Partager via

Réauthorisation ALE

  • Article

Le trafic réseau sur les couches ALE (Application Layer Enforcement) de la plateforme de filtrage Windows (PAM) est filtré par flux ALE. Une fois qu’un flux ALE a été autorisé, tout le trafic qui fait partie du flux ALE est autorisé. La réauthorisation est une demande de validation des autorisations du flux ALE, généralement en raison d’un changement de stratégie réseau.

Les flux ALE reçoivent une direction, entrante ou sortante, en fonction de la direction du premier paquet qui a déclenché la création et l’autorisation du flux. Les flux ALE entrants sont créés et autorisés au niveau de la coucheFWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}. Les flux ALE sortants sont créés et autorisés au niveau de la couche FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}. La direction du flux ALE ne limite pas la direction des paquets qui appartiennent au flux. Les flux ALE contiennent à la fois des paquets entrants et sortants, quelle que soit la direction du flux ALE lui-même.

La réauthorisation d’un flux ALE est déclenchée par :

  • Modification de stratégie au niveau de la couche où le flux ALE a été initialement autorisé ou créé.
  • Interface d’arrivée différente de l’interface où le flux ALE a été initialement autorisé ou créé.
  • Connexion en attente.

La réauthorisation se distingue de l’autorisation initiale par la présence de l’indicateur de FWP_CONDITION_FLAG_IS_REAUTHORIZE.

La réauthentification ne peut avoir lieu qu’à l'FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} et FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} couches.

Réauthorisation des modifications de stratégie

Une modification de stratégie est implémentée en tant qu’ajout ou suppression de filtre à une couche ALE. Une fois qu’une modification de stratégie est détectée, le premier paquet qui traverse un flux ALE créé au niveau de la couche affectée est spécifié pour la réauthorisation vers la couche. Par conséquent, pour la réauthorisation, il est entièrement possible qu’un paquet sortant soit classé au niveau de la couche FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} et qu’un paquet entrant est classé au niveau de la couche FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}.

Une des raisons de cette classification de direction mixte est qu’il se peut qu’il n’y ait pas de trafic réseau supplémentaire à partir de la direction d’origine (par exemple, paquet entrant pour le flux ALE entrant). L’un de ces exemples est le streaming UDP unidirectionnel après une négociation bidirectionnel initiale. Dans ce cas, il est plus souhaitable de détruire le streaming dès que possible.

Réauthorisation de l’interface d’arrivée

La réauthorisation de l’interface d’arrivée est disponible à partir de Windows Server 2008 et Windows Vista avec Service Pack 1 (SP1).

Les paquets appartenant au même flux ALE peuvent arriver à partir de plusieurs interfaces. Le premier paquet à entrer sur une interface différente de l’interface d’origine du flux ALE est réautorisé.

Dans un modèle hôte fort, qui est le modèle de sécurité par défaut pour la pile TCP/IP, une connexion sur une interface réseau accepte uniquement les paquets qui viennent sur la même interface. Par conséquent, la réauthorisation de l’interface d’arrivée n’est pas utilisée sur un ordinateur hôte fort.

Dans un modèle hôte faible, une connexion sur une interface réseau autorise les paquets entrants sur n’importe quelle autre interface réseau. La réauthorisation de l’interface d’arrivée est utilisée sur un ordinateur hôte faible pour implémenter des stratégies spécifiques à l’interface. Pour plus d’informations, consultez « The Cable Guy : Strong and Weak Host Models ».

Certains champs classifiables peuvent être inconnus lors de la réauthorisation. Par exemple, si un paquet sortant est réautorisé sur la couche FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}, tous les champs relatifs à l’interface d’arrivée sont inconnus. Dans ce cas, les valeurs des champs inconnus sont indiquées comme FWP_EMPTY.

Les champs de type FWP_EMPTY peuvent être mis en correspondance avec FWP_MATCH_EQUAL. Par conséquent, une stratégie peut être définie pour bloquer les réauthorisations et supprimer un flux ALE lorsque les demandes de réauthorisation du flux ALE arrivent.

Réauthorisation de la connexion en attente

Un pilote de légende peut reporter une opération de classification aux couches ALE et l’effectuer ultérieurement, lorsque la décision de filtrage peut être prise en toute sécurité. La fonctionnalité ale report/complete est prise en charge via les fonctions en mode noyau FwpsPendOperation0 et FwpsCompleteOperation0.

La réauthorisation est déclenchée immédiatement après l’appel FwpsCompleteOperation0 et permet au pilote de légende d’autoriser ou de bloquer le flux.

Seule une autorisation initiale peut être reportée. Un appel à FwpsPendOperation0 échoue si FWP_CONDITION_FLAG_IS_REAUTHORIZE indicateur est défini.

Pour plus d’informations, consultez la documentation du Kit de pilotes Windows.

Application Layer Enforcement (ALE)

couches ALE

de filtrage avec état ALE

multidiffusion ALE/ de trafic de diffusion

Personnalisation de flux ALE