshield d’entrĂ©e et moyenne gamme (SN160 jusqu’au SN910).

Intuitive et personnalisable, la solution SVC basĂ©e sur Kibana & Elastic Search, elle vous permet de personnaliser vos tableaux de bord, de crĂ©er ou d’adapter les visualisations afin de proposer une solution toujours adaptĂ©e.


DĂ©ployez l’image tĂ©lĂ©chargĂ©e au prĂ©alable depuis votre compte MyStormshield et importez le fichier de la machine virtuelle sur votre hyperviseur (VMware, Hyper-V
). Une fois votre machine dĂ©ployĂ©e, le clavier est par dĂ©faut en Qwerty. Il vous faudra choisir un mot de passe contenant au moins 3 caractĂšres spĂ©ciaux, 3 majuscules, 3 chiffres au minimum.

  1. Ouvrez une connexion en SSH sur votre SVC.
  2. Entrez la commande svc-configurator afin d’entrer dans le menu de configuration.
  3. Sur votre menu, sĂ©lectionnez Syslog Configuration.


RĂ©sultat de la commande "svc-configurator" qui est le menu de gestion principal du serveur SVC


4. SĂ©lectionnez Syslog source et spĂ©cifier le format TCP, d’aprĂšs la RFC 5424 sur le port TCP 601. Ce sera notre port d’écoute entre le SVC et le pare-feu Stormshield en sĂ©lectionnant avec la touche TAB.

DĂ©cochez Ă©galement le protocole UDP :

ï»ż


On sélectionne le type de serveur Syslog




On souhaite spécifier le protocole de communication entre le serveur SVC & le pare-feu Stormshield



Configuration du pare-feu Stormshield SNS :

Sur l'interface d'administration du pare-feu Stormshield, allez dans le menu de navigation CONFIGURATION > NOTIFICATIONS > Traces – Syslog – IPFIX.



Menu CONFIGURATION > NOTIFICATIONS > Traces – Syslog – IPFIX


On renseigne les différentes informations afin de connecter le serveur Stormshield Visibility Center sur le pare-feu Stormshield :



On renseigne le nom du profil SVC, le serveur Syslog, le protocole, le port de connexion et la RFC



Choisissez un nom distinct pour votre serveur Syslog. CrĂ©ez un objet contenant l’adresse IPV4 de votre serveur Stormshield Visibility Center et spĂ©cifiez le protocole de communication TCP (qui a Ă©tĂ© choisis lors de la configuration sur le SVC).


VĂ©rifiez que le port TCP de connexion est choisi et que le format est bien le RFC5424, tel que dĂ©fini sur le serveur SVC.

Trois types de protocoles sont disponibles pour l'envoi des traces :

  • RFC 5424 TCP sur le port 601 Ce protocole permet d'Ă©changer les donnĂ©es sans chiffrement mais avec acquittement des donnĂ©es.
  • RFC 5424 TCP TLS sur le port 6514 Ce protocole permet d'Ă©changer les donnĂ©es de maniĂšre chiffrĂ©e, avec identification et acquittement des donnĂ©es. Il nĂ©cessite le dĂ©ploiement de certificats sur chaque client (SNS, SDS Enterprise, SES).
  • RFC 3164 UDP sur le port 514 Ce protocole permet d'Ă©changer les donnĂ©es sans chiffrement et sans acquittement des donnĂ©es. Il est activĂ© par dĂ©faut Ă  l'installation de SVC. 

VĂ©rifiez que le profil Syslog soit bien activĂ©. Dans le cas contraire, cliquez sur DĂ©sactiver ce qui change l’état, cliquez sur Appliquer afin de valider les modifications apportĂ©es.


Au niveau de la Configuration Avancée, nous pouvons choisir quels seront les données des traces qui seront envoyées au serveur SVC. Par défaut, toutes les options sont sélectionnées.



Accéder à l'interface du serveur Stormshield Visibility Center

Pour vous connecter Ă  l'interface web de SVC, vous devez connaĂźtre l'adresse IP du serveur SVC. Dans le SVC Configurator, choisissez le menu Network Status. Le champ Address indique l'adresse IP de votre serveur SVC.

Depuis votre navigateur Web, connectez-vous Ă  cette adresse IP en HTTPS (https://adresse_ ip_svc).




L'interface principale du serveur Stormshield Visibility Center


En revenant sur le serveur SVC, cliquez sur Dashboard, puis SNS Dashboard.




Nous obtenons ainsi des informations depuis les fichiers journaux du pare-feu Stormshield et ainsi des graphiques et des statistiques détaillées.




Nous remarquons que les données ont bien été récupérées pour chaque pare-feu :


Des graphiques sont disponibles, mettant en forme les différentes évÚnements sur le pare-feu (Alarmes, connexions...)



Relever les connexions avec le serveur SVC :

Notre objectif est maintenant de crĂ©er de nouveaux graphiques afin d’organiser toutes les connexions entrantes, sortantes et les ports de destinations de notre pare-feu. C'est pour cela que nous allons crĂ©er trois graphiques afin d’afficher ces donnĂ©es.

  1. Cliquez sur Edit, dans Dashboard Log View.



2. Cliquez sur la roue crantĂ©e et cliquez sur Edit visualisation :



3. DĂ©ployez le menu Split Slices, dans la section Buckets et renseignez dans le champ Field « src Â» pour les adresses IP sources.

Cliquez sur le bouton bleu Play afin d’obtenir un visuel Ă  droite de l’écran.



Spécifier le champ source en renseignant "src" afin de ne sélectionner que les connexions sources


Enregistrez vos paramĂštres en cliquant sur Save.



Cliquer sur le triangle Play afin de créer une visualisation en direct & enregistrer le graphique en cliquant sur Save


Il est trĂšs important de cocher la case « Save as a new visualization Â» afin de ne pas modifier le modĂšle du graphique original.


Renseignez un titre explicite Ă  votre nouveau graphique et Sauvegarder dans une nouvelle visualisation


RĂ©pĂ©tez les mĂȘmes opĂ©rations pour les adresses IP sources et spĂ©cifiez le champs "dst" pour les diffĂ©rentes connexions sortantes :



Spécifier le champ de destination en renseignant "dst" afin de ne sélectionner que les connexions sortantes


Et ainsi que les ports de destination en spĂ©cifiant le champ "dstport" :



Spécifier le champ de destination en renseignant "dstport" afin de ne sélectionner que les ports sortantes



Une fois les trois modules crĂ©Ă©s, allez sur le Dashboard de SVC. Cliquez ensuite sur Add en haut de l’écran et recherchez les trois modules prĂ©cĂ©dements crĂ©Ă©s.

Les widgets ajoutés seront tout en bas de la page principale.



N'oubliez pas de renouvelez l'opération pour chaque graphique créé !


Les graphiques sont alors affichĂ©s :



Nos trois graphiques sont alors disponible sur l'Ă©cran d'accueil de notre serveur SVC



Vous pouvez notamment obtenir des informations détaillées sur un port ou une adresse IP en cliquant sur la partie colorée du graphique.

Les informations sont alors filtrées dans le tableau en dessous des 3 éléments graphiques.


Cette mĂ©thode vous permettra notamment, dans un cas d’usage particulier de dĂ©finir pour une machine spĂ©cifique, les ports rĂ©currents Ă  laisser passer. Vous pouvez par exemple filtrer la vue que pour une adresse IP en particulier (d'oĂč l'intĂ©rĂȘt du systĂšme) :



Exemple pour une adresse IP en 10.13.0.200 : nous obtenons chaque port que la machine a besoin d'atteindre



Nous obtenons les traces de connexions associées à une adresse interne spécifique, voulant joindre les serveurs DNS de Google, sur le port 53.

Grùce à cela, nous pouvons établir simplement une matrice de flux en ne fournissant que les services nécessaire à une machine dans un réseau.