Les services WEB et réputations (WebServices)

Formation Stormshield Network Security

Tutorial Thumbnail

Les services WEB sont des objets proposés par Stormshield, qui consiste à l'utilisation dans des règles de filtrages. Concrètement, il s'agit d'un groupe, un annuaire d'URL & d'adresse IP qui caractérise un service sur le WEB.


Situation

Prenons l'exemple de Netflix ou de Discord : ce sont des services fonctionnant avec plusieurs serveurs, plusieurs domaines et plusieurs adresses IP. Ces objets sont disponibles en version 4.5.0, disponible pour tous et sont présents dans la section CONFIGURATION > OBJETS > Services Web.



L'équipe de sécurité de Stormshield alimente les bases de données des des services Web et réputations (WebServices). Ils ajoutent les domaines et adresses IP correspondant à un service particulier. De nombreux services y sont déjà référencés tels que certains antivirus, les services Windows Update, messageries, services multimédias... Mais, vous pouvez effectuez une demande d'enregistrement de services directement l'espace client MyStormshield. Vous pouvez également importer une liste au format CSV qui contiendra un ensemble d'adresse URL correspondant au service souhaité.


Prérequis

Avant toute utilisation, il est nécessaire que dans tout les cas d'utilisation des services Web.

Le firewall SNS doit pouvoir voir en clair (non chiffrés) les flux DNS le traversant car le principe d'identification des services Web repose sur la reconnaissance des FQDN. Sans cela, le firewall SNS ne peut pas identifier les services Web basés sur des FQDN.


Les flux DNS doivent être analysé par le SNS. Les flux doivent en effet passer dans la table des connexions du moteur ASQ.

Une règle de filtrage doit être créé :



L'analyse protocolaire DNS doit être activée sur les flux DNS (niveau d'inspection IPS ou IDS). Pour rappel, le mode de règle "Firewall" (FW) va détacher le plugin "DNS".


Comment ça fonctionne ?

Vous pouvez tout d'abord utiliser ces différents services Web dans vos règles de filtrages afin d'autoriser ou de refuser l'accès au service :




La règle de filtrage est similaire à celle-ci :



Concrètement, cette règle autorise le réseau "Net_A" à destination du service Web "Windows Update", sur les ports HTTP et HTTPS.


Bloquer les domaines malveillants

Également, vous pouvez créer une règle qui permets de bloquer l'accès à certains services Web tel que les listes "Domaines malveillants" :



Ici, on refuse l'accès depuis le réseau "Net_A" à destination des services Web et réputations "Domaines malveillants par CERT Polska" et "Domaines malveillants Sekoia" sur n'importe quel port.



QoS (Qualité de service) sur des services Web

Également, c'est assez utile dans le cadre d'une infrastructure SD-WAN, par l'utilisation de la QOS afin de prioriser le nombre de connexion, le débit pour un ou plusieurs services Web, puis ainsi contrôler et visualiser le débit utilisé par chaque service Web :




Restriction horaire

Il est possible d'imposer encore des restrictions horaires (par exemple autoriser Netflix durant la pause du midi) :




Nous voyons qu'il est bien possible d'affiner nos règles de filtrages soit en autorisant certains services Web, ce qui simplifie le travail au lieu de récupérer à la main tous les FQDN / IPs du service Web.



Construire ses propres Webservices

Si certains Webservices ne sont pas disponibles, il est possible de créer vos propres services Web (Webservices). Pour cela, il nécessite de créer un fichier CSV qui respectera les éléments suivants :

  1. Nom du service (obligatoire),
  2. Adresse IPv4/IPv6 publique ou FQDN (obligatoire),
  3. Date de la dernière révision (optionnel),
  4. Numéro de révision (nombre de révisions effectuées) (optionnel),
  5. Commentaire (optionnel) : chaine de texte libre qui décriera le service Web.


La construction du fichier CSV ressemblera à celle-ci :

youtube,www.youtube.com,2023/09/13,1,YouTube FQDN
youtube,youtube.com,2023/09/13,1,YouTube FQDN
youtube,youtube.be,2023/09/13,1,YouTube FQDN


L'import réussi d'une base personnalisée supprime et remplace la base personnalisée existante. Dans ce cas, assurez vous au préalable que le fichier d'import utilisé contienne tous les services Web personnalisés que vous souhaitez conserver, sinon ils seront perdus.


Une fois le fichier construit, nous importons notre fichier depuis l'interface Web du SNS et notre Webservice sera bien disponible :



Nous avons vu également qu'il était possible de bloquer l'accès à des domaines malveillants enregistrés, afin de réduire la surface d'attaque dans le cas où l'utilisateur sur son poste clique sur un lien malveillant, présent dans un E-mail de phishing par exemple.

Niveau Débutant

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Mardi 26 Septembre 2023