Académique Documents
Professionnel Documents
Culture Documents
Sécurité Cours ChapIV
Sécurité Cours ChapIV
Routeur
Internet
entrant 193.1.1.0/24
sortant
Action Prot Sens source Port src destination Port dst flag
Deny IP Sortant 193.1.1.1/24 * 10.1.1.1/32 *
Deny * * * * * *
Règle1: Toute connexion depuis la machine interne (193.1.1.1) vers la machine suspecte 10.1.1.1
est bloquée.
Règle2: Seulement les connexions HTTP (TCP, port 80) depuis le réseaux interne (193.1.1.0)
sont permises.
Règle3: Seulement la trafic web en réponse à une connexion déjà initiée du réseau interne sera
accepté de l’extérieur.
Règle4: La politique de sécurité par défaut.
189 Sécurité Informatique 2021-2022
Limitation des Firewalls à filtrage de paquets (type
stateless)
Connexion TCP.
Port serveur inférieur à 1024.
Port client compris entre 1024 et 16383.
Les Ports <1024 sont affectés de façons permanente.
FTP: 20,21 – Telnet: 23 – SMTP: 25 – HTTP: 80
Tous les Ports >1024 doivent être disponibles aux clients pour faire leurs
connexions.
Ceci créé une vulnérabilité qui peut être exploitée par les intrus.
193.1.1.1 10.1.2.3
Ceci présente une limitation pour les Firewalls de type stateless packet filtering
191 Sécurité Informatique
Solution: utilisation de Firewalls de type stateful packet filtering2021-2022
Stateful Packet filtering Firewalls
Renforce les règles de filtrage en suivant l’état des connexions:
@IP Src Port Src @IP Dst Port dst Etat de la connexion
193.1.1.1 10.1.2.3
Le Firewall se souviendra
De cette information
Cohérent avec le
paquet précédent
Pas de cohérence
avec la connexion
en cours
Internet
Optionnels
193.1.1.0/24
Action Prot Sens source Port src destination Port dst flag
Deny IP Sortant 193.1.1.0/24 * 10.1.1.1/32 *
Deny IP * * * * *
Application Gateway
Fragmentatio
Performance
Sécurité
Modification de
ICMP
n
l’application cliente
Stateles Packet
C A Non Oui Non
Filtering
Stateful Packet
B B Non Oui Non/Oui
Filtering
Implémentation de Oui avec
Circuit-Level GW B C Oui
SOCKS SOCKS v5
Nécessité de
Application-level configuration si le
A D Non Oui
GW mode transparent n’est
pas utilisé