MikroTik fournit une fonctionnalité de pare-feu qui inclut à la fois des règles avec état et des règles sans état. Le pare-feu implémente un filtrage des paquets avec état (via le suivi des connexions) et sans état et fournit donc des fonctions de sécurité utilisées pour gérer le flux de données vers, depuis et via le routeur.
Avec la traduction d'adresses réseau (NAT), il sert d'outil pour empêcher l'accès non autorisé aux réseaux directement connectés et au routeur lui-même, ainsi que de filtre pour le trafic sortant.
A la fin de l'article vous trouverez un petit tester cela vous permettra évaluer les connaissances acquises dans cette lecture
Pare-feu avec état
Ces règles suivent l'état des connexions, ce qui signifie que le pare-feu garde une trace de l'état de chaque connexion et autorise le trafic en fonction de l'état de la connexion. Ceci est utile pour autoriser le trafic de réponse sur les connexions initiées depuis le réseau.
Cela leur permet de prendre des décisions plus éclairées sur les paquets à autoriser ou à bloquer, en fonction du contexte de la connexion. Par exemple, un pare-feu avec état permettrait à un paquet de réponse de passer à travers un paquet de requête précédemment autorisé, même si le paquet de requête lui-même n'est pas explicitement inclus dans les règles du pare-feu.
Stateful offre des avantages de sécurité améliorés car il peut empêcher efficacement les tentatives d'accès non autorisées et protéger contre les attaques de phishing.
Ils offrent également de meilleures capacités de filtrage au niveau des applications, vous permettant de contrôler quelles applications et quels protocoles peuvent communiquer via le pare-feu.
Pare-feu sans état
Ces règles ne suivent pas l'état des connexions et s'appliquent indépendamment à chaque paquet. Chaque paquet est filtré selon les critères établis par la règle, quelles que soient les connexions précédentes.
En revanche, les apatrides ne maintiennent pas de table d'état et inspectent uniquement les paquets individuels en fonction de leurs adresses source et de destination, de leurs ports et de leurs en-têtes de protocole.
Ils fonctionnent comme des filtres de paquets, prenant des décisions basées uniquement sur les informations contenues dans chaque paquet.
Différence entre un pare-feu avec et sans état
caracteristica | pare-feu avec état | Pare-feu sans état |
Suivi des connexions
| Si | Non |
Sécurité
| Amélioré | Basique |
Filtrage au niveau de l'application
| Tiering | Limité |
Performance
| Plus bas | Plus haut |
Consommation de ressources
| Plus haut | Plus bas |
Aptitude
| Réseaux d'entreprise, applications sensibles | Réseaux domestiques, environnements à large bande passante |
Exemples de règles sur les apatrides
Dans MikroTik RouterOS, les règles de pare-feu sans état sont créées sans tenir compte de l'état des connexions, c'est-à-dire qu'elles sont appliquées quelles que soient les connexions précédentes. Voici quelques exemples de règles apatrides qui pourraient être utiles dans certains scénarios :
1. Autoriser le trafic provenant d'une adresse IP spécifique :
/ip pare-feu filtre ajouter chaîne=forward src-address=192.168.1.100 action=accepter
Cette règle autorise le trafic provenant de l'adresse IP 192.168.1.100 dans la chaîne de transfert.
2. Autorisez le trafic provenant d'un sous-réseau spécifique :
/ip pare-feu filtre ajouter chaîne=forward src-address=192.168.2.0/24 action=accepter
Cette règle autorise le trafic provenant du sous-réseau 192.168.2.0/24 dans la chaîne de transfert.
3. Bloquez le trafic vers une adresse IP spécifique :
/ip pare-feu filtre ajouter chaîne=forward dst-address=203.0.113.10 action=drop
Cette règle bloque tout le trafic allant vers l'adresse IP 203.0.113.10 dans la chaîne de transfert.
Ce ne sont que des exemples et vous devez adapter les règles en fonction de vos besoins spécifiques et de la topologie de votre réseau. Gardez également à l’esprit que ces règles sont apatrides et ne prennent donc pas en compte l’état des connexions précédentes.
Exemples de règles avec état
Dans MikroTik RouterOS, les règles de pare-feu avec état se concentrent sur l'état des connexions, ce qui signifie qu'elles autorisent ou bloquent le trafic en fonction de l'état de la connexion. Voici quelques exemples de règles avec état :
1. Autorisez tout le trafic sortant et les réponses associées :
/ip filtre de pare-feu ajouter une chaîne = transmettre l'état de la connexion = établi, action associée = accepter
Cette règle autorise le trafic faisant partie d'une connexion établie ou associée dans la chaîne de transfert.
2. Autoriser un trafic spécifique venant de l’extérieur :
Filtre de pare-feu /ip add chain=forward in-interface=ether1 connection-state=new protocol=tcp dst-port=80 action=accept
Cette règle autorise le trafic TCP destiné au port 80 depuis l'extérieur via l'interface ether1 dans la chaîne de transfert.
3. Bloquez le trafic entrant non sollicité :
/ip pare-feu filtre ajouter chaîne=entrée connexion-état=nouvelle action=drop
Cette règle bloque tout le trafic entrant qui ne fait pas partie d'une connexion établie dans la chaîne entrante.
4. Autorisez le trafic ICMP entrant pour les requêtes ping :
/ip pare-feu filtre add chain=input connection-state=new protocol=icmp action=accept
Cette règle autorise le trafic ICMP entrant pour les requêtes ping dans la chaîne entrante.
5. Bloquez le trafic vers un port spécifique depuis l’extérieur :
/ip pare-feu filtre add chain=input in-interface=ether1 connection-state=new dst-port=22 action=drop
Cette règle bloque le trafic entrant vers le port 22 (SSH) depuis l'extérieur via l'interface ether1 dans la chaîne d'entrée.
Ce ne sont que des exemples et vous devez ajuster les règles en fonction de vos besoins spécifiques et de la configuration du réseau. Les règles avec état sont essentielles pour autoriser le trafic nécessaire et maintenir la sécurité en bloquant le trafic indésirable.
Bref quiz de connaissances
Que pensez-vous de cet article?
Oserez-vous évaluer vos connaissances acquises ?
Livre recommandé pour cet article
Livre de contrôle avancé du trafic, RouterOS v7
Matériel d'étude pour le cours de certification MTCTCE, mis à jour vers RouterOS v7
Peut-être êtes-vous intéressé...
- MikroTik IPSec : choisissez entre le mode tunnel et le mode transport pour VPN
- Filtre ICMP dans un pare-feu MikroTik
- Comment bloquer efficacement les sites HTTPS avec l'hôte MikroTik TLS
- Explorer les modes ARP dans MikroTik RouterOS
- MikroTik et l'authentification sans fil : comprendre « Autoriser la clé partagée »