Vos règles et politiques de filtrage doivent suivre deux principes. Premièrement,
faites en sorte que vos filtres bloquent tout ce qu'ils n'autorisent pas explicitement.
Deuxièmement, paramétrez vos filtres de façon qu'ils protègent non seulement
votre réseau des attaques d'agents extérieurs, mais également contre tous les
paquets de l'extérieur
Directives pour le filtrage de TCP, UDP et IP
qu’un agent pourrait utiliser pour lancer une attaque
contre d’autres sites. Si tous les sites adoptaient cette approche, Internet
serait beaucoup plus sur. Voici quelques autres stratégies spécifiques pour
filtrer les paquets IP et les applications TCP/UDP.
Bloquez tous les paquets IP internes dont le champs d’adresse source contient
votre identifiant de réseau (NET_ID). Les paquets contenant votre NET_ID doivent
venir de votre réseau. Si de tels paquets proviennent d’un autre réseau, quelqu’un
tente une substitution d’adresse. De plus, vous devez bloquer tout les paquets
IP sortant dont l’adresse source ne contient pas votre NET_ID. Si le champs
d’adresse source n’est pas le votre, quelqu’un de votre réseau tente d’infiltrer
un autre réseau. Vous devez également bloquer tous les paquets IP, entrant comme
sortant, dont le champs d’adresse de destination contient une adresse de broadcast
(c’est à dire un identifiant de host ne contenant que des 1 ou 255 – par exemple
208.162.187.255).
La RFC 1918 de l’IETF (http://www.ietf.org/rfc/rfc1918.txt) définit les adresses
IP suivantes comme pouvant être utilisées sur un réseau privé mais ne peuvent
pas être routées sur Internet : 10.0.0.0, 172.16.0.0 à 172.31.0.0 et 192.168.0.0
à 192.168.255.0. Bloquez tous les paquets IP dont les champs d’adresse source
ou de destination sont dans ces plages de valeurs.
Ne permettez aux paquets entrants dirigés vers un service de réseau tel que
HTTP, FTP, SMTP, POP ou NNTP que de se connecter à un serveur public qui supporte
ce service. Par exemple, n’autorisez un segment TCP entrant avec un port de
destination 80 (http) qu’à communiquer avec votre serveur Web. Cette pratique
permet d’éviter que des utilisateurs externes ne puissent se connecter à un
serveur bidon qu’un utilisateur interne pourrait avoir installé sur votre réseau.
DNS demande une attentions particulière. Les requêtes DNS tournent généralement
sur UDP ; les transferts de zones DNS (le transfert de la totalité d’un fichier
de données DNS entier) exploite TCP. Paramétrez votre firewall pour qu’il permette
les transferts de zones DNS entre vos serveurs DNS primaires et secondaires.
Cette procédure est une précaution classique contre les attaques qui commencent
par envoyer des informations DNS erronées au serveur DNS secondaire, puis attaquent
le réseau avec une stratégie » denial of service » qui fait tomber le serveur
DNS principal.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Réforme de la facturation électronique : une préparation largement théorique
- Le futur de la cryptographie post-quantique
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
