Service réseau avancé (ENS) - Création de filtres de sécurité
Il n'est pas nécessaire de configurer des filtres de sécurité pour que WinGate gère toutes les requêtes Internet des clients. Il ouvre les ports nécessaires et les referme une fois la connexion terminée.
Cependant, lorsque qu'un utilisateur distant envoie une requête sur votre réseau (par exemple sur serveur web installé derrière WinGate), vous devez créer des filtres afin qu'elles soient acceptées par le pare-feu de WinGate. En effet, toutes les connexions entrantes sont bloquées par défaut.
Pour créer des filtres, cliquez sur Sécurité des ports (Port Security), puis sur Ajouter (Add)
Intervalle de ports (Port range specification)
Connexions Internet au poste WinGate (Internet connections to the WinGate PC)
S'applique si un paquet provenant d'une connexion inconnue est reçu sur une interface externe. Cette option s'utilise pour les connexions entrantes (provenant d'Internet).
Connexions Internet sur une DMZ (Internet computers to DMZ)
S'applique aux paquets reçus sur une interface externe du serveur WinGate et destinés à un adaptateur en DMZ (Demilitarized Zone).
Connexions locales au poste WinGate (Local computers to WinGate PC)
S'applique aux paquets reçus sur une interface interne du serveur et destinés à l'adresse IP interne du poste WinGate.
Connexions locales vers Internet (Local Computers to the Internet)
S'applique aux paquets reçus sur une interface interne ou DMZ du serveur mais destinés à une interface externe ou DMZ.
Connexions DMZ au poste WinGate (DMZ Computers to the WinGate PC)
S'applique aux paquets envoyés par des postes connectés à un adaptateur en DMZ et destinés à l'adresse IP interne du poste WinGate..
Critère |
Description |
Protocole |
TCP ou UDP |
|---|---|
Port |
Port sur lequel le paquet est reçu (indiquez un numéro de port ou un intervalle) |
Actions
Action |
Description |
|---|---|
Autoriser (Allow) | Le paquet est "autorisé" à passer la pile TCP/IP. |
Refuser (Deny) | Le paquet est refusé à l'entrée du réseau. Cette action équivaut à fermer/désactiver le port |
Rediriger (Redirect) | Le paquet est redirigé vers un autre ordinateur ou port. (Fonctionne de la même façon que les liens mappés de WinGate mais à un niveau inférieur) |
Options
Utiliser des cookies Syn (Use Syn cookies)
Ils permettent à WinGate de contrôler une session de paquets avant même qu'ils ne soient autorisés à entrer sur le port, en conservant une trace des requêtes ACK valides provenant d'un hôte sur Internet. Cela évite que des faux paquets (utilisés pour des attaques appelées SynFlood) ne pénètrent dans WinGate.
Par défaut, cette option n'est pas cochée afin d'optimiser la compatibilité entre les sessions. Ne l'utilisez que si vous possédez suffisamment de connaissances sur les mécanismes des sessions TCP.
Afficher les tentatives de connexion (Notify when this range is accessed)
Affiche dans l'onglet Pare-feu (Firewall) les tentatives de connexion sur l'interface indiquée.
Masquer les connexions échouées (Cloak connection failures)
Cette option est cochée par défaut. Ainsi, lorsqu'un pirate recherche des ports vulnérables sur le serveur WinGate, le statut des ports est masqué. Par conséquent, ils ne sont pas détectés par l'analyseur.
Remarque :
Lorsqu'un port (ou un intervalle) est ouvert, WinGate dirige les paquets acceptés sur le port correspondant pour qu'il soient traités par la pile TCP/IP puis transmis au système d'exploitation ou à l'application concernée. Or, le système d'exploitation répond systématiquement aux requêtes de connexion, même si aucune application n'écoute le port. Dans ce cas, il renvoie un paquet TCP RST (connexion refusée).
Si le système d'exploitation envoie un paquet TCP RST et que l'option ci-dessus est activée, WinGate intercepte le paquet et l'abandonne.
Ainsi, si vous ouvrez un intervalle de ports qui n'est écouté par aucune application les tentatives d'analyse ne recevront aucune réponse.
Cependant, si une application écoute les ports ouverts, les utilisateurs pourront s'y connecter normalement.
Utiliser les délais d'expiration par défaut (Use default timeouts)
Cette option est cochée par défaut et en règle générale, il n'est pas nécessaire de la modifier. Dans tous les cas, il est recommandé de ne pas activer l'option La session n'expire jamais (Never timeout) car cela peut s'avérer dangereux.
Remarque :
Lorsqu'un service de WinGate est lié à une combinaison interface/port bloquée par le pare-feu, WinGate vous propose de créer un "trou" (il est recommandé d'accepter). Dès la suppression du service ou de la liaison, ce "trou" sera évidemment à nouveau bloqué automatiquement.
Création d'un filtre de sécurité :
- Ouvrez GateKeeper.
- Cliquez sur Securité des ports (Port security) dans les propriétés du service ENS.
Cliquez sur Ajouter (Add)
- Dans la fenêtre qui s'ouvre ensuite, indiquez la description du filtre afin de pouvoir l'identifier plus facilement.
- Indiquez à quel(s) type(s) de connexion s'applique le filtre, ainsi que le protocole (TCP ou UDP).
- Indiquez le port (ou l'intervalle).
- Sélectionnez l'action à effectuer lorsqu'un paquet utilise le port spécifié : autoriser, abandonner, ou rediriger vers une autre adresse IP (par exemple si vous possédez un serveur web derrière WinGate).
- Cliquez sur OK.
©2005 Qbik New Zealand Limited