2 réponses
Pour se protéger on installe un firewall.
Avant (stateless),
tu devais définir une règle pour chaque trafic initié sur un couple IP/port.
Dans certain cas (FTP en autre), le client initialise une connection de control sur un serveur IP/port21 mais c'est le serveur qui initialise la connection de transfert (IP/20). D'ou la nécessité d'ouvrir le firewall sur le port20.
=> - de sécurité.
Maintenant (stateful), le firewall tient une comptabilisation des connections initialisées en interne (trusted lan) et au cas-par-cas (dynamiquement), autorise les connections initialisées de l'extérieur (internet) en fonction des connections en cours.
=> + de sécurité.
Le firewall 'stateful' analyse non seulement les couches réseaux (3/4) mais analyse les datas afin de conserver les infos nécessaire à la gestion des connections.
bàt,
Avant (stateless),
tu devais définir une règle pour chaque trafic initié sur un couple IP/port.
Dans certain cas (FTP en autre), le client initialise une connection de control sur un serveur IP/port21 mais c'est le serveur qui initialise la connection de transfert (IP/20). D'ou la nécessité d'ouvrir le firewall sur le port20.
=> - de sécurité.
Maintenant (stateful), le firewall tient une comptabilisation des connections initialisées en interne (trusted lan) et au cas-par-cas (dynamiquement), autorise les connections initialisées de l'extérieur (internet) en fonction des connections en cours.
=> + de sécurité.
Le firewall 'stateful' analyse non seulement les couches réseaux (3/4) mais analyse les datas afin de conserver les infos nécessaire à la gestion des connections.
bàt,
Petit rappel :
Le filtrage de flux IP est soit statefull soit stateless.
Le STATELESS (ou filtrage de paquet) :
Consiste a filtrer les paquets IP sans tenir compte du contexte de connexion en TCP par exemple.
Les filtres STATELESS sont typiquement les ACLs de routeurs, les firewalls LINUX 2.0.x ou 2.2.x (ipchains ou ipfwadm)
Conséquence sur la mise en oeuvre : il faut autoriser les paquets dans les 2 sens mais le problème c'est que des paquets non liés à des sessions peuvent traverser le filtre...
Le stateless a besoin de peu de ressources
Le STATEFULL :
Consiste à filtrer les flux en tenant compte des contextes.
Ainsi si le firewall est codé pour autoriser un flux, il autorisera tous les paquets liés à se flux, dans les deux sens, à condition qu'ils soient "rattachés" à une session...
Si un paquet correspondant à un flux autorisé arrive sans qu'une session ait été ouverte, le paquet sera automatiquement rejeté.
Ex de produits de filtrage statefull : Firewall ipfilter (FreeBSD), netfilter (commande ipchains sous Linux), CheckPoint Firewall-1 (commercial) ...
Le statefull est plus gourmand en traitements et en memoire.
En espérant avoir été clair...
Le filtrage de flux IP est soit statefull soit stateless.
Le STATELESS (ou filtrage de paquet) :
Consiste a filtrer les paquets IP sans tenir compte du contexte de connexion en TCP par exemple.
Les filtres STATELESS sont typiquement les ACLs de routeurs, les firewalls LINUX 2.0.x ou 2.2.x (ipchains ou ipfwadm)
Conséquence sur la mise en oeuvre : il faut autoriser les paquets dans les 2 sens mais le problème c'est que des paquets non liés à des sessions peuvent traverser le filtre...
Le stateless a besoin de peu de ressources
Le STATEFULL :
Consiste à filtrer les flux en tenant compte des contextes.
Ainsi si le firewall est codé pour autoriser un flux, il autorisera tous les paquets liés à se flux, dans les deux sens, à condition qu'ils soient "rattachés" à une session...
Si un paquet correspondant à un flux autorisé arrive sans qu'une session ait été ouverte, le paquet sera automatiquement rejeté.
Ex de produits de filtrage statefull : Firewall ipfilter (FreeBSD), netfilter (commande ipchains sous Linux), CheckPoint Firewall-1 (commercial) ...
Le statefull est plus gourmand en traitements et en memoire.
En espérant avoir été clair...
hi
i need help
i want to understand how to establish a stateless firewall so i started with this script to block all except google
#iptables -P INPUT
#iptables -P OUTPUT DROP
#iptables -P FORWARD ACCEPT
#iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp --sport 80 -j ACCEPT
#for i in $(seq 1024 1 1500)
#do
#iptables -A INPUT -p tcp --dport $i -j ACCEPT
#done
but it did not work
is it important to accept the traffic through "127.0.0.1" why
thank you
i need help
i want to understand how to establish a stateless firewall so i started with this script to block all except google
#iptables -P INPUT
#iptables -P OUTPUT DROP
#iptables -P FORWARD ACCEPT
#iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp --sport 80 -j ACCEPT
#for i in $(seq 1024 1 1500)
#do
#iptables -A INPUT -p tcp --dport $i -j ACCEPT
#done
but it did not work
is it important to accept the traffic through "127.0.0.1" why
thank you
merci