Vos règles et politiques de filtrage doivent suivre deux principes. Premièrement,
faites en sorte que vos filtres bloquent tout ce qu'ils n'autorisent pas explicitement.
Deuxièmement, paramétrez vos filtres de façon qu'ils protègent non seulement
votre réseau des attaques d'agents extérieurs, mais également contre tous les
paquets de l'extérieur
Directives pour le filtrage de TCP, UDP et IP
qu’un agent pourrait utiliser pour lancer une attaque
contre d’autres sites. Si tous les sites adoptaient cette approche, Internet
serait beaucoup plus sur. Voici quelques autres stratégies spécifiques pour
filtrer les paquets IP et les applications TCP/UDP.
Bloquez tous les paquets IP internes dont le champs d’adresse source contient
votre identifiant de réseau (NET_ID). Les paquets contenant votre NET_ID doivent
venir de votre réseau. Si de tels paquets proviennent d’un autre réseau, quelqu’un
tente une substitution d’adresse. De plus, vous devez bloquer tout les paquets
IP sortant dont l’adresse source ne contient pas votre NET_ID. Si le champs
d’adresse source n’est pas le votre, quelqu’un de votre réseau tente d’infiltrer
un autre réseau. Vous devez également bloquer tous les paquets IP, entrant comme
sortant, dont le champs d’adresse de destination contient une adresse de broadcast
(c’est à dire un identifiant de host ne contenant que des 1 ou 255 – par exemple
208.162.187.255).
La RFC 1918 de l’IETF (http://www.ietf.org/rfc/rfc1918.txt) définit les adresses
IP suivantes comme pouvant être utilisées sur un réseau privé mais ne peuvent
pas être routées sur Internet : 10.0.0.0, 172.16.0.0 à 172.31.0.0 et 192.168.0.0
à 192.168.255.0. Bloquez tous les paquets IP dont les champs d’adresse source
ou de destination sont dans ces plages de valeurs.
Ne permettez aux paquets entrants dirigés vers un service de réseau tel que
HTTP, FTP, SMTP, POP ou NNTP que de se connecter à un serveur public qui supporte
ce service. Par exemple, n’autorisez un segment TCP entrant avec un port de
destination 80 (http) qu’à communiquer avec votre serveur Web. Cette pratique
permet d’éviter que des utilisateurs externes ne puissent se connecter à un
serveur bidon qu’un utilisateur interne pourrait avoir installé sur votre réseau.
DNS demande une attentions particulière. Les requêtes DNS tournent généralement
sur UDP ; les transferts de zones DNS (le transfert de la totalité d’un fichier
de données DNS entier) exploite TCP. Paramétrez votre firewall pour qu’il permette
les transferts de zones DNS entre vos serveurs DNS primaires et secondaires.
Cette procédure est une précaution classique contre les attaques qui commencent
par envoyer des informations DNS erronées au serveur DNS secondaire, puis attaquent
le réseau avec une stratégie » denial of service » qui fait tomber le serveur
DNS principal.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
