Chez Stormshield comme pour d'autres concurrents, les pares-feux de nouvelle génération se repose sur le principe des objets. Les objets sont ni-plus ni-moins des variable, utilisable sur chaque élément de configuration et de définition de politiques de sécurité sur le pare-feu.

Le principe des objets

Comme une variable, un objet porte un nom et une valeur tel qu'une adresse IP de machine, un plan d'adressage réseau, un numéro de port, une adresse URL... Ces objets offre le moyen aux administrateurs de manipuler facilement des valeurs de configuration réseau dans leur politique de sécurité et de configuration réseau. Une description peut y être inscrit afin d'aider les administrateurs dans leur compréhension.

Quatre catégories d'objets sont disponibles :

• Objets réseaux : Catégorie d'objet ayant comme relation des valeurs réseaux (adresse IP, numéro de port, réseaux...)
• Objets URLs : Nécessaire pour le filtrage de site WEB, pour les groupes d'adresse URL (noms de domaine, adresse IP...) et groupes de noms de certificats (SSL), définition du moteur de base d'URL (base de contrôle embarquée ou la base de control Web étendue (option supplémentaire payante).
• Services Web : Les services Web officiels (onglet Liste des services Web) sont téléchargés automatiquement par défaut. Ce sont les services Web des principaux éditeurs du marché (exemple : Google Drive, Logmein, GiThub, Microsoft Azure...). L'administrateur peut également importer ses propres objets par le biais d'un fichier CSV.
• Certificats et PKI : Permet la création et la gestion des autorités de certification et de toutes les identités (soit de type serveur, utilisateur, ou SmartCard).

Les objets réseaux

Lors de la création d'objets réseaux, plusieurs sortes sont disponibles :

• Machine : Une adresse IP pour une machine, une passerelle ou tout type d'équipement.
• Nom DNS (FQDN) : Toutes les adresses IP associées à un nom FQDN par résolution DNS (exemple : mail.cosmotech.cf). La résolution se fait toute les 5 minutes.
• Réseau : Une adresse réseau avec la notation CIDR ou le masque en décimal pointé (exemple : 192.168.0.0/24 ou 192.168.0.0/255.255.255.0).
• Plage d’adresses : Une plage d’adresses IPv4 (exemple : 192.168.0.10 - 192.168.0.100) ou adresses MAC.
• Routeur : Permet de renseigner une ou plusieurs passerelles pour un routage par répartition de charge avec ou sans passerelle de secours. Cet objet sera détaillé dans la partie Routage du module Configuration Réseau,
• Groupe : Un groupe d’objets portant une ou plusieurs adresses IP : machines, plages d’adresses IP, réseaux ou d’autres groupes,
• Port : Un port ou une plage de port. Il/Elle peut être limité(e) à un protocole de transport particulier (TCP, UDP, SCTP ou tout protocole),
• Protocole IP : l’ID du protocole au niveau IP,
• Groupe de ports : Un groupe d’objets portant des ports ou des plages de ports, ainsi que d’autres groupes de ports,
• Groupe de régions : Un groupe de pays ou de continents. Ce type d’objet peut être utilisé dans la géolocalisation des adresses IP,
• Temps : Un événement temporel (jour de l’année, jour(s) de la semaine ou plage(s) horaire(s), ponctualité).

Création d'un objet

Pour commencer par créer les objets type machine, il faut se rendre dans CONFIGURATION > OBJETS > Objets réseau. Une fois dans ce menu, il est alors possible d’ajouter des objets en cliquant sur le bouton Ajouter. Une autre fenêtre s’affiche où il est alors possible de choisir le type d’objet.

Vu qu’il est demandé de d’abord créer les objets de type machine il convient de sélectionner l’onglet Machine. Depuis ce nouveau menu, le choix du nom de la machine et l’adresse IP sont requis. Enfin, il faut sélectionner CRÉER l’objet et il apparait dans la liste des objets existants.

La fenêtre de création d'un objet est semblable à ceci :

Dans un premier temps, vous aller retrouver les types d'objets qu'il est possible de créer. Par défaut, l'objet machine est présenté.

Les éléments importants vont être :

1. Le nom de l'objet (Label) - ex : srv_mail pour décrire un serveur de messagerie ;
2. La valeur de l'objet (adresse IP / plan d'adressage...) ;
3. La MAC Address : cette action va créer une entrée ARP sur le firewall permanente. Attention à ne pas forcer une mauvaise adresse MAC et vérifier sa valeur dans la table. Je vous recommande de ne pas forcer de "Mac Address", sauf dans des "Use Case" assez spécifiques... la récupération se fera donc par résolution ARP directement.

D'autres types d'objets sont abordés tels que :

• Les objets implicites : en lecture seul et non supprimable, ses objets sont créés par le SNS en fonction des actions effectués par l'administrateur dans la configuration comme :
• L'objet Internet : en lecture seule, est l'objet qui correspond à tout ce qui est différent des réseaux internes (le contraire (!=) de "Network_Internals"),
• L’objet "Firewall_out", créé automatiquement lorsqu’une adresse IP est associée à l’interface "OUT",
• L’objet "Network_internals" qui regroupe tous les réseaux accessibles via les interfaces internes.
• Les objets préconfigurés : répertoire dans la configuration en usine des pares-feux SNS, regroupe les réseaux standardisés tel que :
• Les RFC 5735 pour les réseaux locaux 10.0.0.0/8 ; 172.16.0.0/16 et 192.168.0.0/24,
• Des ports communs tel que le port 80 pour le HTTP, le port 22 pour le SSH ou le port 88 pour Kerberos.
• Des groupes sont également créés tel que
• "mail_srv" pour les services Mail ;
• "ActiveDirectory2008" pour les services ADDS de Windows Server.
• Les objets globaux : ces objets sont injectés automatiquement depuis le produit de supervision et de gestion centralisé SNS qui est Stormshield Management Center, reconnaissable par le préfix "global_". Ces objets sont créés directement sur SMC dans la section dédiée. L'édition en locale est possible mais déconseillé sauf pour une manipulation bien précise (contournement, tests...). L'édition en local des éléments globaux sera remonté sur le serveur SMC par un avertissement.

Création dans la configuration

Il est possible de créer dans une configuration directement l'objet dans le champ de saisie :

Le volet latéral "Objets"

Partout dans la partie configuration de SNS, un volet "Objets" est présent. Il est possible ici de créer directement un objet ou un groupe d'objet à tout moment ou de modifier celui-ci.

L'option Vérifier l'utilisation permets comme son nom l'indique de vérifier dans la configuration du SNS où l’objet sélectionné est utilisé.

Il est possible de trier les différents objets afin de s'y retrouver plus facilement :

Le "glisser-déposer" (DragNDrop)

Stormshield offre le moyen de "glisser déposer" les objets présents sur le pare-feu, offrant ainsi un gain de temps considérable. L'objet sélectionné et compatible avec la destination est signalé d'un badge vert, rouge sinon :

Les restrictions

Lors de la création d'un nouvel objet, les préfixes Firewall_, Network_, Vlan_, Bridge_, Ephemeral & Global_ sont interdits car il s'agit de noms systèmes, réservés au fonctionnement interne du pare-feu. Certains caractères spéciaux ne sont également pas autorisés dans certains cas :

Par exemple, lors de la configuration d'une nouvelle interface réseau, Stormshield créé deux objets en lecture seul qui sont découlés de la configuration réseau (objet machine pour la passerelle et objet réseau ou le plan d'adressage réseau). Il est possible de créer plusieurs objets de nom différents mais comportant la même valeur (non recommandé afin garder un système propre sans doublons).

Il est possible de créer un objet défini par une adresse MAC uniquement : vous pouvez uniquement l’utiliser dans les règles de filtrage. Cela va créer une entrée dans la table ARP correspondant la la définition de la Mac Address forcée depuis la base des objets.

Quelques règles élémentaires...

Gardez à l'esprit quelques principes :

• Utilisez un groupe d’objet d’administration : nécessaire dans le cadre d'une conception d'une politique d'administration qui regroupera les machines ou réseaux d'administration (accès à des panneaux d'administrations, ressources administratives, gestion de la WebAdmin des firewalls...).
• Limitez l’usage des objets dynamiques : une résolution FQDN est réalisée toutes les 5 minutes, ce qui sollicite le réseau et l'équipement par une résolution DNS et en l'occurrence des ressources. Gardez ce moyen vraiment quand l'utilisation est nécessaire (surtout les SNS d'entrée de gamme). Privilégiez plutôt les Services Web (webservices) 😉
• Respecter une convention de nommage des objets et limitez ainsi le nombre d’objets inutilisés et les doublons : il est conseillé de respecter une nomenclature précisant le nom du réseau pour chaque besoin.
• Les doublons ne doivent pas exister : tenez une liste regroupant chaque objet avec leur nom (un fichier Excel par exemple) qui identifiera le réseau ou la machine correspondante pour tel besoin.
• Cette liste doit être actualisée en permanence en cas de changement dans la configuration des objets. Tenez un document qui regroupe l'ensemble de vos objets avec le plan d'adressage correspondant.
• Si jamais par exemple vous disposez de deux objets machine portant la même adresse IP mais pas le même nom.
• Si jamais vous souhaitez modifier l'adresse IPv4 de celle-ci mais qu'il ne s'agit pas du bon objet, cela peut être source d'erreur voir même un risque de sécurité dans la matrice de flux.