Réautorisation ALE
Le trafic réseau au niveau des couches Application Layer Enforcement (ALE) de la plateforme de filtrage Windows (PAM) est filtré par les flux ALE. Une fois qu’un flux ALE a été autorisé, tout le trafic faisant partie du flux ALE est autorisé. La réautorisation est une demande de validation des autorisations du flux ALE, généralement en raison d’une modification de la stratégie réseau.
Les flux ALE se voient attribuer une direction, entrante ou sortante, en fonction de la direction du premier paquet qui a déclenché la création et l’autorisation du flux. Les flux ALE entrants sont créés et autorisés au niveau de la couche FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} . Les flux ALE sortants sont créés et autorisés au niveau de la couche FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} . La direction du flux ALE ne limite pas la direction des paquets qui appartiennent au flux. Les flux ALE contiennent des paquets entrants et sortants, quelle que soit la direction du flux ALE lui-même.
La réautorisation d’un flux ALE est déclenchée par :
- Changement de stratégie au niveau de la couche où le flux ALE a été initialement autorisé ou créé.
- Interface d’arrivée différente de l’interface où le flux ALE a été initialement autorisé ou créé.
- Connexion en attente.
La réautorisation se distingue de l’autorisation initiale par la présence de l’indicateur FWP_CONDITION_FLAG_IS_REAUTHORIZE .
La réautorisation ne peut avoir lieu qu’aux couches FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} et FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} .
Réautorisation des modifications de stratégie
Une modification de stratégie est implémentée en tant qu’ajout ou suppression de filtre au niveau d’une couche ALE. Une fois qu’une modification de stratégie est détectée, le premier paquet qui traverse un flux ALE créé au niveau de la couche affectée est spécifié pour la réautorisation de la couche. Par conséquent, pour la réautorisation, il est tout à fait possible qu’un paquet sortant soit classé au niveau de la couche FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} et qu’un paquet entrant soit classé au niveau de la couche FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} .
L’une des raisons de cette classification à direction mixte est qu’il peut ne pas y avoir de trafic réseau supplémentaire à partir de la direction d’origine (par exemple, paquet entrant pour le flux ALE entrant). L’un de ces exemples est le streaming UDP unidirectionnel après une première négociation bidirectionnel. Dans ce cas, il est plus souhaitable de supprimer le streaming dès que possible.
Réautorisation de l’interface d’arrivée
La réautorisation de l’interface d’arrivée est disponible à partir de Windows Server 2008 et Windows Vista avec Service Pack 1 (SP1).
Les paquets appartenant au même flux ALE peuvent arriver à partir de plusieurs interfaces. Le premier paquet à venir via une interface différente de l’interface d’origine du flux ALE est réautorisé.
Dans un modèle d’hôte fort, qui est le modèle de sécurité par défaut pour la pile TCP/IP, une connexion sur une interface réseau accepte uniquement les paquets qui arrivent sur la même interface. Par conséquent, la réautorisation de l’interface d’arrivée n’est pas utilisée sur un ordinateur hôte fort.
Dans un modèle d’hôte faible, une connexion sur une interface réseau permet d’arriver des paquets sur n’importe quelle autre interface réseau. La réautorisation de l’interface d’arrivée est utilisée sur un ordinateur hôte faible pour implémenter des stratégies spécifiques à l’interface. Pour plus d’informations, consultez « The Cable Guy: Strong and Weak Host Models ».
Certains champs classifiables peuvent être inconnus lors de la réautorisation. Par exemple, si un paquet sortant est réautorisé au niveau de la couche FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} , tous les champs relatifs à l’interface d’arrivée sont inconnus. Dans ce cas, les valeurs des champs inconnus sont indiquées comme FWP_EMPTY.
Les champs de type FWP_EMPTY peuvent être mis en correspondance avec FWP_MATCH_EQUAL. Par conséquent, une stratégie peut être définie pour bloquer les réautorisations et supprimer un flux ALE lorsque les demandes de réautorisation du flux ALE arrivent.
Réautorisation de la connexion en attente
Un pilote de légende peut reporter une opération de classification au niveau des couches ALE et la terminer ultérieurement, lorsque la décision de filtrage peut être prise en toute sécurité. La fonctionnalité ale report/complete est prise en charge via les fonctions en mode noyau FwpsPendOperation0 et FwpsCompleteOperation0.
La réautorisation est déclenchée immédiatement après l’appel de FwpsCompleteOperation0 et permet au pilote de légende d’autoriser ou de bloquer le flux.
Seule une autorisation initiale peut être reportée. Un appel à FwpsPendOperation0 échoue si FWP_CONDITION_FLAG_IS_REAUTHORIZE indicateur est défini.
Pour plus d’informations, consultez la documentation du Kit de pilotes Windows .
Rubriques connexes