Le filtrage applicatif permet de connaître les protocoles utilisés sur votre réseau, et d'en bloquer certains (par exemple FTP, messagerie instantanée...). Le blocage peut être défini par utilisateurs ou groupes d'utilisateurs, ce qui est plus intéressant que de mettre en place une restriction globale au niveau du réseau, par exemple via un firewall.
- Les protocoles sont reconnus via leurs signatures. Cela permet de reconnaître des protocoles n'utilisant pas leur port standard.
- L'Olfeo peut bloquer des protocoles TCP ou UDP.
- Le blocage est fait par un reset TCP, ou par l'envoi de datagrammes vides en UDP.
- Les protocoles non IP ne sont ni reconnus ni bloquables (par exemple, certains protocoles de routage, de contrôle ou de signalisation).
- Une connexion déjà initialisée au moment où la politique est appliquée ne sera pas coupée (par exemple, si une politique sur une plage horaire bloque le protocole FTP à 10h et qu'un ficher est en cours de transfert à 10h, le fichier sera transféré intégralement. La prochaine tentative de connexion FTP sera, elle, bloquée).
- Le filtrage applicatif est appliqué aux utilisateurs via des politiques.
- Si l'Olfeo réalise et du filtrage d'URLs et du filtrage applicatif, les règles et politiques de filtrage d'URLs et les politiques applicatifs seront toutes évaluées. Un flux autorisé par le filtrage d'URLs pourra être bloqué par le filtrage applicatif.
Prérequis techniques
Pour pouvoir faire du filtrage applicatif, l'interface qui reçoit les flux doit supporter le mode promiscuous (dans ce mode, l'interface écoute tous les paquets passant par elle et non seulement ceux destinés spécifiquement à la machine).
Types d'intégration compatibles et fonctionnement
- les intégrations réseau (coupure ou miroir de port). Celles-ci permettent d'analyser tous les flux transitant sur le réseau.
- les intégrations proxy (explicite ou en interception). Dans ce cas, l'analyse applicatif n'est faite que sur les flux émis par le proxy à destination du monde extérieur : flux HTTP/HTTPS, flux non HTTP (DNS, SMB, Kerberos...), protocoles situés au-dessus d'HTTP (OCSP...). Renforcer le filtrage d'URLs par du filtrage applicatif sur le proxy permet d'empêcher les utilisateurs d'utiliser le proxy pour encapsuler des protocoles dans HTTP et ainsi contourner les règles de sécurité mises en place au niveau du firewall.
Identification des utilisateurs
- Intégrations réseau : Par défaut, le trafic protocolaire ne voit que des adresses IP. Cependant, si une authentification ou identification a été faite (via le proxy HTTP, le moteur de filtrage ou un équipement tiers), l'Olfeo fera la correspondance entre l'adresse IP et l'utilisateur authentifié/identifié (mécanisme ip2login).
- Intégrations proxy : L'Olfeo ne verra que l'adresse IP du proxy, car les flux sont capturés à la sortie de celui-ci.
Filtrage applicatif dans le trafic temps réel
À la page du trafic temps réel, pour les flux concernant le filtrage applicatif, la colonne Type indique Proto.
Filtrage applicatif dans l'extracteur de données
Dans l'extracteur de données, les données correspondant au filtrage applicatif contiennent la valeur Req-Type-Proto dans le champ req_type.
Données spécifiques au filtrage applicatif recueillies par l'Olfeo
- Une entrée de log par connexion TCP (connexion ayant abouti ou échoué), ou par datagramme UDP (reçu ou bloqué).
- Adresse IP et port de destination de la requête, port source, protocole identifié.
- Volume entrant et sortant (c'est-à-dire volume de données téléchargées ou uploadées).