Sécurité des réseaux Flashcards
Whitelist
la politique de filtrage est une whitelist, signifiant que tout ce qui n’est pas explicitement autorisé est interdit.
Le choix de whitelist et non de blacklist repose notamment dans la conséquence d’une erreur ainsi que dans la complexité d’administration : il est complexe de connaître tout ce qui doit être interdit, et un oubli d’interdiction entraîne une vulnérabilité.
Stateful et stateless firewall
Le mode stateless est le mode historique de fonctionnement de nos Firewall. Chaque paquet est indépendant et chaque règle autorise un paquet spécifiquement.
Le mode Stateful, lui, ne fonctionne plus par paquets, mais par connexions. Ainsi, pour fonctionner de manière stateful, votre Firewall utilise une table d’état de connexion, lui permettant de maintenir un suivi, même pour les protocoles stateless tels qu’UDP.
Lorsqu’un paquet arrive vers un Firewall stateful, au lieu de directement consulter la table de routage, le Firewall stateful commencera par consulter sa table d’état afin de vérifier l’appartenance de ce paquet à une connexion déjà établie.
les actions dun firewall
Il existe ensuite 3 actions : Autoriser, Bloquer et Refuser.
Autoriser est l’action principalement utilisée dans les Firewall aujourd’hui. La différence entre Rejeter et Bloquer réside dans le fait que Rejeter implique l’envoie d’un message de refus à l’émetteur. Ainsi, l’action Bloquer est à privilégier si vous souhaitez interdire une connexion explicitement.
C’est quoi une sonde réseau
Une sonde réseau est un équipement capable d’analyser les flux circulant dans votre LAN afin de détecter des comportements problématiques. Ces équipements sont très puissants, mais ils sont aussi une grande source de faux positifs - supervision?
