ALG

October 26, 2022
Application Level Gateway (ALG) — passerelle de couche d'application, composant du routeur NAT.

Comment fonctionne ALG

L’ALG gère les politiques de pare-feu dynamiques requises par certains protocoles tels que FTP. De nombreux protocoles similaires ont été développés sans tenir compte de la sécurité ou d’autres contrôles d’accès, ce qui peut causer des problèmes lors de la mise en œuvre de pare-feu.

Par exemple, FTP utilise plusieurs sessions pour faciliter le transfert de fichiers : un canal de commande principal et des canaux de données secondaires pour les listes de dossiers et les transferts de fichiers. Ces canaux de données fonctionnent souvent dans la direction opposée au canal de commande d’origine.

Étant donné que ces canaux de données peuvent se connecter à n’importe quel port, il est pratiquement impossible de créer une stratégie de pare-feu statique qui autorise ces canaux de données tout en assurant une protection adéquate.

FTP ALG résout automatiquement ce problème en surveillant le canal de commande FTP, en recherchant les commandes de port FTP qui indiquent quels ports source et destination sont demandés. ALG ouvre dynamiquement une combinaison spécifique de ports IP source et de destination dans une politique de pare-feu qui permet d’établir une session. Dès que la session se termine, la passerelle se ferme immédiatement.

FTP ALG gère également le cas particulier où une session FTP passe par l’interface NAT. Dans ce cas, les points de terminaison ne se rendent pas toujours compte que leurs adresses sont traduites au milieu du flux. Les commandes de port FTP utilisent des adresses IP configurées sur les interfaces des hôtes finaux, ce qui, dans le cas d’un hôte situé derrière un pare-feu NAT, est généralement inaccessible depuis Internet. ALG résout ce problème au niveau de l’application en remplaçant l’adresse IP interne par l’adresse de l’interface NAT.

Le principe de fonctionnement d’ALG est similaire à un serveur proxy, la passerelle offre la possibilité aux clients d’utiliser le protocole.

Exemples de protocoles nécessitant ALG

  • PASV transmet l’adresse IP et le numéro de port du client sur commande PORT en utilisant ALG.
  • Le protocole PPTP n’a pas de terme « numéro de port », ce qui crée des problèmes de traduction d’adresse vers le monde extérieur. ALG permet de créer plus d’une connexion PPTP.
  • Protocole H. 323. La passerelle de niveau d’application se compose d’un ensemble de protocoles H.225.0 et H.245 pour fournir une session de communication audiovisuelle sur n’importe quel réseau.
  • ALG travaille également sur les protocoles de transfert de fichiers dans certains messagers, participe à la création de serveurs de jeux et aide à organiser les réseaux de partage de fichiers.
Nous utilisons des cookies pour optimiser les fonctionnalités du site et vous offrir la meilleure expérience possible. Pour en savoir plus sur les cookies que nous utilisons, veuillez consulter notre Politique de cookies. En cliquant sur « Okay », vous acceptez notre utilisation des cookies. Learn more.