Présentation et Livre Blanc sur les bonnes pratiques relatives à la protection contre les menaces réseau (pare-feu) Symantec Endpoint Protection 11.0

Close X

Le présent document est une traduction d'un document en anglais qui peut avoir été effectuée entièrement par traduction automatique. Des mises à jour ont pu avoir été apportées à la version originale en anglais après la réalisation de cette traduction, c'est pourquoi il est possible que ces mises à jour n'apparaissent pas dans le présent document. Symantec ne garantit ni l'exactitude, ni l'exhaustivité de la présente traduction. Pour obtenir des informations plus récentes, vous pouvez vous référer à la version anglaise d'origine de cet article de la base de données.

Article:TECH209436  |  Créé le: 2013-08-07  |  Mis à jour: 2013-11-22  |  URL de l'article http://www.symantec.com/docs/TECH116730
Type d'article
Technical Solution

Produit(s)

Problem



Présentation et Livre Blanc sur les bonnes pratiques relatives à la protection contre les menaces réseau (pare-feu) Symantec Endpoint Protection 11.0


Solution



Introduction

Quand les ordinateurs d'un réseau privé se connectent à Internet, ils connectent physiquement leur réseau à d'innombrables réseaux inconnus. Bien que la plupart des connexions ne constituent aucune menace pour votre ordinateur ou votre réseau, il existe des escrocs qui tentent d'infiltrer votre réseau par le biais d'ordinateurs non protégés. Une attaque réussie peut compromettre des informations classifiées, provoquer des arrêts de production et, par conséquent, détruire des réputations et des images de marque.

Les pare-feux qui sont installés sur les terminaux informatiques empêchent de telles attaques en créant une barrière entre les ordinateurs et les réseaux externes, y compris Internet. Ce document porte sur le composant de protection contre les menaces réseau (ou pare-feu client) de Symantec Endpoint Protection, en particulier sur l'intérêt du pare-feu client, les éléments d'une politique de pare-feu, le traitement des règles de filtrage, et offrira une approche des bonnes pratiques en matière d'application d'une politique de pare-feu sur votre réseau.

Configuration du pare-feu client: un défi

Ce sont les politiques qu'ils appliquent qui font l'efficacité des pare-feux. Une politique mal définie peut effectivement permettre à des attaquants de s'introduire, tout en empêchant l'accès des sources de confiance aux ressources nécessaires. Avant de configurer le pare-feu client, vous devez comprendre comment ce dernier traite les règles, comment créer des règles efficaces (qui protègent tout en optimisant les performances) et comment le pare-feu interagit avec les autres composants de Symantec Endpoint Protection.

En quoi consistent Symantec Endpoint Protection 11.0 et la protection contre les menaces réseau?

Symantec Endpoint Protection protège les terminaux client contre les virus, les menaces et les risques en leur fournissant trois couches de protection. Les couches assurent une protection contre les menaces réseau, une protection proactive contre les menaces et une protection antivirus et antispyware. La protection contre les menaces réseau empêche les menaces d'accéder à votre ordinateur en utilisant des règles et des signatures. La protection proactive contre les menaces identifie et atténue les menaces en fonction de leur comportement. La protection antivirus et antispyware utilise les signatures de Symantec pour identifier et atténuer les menaces qui tentent d'accéder ou ont accédé à vos ordinateurs. Le pare-feu de client Symantec Endpoint Protection fournit une barrière entre l'ordinateur et le réseau extérieur. Le pare-feu client empêche les utilisateurs non autorisés d'accéder aux ordinateurs et aux réseaux qui se connectent à Internet, détecte les attaques pirates potentielles, protège les coordonnées et élimine les sources indésirables de trafic réseau. Le pare-feu protège également contre les menaces réseau et les logiciels malveillants qui essayent de proliférer dans votre réseau, tel que les bots. Toutes les informations qui entrent ou quittent l'ordinateur client doivent passer par le pare-feu qui examine les paquets d'informations. Le pare-feu bloque les paquets qui ne répondent pas aux critères de sécurité spécifiés.

Politiques de pare-feu

Les politiques de pare-feu se composent d'une ou plusieurs règles qui, associées, permettent d'autoriser ou de bloquer l'accès des utilisateurs au réseau. Les politiques de pare-feu incluent les éléments suivants:

  • Règles de filtrage
  • Inspection avec état
  • Numéro de priorité de règle
  • Type de contrôle
  • Règles de filtrage par défaut
  • Filtrage intelligent du trafic
  • NetBIOS et adaptateurs Token Ring
  • Paramètres de furtivité

 

Règles de filtrage

Les règles de filtrage contrôlent la manière dont le client protège l'ordinateur client du trafic entrant et des applications malveillants, en plus du trafic sortant malveillant. Les règles de filtrage peuvent rendre l'ordinateur invisible à d'autres sur Internet, protéger les utilisateurs distants des attaques de pirates et empêcher ces derniers d'accéder par une porte dérobée au réseau d'entreprise par ces ordinateurs.

Les filtres intelligents autorisent les types de trafic requis sur la plupart des réseaux tels que DHCP, DNS et WINS. Le niveau de protection des pilotes, la protection NetBIOS, le trafic Token Ring, la requête DNS inversée et les paramètres de mode furtif constituent des exemples de paramètres de trafic et de furtivité qui activent des fonctions de trafic supplémentaires. Généralement une règle de pare-feu décrit les conditions dans lesquelles une connexion réseau peut être autorisée ou refusée.


Utilisez les composants de pare-feu suivants pour définir les critères d'une règle de filtrage:

  • Déclencheurs - Les déclencheurs incluent des applications, des hôtes, des protocoles et des adaptateurs réseau. Les définitions de déclencheur peuvent être combinées pour former des règles plus complexes, dans le but, par exemple, d'identifier un protocole particulier par rapport à une adresse cible spécifique. Lors de l'évaluation des règles, tous les déclencheurs doivent prendre la valeur "vrai" pour qu'une correspondance positive se produise. Si l'un des déclencheurs n'est pas égal à vrai par rapport au paquet actuel, la règle ne peut pas être appliquée.


Utilisez les composants de pare-feu suivants pour définir les critères d'une règle de pare-feu:

  • Paramètres conditionnels - Les paramètres conditionnels ne décrivent pas un aspect d'une connexion réseau. Ils définissent plutôt les critères utilisés pour déterminer l'état actif d'une règle. Les paramètres conditionnels sont facultatifs et n'ont aucune signification s'ils ne sont pas définis. La définition de ces paramètres affecte directement l'état perçu de la règle. Vous pouvez définir une planification ou identifier un état d'écran de veille qui détermine quand une règle est considérée active ou inactive. Le pare-feu n'évalue pas les règles inactives quand des paquets sont reçus.
  • Paramètres d'action - Les paramètres d'action spécifient quelles actions sont prises en cas de correspondance réussie de la règle. Si la règle est sélectionnée en réponse à un paquet reçu, toutes les actions sont exécutées. Le paquet est autorisé ou refusé et la connexion peut se produire comme configuré.
     

Inspection avec état

Le pare-feu utilise l'inspection avec état. L'inspection avec état est un processus qui assure le suivi des connexions actuellement autorisées. Une combinaison unique d'adresses IP, de ports et d'applications de destination identifie une connexion.

Le client prend des décisions relatives au flux de trafic en utilisant l'information de connexion. Quand un paquet nouvellement reçu correspond à une connexion autorisée existante, le paquet ne passe pas par le processus d'inspection de règle. Le paquet est autorisé automatiquement. Mais, surtout, l'inspection avec état permet de simplifier la base de règles. Pour le trafic lancé dans une direction uniquement, vous ne devez pas créer les règles qui autorisent le trafic bidirectionnel. Habituellement, le trafic client monodirectionnel inclut Telnet (port 23), HTTP (port 80) et HTTPS (port 443). Pour ces protocoles, créez uniquement une règle sortante, la réponse étant automatiquement autorisée par le client SEP.

Classement des règles de pare-feu par priorité

Un numéro de priorité est attribué automatiquement à chaque règle dans le tableau de pare-feu. Le numéro des règles détermine leur ordre de traitement. Le pare-feu de client Symantec Endpoint Protection traite le groupe de règles de filtrage défini par ordre successif, en démarrant à la règle numéro un.

La gravité de règle (de zéro à quinze) détermine l'importance de la règle une fois qu'elle est déclenchée:

  • Critique
  • Majeur
  • Mineur
  • Information


Les règles ne sont en aucune manière combinées logiquement. Le pare-feu ne met pas en application l'algorithme le mieux adapté. Ce scénario simplifie la conception et le dépannage du groupe de règles, parce que vous n'avez pas besoin de considérer la logique de sélection de règle au-delà de la simple correspondance du trafic.

La règle de filtrage définie également contient une ligne de démarcation bleue.

Les administrateurs système avec le plein contrôle d'accès peuvent modifier les règles de plus haute priorité, placées au-dessus de la ligne bleue.
Les clients peuvent parfois modifier des règles de priorité inférieure, placées au-dessous de la ligne bleue.

Type de contrôle
Les règles sont classées par catégorie, en tant que règles de serveur ou de client : Les règles de serveur sont créées sur le serveur de gestion et téléchargées sur le client. Les règles de client sont des règles qu'un utilisateur crée sur un client.

Ce qui suit illustre la relation entre le niveau de contrôle de l'utilisateur client et l'interaction de l'utilisateur concernant les règles de filtrage:

  • Dans le contrôle serveur, le client reçoit des règles de serveur, mais l'utilisateur ne peut pas les afficher. L'utilisateur ne peut pas créer des règles de client.
  • Dans le contrôle mixte, le client reçoit des règles de serveur et l'utilisateur peut afficher ces règles dans la boîte de dialogue Règles de filtrage. L'utilisateur peut également créer des règles qui sont fusionnées avec des règles existantes. Cependant, les règles de client vont au-dessous de la ligne bleue et ont une priorité moindre.
  • Le contrôle client offre au client un contrôle total. La bonne pratique: donnez avec circonspection le contrôle mixte ou client à vos utilisateurs.


Pour les clients du contrôle mixte, le pare-feu traite les règles de serveur et les règles de client dans un ordre précis. Les règles de serveur possédant des niveaux de priorité élevés sont traitées en premier. Les règles client sont traitées ensuite, tandis que les règles de serveur possédant une priorité moindre sont traitées en dernier.

Faites attention en attribuant un contrôle mixte à un client, car cela donne la possibilité à l'utilisateur de créer une règle client autorisant l'ensemble du trafic. Cette règle remplacera toutes les règles de serveur situées au-dessous de la ligne bleue.

Règles de pare-feu par défaut

  • Le pare-feu est installé avec les règles par défaut qui sont classées comme suit : Autoriser, Refuser, Bloquer et consigner ou Consigner seulement.
  • Les règles Autoriser incluent les paquets fragmentés et les composants EAPOL (Extensible Authentication Protocol Over LAN) sans fil. EAPOL sans fil est défini actuellement pour les LAN similaires à Ethernet, y compris les réseaux 802.1x sans fil, ainsi que les LAN Token Ring (notamment FDDI). L'accès à distance MS et le pilote ARP de routage, ainsi que toutes les applications métier sortantes, les connexions ping, pong, tracert et VPN sortantes sont également autorisés.
  • Les règles Refuser incluent le blocage IPv6, IPv6 over IPv4, le partage de fichier local et l'administration distante. Les règles de consignation incluent: La non-consignation du trafic de diffusion et de multidiffusion, le blocage et la consignation du trafic IP, le blocage de tout autre trafic.
     

Filtrage intelligent du trafic


Le filtrage intelligent du trafic permet d'utiliser les services réseau essentiels sans définir de règles autorisant explicitement ces services.

Les filtres intelligents sont activés par défaut et sont définis pour les services suivants:

  • DHCP
  • DNS
  • WINS


Les filtres intelligents sont évalués avant l'examen des groupes de règles, ce qui signifie que n'importe quel paquet correspondant à une occurrence active de Filtre intelligent est autorisé. Tous les autres sont refusés. La requête DHCP, DNS ou WINS doit provenir de l'ordinateur client et la réponse doit survenir dans un délai prédéfini de cinq secondes. Le serveur envoie la réponse et le type de cette dernière est vérifié comme valide par rapport à la requête client initiale.

Le DHCP intelligent autorise la transmission de messages de diffusion DHCP normale sans définition de règle. Les messages DHCP du client doivent être configurés pour obtenir automatiquement une adresse IP.

Comment le mécanisme de filtrage intelligent traite des messages d'échange DHCP:

  • Le client émet d'abord un message de diffusion de DHCP Discover. L'envoi de ce message entraîne la création d'un nouveau filtre intelligent.
  • Le serveur doit répondre par une OFFRE, dans le délai de cinq secondes approprié. Souvenez-vous que chaque connexion de filtre intelligent expire au bout de cinq secondes.
  • Le client émet alors un message de requête DHCP de diffusion, qui crée un autre filtre intelligent et le serveur doit répondre par un ACCUSE DE RECEPTION, dans le délai approprié de cinq secondes.


L'interface par laquelle les requêtes DNS sont transmises doit être configurée dans les paramètres TCP/IP avec un serveur DNS primaire et, en option, un serveur DNS secondaire. Les affectations des serveurs primaires et secondaires peuvent être configurées manuellement ou reçues via adressage DHCP. Seules les requêtes lancées par le client et adressées aux serveurs DNS primaires ou secondaires spécifiés sont autorisées. N'importe quelle autre requête DNS est refusée automatiquement.

Le WINS intelligent autorise l'utilisation du service WINS. L'utilisation de la résolution WINS par les requêtes WINS doit être configurée dans les paramètres TCP/IP avancés. Contrairement au DNS qui est limité à la spécification des serveurs primaires et secondaires, il est possible de définir un nombre illimité de serveurs WINS. Seules les demandes lancées par le client et adressées à un serveur WINS prédéfini sont permises. N'importe quelle autre requête WINS est refusée automatiquement. La demande de résolution du client provoque l'ajout d'un nouveau filtre intelligent à la liste, ce qui définit une fenêtre de réponse de cinq secondes par rapport à la demande particulière. Le serveur sollicité doit répondre. La réponse doit être reçue dans la période spécifiée. Le contenu de la réponse est également validé en fonction de la requête initiale. Les réponses erronées sont ignorées.

NetBIOS et Token Ring

Vous pouvez permettre aux paramètres de trafic du client de détecter et de bloquer le trafic qui communique par les pilotes, NetBIOS et Token Ring. Vous pouvez également configurer des paramètres pour détecter le trafic qui utilise une attaque moins visible.

Les paramètres de trafic incluent ce qui suit:

  • Activer le niveau de protection des pilotes est activé par défaut. Quand cette option est activée, n'importe quel pilote de protocole qui accède à un réseau est considéré comme une application réseau. Les pilotes de protocole peuvent être bloqués ou autorisés dynamiquement. Notez que le paramètre Activer la protection NetBIOS n'est pas activé par défaut. Quand cette option est activée, la politique de pare-feu empêche un client de recevoir, via les ports UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 et TCP 1026, des paquets NetBIOS provenant d'ordinateurs se trouvant sur un sous-réseau différent.
  • Autoriser le trafic Token Ring est activé par défaut. Quand les clients communiquent via un adaptateur Token Ring, cette option doit être activée dans une politique de pare-feu afin que le client puisse accéder au réseau.
  • Activer la recherche DNS inversée est activé par défaut. Quand le client intercepte un paquet IP dont l'adresse IP est inconnue, cette option autorise l'envoi d'une recherche DNS inversée pour tenter de récupérer le nom de domaine.
  • Activer la protection contre l'usurpation d'adresse MAC est désactivé par défaut. Quand cette option est activée, la protection contre l'usurpation d'adresse MAC permet à un ordinateur d'empêcher un autre ordinateur de réinitialiser un tableau d'adresses MAC.

 

Paramètres de furtivité

Lors de la configuration des paramètres de furtivité, les problèmes de compatibilité dépendent des paramètres activés. Certains paramètres peuvent affecter l'aspect des sites Web. D'autres paramètres peuvent entraîner le blocage de l'ensemble du trafic à l'installation d'une carte NIC incompatible. A la différence des paramètres de trafic, tous les paramètres de furtivité sont désactivés.

Vous pouvez configurer les paramètres de furtivité suivants:

  • Activer la navigation Web en mode furtif : Ce paramètre détecte tout le trafic HTTP sur le port 80 d'un navigateur Web et supprime des informations telles que le nom et la version de navigateur, le système d'exploitation et la page Web de référence. Ce paramètre empêche les sites Web de détecter le système d'exploitation et le navigateur utilisés par le client.
  • Activer le reséquençage TCP : Ce paramètre empêche un intrus de tirer profit de la capacité de modifier (ou d'usurper) l'adresse IP d'un ordinateur en sélectionnant de manière aléatoire des numéros de séquence TCP.
  • Activer la protection contre l'usurpation des signatures de système d'exploitation : Ce paramètre empêche les programmes de détecter le système d'exploitation d'un ordinateur qui exécute le logiciel client SEP. Ce paramètre fonctionne de manière optimale quand le reséquençage TCP est activé. Le client modifie le TTL (Time-To-Live) et la valeur d'identification des paquets TCP/IP pour empêcher d'autres programmes d'identifier un système d'exploitation en utilisant des signatures de paquet.

 

Ordre de traitement des règles


Ce qui suit indique l'ordre dans lequel sont traités tous les éléments de protection contre les menaces réseau. Ces éléments incluent des paramètres de trafic et de furtivité:

  • Les signatures de prévention d'intrusion personnalisées sont traitées en premier.
  • Les paramètres de prévention d'intrusion, les paramètres de trafic et les paramètres de furtivité sont traités ensuite.
  • Les filtres de trafic intelligents et les règles de filtrage sont traités en dernier.
  • Enfin, les signatures de vérification d'analyse de port et IPS téléchargées via LiveUpdate sont traitées.

 

Prévention d'intrusion

Le système de prévention d'intrusion (IPS) est la seconde couche de défense du client après le pare-feu. Le système de prévention d'intrusion est un système basé sur le réseau et qui fonctionne sur chaque ordinateur sur lequel le client est installé et le système d'IPS est activé. Si une attaque connue est détectée, une ou plusieurs technologies de prévention d'intrusion peuvent automatiquement la bloquer.

Le client contient des signatures d'attaque intelligentes qui sont moins susceptibles d'autoriser une attaque d'intrusion. Le client contient également un moteur avec état qui assure le suivi de l'ensemble du trafic entrant et sortant. Le client inclut le moteur de prévention d'intrusion et le groupe de signatures d'attaque par défaut correspondant.

Vous pouvez bloquer certains types d'attaques de prévention d'intrusion sur le client, qui dépendent des paramètres de prévention d'intrusion sélectionnés. Par exemple, vous devez autoriser le paramètre Activer la prévention d'intrusion pour activer le moteur de signature IPS Symantec et le moteur de signature IPS personnalisée.

Vous pouvez configurer les paramètres de prévention d'intrusion suivants:

  • Activer la prévention d'intrusion - Détecte et bloque automatiquement les attaques réseau. Si vous n'activez pas ce paramètre, le client ignore les signatures d'attaque possibles.
  • Activer la détection de déni de service - Détection qui identifie les attaques connues basées sur les paquets multiples.
  • Activer la détection d'analyse de port - Contrôle tous les paquets entrants bloqués par n'importe quelle règle de sécurité.
  • Bloquer automatiquement l'adresse IP d'un attaquant - Bloque le trafic réseau de l'attaquant pendant une durée configurable (10 minutes par défaut)


Notez que si vous définissez le client en contrôle mixte, vous devez également activer ces paramètres dans la boîte de dialogue Paramètres de contrôle du client/serveur.

Bonnes Pratiques - Application des politiques de pare-feu sur votre réseau

Avant d'appliquer une politique de pare-feu à l'ensemble de votre réseau, vous devez l'appliquer à un petit sous-ensemble de clients représentatif de votre réseau. Si possible, vous devez d'abord appliquer la politique dans un environnement de test. Symantec Endpoint Protection fournit une politique de pare-feu par défaut qui vous sert de base de développement. Dans la plupart des cas, vous devez apporter des modifications à cette politique par défaut pour l'adapter à votre architecture réseau et à la politique de sécurité de votre entreprise.

L'utilisation par le pare-feu de l'inspection avec état simplifie la création et la maintenance de règles et permet à vos ordinateurs client d'établir les connexions nécessaires tout en étant protégés. Les composants de la politique de pare-feu qui ne sont pas basés sur des règles de filtrage protègent également vos ordinateurs client. Ces composants incluent la prévention d'intrusion et les filtres de trafic intelligents.

Quand vous êtes prêt à appliquer une politique de pare-feu à votre réseau, vous devez suivre les étapes suivantes:

  • Exploitation de la protection de prévention d'intrusion
  • Application de la politique de pare-feu à un petit sous-ensemble d'ordinateurs
  • Contrôle du trafic réseau par journalisation
  • Ajustement des politiques en fonction des informations réseau recueillies dans les journaux
  • Application de la politique de pare-feu modifiée à votre réseau

 

Activer et configurer la prévention d'intrusion

Indépendamment de la façon dont vous configurez les autres fonctions de protection contre les menaces réseau, vous pouvez protéger vos clients et serveurs d'un grand nombre d'attaques réseau simplement en activant la prévention d'intrusion. La prévention d'intrusion est une méthode efficace de blocage des attaques connues. Dès que des signatures sont créées pour de nouvelles attaques, vous pouvez les mettre à jour via LiveUpdate afin de protéger vos ordinateurs. De plus, vous pouvez créer des signatures de prévention d'intrusion personnalisées, qui sont traitées en priorité par le pare-feu.

Appliquer la politique de pare-feu

La politique de pare-feu par défaut peut potentiellement bloquer le trafic nécessaire à votre entreprise pour exercer ses activités. Pour éviter ce risque, vous devez modifier la politique par défaut en la rendant plus permissive.

Vous pouvez rendre la politique par défaut plus permissive en effectuant l'une ou l'autre des modifications suivantes:

  • Remplacer l'ensemble ou une partie des règles Bloquer par défaut par des règles Autoriser et vérifier que l'option Consignation de ces règles est définie sur Enregistrer dans le journal de trafic, de sorte que les informations soient consignées à chaque fois que le trafic correspond à ces règles.
  • Créer une nouvelle règle (règle permissive) et la définir sur Autoriser et sur Enregistrer dans le journal de trafic. Placer cette règle permissive au début de la liste du pare-feu de sorte qu'elle soit traitée en priorité.

 

Contrôler le trafic réseau

Après avoir appliqué la politique de pare-feu modifiée, vous pouvez contrôler et analyser le trafic qui transite par vos ordinateurs client à partir de la console Symantec Endpoint Protection Manager. A partir des journaux de trafic, vous pouvez déterminer quel trafic doit être autorisé ou bloqué en fonction de l'application, de l'heure ou du service.

Ajuster la politique de pare-feu

Une fois que vous avez exploré les informations des journaux de trafic, vous pouvez les utiliser pour modifier votre politique de pare-feu. Vous pouvez également renforcer ou assouplir votre politique de pare-feu en configurant les paramètres de trafic et de furtivité, qui autorisent ou empêchent certains types de trafic réseau.

Généralement, vous pouvez renforcer votre politique de pare-feu en restreignant l'accès au réseau ou le lancement des applications. Pour ce faire, vous pouvez créer des règles de filtrage personnalisées pour des applications spécifiques. Mais il y a des limitations, car les règles de filtrage qui bloquent l'accès au réseau de certaines applications les autorisent toujours à se lancer. Ce résultat n'est peut-être pas celui espéré.

Une autre méthode à explorer, peut-être plus efficace, utilise une politique de contrôle de l'application. Une politique de contrôle de l'application vous permet de bloquer l'exécution des applications.

Vous devez graduellement renforcer votre politique de pare-feu dans les itérations. Par exemple, vous pouvez bloquer simultanément une ou deux applications, puis tester à nouveau la politique. S'il n'y a aucun problème, vous pouvez continuer à restreindre votre politique, si nécessaire.

Déployer la politique de pare-feu modifiée à l'ensemble de votre réseau

Une fois la modification de votre politique de pare-feu effectuée, en fonction des informations réseau des journaux de trafic et du test en environnement, vous pouvez déployer la politique de pare-feu à votre réseau entier en étant sûr que le pare-feu protègera vos ordinateurs client, tout en autorisant le trafic nécessaire.

Ressources supplémentaires

Pour plus d'informations sur le pare-feu client Symantec Endpoint Protection et le contrôle d'application, reportez-vous au Guide d'administration de Symantec Endpoint Protection et au Guide du client Symantec Endpoint Protection.




Legacy ID



20080818101217935


URL de l'article http://www.symantec.com/docs/TECH116730


Les conditions d'utilisation de cette information se trouvent dans Mentions légales