Sophos XG : Filtrage web et applicatif

Romain

il y a 5 ans

Dans ce tutoriel, nous allons voir comment mettre en place le filtrage sur les flux sortant avec un pare-feu Sophos XG.

Je vais vous montrer les deux modules de filtrage :

Web : qui est un proxy internet
Applicatif : filtrage de niveau 7 qui permet d’agir les applications et actions disponibles sur un site Web

Pour les deux modules, il faut créer une stratégie de filtrage et ensuite l’appliquer à la règle de pare-feu.

Sommaire

Créer une stratégie de Filtrage web
Ajouter une règle au pare-feu avec stratégie de filtrage Web
Le filtrage d'application
Visualisations des logs

Créer une stratégie de Filtrage web

1. Sur l’interface du pare-feu, cliquer sur Web 1. L’ensemble des stratégies s’affichent, par défaut Sophos propose des stratégies. Cliquer sur Ajouter une stratégie 2.

2. Entrer un nom pour la stratégie 1, une description (facultatif) et ensuite cliquer sur Ajouter une règle 2.

3. Une nouvelle règle est ajoutée 1, pour le moment celle-ci bloque l’ensemble du trafic. Cliquer sur TOUT le trafic Web 2 pour la modifier. On va bloquer l’accès aux sites qui sont catégorisés dans Sexually Explicit.

4. Retirer 1 Tout le trafic Web puis cliquer sur Ajouter un nouvel élément 2.

5. Cliquer sur Affiche un … 1 puis choisir Catégorie Web 2.

6. Cocher la case pour la catégorie Sexually Explicit 1 et cliquer sur Appliquer X aux éléments sélectionnées 2.

7. La règle ajoutée, il faut maintenant configurer l’action, cliquer sur le chevron 1 et cliquer sur l’action souhaitée pour le filtrage HTTP et HTTPS, dans l’exemple on choisit Bloquer 2.

8. Il faut activer la règle en cliquant sur OFF 1 pour la faire passer à ON.

Les points qui suivent sont facultatifs, dans la suite, on ajoute une seconde règle de filtrage sur les réseaux sociaux, en mettant comme action Alerte, ce qui permet d’afficher une page à l’utilisateur lui indiquant que la navigation vers ce site est toléré, il doit cliquer sur un bouton pour confirmer la navigation.

9. Ajouter une règle en choisissant la catégorie Social Networking.

10. Configurer l’action en sélectionnant Alerter HTTP.

11. Faire de même avec l’action HTTPS et activer la règle en la passant sur ON.

12. Cliquer sur Paramètres avancés 1 et si on le souhaite, on peut limiter la taille des éléments télécharger en activant l’option 2 et en indiquant la taille maximale 3.

13. Une fois la stratégie configurée, cliquer sur Enregistrer.

14. Cliquer sur Ignorer cette étape 1, la page qui suit traite ce sujet.

15. La stratégie est ajoutée.

Maintenant que la stratégie est créée, nous allons voir comment ajouter une règle au pare-feu et appliquer la stratégie pour filtrer la navigation internet.

Ajouter une règle au pare-feu avec stratégie de filtrage Web

Dans cette partie, nous allons voir comment ajouter une règle de sortie sur internet (Lan vers Wan) en appliquant une stratégie de filtrage web.

1. Aller sur Pare-feu 1 puis cliquer sur Ajouter une règle de pare-feu 2 et sur Règle d’utilisateur/de réseau 3.

2. Configurer la règle :

1 Nommer la règle
2 Action Accepter
3 Source : LAN
4 Destination : WAN
5 Activer le contrôle HTTP
6 Sélectionner la stratégie Web
7 Activer l’enregistrement du trafic
8 Cliquer sur Enregistrer

Pour contrôler le flux HTTPS, cela implique un déchiffrage SSL et nécessite le déploiement d’un certificat. Le filtrage Web sera quand même actif sur les flux HTTPS, par contre les utilisateurs auront une page blanche en cas de blocage.

Pour plus de sécurité, il est également possible de limiter les services dans la règle, on aurait pu configurer seulement les flux HTTP/HTTPS

3. La règle est ajoutée.

Sur la partie droite de la règle, on peut voir les contrôles actifs

L’ensemble des flux passant dans cette règle sera filtré par la stratégie web.

Le filtrage d’application

Avec le firewall Sophos XG, il est également possible de filtrer le flux applicatif.

Avant de commencer, il faut définir dans un premier temps le terme application au niveau du firewall, car il prend en compte plusieurs paramètres pour terminer une application :

Détection des applications par rapport au entête des agents sortant sur internet, par exemple Skype utilise une entête particulière qui permet de détecter l’utilisation.
Détection des applications distantes ou directement du site internet, cette partie est intéressante car elle permet de dérouiller des fonctionnalités de certain site comme le blocage des commentaires sur facebook ou l’impossibilité de cliquer sur bouton J’aime. Ceci permet d’autoriser l’accès au site en bloquant les fonctions, ce qui est moins frustrants pour les utilisateurs.

Personnellement, je n’ai jamais eu un collaborateur qui est venu se plaindre de l’impossibilité de commencer sur facebook, à l’inverse ils se plaignent des blocages complets des sites web.

Aperçu des applications « Facebook » :

1. Sur l’administration cliquer sur Applications 1 pour accéder à la liste des filtres. Cliquer sur Ajouter 1 pour créer un filtre.

2. Nommer le filtre 1 et cliquer sur Enregistrer 2.

3. Le filtre est créé, il faut maintenant le modifier pour ajouter des applications, cliquer sur l’icone 1.

4. Cliquer sur Ajouter 1.

5. Recherche l’application souhaitée 1, sélectionner les 2, configurer l’action 3 et cliquer sur Enregistrer 4.

Dans l’exemple ci-dessus, j’ai bloqué le télécharger et l’envoie de fichier sur le site 1fichier, ceci permet de ne bloquer l’accès au site mais de limiter l’utilisation des services.

6. On voit que l’application est ajoutée à la stratégie, cliquer sur Enregistrer 1.

7. Editer la règle créée précédemment et ajouter la stratégie dans le Contrôle des applications 1 et Enregistrer 2.

8. Dans l’aperçu de la règle, le badge APP est passé en vert.

Visualisations des logs

La visualisation des logs se fait pas l’interface du pare-feu en cliquant sur Rapports.

Pour avoir des données, il est obligatoire de mettre en place des stratégies web et d’application, car en leurs absences le flux ne passe pas dans la partie proxy du Sophos.