Qu'est-ce qu'un pare-feu dynamique ?

Mauro Escalante
Mai 18, 2023
4h
Pas de commentaires

Un pare-feu est un système conçu pour empêcher tout accès non autorisé vers ou depuis un réseau privé. Les pare-feu peuvent être implémentés sous forme matérielle, logicielle ou une combinaison des deux. Il existe plusieurs types de pare-feu, et l'un d'eux est le pare-feu « avec état » o avec suivi du statut.

A la fin de l'article vous trouverez un petit tester cela vous permettra évaluer les connaissances acquises dans cette lecture

Aller à Test

L'inspection d'État, également connue sous le nom de « surveillance de l'état » o « inspection étatique » en anglais, il s'agit d'une technique avancée utilisée en sécurité des réseaux pour améliorer l'efficience et l'efficacité des pare-feu.

Inspection avec état

Les pare-feu dynamiques examinent non seulement chaque paquet de données individuel, mais conservent également un enregistrement de l'état des connexions réseau actives.

Ce journal peut inclure des détails tels que les adresses IP source et de destination, les numéros de port, les numéros de séquence de paquets, les horodatages, etc.

Contrairement aux pare-feu sans suivi d'état (apatride), qui traitent chaque paquet de données comme une transaction distincte, les pare-feu dynamiques comprennent que les paquets de données sont envoyés dans le cadre des connexions réseau.

Ces pare-feu peuvent mémoriser qu'un paquet de données entrant spécifique est la réponse à une requête sortante effectuée précédemment.

Comment fonctionne l'Inspection d'État

Voici quelques détails supplémentaires sur le fonctionnement de l’inspection sanitaire :

1. Établissement de la connexion

Lorsqu'une connexion réseau est établie (par exemple, lorsqu'un utilisateur du réseau demande une page Web), le pare-feu enregistre les détails de la connexion dans sa table d'état.

Ces informations incluent des éléments tels que l'adresse IP de l'ordinateur qui effectue la demande, l'adresse IP de la page Web demandée et les numéros de port utilisés.

2. Surveillance des connexions

À mesure que les paquets de données continuent de circuler via la connexion, le pare-feu continue d'enregistrer et de mettre à jour les détails dans sa table d'état.

Cela peut inclure, par exemple, le suivi des numéros de séquence des colis pour garantir qu'ils arrivent dans le bon ordre.

3. Terminaison de la connexion

Lorsque la connexion réseau est fermée (par exemple, lorsque l'utilisateur ferme la page Web demandée), le pare-feu remarque que la connexion a été interrompue et la supprime de sa table d'état.

La inspection de l'état offre un certain nombre d’avantages pour la sécurité du réseau. Premièrement, cela permet aux pare-feu de bloquer plus efficacement le trafic indésirable ou suspect, car ils peuvent reconnaître lorsqu'un paquet de données entrant n'est pas associé à une connexion réseau valide.

Il peut également aider à détecter et à prévenir certains types d'attaques, telles que Attaques d'usurpation d'adresse IP ou Attaques d'inondation SYN, qui tentent d'exploiter la manière dont les connexions réseau sont établies.

À un niveau plus technique, un pare-feu dynamique maintient un tableau d'état pour suivre toutes les sessions de communication existantes. Chaque session est enregistrée avec des détails tels que les adresses IP source et de destination, les numéros de port, les numéros de séquence de paquets et les horodatages.

Enregistrements d'état de connexion (tableaux d'état)

« Journaux d'état de connexion réseau active », également appelés table d'état d'un pare-feu, est une structure de données utilisée dans les pare-feu dynamiques pour suivre les détails de toutes les connexions réseau qui traversent le pare-feu.

Les détails exacts suivis peuvent varier selon le système, mais incluent souvent les éléments suivants :

1. Adresse IP source

Il s'agit de l'adresse IP de la machine qui a initié la connexion. Dans une connexion Web typique, il s'agirait de l'adresse IP de l'utilisateur demandant à afficher une page Web.

2. Adresse IP de destination

Il s'agit de l'adresse IP à laquelle la connexion est envoyée. Dans une connexion Web typique, il s'agirait de l'adresse IP du serveur hébergeant la page Web demandée.

3. Ports d'origine et de destination

Les ports sont des numéros qui identifient les processus spécifiques qui communiquent au sein de la machine source et de la machine de destination. Le port source est attribué de manière aléatoire par le système qui initie la connexion, tandis que le port de destination est généralement un numéro standard qui correspond à un service réseau particulier (par exemple, le port 80 pour le trafic HTTP).

4. Numéro de séquence et numéro d'accusé de réception

Ce sont des valeurs utilisées dans le protocole TCP pour garantir que les paquets de données arrivent dans le bon ordre et pour confirmer la réception des paquets.

5. Indicateurs TCP

Les indicateurs TCP font partie de l'en-tête des paquets TCP et fournissent des informations sur l'état de la connexion. Les indicateurs courants incluent SYN (synchroniser, pour établir des connexions), ACK (accuser réception, pour confirmer la réception des paquets), FIN (terminer, pour fermer les connexions) et RST (réinitialisation, pour abandonner les connexions).

6. État de la connexion

Il s'agit d'une valeur qui indique si la connexion est en cours d'établissement, active, en cours de fermeture, etc.

7. Horodatage

Il s'agit d'un horodatage qui indique la dernière fois que l'activité a été vue sur la connexion. Cela peut être utile pour effacer les connexions inactives de la table d'état.

En maintenant cela tableau d'état, les pare-feu avec état peuvent surveiller et contrôler le trafic réseau plus efficacement que les pare-feu sans état.

Ceci est particulièrement utile pour bloquer le trafic non sollicité provenant de l'extérieur du réseau, permettre des réponses aux demandes initiées depuis l'intérieur du réseau, ainsi que détecter et empêcher certains types d'attaques.

Le suivi de la santé fournit un plus de sécurité qu'un pare-feu sans état car il offre une vue plus complète de l'activité réseau. Cependant, il peut également consommer davantage de ressources informatiques, car il doit constamment maintenir et mettre à jour sa table d’état.

Inspection approfondie des paquets

Un aspect supplémentaire qui pourrait être pris en compte dans un pare-feu dynamique est l'inspection approfondie des paquets (DPI), qui permet d'examiner le contenu du paquet de données lui-même.

Cela peut aider à détecter certains types d'attaques qui ne seraient pas visibles en surveillant uniquement l'état de la connexion, comme les virus qui se propagent via les pièces jointes des e-mails.

En bref, un pare-feu dynamique est un élément essentiel de la cybersécurité, offrant une défense avancée en étant capable de suivre l'état complet des connexions réseau et de prendre des décisions en fonction de ce contexte.

MikroTik est-il un pare-feu dynamique ?

Oui, les routeurs MikroTik, qui utilisent le système d'exploitation RouterOS, sont capables de fonctionner comme des pare-feu dynamiques.

MikroTik implémente une fonctionnalité de suivi de statut via son « Suivi des connexions » (Suivi des connexions).

El suivi des connexions Il permet au pare-feu de suivre l'état des connexions réseau via le routeur et de prendre des décisions de filtrage en fonction de l'état d'une connexion. Cela inclut des détails tels que les adresses IP source et de destination, les ports utilisés, l'état de la connexion (par exemple, si une nouvelle connexion est en cours d'établissement ou s'il s'agit de paquets associés à une connexion existante), et bien plus encore.

Comment MikroTik implémente-t-il le pare-feu dynamique ?

Voici un exemple de la façon dont vous pouvez configurer un pare-feu dynamique sur un routeur MikroTik :

1. Activez le suivi des connexions.

Le traçage des connexions est activé par défaut dans RouterOS, mais vous pouvez le vérifier et l'activer si nécessaire avec la commande suivante :

				
					/ip firewall connection tracking set enabled=yes

2. Configurez les règles de pare-feu

Pour autoriser les connexions établies et associées, et pour bloquer les nouvelles qui n’ont pas été initiées depuis le réseau. Cela peut être fait avec des commandes comme celles-ci :

				
					/ip firewall filter add chain=forward connection-state=established action=accept
/ip firewall filter add chain=forward connection-state=related action=accept
/ip firewall filter add chain=forward connection-state=new action=drop in-interface=wan

En estos ejemplos, las dos primeras reglas permiten los paquetes asociados con conexiones ya establecidas o conexiones relacionadas (por ejemplo, respuestas a solicitudes que se originaron desde dentro de la red), mientras que la última regla bloquea los intentos de nuevas conexiones desde el exterior du réseau.

Ceci n'est qu'un exemple de la façon dont un pare-feu avec état peut être configuré dans MikroTik. La configuration réelle peut varier en fonction des besoins spécifiques du réseau.

Il convient de noter que les règles de pare-feu doivent être soigneusement planifiées et testées, car une configuration incorrecte peut rendre le réseau vulnérable ou perturber le trafic légitime.