|
Le filtrage de paquets utilise diverses conditions pour catégoriser et filtrer le trafic réseau. Ces conditions peuvent être appliquées individuellement ou en combinaison pour créer des règles très spécifiques. Voici une répartition des catégories courantes et des exemples :
Je. Source et destination :
* Adresse IP source : L'adresse IP de l'appareil expéditeur. Il peut s'agir d'une adresse IP unique, d'une plage d'adresses IP (en utilisant la notation CIDR) ou d'un caractère générique.
* Adresse IP de destination : L'adresse IP de l'appareil récepteur. Mêmes options que l'IP source.
* Port source : Le numéro de port utilisé par l'application émettrice. (par exemple, 80 pour HTTP, 443 pour HTTPS, 22 pour SSH).
* Port de destination : Le numéro de port utilisé par l'application réceptrice.
* Adresse MAC source : L'adresse physique de l'appareil expéditeur (couche 2).
* Adresse MAC de destination : L'adresse physique du périphérique de réception (couche 2).
II. Protocole :
* Protocole IP : Identifie le protocole de couche réseau (par exemple, TCP, UDP, ICMP).
* Protocole de transport : Spécifie le protocole de la couche transport (TCP ou UDP, impliqué par le protocole IP dans la plupart des cas).
III. Contenu des paquets (inspection approfondie des paquets - DPI) :
* Séquences d'octets spécifiques : Examen des données brutes des paquets pour des modèles d'octets particuliers (nécessite plus de puissance de traitement).
* Mots clés dans la charge utile : Recherche de mots ou d'expressions spécifiques dans les données de l'application (par exemple, filtrage des e-mails contenant certains mots). Souvent utilisé en conjonction avec le filtrage de protocole (par exemple, inspecter uniquement les paquets HTTP).
* Expressions régulières : Correspondance de modèles plus complexe au sein de la charge utile.
IV. Caractéristiques du paquet :
* Taille du paquet : Taille minimale ou maximale du paquet (en octets).
* Heure de la journée : Filtrage du trafic en fonction d'heures ou d'horaires spécifiques.
* Indicateurs de paquets (TCP) : Examen des flags TCP (SYN, ACK, FIN, RST, etc.) pour identifier les phases de connexion ou les comportements anormaux.
* TTL (Time To Live) : Nombre de sauts qu'un paquet peut parcourir avant d'être rejeté. Peut être utilisé pour identifier des attaques potentielles.
* TOS/DiffServ (Type de service/Services différenciés) : Marquages de qualité de service (QoS) dans l'en-tête IP.
V. Informations sur la couche d'application (DPI avancé) :
* Type de demande : Identification de l'application en fonction du numéro de port et de l'analyse de la charge utile (par exemple, HTTP, FTP, SMTP, DNS).
* URL : Extraction et filtrage basés sur l'URL dans les paquets HTTP.
Conditions de combinaison :
La puissance du filtrage de paquets vient de la combinaison de ces conditions. Par exemple, vous pouvez créer une règle qui autorise tout le trafic TCP depuis une adresse IP spécifique vers le port 443 sur un serveur Web, tout en bloquant tout le trafic UDP depuis la même adresse IP vers n'importe quel port. Cela permet un accès HTTPS sécurisé tout en empêchant toute autre communication UDP potentiellement malveillante.
Remarque : Le niveau de détail disponible pour le filtrage dépend du pare-feu ou du périphérique réseau utilisé. Les appareils plus simples peuvent uniquement prendre en charge le filtrage de base des adresses IP source/destination, des ports et des protocoles, tandis que les appareils plus sophistiqués offrent des fonctionnalités DPI avancées.
|
