Rédigé par Antoine, le Samedi 13 Novembre 2021
Nous sommes souvent confrontĂ©s Ă la mise en place de nouvelles applications dont la matrice des flux nâest pas connue ou incomplĂšte.
Le but de cet article est de proposer un mode opĂ©ratoire, qui permet de partir de rĂšgles de filtrage « permissives » (en provenance et Ă destination du nouveau serveur par exemple), puis dâanalyser les logs correspondants dans Stormshield Visibility Center (abrĂ©gĂ© SVC) afin de mettre en lumiĂšre quels sont les ports, IP Sources et IP Destinations Ă ouvrir.
Cet article abordera une configuration rapide de Stormshield Visibility Center et ne détaillera pas l'installation de celui-ci. Une documentation Administrateur est disponible sur le site officiel de Stormshield.
Stormshield Visibility Center (SVC) est un serveur de journaux dâĂ©vĂ©nements (logs) sâadressant davantage Ă des entreprises ou organisations disposant dâun pare-feu Stormshield dâentrĂ©e et moyenne gamme (SN160 jusquâau SN910).
Intuitive et personnalisable, la solution SVC basĂ©e sur Kibana & Elastic Search, elle vous permet de personnaliser vos tableaux de bord, de crĂ©er ou dâadapter les visualisations afin de proposer une solution toujours adaptĂ©e.
DĂ©ployez lâimage tĂ©lĂ©chargĂ©e au prĂ©alable depuis votre compte MyStormshield et importez le fichier de la machine virtuelle sur votre hyperviseur (VMware, Hyper-VâŠ). Une fois votre machine dĂ©ployĂ©e, le clavier est par dĂ©faut en Qwerty. Il vous faudra choisir un mot de passe contenant au moins 3 caractĂšres spĂ©ciaux, 3 majuscules, 3 chiffres au minimum.
svc-configurator
afin dâentrer dans le menu de configuration.4. SĂ©lectionnez Syslog source et spĂ©cifier le format TCP, dâaprĂšs la RFC 5424 sur le port TCP 601. Ce sera notre port dâĂ©coute entre le SVC et le pare-feu Stormshield en sĂ©lectionnant avec la touche TAB.
DĂ©cochez Ă©galement le protocole UDP :
ï»ż
Sur l'interface d'administration du pare-feu Stormshield, allez dans le menu de navigation CONFIGURATION > NOTIFICATIONS > Traces â Syslog â IPFIX.
On renseigne les différentes informations afin de connecter le serveur Stormshield Visibility Center sur le pare-feu Stormshield :
Choisissez un nom distinct pour votre serveur Syslog. CrĂ©ez un objet contenant lâadresse IPV4 de votre serveur Stormshield Visibility Center et spĂ©cifiez le protocole de communication TCP (qui a Ă©tĂ© choisis lors de la configuration sur le SVC).
Vérifiez que le port TCP de connexion est choisi et que le format est bien le RFC5424, tel que défini sur le serveur SVC.
Trois types de protocoles sont disponibles pour l'envoi des traces :
VĂ©rifiez que le profil Syslog soit bien activĂ©. Dans le cas contraire, cliquez sur DĂ©sactiver ce qui change lâĂ©tat, cliquez sur Appliquer afin de valider les modifications apportĂ©es.
Au niveau de la Configuration Avancée, nous pouvons choisir quels seront les données des traces qui seront envoyées au serveur SVC. Par défaut, toutes les options sont sélectionnées.
Pour vous connecter Ă l'interface web de SVC, vous devez connaĂźtre l'adresse IP du serveur SVC. Dans le SVC Configurator, choisissez le menu Network Status. Le champ Address indique l'adresse IP de votre serveur SVC.
Depuis votre navigateur Web, connectez-vous Ă cette adresse IP en HTTPS (https://adresse_ ip_svc
).
En revenant sur le serveur SVC, cliquez sur Dashboard, puis SNS Dashboard.
Nous obtenons ainsi des informations depuis les fichiers journaux du pare-feu Stormshield et ainsi des graphiques et des statistiques détaillées.
Nous remarquons que les données ont bien été récupérées pour chaque pare-feu :
Notre objectif est maintenant de crĂ©er de nouveaux graphiques afin dâorganiser toutes les connexions entrantes, sortantes et les ports de destinations de notre pare-feu. C'est pour cela que nous allons crĂ©er trois graphiques afin dâafficher ces donnĂ©es.
2. Cliquez sur la roue crantée et cliquez sur Edit visualisation :
3. Déployez le menu Split Slices, dans la section Buckets et renseignez dans le champ Field « src » pour les adresses IP sources.
Cliquez sur le bouton bleu Play afin dâobtenir un visuel Ă droite de lâĂ©cran.
Enregistrez vos paramĂštres en cliquant sur Save.
Il est trÚs important de cocher la case « Save as a new visualization » afin de ne pas modifier le modÚle du graphique original.
RĂ©pĂ©tez les mĂȘmes opĂ©rations pour les adresses IP sources et spĂ©cifiez le champs "dst" pour les diffĂ©rentes connexions sortantes :
Et ainsi que les ports de destination en spécifiant le champ "dstport" :
Une fois les trois modules crĂ©Ă©s, allez sur le Dashboard de SVC. Cliquez ensuite sur Add en haut de lâĂ©cran et recherchez les trois modules prĂ©cĂ©dements crĂ©Ă©s.
Les widgets ajoutés seront tout en bas de la page principale.
N'oubliez pas de renouvelez l'opération pour chaque graphique créé !
Les graphiques sont alors affichés :
Vous pouvez notamment obtenir des informations détaillées sur un port ou une adresse IP en cliquant sur la partie colorée du graphique.
Les informations sont alors filtrées dans le tableau en dessous des 3 éléments graphiques.
Cette mĂ©thode vous permettra notamment, dans un cas dâusage particulier de dĂ©finir pour une machine spĂ©cifique, les ports rĂ©currents Ă laisser passer. Vous pouvez par exemple filtrer la vue que pour une adresse IP en particulier (d'oĂč l'intĂ©rĂȘt du systĂšme) :
Nous obtenons les traces de connexions associées à une adresse interne spécifique, voulant joindre les serveurs DNS de Google, sur le port 53.
Grùce à cela, nous pouvons établir simplement une matrice de flux en ne fournissant que les services nécessaire à une machine dans un réseau.