Le filtrage de paquet avec état (Stateful)
Fonctionnement
Les applications utilisent des ports sources dont on ne peut connaître à l'avance la valeur (le port source est choisi aléatoirement entre 1024 et 65535 dans le cas d'un flux TCP, par exemple). Le filtrage dynamique de paquets , ou stateful, permet de suivre l'état des sessions et d'adapter de manière dynamique les règles du pare-feu.
L'amélioration par rapport au filtrage simple réside dans la conservation de la trace des sessions et des connexions dans des tables d'états internes au firewall. Le firewall prend alors ses décisions en fonction des états de connexions.
Ce filtrage permet aussi de se protéger face à certains types d'attaques DoS.
Particularités :
Pour les protocoles UDP et ICMP, il n'y a pas de mode connecté. La solution consiste à autoriser pendant un certain délai les réponses légitimes aux paquets envoyés.
Pour le protocole FTP (et les protocoles fonctionnant de la même façon), c'est plus délicat puisqu'il va falloir gérer l'état de deux connexions. En effet, le protocole FTP, gère un canal de contrôle établi par le client, et un canal de données établi par le serveur.
Le firewall devra donc laisser passer le flux de données établi par le serveur. Ce qui implique que le firewall connaisse le protocole FTP, et tous les protocoles fonctionnant sur le même principe.
