3. Filtrer en fonction des Protocoles

_images/MoteurDeDetectionOFF.png

Depuis 'Adv Config', l'administrateur accède à la fonctionnalité suivante :

_images/SPDC13.PNG

_images/SPDC14.PNG

_images/SPDC30.PNG

'Packet Filtering' permet de créer sur un RULESET actif afin de spécifier des règles de filtrage par interface de monitoring. Cette option est compatible avec les GCenter 2.5.3.100+. Les règles présentent dans Sigflow Manager s'appliquent à toutes les interfaces ou séparément. Les règles sont fusionnées automatiquement par le démon en charge d'appliquer ces règles.

'Drop all packets from a protocol' permet de faire un filtrage XDP en fonction d'un protocole: gre, l2tp, ah et esp. Il est donc possible de dropper du flux réseau en fonction du protocole applicatif. Il faut préciser la plage protocolaire (0-65535) pour les protocoles avec ports.

_images/SPDC36.PNG_images/SPDC37.PNG

L'administrateur spécifie la nouvelle règle de filtrage protocolaire en sélectionnant l'interface de capture, le VLAN et l'adressage IP. L'insertion de règles par défaut par interface et VLAN est possible. Un ensemble de règles peut être ajouté à une interface et un VLAN. Ces règles filtrent les ports de certains protocoles chiffrés, et les tunnels.

'Drop default ciphered protocols' permet de créer une règle de filtrage en fonction des protocoles chiffrés détectés par défaut.

_images/SPDC40.PNG_images/SPDC41.PNG

L'administrateur spécifie la nouvelle règle de filtrage en sélectionnant l'interface de capture, le VLAN, l'adressage IP, le protocole : tcp ou udp, et sa plage protocolaire (0:65635).

Ci-dessous les lignes de commande associées à la fonctionnalité décrite :

set advanced-configuration packet-filtering add interface [mon0|1|2|3|4|5|6|7] drop [protocol|ciphered-protocols|port-range|prefix|vlan] confirm