Contexte : id
Avancé
Pour chacun des 10 profils, vous pouvez effectuer la configuration comme vous le souhaitez, en
en modifiant les paramètres décrits ci-avant.
Alarme sensible
L'action Autoriser d'une alarme stoppe l'analyse protocolaire sur le trafic. Il est donc fortement
recommandé de dédier aux flux concernés par l'alarme, une règle de filtrage en mode Firewall (ou
IDS pour les traces), plutôt que d'Autoriser ce type d'alarme.
Exemple de l'alarme sensible HTTP 47
Microsoft IIS (Internet Information Server) permet la gestion de serveur d'application en utilisant
les technologies Microsoft. La gestion de serveurs web propose l'encodage de caractères
étendus en utilisant le format "%uXXXX" propriétaire à Microsoft. Cet encodage n'étant pas un
standard, les systèmes de détection d'intrusion ne peuvent pas détecter les attaques utilisant
cette méthode.
L'accès à un site ayant une URL contenant ce type de caractères encodés, et ne correspondant à
aucun caractère valide, lève l'alarme HTTP n°47 - Encodage en caractère %u invalide dans l'URL
(Invalid %u encoding char in URL). Cette alarme considérée comme sensible, bloque l'accès au
site.
L'action Autoriser appliquée à une alarme bloquant le trafic, stoppe l'analyse protocolaire de cette
connexion (incluant les requêtes suivantes).
Afin de maintenir la protection contre ce type d'attaque et dans le même temps, autoriser un
accès à ce type de serveur, il est recommandé de dédier une règle de filtrage en mode Firewall
(ou IDS pour les traces), au trafic concerné plutôt que d'Autoriser le trafic bloqué par une alarme
dite sensible. Pour rappel, les modes Firewall et IDS autorisent l'ensemble du trafic levant des
alarmes (avec détection, pour le mode IDS).
Page 61/464
Intitulé de l'alarme.
L'icône
représente les alarmes dites sensibles. Référez-vous au paraghraphe ci-
dessous pour plus d'informations.
Envoyer un e-mail : un e-mail sera envoyé au déclenchement de l'alarme (cf. module
Alertes e-mails) avec les conditions suivantes :
Nombre d'alarme avant l'envoi: nombre minimal d'alarmes requises avant le
l
déclenchement de l'envoi, pendant la période fixée ci-après.
Pendant la période de (secondes) : délai en secondes pendant lequel les
l
alarmes sont émises, avant l'envoi de l'email.
Mettre la machine en quarantaine : la machine responsable de l'alarme sera bloquée
avec les paramètres suivants. Pour lever la mise en quarantaine, utilisez Stormshield
Network Realtime Monitor.
pour une période de (minutes) : durée de la mise en quarantaine
l
Capturer le paquet responsable de la remontée de l'alarme : cette capture pourra être
visualisée lors de la consultation des alarmes, grâce à un analyseur de réseau
(sniffer) tel que Wireshark .
Qos appliquée au flux : chaque flux applicatif générant une alarme peut désormais se
voir appliquer une file d'attente de qualité de service. Cette option permet ainsi
d'affecter une limitation de bande passante ou une priorité plus faible au flux à
l'origine de l'alarme.
Cliquez ensuite sur Appliquer.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
APPLICATIONS ET PROTECTIONS