Partager via

Application Layer Enforcement (ALE)

  • Article

ALE est un ensemble de couches en mode noyau de la plateforme de filtrage Windows (PAM) utilisées pour le filtrage avec état.

Le filtrage avec état effectue le suivi de l’état des connexions réseau et autorise uniquement les paquets qui correspondent à un état de connexion connu. Par exemple, le filtrage avec état d’une connexion TCP lancée à partir d’un pare-feu peut autoriser uniquement les paquets entrants qui correspondent aux paquets sortants précédents envoyés par la partie protégée.

Les filtres dans les couches ALE autorisent la création de connexions entrantes et sortantes, les affectations de ports, les opérations de socket telles que , la création de socket brut et la réception en mode promiscue.

Le trafic sur les couches ALE est classé par connexion ou par opération par socket. Dans les couches non ALE, les filtres ne peuvent classifier le trafic que par paquet.

Les couches ALE sont les seules couches PAM où le trafic réseau peut être filtré en fonction de l’identité de l’application, à l’aide d’un nom de fichier normalisé et basé sur l’identité de l’utilisateur, à l’aide d’un descripteur de sécurité. (Consultez FLT_FILE_NAME_INFORMATION dans la documentation du Kit de pilotes Windows (WDK), pour plus d’informations sur les noms de fichiers normalisés.)

En outre, lorsque IPsec est utilisé pour sécuriser la connexion, le filtrage sur les couches ALE peut également être effectué sur l’identité de l’ordinateur distant et sur l’identité de l’utilisateur distant. L’ordinateur distant et les identités utilisateur sont obtenus à partir des informations d’identification utilisées dans la création d’une session IPsec.

Pour cette raison, les stratégies qui appliquent qui (par exemple, « administrateur ») et/ou quelle application (par exemple, « Internet Explorer ») sont autorisées à effectuer les opérations réseau mentionnées ci-dessus sont créées aux couches ALE.

ALE assure l’application des stratégies telles que « autoriser Windows Messenger à accéder au réseau tout en bloquant toutes les autres applications ». Dans un tel exemple, lorsque l’application « Messenger » se connecte sur le réseau, ALE intercepte l’événement, détermine qu’elle a été lancée par Messenger et interroge le moteur de filtre PAM pour déterminer si le socket doit être autorisé à continuer.

Note

En raison de la nature de vrais sockets double IP, les classifications au niveau de la couche ALE IPv4 peuvent ne pas se produire. Cela est par conception, car pour toutes les intentions et tous les objectifs, le socket est un socket IPv6. Pour afficher le trafic V4 pour un tel socket, créez des filtres au niveau de la couche V6 à l’aide de l’adresse Mappée IPv6.

 

couches ALE

de filtrage avec état ALE

multidiffusion ALE/ de trafic de diffusion

de réauthorisation ALE

Personnalisation de flux ALE