j'ai compris

[Dr.WoW] [No.5] Mise en évidence du mécanisme d'inspection et de session avec état

publié il y a  2020-4-28 15:07:53 10 0 0 0

Comme mentionné dans la section «Développement de pare-feu», il existe un pare-feu de troisième génération, c'est-à-dire un pare-feu d'inspection avec état. Ce type de pare-feu définit une étape importante dans l'historique du pare-feu et son mécanisme d'inspection et de session avec état a été utilisé comme fonction de base pour les pare-feu pour assurer la défense de la sécurité. Maintenant, le Dr WoW présente le mécanisme d'inspection et de session avec état.

1 Inspection avec état

Commençons par l'arrière-plan du pare-feu d'inspection avec état. Sur une configuration réseau simple illustrée à la figure 1-1, le PC et le serveur Web sont déployés sur différents réseaux et tous deux directement connectés au pare-feu, qui contrôle la communication.

Figure 1-1 Configuration réseau pour l'accès au serveur PC à Web
[Dr.WoW] [No.5] Mécanisme d'inspection et de session avec état-1270877-1

Lorsque le PC doit accéder au serveur Web pour les pages Web, une règle numérotée 1 répertoriée dans le tableau 1-1 doit être configurée sur le pare-feu, ce qui permet aux paquets d'accès de passer exactement comme le fait une stratégie de sécurité. Comme cette section se concentre sur le mécanisme d'inspection et de session avec état au lieu d'une politique de sécurité, une règle est utilisée pour faciliter la compréhension. Les politiques de sécurité seront décrites dans «Politiques de sécurité».

Tableau 1-1 Règle 1 sur le pare-feu


 Non. Adresse IP source Port source Adresse IP de destination Le port de destination action
 1 192.168.0.1 TOUT 172.16.0.1 80 Permis


 

 

Dans cette règle, TOUT indique que le port source peut être n'importe quel port, car c'est le système d'exploitation du PC qui détermine le port source lorsque le PC accède au serveur Web. Pour le système d'exploitation Windows, le numéro de port source peut être compris entre 1024 et 65535. Ce numéro de port est incertain et peut être défini sur TOUT.

Lorsque cette règle s'applique, tous les paquets du PC peuvent passer le pare-feu et atteindre le serveur Web. Lors de la réception des paquets, le serveur Web répond par des paquets, qui atteindront également le PC via le pare-feu. Avant que le pare-feu d'inspection dynamique n'apparaisse, un pare-feu de filtrage de paquets doit être déployé pour cette fonction, pour lequel une autre règle numérotée 2 doit être configurée pour permettre aux paquets de la direction inverse de passer.

Tableau 1-2 Règle 2 sur le pare-feu 


 Non. Adresse IP source Port source Adresse IP de destination Le port de destination action
 1  192.168.0.1 TOUT 172.16.0.1  80 Permis
 2 172.16.0.1 80

 Permis





 

Dans la règle 2, le port de destination peut être n'importe quel port, car le PC utilise un port source incertain pour accéder au serveur Web. Pour que les paquets de réponse du serveur Web traversent le pare-feu et atteignent le PC, le port de destination doit être n'importe quel port de la règle 2.

Si le PC s'exécute sur un réseau correctement protégé, cette configuration peut laisser un sérieux risque de sécurité. Comme la règle 2 ouvre tous les ports de destination menant au PC, un attaquant avec une attention malveillante peut attaquer le PC sous le déguisement du serveur Web et les paquets d'attaque traverseront immédiatement le pare-feu.

Voyons ensuite comment un pare-feu d'inspection avec état résout ce problème. Dans la configuration réseau précédente, la règle 1 doit également être appliquée sur le pare-feu pour permettre au PC d'accéder au serveur Web. Lorsque les paquets d'accès atteignent le pare-feu, le pare-feu leur permet de passer et établit une session pour l'accès. Cette session comprendra des informations sur les paquets envoyés par PC, tels que les adresses IP et les ports.

Lors de la réception des paquets de réponse du serveur Web, le pare-feu compare les informations de paquet avec celles incluses dans la session. Si les informations sur les paquets correspondent et que les paquets de réponse sont d'accord avec le protocole HTTP, le pare-feu prend les paquets de réponse comme les paquets de réponse suivants associés à l'accès au serveur PC-Web et autorise le passage des paquets. La figure 1-2 montre le processus.

REMARQUE
Pour faciliter la compréhension, cette section utilise un exemple où le PC et le serveur Web sont directement connectés à un pare-feu. Dans une configuration pratique, si le PC et le serveur Web sont déployés sur différents réseaux et directement connectés au pare-feu, les itinéraires doivent être configurés sur le pare-feu afin que le PC et le serveur Web soient accessibles mutuellement. En d'autres termes, une route vers le PC doit être trouvée sur le pare-feu même lorsque les paquets de réponse correspondent à la session. Ce n'est que de cette manière que les paquets de réponse peuvent atteindre le PC comme prévu.

Figure 1-2 Échange de paquets via le pare-feu de détection avec état
[Dr.WoW] [No.5] Mécanisme d'inspection et de session avec état-1270877-2

 

Si un attaquant avec des intentions malveillantes demande l'accès au PC sous déguisement du serveur Web, le pare-feu prend les paquets de demande non pas comme les paquets de réponse suivants associés à la session du serveur PC à Web, puis les refuse. Cette conception empêche les risques de sécurité associés aux ports ouverts tout en permettant au PC d'accéder au serveur Web.

Pour résumer, avant que le pare-feu d'inspection dynamique n'apparaisse, un pare-feu de filtrage de paquets autorise ou refuse les paquets basés sur des règles statiques car il prend les paquets comme des statuts isolés sans état, tout en ignorant leurs associations. Ensuite, le pare-feu de filtrage de paquets doit configurer une règle pour les paquets dans chaque direction, ce qui signifie une faible efficacité et des risques de sécurité élevés.

Le pare-feu d'inspection avec état corrige ce défaut d'un pare-feu de filtrage de paquets. Le pare-feu d'inspection avec état utilise un mécanisme d'inspection basé sur l'état de la connexion et prend tous les paquets échangés sur la même connexion entre homologues de communication comme un flux de date complet. Pour ce pare-feu, les paquets d'un flux de données sont associés et non isolés. Une session est établie pour le premier paquet et les paquets suivants seront directement transmis sans aucune inspection de règle, étant donné qu'ils correspondent à la session. Cette conception améliore l'efficacité du transfert des paquets.

2 session

Voyons ensuite "session". Sur un pare-feu, une session fait référence à une connexion établie entre des pairs de communication. Une collection de sessions forme une table de session. L'exemple suivant est une entrée de table de session standard.

VPN http: public -> public 192.168.0.1:2049-->172.16.0.1:80

Les champs clés de l'entrée de table de session sont les suivants:

  • http: protocole de couche application

  • 192.168.0.1: adresse IP source

  • 2049: port source

  • 172.16.0.1: adresse IP de destination

  • 80: port de destination

Alors comment dire la source et la destination? Vous devez trouver le symbole "->" dans l'entrée. Le champ avant le symbole est associé à la source et celui après le symbole est associé à la destination.

Les cinq champs (adresse source, port source, adresse de destination, port de destination et protocole) sont des informations importantes pour une session, et ils sont appelés "5-tuple". Le pare-feu d'inspection dynamique prend les paquets qui ont le même 5-tuple qu'un flux et identifie de manière unique une connexion par le 5-tuple.

Comment le pare-feu génère-t-il une table de session lorsqu'il traite certains paquets de protocole qui n'incluent pas d'informations de port? Par exemple, les paquets de protocole ICMP n'incluent pas d'informations de port. Ensuite, le pare-feu utilise le champ ID dans l'en-tête du paquet comme port source et 2048 comme port de destination pour la session ICMP. Pour d'autres exemples, l'en-tête d'authentification (AH) et les paquets de protocole d'encapsulation de charge utile de sécurité (ESP), qui sont utilisés dans IPSec (qui seront décrits dans les sections suivantes), n'incluent pas non plus les informations de port. Pour ces paquets, le pare-feu prend les ports source et de destination à 0 pour les sessions AH et ESP.

3 Vérification de l'inspection officielle

Parler n'est pas cher. Ensuite, Dr. WoW utilise un simulateur eNSP pour configurer un réseau simple pour vérifier l'inspection dynamique du pare-feu. Le réseau utilise la même topologie que celle illustrée à la figure 1-1.

REMARQUE
La plate-forme de simulation de réseau d'entreprise (eNSP) est une plate-forme de simulation de périphérique de réseau graphique fournie gratuitement par Huawei. Il est capable de simuler des périphériques réseau tels que des routeurs, des commutateurs et des pare-feu d'entreprise, afin de vérifier les fonctions et d'apprendre les technologies réseau sans avoir à utiliser de vrais périphériques. L'eNSP peut simuler le pare-feu USG5500 et prend en charge la majorité de ses fonctions de sécurité. Comme mentionné dans les sections suivantes, l'eNSP sera utilisé pour la vérification.

Une seule règle (répertoriée dans le tableau 1-1) est configurée sur le pare-feu pour autoriser le passage des paquets du serveur PC vers Web. Lorsque le HttpClient est exécuté sur le PC pour accéder au serveur Web, l'accès est réussi. Sur le pare-feu, lorsque vous utilisez la commande display firewall session table pour vérifier les informations de la table de session, vous pouvez trouver une session.

[FW] affiche le tableau des sessions de pare-feu

Nombre total de sessions en cours: 1 

  http VPN: public -> public 192.168.0.1:2049-->172.16.0.1:80

Les informations précédentes montrent que le mécanisme d'inspection dynamique fonctionne. Plus précisément, lors de la réception des paquets de réponse du serveur Web, le pare-feu les prend comme correspondant à la session et leur permet de passer, même si une règle est absente pour permettre aux paquets de passer dans le sens inverse.

Espérons que l'introduction du Dr WoW vous aide à comprendre le mécanisme d'inspection et de session dynamique et le Dr WoW suggère que vous pratiquiez également l'utilisation de l'eNSP.

 

 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.