Faire du filtrage protocolaire

Le filtrage protocolaire permet de connaître les protocoles utilisés sur votre réseau, et d'en bloquer certains (par exemple FTP, messagerie instantanée...). Le blocage peut être défini par utilisateurs ou groupes d'utilisateurs, ce qui est plus intéressant que de mettre en place une restriction globale au niveau du réseau, par exemple via un firewall.

Prérequis techniques

Pour pouvoir faire du filtrage protocolaire, l'interface qui reçoit les flux doit supporter le mode promiscuous (dans ce mode, l'interface écoute tous les paquets passant par elle et non seulement ceux destinés spécifiquement à la machine).

Types d'intégration compatibles et fonctionnement

Les types d'intégration permettant le filtrage protocolaire sont :
  • les intégrations réseau (coupure ou miroir de port). Celles-ci permettent d'analyser tous les flux transitant sur le réseau.
  • les intégrations proxy (explicite ou en interception). Dans ce cas, l'analyse protocolaire n'est faite que sur les flux émis par le proxy à destination du monde extérieur : flux HTTP/HTTPS, flux non HTTP (DNS, SMB, Kerberos...), protocoles situés au-dessus d'HTTP (OCSP...). Renforcer le filtrage d'URLs par du filtrage protocolaire sur le proxy permet d'empêcher les utilisateurs d'utiliser le proxy pour encapsuler des protocoles dans HTTP et ainsi contourner les règles de sécurité mises en place au niveau du firewall.

Identification des utilisateurs

Filtrage protocolaire dans le trafic temps réel

À la page du trafic temps réel, pour les flux concernant le filtrage protocolaire, la colonne Type indique Proto.

Filtrage protocolaire dans l'extracteur de données

Dans l'extracteur de données, les données correspondant au filtrage protocolaire contiennent la valeur Req-Type-Proto dans le champ req_type.

Données spécifiques au filtrage protocolaire recueillies par l'Olfeo