Application Layer Enforcement (ALE)
ALE est un ensemble de couches en mode noyau de la plateforme de filtrage Windows (PAM) utilisées pour le filtrage avec état.
Le filtrage avec état conserve le suivi de l’état des connexions réseau et autorise uniquement les paquets qui correspondent à un état de connexion connu. Par exemple, le filtrage avec état pour une connexion TCP lancée derrière un pare-feu peut autoriser uniquement les paquets entrants qui correspondent aux paquets sortants précédents envoyés par la partie protégée.
Les filtres dans les couches ALE autorisent la création de connexions entrantes et sortantes, les affectations de ports, les opérations de socket telles que listen(), la création de socket brut et la réception en mode promiscuous.
Le trafic au niveau des couches ALE est classé par connexion ou par socket. Au niveau des couches non ALE, les filtres peuvent uniquement classifier le trafic par paquet.
Les couches ALE sont les seules couches PAM où le trafic réseau peut être filtré en fonction de l’identité de l’application (à l’aide d’un nom de fichier normalisé) et en fonction de l’identité de l’utilisateur à l’aide d’un descripteur de sécurité. (Pour plus d’informations sur les noms de fichiers normalisés, consultez FLT_FILE_NAME_INFORMATION dans la documentation du Kit de pilotes Windows (WDK).
En outre, quand IPsec est utilisé pour sécuriser la connexion, le filtrage au niveau des couches ALE peut également être effectué sur l’identité de l’ordinateur distant et sur l’identité de l’utilisateur distant. Les identités d’utilisateur et d’ordinateur distant sont obtenues à partir des informations d’identification utilisées dans la création d’une session IPsec.
Pour cette raison, les stratégies qui appliquent qui (par exemple, « administrateur ») et/ou quelle application (par exemple, « Internet Explorer ») sont autorisées à effectuer les opérations réseau mentionnées ci-dessus sont créées dans les couches ALE.
ALE assure l’application de stratégies telles que « autoriser Windows Messenger à accéder au réseau tout en bloquant toutes les autres applications ». Dans un tel exemple, lorsque l’application « Messenger » se connecte sur le réseau, ALE intercepte l’événement, détermine qu’il a été initié par Messenger et interroge le moteur de filtre PAM pour déterminer si le socket doit être autorisé à continuer.
Notes
En raison de la nature des vrais sockets double IP, les classifications au niveau de la couche ALE IPv4 peuvent ne pas se produire. C’est par conception, car à toutes fins intentionnelles, le socket est un socket IPv6. Pour afficher le trafic V4 d’un tel socket, créez des filtres au niveau de la couche V6 à l’aide de l’adresse IPv6 mappée.
Rubriques connexes