Aller au contenu
Avanet

Configurer et tester le contrôle des applications sur Sophos Firewall

Sophos Firewall

Le contrôle des applications sur Sophos Firewall identifie les applications indépendamment du simple port. Cela permet, par exemple, d’autoriser, de bloquer ou de journaliser spécifiquement les outils de contrôle à distance, les applications de tunneling, le streaming, le stockage cloud, les messageries ou les contournements de navigateur à risque.

L’utilité pratique n’apparaît que lorsque le contrôle des applications est actif dans la bonne règle de pare-feu, que l’application est réellement reconnue et que les journaux sont analysés. Une politique de filtre d’application enregistrée ne bloque rien à elle seule.

Réponse rapide

Le contrôle des applications est utilisé en deux étapes :

  1. Sous Protect > Applications > Application filter, planifiez ou créez une politique de filtre d’application.
  2. Dans la règle de pare-feu appropriée, sélectionnez Identify and control applications (App control) sous Other security features.

Ensuite, il faut vérifier avec un client de test réel si le trafic passe par cette règle et si l’application est correctement reconnue dans le Log Viewer. Pour le trafic chiffré, l’inspection TLS peut être cruciale, car sinon le pare-feu voit moins de détails selon l’application.

Quand le contrôle des applications est-il utile ?

Le contrôle des applications est particulièrement utile lorsque les ports seuls ne sont pas suffisamment significatifs. De nombreuses applications utilisent HTTPS, des cibles changeantes ou une infrastructure cloud. Une règle de port seule ne voit alors que 443, mais pas si derrière se cache un service commercial autorisé, un outil de contrôle à distance ou un stockage cloud indésirable.

Cas d’utilisation typiques :

  • Bloquer TeamViewer, AnyDesk, Tor ou les outils proxy
  • Restreindre le streaming ou les réseaux sociaux dans certains réseaux
  • Contrôler le stockage cloud
  • Limiter les messageries ou les jeux dans les réseaux invités ou scolaires
  • Activer la reconnaissance des applications pour le reporting et l’analyse
  • Préparer le Traffic Shaping pour les applications reconnues

Si l’objectif n’est pas la reconnaissance ou le blocage, mais la priorisation ou la limitation de la bande passante, il convient de configurer le Traffic Shaping des applications sur Sophos Firewall.

Prérequis

Avant la configuration, ces points doivent être vérifiés :

  • licence appropriée avec Web Protection ou Application Control
  • règle de pare-feu concernée connue
  • Log firewall traffic est actif pour la règle de test
  • application ou catégorie souhaitée clairement définie
  • client de test et cible de test définis
  • pour les applications HTTPS, il est clair si l’inspection TLS doit être utilisée

Le statut de la licence est vérifié sous System > Administration > Licensing. Dans les bundles typiques de Sophos Firewall avec Web Protection, le contrôle des applications est inclus. La logique de licence concrète doit néanmoins être contrôlée avant l’introduction en production, surtout en cas de souscriptions expirées ou de licences d’essai.

Planifier le filtre d’application

Un bon filtre d’application n’est pas simplement une longue liste de blocage. Il faut d’abord clarifier ce que l’on souhaite atteindre.

ObjectifApproche typique
Bloquer les outils de contrôle à distance à risqueBloquer des applications ciblées ou une catégorie
Restreindre le Wi-Fi invitéBloquer les catégories indésirables, laisser ouverts les services de base autorisés
Seulement journaliser l’applicationUtiliser d’abord Allow avec journalisation et rapports
Éviter les faux positifsChoix d’application plus restreint au lieu d’une catégorie large
Prioriser une application critique pour l’entrepriseCombiner le contrôle des applications avec le Traffic Shaping

Pour les réseaux en production, un mode d’observation est souvent judicieux : activer d’abord le contrôle des applications, vérifier les journaux et les rapports, puis bloquer spécifiquement. Cela permet de voir quelles applications apparaissent réellement et si un blocage perturberait des processus légitimes.

Planifier le déploiement en phases

Le contrôle des applications ne doit pas être activé d’un seul coup pour tous les réseaux. Un petit déploiement avec un groupe de test clair, une journalisation visible et une décision définie sur le moment où l’observation devient un blocage est préférable.

Un déroulement pratique :

PhaseObjectifRéglage typique
InventaireDécouvrir quelles applications apparaissent réellementFiltre d’application avec journalisation, sans blocage large pour l’instant
PiloteVérifier des utilisateurs sélectionnés ou un réseau de testBloquer des applications à risque individuelles, contrôler étroitement l’ID de règle et les journaux
Mise en productionAppliquer la politique confirmée au réseau cibleActiver le filtre dans la règle de production, documenter les exceptions
ExploitationSurveiller les effets et les effets secondairesVérifier régulièrement les rapports, le Log Viewer, le Central Reporting ou le Syslog

Avant la mise en production, il doit être clair quelles applications doivent rester autorisées. Cela inclut souvent les services de mise à jour, le support à distance, les outils de collaboration, le stockage cloud, la téléphonie ou les applications spécifiques à un secteur. Si ces dépendances ne deviennent visibles qu’après le blocage, le contrôle des applications peut rapidement apparaître comme un facteur perturbateur plutôt qu’une fonction de protection.

Pour l’acceptation, une courte liste de décisions est utile : quelle application est bloquée, quel groupe d’utilisateurs est concerné, quelle exception est autorisée, qui est le propriétaire fonctionnel et quand la politique sera-t-elle réexaminée ? Cette documentation est plus importante qu’un premier filtre parfait.

Créer un filtre d’application

Chemin de menu :

Protect > Applications > Application filter

Procédure :

  1. Ouvrir Add.
  2. Donner un nom explicite, par exemple Block_Remote_Control_Tools.
  3. Ajouter une règle dans le filtre.
  4. Sélectionner l’application, la catégorie, le risque ou le filtre intelligent.
  5. Définir l’action, par exemple Deny, Allow ou le contrôle approprié selon la version.
  6. Enregistrer le filtre.

Pour les catégories, il faut être prudent. Une catégorie large peut toucher plus d’applications que prévu. Pour les premiers tests, des applications individuelles ou des groupes bien définis sont souvent meilleurs qu’un grand bloc collectif.

Activer dans la règle de pare-feu

Le contrôle des applications n’a d’effet que si le filtre est sélectionné dans une règle de pare-feu.

Chemin de menu :

Protect > Rules and policies > Firewall rules

Procédure :

  1. Ouvrir la règle de pare-feu par laquelle le trafic concerné passe réellement.
  2. Ouvrir la section Other security features.
  3. Sélectionner le filtre d’application sous Identify and control applications (App control).
  4. Activer Log firewall traffic, au moins pour le test et l’acceptation.
  5. Enregistrer la règle.
  6. Tester avec un client défini.

L’ordre des règles est crucial. Si le trafic est déjà traité par une règle plus générale plus haut, il n’atteint pas la règle avec le contrôle des applications. La configuration dans le WebAdmin semble alors correcte, mais n’a aucun effet.

Les bases concernant la source, la destination, les services, les fonctionnalités de sécurité et l’ordre des règles sont expliquées dans Comprendre et configurer en toute sécurité les règles de Sophos Firewall.

Inspection TLS et reconnaissance

Le contrôle des applications peut reconnaître certaines applications même sans inspection TLS complète. Pour de nombreux services HTTPS et cloud modernes, le pare-feu ne voit cependant que des informations limitées sans déchiffrement, telles que l’adresse IP, le SNI, les données de certificat, le nom d’hôte ou les métadonnées de connexion.

Cela ne suffit pas toujours pour une reconnaissance fiable. Si une application n’est pas reconnue comme prévu via HTTPS, il convient de vérifier :

  • le trafic passe-t-il par la bonne règle de pare-feu ?
  • le contrôle des applications est-il actif dans cette règle ?
  • l’application est-elle fondamentalement reconnue par Sophos ?
  • l’inspection TLS est-elle nécessaire et acceptable pour ce trafic ?
  • y a-t-il du QUIC ou du HTTP/3 qui compliquent le contrôle ?
  • des politiques Web, IPS ou DNS Protection s’appliquent-elles en plus ?

L’inspection TLS doit être introduite progressivement et avec des exceptions. La procédure appropriée est décrite dans Introduire correctement l’inspection TLS sur Sophos Firewall. Pour QUIC et HTTP/3, voir Bloquer correctement le protocole QUIC et HTTP/3 sur Sophos Firewall.

Tester l’effet

Après l’activation, il ne faut pas seulement attendre les retours des utilisateurs. Un test propre économise beaucoup de temps.

Procédure pratique :

  1. Définir le client de test et l’IP source.
  2. Démarrer consciemment l’application ou appeler la cible.
  3. Dans le Log viewer, filtrer par IP source, destination, service et application.
  4. Vérifier quelle ID de règle de pare-feu a été atteinte.
  5. Vérifier si le contrôle des applications reconnaît l’application.
  6. En cas de blocage, vérifier si le blocage est souhaité fonctionnellement.
  7. En cas de reconnaissance incertaine, compléter avec Packet Capture et les journaux de service.

Le contrôle des applications utilise souvent ips.log dans le chemin technique. L’attribution des journaux est expliquée dans Dépannage Sophos Firewall : Services et journaux. Pour la délimitation avec Log Viewer et Packet Capture, voir Tester une règle Sophos Firewall avec Log Viewer, Policy Test et Packet Capture.

Traiter correctement les faux positifs

Si le contrôle des applications bloque un trafic légitime, il ne faut pas désactiver immédiatement tout le filtre.

Ordre logique :

  1. Documenter l’application concernée et l’entrée de journal.
  2. Vérifier quelle règle de pare-feu et quel filtre d’application sont impliqués.
  3. Vérifier l’application, la catégorie et l’action dans le filtre.
  4. Vérifier si l’application est reconnue différemment par l’inspection TLS.
  5. Définir l’exception aussi étroitement que possible : application, réseau source, groupe d’utilisateurs ou cible.
  6. Documenter le propriétaire et la date de révision pour l’exception.

Une exception pour Any ou une catégorie large résout souvent rapidement le cas actuel, mais affaiblit le contrôle de manière durable. Mieux vaut une petite exception traçable avec une justification claire.

Erreurs typiques

ErreurEffetMeilleure approche
Filtre d’application créé, mais non sélectionné dans la règleAucun effet sur le traficActiver le filtre dans la véritable règle de pare-feu
Le trafic passe par une autre règleLe filtre n’est jamais atteintVérifier l’ID de règle dans le Log Viewer
Catégorie trop large bloquéeServices cloud ou commerciaux légitimes affectésUtiliser des applications individuelles ou des groupes plus restreints
Reconnaissance HTTPS surestiméeL’application n’est pas reconnue de manière fiableVérifier l’inspection TLS et le comportement QUIC
Journalisation manquanteL’effet reste invisibleActiver la journalisation des règles pour le test et l’exploitation
Exception trop largeLa fonction de protection est pratiquement annuléeDéfinir une exception étroite et avec une date de révision

Vérification opérationnelle

Le contrôle des applications doit être vérifié régulièrement. Les applications changent, les services cloud utilisent de nouveaux points de terminaison, les utilisateurs utilisent de nouveaux outils et les signatures sont mises à jour.

Il faut documenter :

  • Objectif du filtre d’application
  • Règles de pare-feu concernées
  • Applications bloquées ou autorisées
  • Exceptions connues
  • Propriétaire fonctionnel
  • Date de révision
  • Dernière modification pertinente

Si le contrôle des applications est utilisé pour des applications commerciales critiques, des réseaux scolaires ou des exigences de conformité, il convient également de vérifier le Central Reporting, le Syslog ou le SIEM. Pour une évaluation centrale, voir Activer le Central Firewall Reporting ou Configurer le Syslog et le SIEM sur Sophos Firewall.

Liste de contrôle

  • Statut de la licence vérifié.
  • Règle de pare-feu concernée clairement identifiée.
  • Filtre d’application créé avec un objectif clair.
  • Filtre sélectionné dans la bonne règle de pare-feu.
  • Journalisation des règles active.
  • Client de test et application de test définis.
  • Log Viewer vérifié pour l’ID de règle et le contrôle des applications.
  • Inspection TLS et QUIC évalués si la reconnaissance HTTPS est incertaine.
  • Exceptions documentées de manière étroite.
  • Date de révision fixée.

Questions fréquentes

Où active-t-on le contrôle des applications sur Sophos Firewall ?

On crée ou sélectionne un filtre d’application sous Protect > Applications > Application filter et on l’active ensuite dans la règle de pare-feu appropriée sous Other security features > Identify and control applications (App control).

Pourquoi le contrôle des applications ne fonctionne-t-il pas ?

Souvent, le trafic passe par une autre règle de pare-feu, le filtre d’application n’est pas actif dans la règle, la journalisation manque ou l’application n’est pas reconnue de manière fiable sans inspection TLS.

Le contrôle des applications nécessite-t-il l'inspection TLS ?

Pas toujours. Certaines applications peuvent être reconnues même sans déchiffrement complet. Pour les services HTTPS et cloud modernes, l’inspection TLS peut cependant être nécessaire pour que le pare-feu voie suffisamment de détails.

Le contrôle des applications est-il identique au filtrage Web ?

Non. Le filtrage Web évalue les sites Web, les catégories et les URL. Le contrôle des applications reconnaît les applications et les protocoles. Dans les environnements HTTPS modernes, les sujets se chevauchent, mais restent des points de contrôle distincts.

Peut-on utiliser le contrôle des applications pour le Traffic Shaping ?

Oui. Le contrôle des applications peut reconnaître les applications qui sont ensuite priorisées ou limitées. La procédure propre est décrite dans Configurer le Traffic Shaping des applications sur Sophos Firewall.