Sophos XG : Filtrage web et applicatif

Dans ce tutoriel, nous allons voir comment mettre en place le filtrage sur les flux sortant avec un pare-feu Sophos XG.

Je vais vous montrer les deux modules de filtrage :

  • Web : qui est un proxy internet
  • Applicatif : filtrage de niveau 7 qui permet d’agir les applications et actions disponibles sur un site Web

Pour les deux modules, il faut créer une stratégie de filtrage et ensuite l’appliquer à la règle de pare-feu.

Créer une stratégie de Filtrage web

1. Sur l’interface du pare-feu, cliquer sur Web 1. L’ensemble des stratégies s’affichent, par défaut Sophos propose des stratégies. Cliquer sur Ajouter une stratégie 2.

Strategies list

2. Entrer un nom pour la stratégie 1, une description (facultatif) et ensuite cliquer sur Ajouter une règle 2.

Add rule

3. Une nouvelle règle est ajoutée 1, pour le moment celle-ci bloque l’ensemble du trafic. Cliquer sur TOUT le trafic Web 2 pour la modifier. On va bloquer l’accès aux sites qui sont catégorisés dans Sexually Explicit.

Edit rule

4. Retirer 1 Tout le trafic Web puis cliquer sur Ajouter un nouvel élément 2.

Edit rule

5. Cliquer sur Affiche un … 1 puis choisir Catégorie Web 2.

Filter elements

6. Cocher la case pour la catégorie Sexually Explicit 1 et cliquer sur Appliquer X aux éléments sélectionnées 2.

Select category

7. La règle ajoutée, il faut maintenant configurer l’action, cliquer sur le chevron 1 et cliquer sur l’action souhaitée pour le filtrage HTTP et HTTPS, dans l’exemple on choisit Bloquer 2.

Rule action for http and https

8. Il faut activer la règle en cliquant sur OFF 1 pour la faire passer à ON.

Switch ON

Les points qui suivent sont facultatifs, dans la suite, on ajoute une seconde règle de filtrage sur les réseaux sociaux, en mettant comme action Alerte, ce qui permet d’afficher une page à l’utilisateur lui indiquant que la navigation vers ce site est toléré, il doit cliquer sur un bouton pour confirmer la navigation.

9. Ajouter une règle en choisissant la catégorie Social Networking.

Add rule

10. Configurer l’action en sélectionnant Alerter HTTP.

Action : warning

11. Faire de même avec l’action HTTPS et activer la règle en la passant sur ON.

Rule configured

12. Cliquer sur Paramètres avancés 1 et si on le souhaite, on peut limiter la taille des éléments télécharger en activant l’option 2 et en indiquant la taille maximale 3.

Advanced settings

13. Une fois la stratégie configurée, cliquer sur Enregistrer.

14. Cliquer sur Ignorer cette étape 1, la page qui suit traite ce sujet.

ignore step

15. La stratégie est ajoutée.

Strategie added

Maintenant que la stratégie est créée, nous allons voir comment ajouter une règle au pare-feu et appliquer la stratégie pour filtrer la navigation internet.

Ajouter une règle au pare-feu avec stratégie de filtrage Web

Dans cette partie, nous allons voir comment ajouter une règle de sortie sur internet (Lan vers Wan) en appliquant une stratégie de filtrage web.

1. Aller sur Pare-feu 1 puis cliquer sur Ajouter une règle de pare-feu 2 et sur Règle d’utilisateur/de réseau 3.

Add rule

2. Configurer la règle :

1 Nommer la règle
2 Action Accepter
3 Source : LAN
4 Destination : WAN
5 Activer le contrôle HTTP
6 Sélectionner la stratégie Web
7 Activer l’enregistrement du trafic
8 Cliquer sur Enregistrer
Configure rule

Pour contrôler le flux HTTPS, cela implique un déchiffrage SSL et nécessite le déploiement d’un certificat. Le filtrage Web sera quand même actif sur les flux HTTPS, par contre les utilisateurs auront une page blanche en cas de blocage.

Pour plus de sécurité, il est également possible de limiter les services dans la règle, on aurait pu configurer seulement les flux HTTP/HTTPS

3. La règle est ajoutée.

Rule added

Sur la partie droite de la règle, on peut voir les contrôles actifs

L’ensemble des flux passant dans cette règle sera filtré par la stratégie web.

Le filtrage d’application

Avec le firewall Sophos XG, il est également possible de filtrer le flux applicatif.

Avant de commencer, il faut définir dans un premier temps le terme application au niveau du firewall, car il prend en compte plusieurs paramètres pour terminer une application :

  • Détection des applications par rapport au entête des agents sortant sur internet, par exemple Skype utilise une entête particulière qui permet de détecter l’utilisation.
  • Détection des applications distantes ou directement du site internet, cette partie est intéressante car elle permet de dérouiller des fonctionnalités de certain site comme le blocage des commentaires sur facebook ou l’impossibilité de cliquer sur bouton J’aime. Ceci permet d’autoriser l’accès au site en bloquant les fonctions, ce qui est moins frustrants pour les utilisateurs.

Personnellement, je n’ai jamais eu un collaborateur qui est venu se plaindre de l’impossibilité de commencer sur facebook, à l’inverse ils se plaignent des blocages complets des sites web.

Aperçu des applications « Facebook » :

Facebook appli - sophos xg

1. Sur l’administration cliquer sur Applications 1 pour accéder à la liste des filtres. Cliquer sur Ajouter 1 pour créer un filtre.

Filter app

2. Nommer le filtre 1 et cliquer sur Enregistrer 2.

Create filter

3. Le filtre est créé, il faut maintenant le modifier pour ajouter des applications, cliquer sur l’icone 1.

Edit filter

4. Cliquer sur Ajouter 1.

Add appli

5. Recherche l’application souhaitée 1, sélectionner les 2, configurer l’action 3 et cliquer sur Enregistrer 4.

Configure app rule

Dans l’exemple ci-dessus, j’ai bloqué le télécharger et l’envoie de fichier sur le site 1fichier, ceci permet de ne bloquer l’accès au site mais de limiter l’utilisation des services.

6. On voit que l’application est ajoutée à la stratégie, cliquer sur Enregistrer 1.

Save strategy

7. Editer la règle créée précédemment et ajouter la stratégie dans le Contrôle des applications 1 et Enregistrer 2.

8. Dans l’aperçu de la règle, le badge APP est passé en vert.

Rule resume

Visualisations des logs

La visualisation des logs se fait pas l’interface du pare-feu en cliquant sur Rapports.

Pour avoir des données, il est obligatoire de mettre en place des stratégies web et d’application, car en leurs absences le flux ne passe pas dans la partie proxy du Sophos.

Exemple de rapports sur le filtrage web

Exemple de rapports sur le filtrage applicatif