Supervision & gestion des traces

Formation Stormshield Network Security

Tutorial Thumbnail
  1. Tutoriels
  2. Stormshield
  3. Supervision & gestion des traces

Dans un système de gestion de services de communication et de sécurisation réseau UTM standard, vous retrouvez dans la plupart des cas une partie de visualisation des informations transitant dans un pare-feu. Que cela soit une connexion HTTP, une requête DNS transitant ou même un évènement système, ces actions sont toujours enregistrée afin d'obtenir une vue explicite pour l'administrateur réseau.


Sommaire
  1. Les différentes catégories de traces
    1. SYSTÈME
    2. LES CONNEXIONS
    3. LA SÉCURITÉ ET LES USAGES
    4. LE PROXY
    5. LES VPN
  2. La gestion du stockage des journaux
  3. Visualiser les différentes catégories
    1. L'onglet Filtrage
  4. Visionnez en temps réel les évènements avec la supervision

Les différentes catégories de traces

Les fonctionnalités et services d’un firewall Stormshield Network génèrent des évènements. Les services et les différentes fonctionnalités proposées sur un pare-feu SNS sont enregistrées sur un support à mémoire non volatile :

  • Soit sur un disque local mécanique (HDD) ou un disque du numérique (SSD),
  • Une carte mémoire (micro) SD destinés aux firewalls de premières gammes de taille réduite (ex : SN220, SN320...).


Les différentes catégories de traces



Ces évènements systèmes et applicatifs sont organisés par catégories de manière à classifier les données transmises au pare-feu :


SYSTÈME

L'ensemble des éléments systèmes dans la gestion de la configuration du pare-feu :

  • Administration : Cette partie recueille les évènements liés à l’administration du firewall. Ainsi, toutes les modifications de configuration effectuées sur le pare-feu sont tracées et enregistrées.
  • Évènements systèmes : Regroupe les évènements liés directement au système : arrêt/démarrage du firewall, erreurs système, allumage/extinction d’une interface, haute disponibilité, mises à jour Active Update, etc...


LES CONNEXIONS

Lister l'ensemble des connexions transitant entre le pare-feu et le réseau :

  • Connexions réseaux : Regroupe les évènements liés aux connexions TCP/UDP traversant ou à destination du pare-feu non traitées par un plugin applicatif.
  • Connexions applicatives (plugin) : Regroupe les évènements liés aux connexions traitées par un plugin applicatif (HTTP, FTP, SIP...).
  • Authentification : Regroupe les évènements liés à l’authentification des utilisateurs sur le pare-feu.
  • Politique de filtrage : Regroupe les évènements liés aux règles de filtrages et/ou de NAT, lorsque la journalisation des règles est en mode verbeux.


LA SÉCURITÉ ET LES USAGES

Regroupe les événements de sécurités et les actions de l'administrateur réseau :

  • Alarmes : Regroupe les évènements liés aux fonctions de prévention d’intrusions (IPS) et les évènements tracés avec le niveau alarme mineure ou majeure de la politique de filtrage et NAT.
  • Statistiques : Synthèse des statistiques sur plusieurs éléments: système, sécurité, interfaces, QoS, etc.
  • Gestion des vulnérabilités : Regroupe les évènements liés à l’option "Stormshield Network Vulnerability Manager".
  • Sandboxing : Regroupe les événements liés à l'analyse Sandboxing des fichiers lorsque cette option a été souscrite et activée dans le contrat de maintenance du pare-feu. 


LE PROXY

Il s'agit de la gestion des évènements qui vont traverser le serveur Proxy compris dans pare-feu :

  • Proxy HTTP : Regroupe les évènements liés aux connexions traversant le proxy HTTP.
  • Proxy SSL : Regroupe les évènements liés aux connexions traversant le proxy SSL.
  • Proxy SMTP : Regroupe les évènements liés aux connexions traversant le proxy SMTP.
  • Proxy POP3 : Regroupe les évènements liés aux connexions traversant le proxy POP3.
  • Proxy FTP : Regroupe les évènements liés aux connexions traversant le proxy File Transfert Protocole (FTP).


LES VPN

Regroupement des évènements générés lorsque des connexions VPN ont été créées au préalable sur le SNS :

  • VPN SSL : Regroupe les évènements liés à l’établissement de VPN SSL soit via le mode tunnel ou en passant par portail en JAVA (obsolète, au passage).
  • VPN IPSec : Regroupe l'ensemble des évènements liés à la phase de négociation d’un tunnel VPN IPSec.


La gestion du stockage des journaux

Sur chaque pare-feu SNS, le stockage est géré de la même manière à condition d'avoir soit un disque dur en fonction du modèle (version >= SN310) ou bien sur un support de carte mémoire SD, à condition également d'avoir un emplacement prévu à cet effet (entre le SN150 & SN310). Les modèles d'Appliance virtuelles EVA disposent d'un stockage de 6 Go pour le stockage (en fonction du modèle encore une fois). La gestion du stockage des fichiers journaux locaux sont dans la section CONFIGURATION > NOTIFICATIONS > Traces - Syslog - IPFIX, puis dans l’onglet STOCKAGE LOCAL.



Menu de l'interface du stockage local des fichiers journaux CONFIGURATION > NOTIFICATIONS > Traces - Syslog - IPFIX



Sur ce module, nous pouvons retrouver la liste des périphériques de stockages branchés et détectés par le firewall. Un bouton "Actualiser" permets de rafraichir directement la liste des périphériques. Un bouton "Formater" permets d'effacer l'ensemble des données sur le support de stockage et rendre compatible ensuite le support pour le stockage Stormshield.


Dans la partie de configuration de l'espace réservé pour les traces, nous retrouvons une liste essentielle aux familles des fichiers journaux. Sur un pare-feu Stormshield, les traces sont organisé par domaine applicatif (journaux SMTP, Proxy SSL, Captures réseaux pcap...). Vous pouvez soit activer ou désactiver l’écriture des traces pour un journal donné en double-cliquant dans la première colonne du tableau. Chaque famille dispose d'un quota de stockage qui est exprimé en pourcentage et qui sera la limite maximale à ne pas dépasser. Il s'agit du pourcentage de l’espace disque qui sera réservé pour chaque journal dans la partie Pourcentage.


Il est important de noter que le total des pourcentages ne doit pas dépasser 100%. La taille réelle de l’espace disque réservé à un journal est indiquée dans la partie Quota d’espace disque. Par défaut, lorsque le quota est dépassé, les anciennes données des fichiers journaux seront automatiquement écrasées et les nouvelles seront alors ajoutées.


Visualiser les différentes catégories

Dans la partie Monitoring, vous visualisez les traces et différents évènements du pare-feu. Le stockage doit être activé afin de visualiser les logs. Rendez-vous dans MONITORING > LOGS - JOURNAUX.



Chaque évènement est trié et organisé en plusieurs événements. Un événement est enregistré sur le pare-feu par défaut et en permanence. Les évènements réseaux sont répertoriés dans "Trafic réseau". Les alarmes générées par la protection IPS propriétaire à Stormshield sont présents dans la partie "Alarmes".


D'autres sections sont disponibles pour chaque protocole applicatif pris en charge par le pare-feu tel que les événements liés au filtrage des sites Web, le blocage E-mails, gestion des vulnérabilités, phases VPN... Les traces d'authentification liées au portail captif, le VPN et le SSO sont présents dans l'onglet "Utilisateurs".


L'onglet Filtrage

L'onglet "Filtrage" se peuple lorsque qu'il est intéressant de réaliser une matrice de flux simplifiée sur la dernière règle qui bloque tous le reste. Le principe du mode "Filtrage" est qu'il va lister toutes les connexions réseaux (y compris chaque requête ICMP n'étant pas enregistré dans les fichiers journaux du pare-feu). Cette option peut être activée sur une règle de filtrage, en activant le niveau de trace "Avancé (journal de connexions et journal de filtrage)" :



Au niveau de la matrice de filtrage, deux choix sont possibles :

  • Sur une règle ouverte : soit sur une règle qui autorise tout, on décide d'enregistrer dans la partie filtrage tous les événements.
  • Sur une règle qui bloque tout le trafic : soit sur une règle qui bloque tout (placé généralement en dernier), on décide d'enregistrer dans la partie filtrage tous les événements.

De plus, ajoutez juste au-dessus de la règle de filtrage verbeux une règle qui bloque pour les réseaux internes sur le port netbios-dgm. Cela évite ainsi de polluer les règles de filtrages.




IMPORTANT : Ce type de règle doit être à usage limité et exclusivement exceptionnel. Le fait de garder cette règle en permanence présente un risque de sécurité et de disponibilité si jamais vous êtes victime d'une attaque de "flooding", par exemple, ce qui va se passer est que le firewall ne sera, au bout d'un moment, plus en mesure de sauvegarder les logs sur l'espace de stockage du firewall. Ce dernier risque de saturer et de tomber !


Visionnez en temps réel les évènements avec la supervision

Stormshield propose sur toutes les gammes de firewall un espace de supervision. Cela permets en autre d'obtenir un aperçu quasi en temps réel des machines connectés sur le réseau distribués par le pare-feu, la bande passante des interfaces du firewall, les baux DHCP, les utilisateurs authentifiés actuellement soit sur le portail captif ou en VPN, l'état des passerelles SD-WAN...




Au niveau de la configuration de celle-ci, la configuration de la supervision est disponible dans la partie CONFIGURATION > NOTIFICATIONS > Configuration de la supervision.



Trois parties sont configurables : la configuration des interfaces, la QoS et les services Web. Les différents intervalles de rafraichissement sont configurable également.

Niveau Débutant

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Vendredi 07 Janvier 2022