Vos règles et politiques de filtrage doivent suivre deux principes. Premièrement,
faites en sorte que vos filtres bloquent tout ce qu'ils n'autorisent pas explicitement.
Deuxièmement, paramétrez vos filtres de façon qu'ils protègent non seulement
votre réseau des attaques d'agents extérieurs, mais également contre tous les
paquets de l'extérieur
Directives pour le filtrage de TCP, UDP et IP
qu’un agent pourrait utiliser pour lancer une attaque
contre d’autres sites. Si tous les sites adoptaient cette approche, Internet
serait beaucoup plus sur. Voici quelques autres stratégies spécifiques pour
filtrer les paquets IP et les applications TCP/UDP.
Bloquez tous les paquets IP internes dont le champs d’adresse source contient
votre identifiant de réseau (NET_ID). Les paquets contenant votre NET_ID doivent
venir de votre réseau. Si de tels paquets proviennent d’un autre réseau, quelqu’un
tente une substitution d’adresse. De plus, vous devez bloquer tout les paquets
IP sortant dont l’adresse source ne contient pas votre NET_ID. Si le champs
d’adresse source n’est pas le votre, quelqu’un de votre réseau tente d’infiltrer
un autre réseau. Vous devez également bloquer tous les paquets IP, entrant comme
sortant, dont le champs d’adresse de destination contient une adresse de broadcast
(c’est à dire un identifiant de host ne contenant que des 1 ou 255 – par exemple
208.162.187.255).
La RFC 1918 de l’IETF (http://www.ietf.org/rfc/rfc1918.txt) définit les adresses
IP suivantes comme pouvant être utilisées sur un réseau privé mais ne peuvent
pas être routées sur Internet : 10.0.0.0, 172.16.0.0 à 172.31.0.0 et 192.168.0.0
à 192.168.255.0. Bloquez tous les paquets IP dont les champs d’adresse source
ou de destination sont dans ces plages de valeurs.
Ne permettez aux paquets entrants dirigés vers un service de réseau tel que
HTTP, FTP, SMTP, POP ou NNTP que de se connecter à un serveur public qui supporte
ce service. Par exemple, n’autorisez un segment TCP entrant avec un port de
destination 80 (http) qu’à communiquer avec votre serveur Web. Cette pratique
permet d’éviter que des utilisateurs externes ne puissent se connecter à un
serveur bidon qu’un utilisateur interne pourrait avoir installé sur votre réseau.
DNS demande une attentions particulière. Les requêtes DNS tournent généralement
sur UDP ; les transferts de zones DNS (le transfert de la totalité d’un fichier
de données DNS entier) exploite TCP. Paramétrez votre firewall pour qu’il permette
les transferts de zones DNS entre vos serveurs DNS primaires et secondaires.
Cette procédure est une précaution classique contre les attaques qui commencent
par envoyer des informations DNS erronées au serveur DNS secondaire, puis attaquent
le réseau avec une stratégie » denial of service » qui fait tomber le serveur
DNS principal.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Ready For IT 2026 : IA industrialisée, deepfakes et Prix Start-up au cœur des enjeux
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Ready For IT 2026 : quand l’accélération de l’innovation redessine les priorités des décideurs IT
- Microsoft Build 2026 : industrialiser l’IA agentique dans les environnements d’entreprise
Articles les + lus
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
Analyse Patch Tuesday Mai 2026
À la une de la chaîne Tech
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- Analyse Patch Tuesday Mai 2026
