> Tech > Directives pour le filtrage de TCP, UDP et IP

Directives pour le filtrage de TCP, UDP et IP

Tech - Par iTPro - Publié le 24 juin 2010
email



Vos règles et politiques de filtrage doivent suivre deux principes. Premièrement, faites en sorte que vos filtres bloquent tout ce qu'ils n'autorisent pas explicitement. Deuxièmement, paramétrez vos filtres de façon qu'ils protègent non seulement votre réseau des attaques d'agents extérieurs, mais également contre tous les paquets de l'extérieur

qu’un agent pourrait utiliser pour lancer une attaque
contre d’autres sites. Si tous les sites adoptaient cette approche, Internet
serait beaucoup plus sur. Voici quelques autres stratégies spécifiques pour
filtrer les paquets IP et les applications TCP/UDP.



Bloquez tous les paquets IP internes dont le champs d’adresse source contient
votre identifiant de réseau (NET_ID). Les paquets contenant votre NET_ID doivent
venir de votre réseau. Si de tels paquets proviennent d’un autre réseau, quelqu’un
tente une substitution d’adresse. De plus, vous devez bloquer tout les paquets
IP sortant dont l’adresse source ne contient pas votre NET_ID. Si le champs
d’adresse source n’est pas le votre, quelqu’un de votre réseau tente d’infiltrer
un autre réseau. Vous devez également bloquer tous les paquets IP, entrant comme
sortant, dont le champs d’adresse de destination contient une adresse de broadcast
(c’est à  dire un identifiant de host ne contenant que des 1 ou 255 – par exemple
208.162.187.255).



La RFC 1918 de l’IETF (http://www.ietf.org/rfc/rfc1918.txt) définit les adresses
IP suivantes comme pouvant être utilisées sur un réseau privé mais ne peuvent
pas être routées sur Internet : 10.0.0.0, 172.16.0.0 à  172.31.0.0 et 192.168.0.0
à  192.168.255.0. Bloquez tous les paquets IP dont les champs d’adresse source
ou de destination sont dans ces plages de valeurs.



Ne permettez aux paquets entrants dirigés vers un service de réseau tel que
HTTP, FTP, SMTP, POP ou NNTP que de se connecter à  un serveur public qui supporte
ce service. Par exemple, n’autorisez un segment TCP entrant avec un port de
destination 80 (http) qu’à  communiquer avec votre serveur Web. Cette pratique
permet d’éviter que des utilisateurs externes ne puissent se connecter à  un
serveur bidon qu’un utilisateur interne pourrait avoir installé sur votre réseau.



DNS demande une attentions particulière. Les requêtes DNS tournent généralement
sur UDP ; les transferts de zones DNS (le transfert de la totalité d’un fichier
de données DNS entier) exploite TCP. Paramétrez votre firewall pour qu’il permette
les transferts de zones DNS entre vos serveurs DNS primaires et secondaires.
Cette procédure est une précaution classique contre les attaques qui commencent
par envoyer des informations DNS erronées au serveur DNS secondaire, puis attaquent
le réseau avec une stratégie  » denial of service  » qui fait tomber le serveur
DNS principal.

Téléchargez gratuitement cette ressource

Sécurité Office 365 : 5 erreurs à ne pas commettre

Sécurité Office 365 : 5 erreurs à ne pas commettre

A l’heure où les données des solutions Microsoft de Digital Workplace sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités Microsoft 365, Exchange et Teams ? Découvrez les 5 erreurs à ne pas commettre et les bonnes pratiques recommandées par les Experts DIB France.

Tech - Par iTPro - Publié le 24 juin 2010