Comprendre l’IP Reputation sous Stormshield

Bonjour à tous.

Aujourd’hui nous allons parler de la réputation des machines à travers des boîtiers de sécurité Stormshield.

I – Présentation de la réputation

Le but est d’attribuer une note à une machine ou un équipement en fonction de certains critères. Le but de cette réputation est de pouvoir rendre votre infrastructure plus proactive. Cette note permet de pouvoir effectuer certaines actions en fonction du score des équipements.

Ces notes sont attribuées en fonction de certains paramètres définissables, principalement en fonction des alertes que le boitier est capable d’avoir. Certaines de ces alertes attribuent une note en fonction de ce que nous avons défini dans le boitier.

La réputation fonctionne également sur les adresse IP publiques, donc les machines et équipements à l’extérieur de votre réseau.

II – Configuration réputation interne

Dans le cas ici, notre machine essaie d’avoir accès à une URL qui est dans une black liste. Le boitier le détecte et automatiquement, le score de la machine augmente.

Ce score est à configurer dans le boitier en fonction de ce que vous désirez.

Comme vous le voyez dans l’exemple, une alarme majeure attribue un score de 10 à la machine. Un virus détecté attribue un score de 100, toutes ces valeurs sont bien sûr ajustables en fonction de vos besoins.

Ensuite ce score est utilisable dans les règles de filtrage :

Typiquement, il est parfaitement pensable d’interdire l’accès à certaines parties de votre réseau. Soit en les mettant dans un vlan de remédiation, soit directement interdire l’accès à vos serveurs. Ces scores sont évolutifs au fil du temps. Le score peut évoluer positivement ou négativement. Si une machine n’a pas d’événement venant augmenter son score, il va petit à petit diminuer. Il est bien sûr possible de réinitialiser le score soit d’une machine soit de tout le parc.

Il est également possible d’activer cette fonctionnalité seulement sur certaines machines ou sur des réseaux spécifiques.

Il y a également une partie supervision pour suivre l’état des machines avec un détail sur les différents événements qui sont venus augmenter le score de nos machines.

III – La réputation des IP Publique

Dans cette partie, moins complexe que la précédente, Stormshield nous offre la possibilité de pouvoir filtrer le trafic en fonction de certains critères. Ici, pas de paramétrage fin, simplement un point de configuration supplémentaire directement dans les règles de filtrage.

Ici plusieurs type d’IP publiques apparaissent, comme les nœuds de sortie TOR, ou encore les adresses des proxys en ligne.

IV – Conclusion

Comme nous l’avons vu, l’IP réputation principalement de nos équipements permet à votre réseau d’être proactif sur les événements survenant sur votre infrastructure.

Le principal avantage est de pouvoir rapidement isoler les équipements qui posent problème sur votre infrastructure, afin d’en limiter la propagation.

 

Enfin, vous pouvez voir tout cela en vidéo sur ma Formation Stormshield version 3 : Comprendre les mises à jour et aussi profiter des autres formations Stormshield sur Alphorm.com

Une pensée sur “Comprendre l’IP Reputation sous Stormshield

  1. David Répondre

    Très intéressant merci beaucoup ! 🙂

    Concernant les listes d’IP publiques, vous savez où Stormshield va les chercher ?
    parce que je présume que ces listes se mettent à jour pour inclure des IP publiques qui obtiendraient une mauvaise réputation, etc. Non ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *