Gestion du champ DSCP
Le champ DSCP, présent dans l’entête IP, est utilisé pour la gestion de la congestion. Dans le cas d’une encapsulation IPsec, le comportement par défaut d’un pare-feu SNS est de répliquer la valeur de ce champ de l’en-tête originel dans l’en-tête du paquet chiffré correspondant. La modification de ce champ peut perturber le transit du flux sur un réseau d’opérateur.
R49 | SNS-SMC | Conserver le champ DSCP
En dehors d’un besoin de sécurité renforcée, il est recommandé de conserver le paramétrage par défaut du champ DSCP.
Cependant, en cas de besoin d’un niveau de sécurité élevé, la recopie du champ DSCP peut constituer un canal caché. Il est alors important de maîtriser la valeur de ce champ avant la sortie du pare-feu SNS. Une manière de le maîtriser consiste à utiliser le pare-feu SNS pour en modifier la valeur. Cela est réalisable dans l’onglet Qualité de service du menu Action d’une règle de filtrage passante. Lorsque l’option Forcer la valeur est activée, le menu Nouvelle valeur DSCP est disponible. La valeur sélectionnée est utilisée comme valeur du champ DSCP des paquets filtrés. Cette opération est à appliquer sur les règles de filtrage des flux chiffrés sortants.
R49+ | SNS-SMC | Maîtriser le champ DSCP
Dans un contexte nécessitant un niveau de sécurité accru, il est recommandé de modifier le champ DSCP des flux sortants à une valeur arbitraire.
ATTENTION
La modification du champ DSCP d’un paquet chiffré ne peut être effective que si les règles implicites de sortie des services hébergés sont désactivées, comme expliqué dans le chapitre Règles implicites, et qu’une règle de filtrage explicite avec l'option "suivi stateful" est créée.
L’opérateur de transit peut, dans son réseau, prioriser les paquets en fonction de la valeur du champ DSCP. L’utilisation de la valeur 0 permet de conserver un comportement nominal.
Dans le cas où :
Plusieurs connexions transitent au sein d’un tunnel,
L’extrémité distante du tunnel recopie la valeur du champ DSCP des paquets clairs sur les paquets chiffrés,
Le traitement de la QoS sur le réseau de transit produit un réordonnancement des paquets,
L’extrémité locale possède une fenêtre anti-rejeu trop faible,
Alors une perte de paquets légitimes peut apparaître.
Ces pertes peuvent être réduites par la modification du paramètre ReplayWSize. Cela peut être effectué grâce à la commande NSRPC config ipsec profile phase2 update replaywsize=XX name=NN où XX est une valeur comprise entre 0 et 33554400 par incrément de 8 et NN le nom du profil de chiffrement. Une analyse du réseau et des flux concernés est nécessaire pour définir le paramètre ReplayWSize adapté. Il est possible de se rapprocher du centre de support Stormshield pour cette analyse. Cette valeur peut être également ajoutée manuellement au fichier /Firewall/ConfigFiles/VPN/01 où la valeur 01 correspond au numéro de la politique IPsec utilisée.