Inspecteur IMAP

Présentation de l’inspecteur IMAP

Type

Inspecteur (service)

Usage

Inspecter

Type d’instance

Multiton

Autres inspecteurs requis

stream_tcp

Activé

vrai

Le protocole IMAP (Internet Message Application Protocol) permet aux clients de messagerie de récupérer des messages à partir d’un serveur IMAP3 distant. Un serveur IMAP3 utilise le port TCP 143 pour les sessions non sécurisées ou le port TCP 993 pour IMAP sur SSL/TLS.

L’inspecteur imap détecte le trafic IMAP et analyse les commandes et les réponses IMAP.

L’inspecteur imap segmente les messages IMAP en sections de commande, d’en-tête et de corps, et procède à l’extraction et au décodage des pièces jointes MIME (Multipurpose Internet Mail Extensions). Les pièces jointes MIME peuvent inclure plusieurs pièces jointes et des pièces jointes volumineuses réparties sur plusieurs paquets.

L’inspecteur imap identifie le trafic IMAP et l’ajoute à la liste d’autorisation de Snort. Lorsqu’elles sont activées, les règles de prévention des intrusions génèrent des événements sur le trafic IMAP anormal.

Paramètres de l’inspecteur IMAP

Configuration du service IMAP

L’inspecteur binder configure le service IMAP. Pour obtenir plus d'informations, reportez-vous à la Présentation de l’inspecteur de binder.

Exemple : 
[
    {
        "when": {
            "service": "imap",
            "role": any
        },
        "use": {
            "type": "imap"
        }
    }
]

b_64_decode_depth

Spécifie le nombre maximal d’octets à extraire et à décoder de chaque pièce jointe de courriel MIME codée en Base64. Vous pouvez spécifier un entier inférieur à 65 535, ou 0 pour désactiver le décodage. Spécifiez -1 pour n’appliquer aucune limite au nombre d’octets à décoder.

Vous pouvez activer la règle 141:4 afin de générer des événements pour ce paramètre et, dans le cadre d’un déploiement en ligne, abandonner les paquets incriminés en cas d’échec du décodage (en raison d’un encodage incorrect ou de données corrompues).

Type : entier

Plage valide : de -1 à 65 535

Valeur par défaut : -1

bitenc_decode_depth

Spécifie le nombre maximal d’octets à extraire de chaque pièce jointe MIME non codée. Vous pouvez spécifier un entier inférieur à 65 535, ou 0 pour désactiver l’extraction de la pièce jointe MIME non codée. Spécifiez -1 pour n’appliquer aucune limite au nombre d’octets à extraire. Ces types de pièces jointes englobent les formats 7 bits, 8 bits, binaires, ainsi que divers types de contenu multipartite tels que le texte brut, les images JPEG et PNG, et les fichiers MP4.

Type : entier

Plage valide : de -1 à 65 535

Valeur par défaut : -1

decompress_pdf

Indique si les fichiers application/pdf (PDF) contenus dans les pièces jointes MIME doivent être décompressés.

Vous pouvez activer la règle 141:8 afin de générer des événements pour ce paramètre et, dans le cadre d’un déploiement en ligne, abandonner les paquets incriminés.

Type : booléen

Valeurs valides : true, false

Valeur par défaut : false

decompress_swf

Indique si les fichiers application/vnd.adobe.flash-movie (SWF) contenus dans les pièces jointes MIME doivent être décompressés.

Vous pouvez activer la règle 141:8 afin de générer des événements pour ce paramètre et, dans le cadre d’un déploiement en ligne, abandonner les paquets incriminés.

Type : entier

Valeurs valides : true, false

Valeur par défaut : false

decompress_vba

Indique si les fichiers de macros Microsoft Office Visual Basic for Applications contenus dans les pièces jointes MIME doivent être décompressés.

Type : booléen

Valeurs valides : true, false

Valeur par défaut : false

decompress_zip

Indique si les fichiers application/zip (ZIP) contenus dans les pièces jointes MIME doivent être décompressés.

Vous pouvez activer la règle 141:8 afin de générer des événements pour ce paramètre et, dans le cadre d’un déploiement en ligne, abandonner les paquets incriminés.

Type : booléen

Valeurs valides : true, false

Valeur par défaut : false

qp_decode_depth

Spécifie le nombre maximum d'octets à extraire et à décoder de chaque pièce jointe MIME de courriel codée en quoted-printable (QP). Vous pouvez spécifier un entier inférieur à 65 535, ou 0 pour désactiver le décodage. Spécifiez -1 pour n’appliquer aucune limite au nombre d’octets à décoder.

Vous pouvez activer la règle 141:5 afin de générer des événements pour ce paramètre et, dans le cadre d’un déploiement en ligne, abandonner les paquets incriminés en cas d’échec du décodage (en raison d’un encodage incorrect ou de données corrompues).

Type : entier

Plage valide : de -1 à 65 535

Valeur par défaut : -1

uu_decode_depth

Indique le nombre maximal d’octets à extraire et à décoder de chaque pièce jointe MIME encodée au format Unix-to-Unix (uuencode). Vous pouvez spécifier un entier inférieur à 65 535, ou 0 pour désactiver le décodage. Spécifiez -1 pour n’appliquer aucune limite au nombre d’octets à décoder.

Vous pouvez activer la règle 141:7 afin de générer des événements pour ce paramètre et, dans le cadre d’un déploiement en ligne, abandonner les paquets incriminés en cas d’échec du décodage (en raison d’un encodage incorrect ou de données corrompues).

Type : entier

Plage valide : de -1 à 65 535

Valeur par défaut : -1

Règles de l’inspecteur IMAP

Activez les règles de l’inspecteur imap pour générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés.

Tableau 1. Règles de l’inspecteur IMAP

GID:SID

Message de règle
1411

Commande IMAP3 inconnue
141:2

Réponse IMAP3 inconnue
141:4

Échec du décodage en base64
141:5

Échec du décodage quoted-printable
141:7

Échec du décodage Unix-to-Unix
141:8

Échec de la décompression de fichier

Options des règles de prévention des intrusions de l’inspecteur IMAP

vba_data

Place le curseur de détection dans le tampon des macros de Microsoft Office Visual Basic for Applications.

Syntaxe : vba_data;

Exemples : vba_data;