You are currently viewing Peaufinez les règles de filtrage de vos firewalls Stormshield

Peaufinez les règles de filtrage de vos firewalls Stormshield

Rédigé par Antoine VERMUNT

Nous sommes souvent confrontés à la mise en place de nouvelles applications dont la matrice des flux n’est pas connue ou incomplète .

Le but de cet article est de proposer un mode opératoire, qui permet de partir de règles de filtrage « permissives » (en provenance et à destination du nouveau serveur par exemple), puis d’analyser les logs correspondants dans « Stormshield Visibility Center » afin de mettre en lumière quels sont les ports, IP Sources et IP Destinations à ouvrir.

Déployez l’image téléchargée au préalable depuis votre compte MyStormshield et importez le fichier de la machine virtuelle sur votre hyperviseur (VMware, Hyper-V…). Une fois votre machine déployée, le clavier est par défaut en Qwerty. Il vous faudra choisir un mot de passe contenant au moins 3 caractères spéciaux, 3 majuscules, 3 chiffres au minimum.

  1. Ouvrez une connexion en SSH sur votre SVC.
  2. Entrez la commande svc-configurator afin d’entrer dans le menu de configuration.
  3. Sur votre menu, sélectionnez Syslog configuration.

4. Sélectionnez Syslog source et spécifier le format TCP, d’après la RFC 5424 sur le port TCP 601. Ce sera notre port d’écoute entre le SVC et le pare-feu Stormshield en sélectionnant avec la touche TAB. Décochez également le protocole UDP.

Configuration du pare-feu Stormshield SNS :

  1. Dans votre instance Stormshield, allez dans le menu de navigation Configuration > Notifications > Traces – Syslog – IPFIX.

Choisissez un nom distinct pour votre serveur Syslog. Créez un objet contenant l’adresse IPV4 de votre serveur Stormshield Visibility Center et spécifiez le protocole de communication TCP.

2. Vérifiez que le port TCP de connexion est bien et que le format est bien le RFC5424, tel que défini sur le serveur SVC.Vérifiez que le profil Syslog soit bien activé. Dans le cas contraire, cliquez sur Désactivé ce qui change l’état, cliquez sur Appliquer afin de valider les modifications apportées.

3. En revenant sur SVC, cliquez sur Dashboard, puis SNS Dashboard.

4. Nous obtenons ainsi des informations depuis les fichiers journaux du pare-feu Stormshield et ainsi des graphiques et des statistiques détaillées.

Relever les connexions avec Stormshield SVC :

Notre objectif est maintenant d’organiser graphiquement toutes les connexions entrantes et sortantes et ainsi que les ports de destinations. Nous allons créer trois graphiques afin d’afficher ces données.

  1. Cliquez sur Edit, dans Dashboard > Log View.

2. Cliquez sur la roue crantée et cliquez sur Edit visualisation :

3. Déployez le menu Split Slices, dans Buckets et renseignez dans le champ Field « src » pour les adresses IP sources. Cliquez sur le bouton afin d’obtenir un visuel à droite de l’écran.

4. Enregistrez vos paramètres en cliquant sur Save.

Il est très important de cocher la case « Save as a new visualization ».

5. Répétez les mêmes opérations pour les adresses IP sources

6. Et ainsi que les ports de destination :

7. Une fois les trois modules créés, allez sur le Dashboard. Cliquez ensuite sur Add en haut de l’écran et recherchez les trois modules créés. Les widgets ajoutés seront tout en bas de la page principale.

8. Les graphiques sont alors affichés :

9. Vous pouvez notamment obtenir des informations détaillées sur un port ou une adresse IP en cliquant sur la partie colorée du graphique.

Les informations sont alors filtrées dans le tableau en dessous des 3 éléments graphiques. Cette méthode vous permettra notamment, dans un cas d’usage particulier de définir pour une machine spécifique, les ports récurrents à laisser passer :

Nous obtenons les traces de connexions associées à une adresse interne spécifique, voulant joindre les serveurs DNS de Google, sur le port 53.