[Dr.WoW] [N ° 5] Inspection avec état et mécanisme de session

2 0 0 0


Comme indiqué dans la section "Développement de pare-feu", il existe un pare-feu de troisième génération, à savoir un pare-feu à inspection dynamique. Ce type de pare-feu marque une étape importante dans l'historique du pare-feu et son mécanisme de contrôle et de session avec état a été utilisé comme fonction de base des pare-feu pour assurer la défense de la sécurité. M. WoW présente maintenant le mécanisme d'inspection et de session avec état.

1 inspection officielle
Commençons par l'arrière-plan du pare-feu à inspection dynamique. Sur une configuration réseau simple illustrée à la figure 1-1, le PC et le serveur Web sont déployés dans des réseaux différents et sont tous deux directement connectés au pare-feu, qui contrôle la communication.

Figure 1-1 Configuration du réseau pour l'accès au serveur PC à Web


5510c1870be45.png

Lorsque le PC doit accéder au serveur Web pour les pages Web, une règle numérotée 1 répertoriée dans le tableau 1-1 doit être configurée sur le pare-feu, ce qui permet aux paquets d'accès de passer comme une stratégie de sécurité. Comme cette section se concentre sur l'inspection avec état et le mécanisme de session au lieu d'une stratégie de sécurité, une règle est utilisée pour faciliter la compréhension. Les politiques de sécurité seront décrites dans "Politiques de sécurité".

Tableau 1-1 Règle 1 sur le pare-feu

001433gwq8lhos3k8x3hlq.png
Dans cette règle, ANY indique que le port source peut être n’importe quel port, car c’est le système d’exploitation du PC qui détermine le port source lorsque le PC accède au serveur Web. Pour le système d'exploitation Windows, le numéro de port source peut être compris entre 1024 et 65535. Ce numéro de port est incertain et peut être défini sur ANY.

Lorsque cette règle s'applique, tous les paquets du PC peuvent passer le pare-feu et atteindre le serveur Web. Lors de la réception des paquets, le serveur Web répond avec des paquets qui atteindront également le PC via le pare-feu. Avant la mise en place du pare-feu à inspection d'état, un pare-feu de filtrage de paquets doit être déployé pour cette fonction; il est également nécessaire de configurer une autre règle numérotée 2 pour autoriser le passage des paquets en sens inverse.

Tableau 1-2 Règle 2 sur le pare-feu

001546u23idtllt0t9z0tz.png
Dans la règle 2, le port de destination peut être n'importe quel port, car le PC utilise un port source incertain pour accéder au serveur Web. Pour que les paquets de réponse du serveur Web traversent le pare-feu et atteignent le PC, le port de destination doit être n’importe quel port de la règle 2.

Si le PC fonctionne sur un réseau correctement protégé, cette configuration peut présenter un risque grave pour la sécurité. Lorsque la règle 2 ouvre tous les ports de destination menant au PC, un attaquant avec une attention malveillante peut attaquer le PC sous le déguisement du serveur Web et les paquets d’attaque traverseront immédiatement le pare-feu.

Voyons ensuite comment un pare-feu à inspection dynamique résout ce problème. Dans la configuration précédente du réseau, la règle 1 doit également être appliquée sur le pare-feu pour permettre au PC d’accéder au serveur Web. Lorsque les paquets d'accès atteignent le pare-feu, celui-ci leur permet de passer et met en place une session pour l'accès. Cette session comprendra des informations sur les paquets envoyés par le PC, tels que les adresses IP et les ports.

Lors de la réception des paquets de réponse du serveur Web, le pare-feu compare les informations sur les paquets avec celles incluses dans la session. Si les informations sur les paquets correspondent et que les paquets de réponse sont conformes au protocole HTTP, le pare-feu utilise les paquets de réponse comme les paquets de réponse suivants associés à l'accès au serveur PC-à-Web et les laisse passer. La figure 1-2 illustre le processus.

REMARQUE
Pour faciliter la compréhension, cette section utilise un exemple dans lequel le PC et le serveur Web sont directement connectés à un pare-feu. Dans une configuration pratique, si le PC et le serveur Web sont déployés sur différents réseaux et directement connectés au pare-feu, les itinéraires doivent être configurés sur le pare-feu afin que le PC et le serveur Web soient mutuellement accessibles. En d'autres termes, une route vers le PC doit être trouvée sur le pare-feu même lorsque les paquets de réponse correspondent à la session. C’est seulement ainsi que les paquets de réponse pourront atteindre le PC comme prévu.


Figure 1-2 Échange de paquets via le pare-feu à détection d'état


5510c21b0d4b6.png

Si un attaquant aux intentions malveillantes demande l’accès au PC alors que le serveur Web est déguisé, le pare-feu récupère les paquets de la requête et ne les refuse pas comme les paquets de réponse suivants associés à la session du serveur PC à Web. Cette conception évite les risques de sécurité associés aux ports ouverts tout en permettant au PC d’accéder au serveur Web.

En résumé, avant la mise en place du pare-feu à inspection d'état, un pare-feu à filtrage de paquets autorise ou refuse les paquets en fonction de règles statiques, car il prend les paquets comme des paquets isolés sans état, tout en ignorant leurs associations. Ensuite, le pare-feu de filtrage de paquets doit configurer une règle pour les paquets dans chaque direction, ce qui signifie une faible efficacité et des risques de sécurité élevés.

Le pare-feu à inspection d'état corrige ce défaut d'un pare-feu à filtrage de paquets. Le pare-feu d'inspection avec état utilise un mécanisme d'inspection basé sur l'état de la connexion et prend tous les paquets échangés sur la même connexion entre homologues de communication en tant que flux de date complet. Pour ce pare-feu, les paquets d'un flux de données sont associés et non isolés. Une session est établie pour le premier paquet et les paquets suivants seront directement transférés sans inspection préalable, étant donné qu'ils correspondent à la session. Cette conception améliore l'efficacité de la transmission des paquets.

2 session
Voyons alors "session". Sur un pare-feu, une session fait référence à une connexion établie entre des homologues de communication. Une collection de sessions forme une table de sessions. L'exemple suivant est une entrée de table de session standard.

http  VPN:public --> public 192.168.0.1:2049-->172.16.0.1:80

Les champs de clé dans l'entrée de table de session sont les suivants:

  • http: protocole de couche d'application
  • 192.168.0.1: adresse IP source
  • 2049: port source
  • 172.16.0.1: adresse IP de destination
  • 80: port de destination
Alors comment dire la source et la destination? Vous devez trouver le symbole "->" dans l'entrée. Le champ avant le symbole est associé à la source et celui après le symbole est associé à la destination.

Les cinq champs (adresse source, port source, adresse de destination, port de destination et protocole) constituent des informations importantes pour une session. Ils sont appelés "5-tuple". Le pare-feu d'inspection avec état prend les paquets qui ont le même 5 tuple qu'un flux et identifie de manière unique une connexion par le 5-tuple.

Comment le pare-feu génère-t-il une table de session lorsqu'il traite des paquets de protocole qui n'incluent pas d'informations de port? Par exemple, les paquets de protocole ICMP n'incluent pas d'informations de port. Ensuite, le pare-feu utilise le champ ID de l'en-tête du paquet comme port source et 2048 comme port de destination pour la session ICMP. Pour d'autres exemples, l'en-tête d'authentification (AH) et les paquets de protocole d'encapsulation de sécurité (ESP), utilisés dans IPSec (à décrire dans les sections suivantes), n'incluent pas non plus d'informations de port. Pour ces paquets, le pare-feu prend les ports source et de destination à 0 pour les sessions AH et ESP.

3 Vérification de l'inspection d'état
Parler n'est pas cher. Dr. WoW utilise ensuite un simulateur eNSP pour configurer un réseau simple afin de vérifier l'inspection d'état du pare-feu. Le réseau utilise la même topologie, comme illustré à la figure 1-1.

REMARQUE
La plate-forme de simulation de réseau d'entreprise (eNSP) est une plate-forme de simulation de périphérique de réseau graphique fournie gratuitement par Huawei. Il est capable de simuler des périphériques réseau tels que des routeurs, des commutateurs et des pare-feu d'entreprise, dans le but de vérifier les fonctions et d'apprendre les technologies réseau sans avoir à utiliser de vrais périphériques. Le eNSP peut simuler le pare-feu USG5500 et prend en charge la plupart de ses fonctions de sécurité. Comme indiqué dans les sections suivantes, le eNSP sera utilisé pour la vérification.


Une seule règle (répertoriée dans le tableau 1-1) est configurée sur le pare-feu pour permettre le passage des paquets du serveur PC à Web. Lorsque le HttpClient est exécuté sur le PC pour accéder au serveur Web, l'accès est réussi. Sur le pare-feu, lorsque vous utilisez la commande display pare-feu de la table de session pour vérifier les informations de la table de session, vous pouvez rechercher une session.

[FW] display firewall session table

Current Total Sessions : 1 

  http  VPN:public --> public 192.168.0.1:2049-->172.16.0.1:80

L'information précédente montre que le mécanisme d'inspection avec état fonctionne. Plus précisément, lors de la réception des paquets de réponse du serveur Web, le pare-feu les prend comme correspondant à la session et leur permet de passer, même si une règle est absente pour permettre aux paquets de passer dans le sens inverse.

Espérons que l’introduction de Dr. WoW vous aide à comprendre le mécanisme d’inspection et de session avec état. Dr. WoW vous suggère de vous entraîner également à utiliser le eNSP.


Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page