Les services WEB et réputations (WebServices)

Formation Stormshield Network Security

Tutorial Thumbnail

Les services WEB sont des objets proposés par Stormshield, qui consiste à l'utilisation dans des règles de filtrages. Concrètement, il s'agit d'un groupe, un annuaire d'URL & d'adresse IP qui caractérise un service sur le WEB.


Situation

Prenons l'exemple de Netflix ou de Discord : ce sont des services fonctionnant avec plusieurs serveurs, plusieurs domaines et plusieurs adresses IP. Ces objets sont disponibles en version 4.5.0, disponible pour tous et sont présents dans la section CONFIGURATION > OBJETS > Services Web.



L'équipe de sécurité de Stormshield alimente les bases de données des des services Web et réputations (WebServices). Ils ajoutent les domaines et adresses IP correspondant à un service particulier. De nombreux services y sont déjà référencés tels que certains antivirus, les services Windows Update, messageries, services multimédias... Mais, vous pouvez effectuez une demande d'enregistrement de services directement l'espace client MyStormshield. Vous pouvez également importer une liste au format CSV qui contiendra un ensemble d'adresse URL correspondant au service souhaité.


Utilisation

Vous pouvez tout d'abord utiliser ces différents services Web dans vos règles de filtrages afin d'autoriser ou de refuser l'accès au service :




La règle de filtrage est similaire à celle-ci :



Concrètement, cette règle autorise le réseau "Net_A" à destination du service Web "Windows Update", sur les ports HTTP et HTTPS.


Bloquer les domaines malveillants

Également, vous pouvez créer une règle qui permets de bloquer l'accès à certains services Web tel que les listes "Domaines malveillants" :



Ici, on refuse l'accès depuis le réseau "Net_A" à destination des services Web et réputations "Domaines malveillants par CERT Polska" et "Domaines malveillants Sekoia" sur n'importe quel port.



QoS (Qualité de service) sur des services Web

Également, c'est assez utile dans le cadre d'une infrastructure SD-WAN, par l'utilisation de la QOS afin de prioriser le nombre de connexion, le débit pour un ou plusieurs services Web, puis ainsi contrôler et visualiser le débit utilisé par chaque service Web :




Restriction horaire

...ou imposer encore des restrictions horaires (par exemple autoriser Netflix durant la pause du midi) :




Nous voyons qu'il est bien possible d'affiner nos règles de filtrages soit en autorisant certains services Web, ce qui simplifie le travail au lieu de récupérer à la main tous les FQDN / IPs du service Web.



Construire ses propres Webservices

Si certains Webservices ne sont pas disponibles, il est possible de créer vos propres services Web (WebServices). Pour cela, il nécessite de créer un fichier CSV qui respectera les éléments suivants :

  1. Nom du service (obligatoire),
  2. Adresse IPv4/IPv6 publique ou FQDN (obligatoire),
  3. Date de la dernière révision (optionnel),
  4. Numéro de révision (nombre de révisions effectuées) (optionnel),
  5. Commentaire (optionnel) : chaine de texte libre qui décriera le service Web.


La construction du fichier CSV ressemblera à celle-ci :

youtube,www.youtube.com,2023/09/13,1,YouTube FQDN
youtube,youtube.com,2023/09/13,1,YouTube FQDN
youtube,youtube.be,2023/09/13,1,YouTube FQDN


L'import réussi d'une base personnalisée supprime et remplace la base personnalisée existante. Dans ce cas, assurez vous au préalable que le fichier d'import utilisé contienne tous les services Web personnalisés que vous souhaitez conserver, sinon ils seront perdus.


Une fois le fichier construit, nous importons notre fichier depuis l'interface Web du SNS et notre Webservice sera bien disponible :



Nous avons vu également qu'il était possible de bloquer l'accès à des domaines malveillants enregistrés, afin de réduire la surface d'attaque dans le cas où l'utilisateur sur son poste clique sur un lien malveillant, présent dans un E-mail de phishing par exemple.

Niveau Débutant

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Mardi 26 Septembre 2023