Publicité
Profil applicatif
Action
Niveau
Nouveau
Contexte : id
Avancé
Pour chacun des 10 profils, vous pouvez effectuer la configuration comme vous le souhaitez,
en en modifiant les paramètres décrits ci-avant.
Alarme sensible
L'action Autoriser d'une alarme stoppe l'analyse protocolaire sur le trafic. Il est donc fortement
recommandé de dédier aux flux concernés par l'alarme, une règle de filtrage en mode Firewall
(ou IDS pour les traces), plutôt que d'Autoriser ce type d'alarme.
Exemple de l'alarme sensible HTTP 47
Microsoft IIS (Internet Information Server) permet la gestion de serveur d'application en
utilisant les technologies Microsoft. La gestion de serveurs web propose l'encodage de
caractères étendus en utilisant le format "%uXXXX" propriétaire à Microsoft. Cet encodage
n'étant pas un standard, les systèmes de détection d'intrusion ne peuvent pas détecter les
attaques utilisant cette méthode.
L'accès à un site ayant une URL contenant ce type de caractères encodés, et ne correspondant
à aucun caractère valide, lève l'alarme HTTP n°47 - Encodage en caractère %u invalide dans
Page 50/524
Profil applicatif contenant l'alarme configurée dans ce profil d'inspection.
Lorsqu'une alarme est remontée, le paquet qui a provoqué cette alarme subit l'action
associée. Vous pouvez choisir d' Autoriser ou d' Interdire un trafic qui remonte une
alarme.
Trois niveaux d'alarmes sont disponibles : "Ignorer", "Mineur" et "Majeur".
Permet de visualiser les nouvelles alarmes, matérialisées par l'icône
Intitulé de l'alarme.
L'icône
représente les alarmes dites sensibles .
Référez-vous au paragraphe ci-dessous pour plus d'informations.
Envoyer un e-mail : un e-mail sera envoyé au déclenchement de l'alarme (cf. module
Alertes e-mails ) avec les conditions suivantes :
Nombre d'alarmes avant l'envoi: nombre minimal d'alarmes requises avant le
l
déclenchement de l'envoi, pendant la période fixée ci-après.
Pendant la période de (secondes) : délai en secondes pendant lequel les alarmes
l
sont émises, avant l'envoi de l'e-mail.
Mettre la machine en quarantaine : la machine responsable de l'alarme sera
l
bloquée avec les paramètres suivants.
Pour une période de (minutes) : durée de la mise en quarantaine
l
QoS appliquée au flux : chaque flux applicatif générant une alarme peut désormais
l
se voir appliquer une file d'attente de qualité de service. Cette option permet ainsi
d'affecter une limitation de bande passante ou une priorité plus faible au flux à
l'origine de l'alarme.
Capturer le paquet responsable de la remontée de l'alarme : cette capture pourra
l
être visualisée lors de la consultation des alarmes, grâce à un analyseur de
réseau (sniffer) tel que Wireshark .
File d'attente d'acquittement (ACK) : chaque flux TCP de type ACK peut désormais
l
se voir appliquer une file d'attente d'acquittement (ACK). Cette option permet ainsi
d'affecter une limitation de bande passante ou une priorité plus faible au flux à
l'origine de l'alarme.
Cliquez ensuite sur Appliquer.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
8. APPLICATIONS ET PROTECTIONS
.
Publicité
