Filtrage avec état ALE

Les filtres installés au niveau des couches d’application de la couche application (ALE) de la plateforme de filtrage Windows (WFP) effectuent un filtrage réseau avec état. Un fluide ALE est utilisé comme base pour le filtrage avec état ALE.

Un flux ALE est un moyen de classer le trafic réseau en le regroupant en fonction d’une adresse IP source, d’une adresse IP de destination, d’un port source, d’un port de destination et d’un protocole. Un fluide ALE peut être générique, autrement dit un ou plusieurs des descripteurs peuvent correspondre à tout (ou caractère générique * ). Par exemple, un workflow générique UDP ALE est décrit en tant qu’adresse IP source = * , adresse IP de destination = * , port source = * , port de destination = * et protocole = UDP.

Une fois qu’une connexion est autorisée (les connexions entrantes sont autorisées au niveau de la couche FWPM d’authentification ALE de la couche et des connexions sortantes au niveau de la couche FWPM d’authentification ALE de la couche _ _ ALE _ _ _ v {4 | 6} ), un fluide ALE est créé de telle sorte que, en excluant une modification de stratégie, tous les paquets, entrants et sortants, qui appartiennent au même fluide ALE sont autorisés automatiquement. _ _ _ _ _ _ | Étant donné qu’une modification de stratégie peut nécessiter le blocage des connexions précédemment autorisées, les flux ALE doivent être réautorisés lorsqu’une modification de stratégie se produit.

Le filtrage avec état ALE réduit considérablement le nombre de classifications requises en classant uniquement le premier paquet qui appartient à un fluide ALE. Par comparaison, le filtrage sans état requiert la classification de chaque paquet qui traverse le réseau.

Un fluide ALE est associé à une direction, qui est la direction du premier paquet du fluide. Cela permet d’obtenir des stratégies plus flexibles, en autorisant les connexions initiées entrantes à avoir des stratégies différentes des connexions sortantes initiées.

Flow TCP ALE

Un flux ALE pour le trafic TCP est identifié par cinq tuples de TCP/IP (adresse IP source, adresse IP de destination, port source, port de destination et protocole).

Un flot TCP ALE a la même durée de vie qu’un socket TCP connecté. Un socket TCP connecté peut être un socket créé à l’aide de Connect () ou un socket créé à la suite d’un appel Accept () .

ALE gère une relation un-à-un entre un fluide TCP ALE et un bloc de contrôle TCP (TCB).

Flow PEA UDP

Notes

Les protocoles qui ne sont pas TCP ou ICMP sont traités comme UDP.

 

Un flux ALE pour le trafic UDP est identifié par cinq tuples de TCP/IP (adresse IP source, adresse IP de destination, port source, port de destination et protocole).

Un workflow UDP ALE est créé sur la base d’un socket UDP et représente l’homologue distant avec lequel l’application communique. Un homologue distant est identifié par un tuple (adresse IP de destination et port de destination).

Il existe une relation un-à-plusieurs entre un socket UDP et les homologues distants avec lesquels il communique.

Lorsque le socket UDP local est fermé, tous les flux ALE qui lui sont associés sont supprimés.

En l’absence de fermetures de sockets, les flux ALE de monodiffusion UDP ont un délai d’inactivité configurable qui a pour valeur par défaut 60 secondes. Si aucun paquet n’est envoyé ou reçu dans cette fenêtre, le Flow ALE sera supprimé. Ce délai d’attente par défaut est progressivement réduit lorsque le nombre de flux ALE atteint un certain seuil.

Trafic de la ALE ALE

Un flux ALE pour le trafic ICMP est identifié par le code à six tuples (adresse IP source, adresse IP de destination, type ICMP, code ICMP, protocole et ID ICMP). L’ID ICMP fait partie du flux ALE uniquement pour le trafic ICMP d’écho/réponse.

En l’absence de fermetures de sockets, les flux ALE de monodiffusion ICMP ont un délai d’inactivité configurable qui a pour valeur par défaut 60 secondes. Si aucun paquet n’est envoyé ou reçu dans cette fenêtre, le Flow ALE sera supprimé. Ce délai d’attente par défaut est progressivement réduit lorsque le nombre de flux ALE atteint un certain seuil.

Seuls les messages ICMP sans erreur sont indiqués aux couches ALE. Les messages d’erreur ICMP peuvent être inspectés au niveau des _ couches d’erreurs ICMP.

Application de la couche application (ALE)

Couches ALE

Trafic de diffusion/multidiffusion ALE

Réautorisation ALE

Personnalisation du fluide ALE

Flux de paquets TCP

Flux de paquets UDP

Fonctions Winsock