TCP-UDP
Le protocole TCP assure le contrôle des données lors de leur transfert. Il a pour rôle de vérifier que les paquets IP envoyés sont bien reçus en l'état, sans aucune perte ou changement sur le plan de leur intégrité.
Le protocole UDP peut remplacer le TCP en cas de problème mineur, il assure un transfert plus fluide car il ne contrôle pas chacune des étapes de la transmission. Il convient par exemple à des applications de streaming (diffusion audio/vidéo) pour lesquelles la perte de paquets n'est pas vitale. En effet, lors de ces transmissions, les paquets perdus seront ignorés.
L’écran des profils
Onglet IPS-Connexion
Inspection
Imposer une limite MSS | Cette case permet d’imposer une limite MSS (Maximum Segment Size) pour l’inspection du profil. NOTE En cochant cette option, vous dégriserez le champ suivant qui vous permettra d’établir votre limite. |
Limite MSS (en octets) | Définissez votre limite MSS, comprise entre 100 et 65535 octets. |
Réécrire les séquences TCP avec un aléa fort (arc4) | En cochant cette case, les numéros de séquence TCP générées par le client et le serveur seront écrasés et remplacés par le moteur de prévention d’intrusion Stormshield Network, qui produira des numéros de séquence aléatoires. |
Protéger contre l’envoi répété de paquets ACK | En cochant cette option, vous vous protégez contre le vol de session, ou attaque de type « ACK ». |
Activer l'ajustement automatique de la mémoire dédiée au suivi de données | En cochant cette option, vous autorisez le firewall à ajuster dynamiquement la mémoire allouée au suivi de données (data tracking). La valeur maximale de la mémoire allouée dynamiquement est égale à la taille de la fenêtre TCP divisée par la limite MSS. Lorsque la case est décochée, cette valeur maximale est de 256. |
Protection contre le déni de service
Nombre maximal de connections simultanées par machine source (0 désactive cette protection) | Cette option permet de limiter le nombre de connexions simultanées pour une même machine source. Lorsque la valeur choisie vaut 0, aucune restriction n’est appliquée. IMPORTANT |
Nombre maximal de nouvelles connections par machine source dans l'intervalle de temps paramétré (0 désactive cette protection) | Cette option permet de limiter le nombre de nouvelles connexions initiées par une machine source dans un intervalle de temps déterminé. Lorsque la valeur choisie vaut 0, aucune restriction n’est appliquée. IMPORTANT |
Intervalle de temps pour la limitation des nouvelles connexions | Définissez l’intervalle de temps de référence pour le calcul du nombre de nouvelles connexions autorisées par machine source. Cette valeur doit être comprise entre 1 et 3600 secondes. |
Expiration (en secondes)
Délai d’ouverture d’une connexion (SYN) | Temps maximum, exprimé en secondes, autorisé pour l’établissement complet de la connexion TCP (SYN / SYN+ACK / ACK). Ce temps est compris entre 10 et 60 secondes (valeur par défaut : 20 secondes). |
Connexion TCP | Temps maximum en secondes, de conservation de l’état d’une connexion TCP sans activité. Ce temps est compris entre 30 et 604800 secondes (valeur par défaut : 3600 secondes). |
Connexion UDP | Temps maximum, exprimé en secondes, de conservation de l’état d’une pseudo-connexion UDP sans activité. Ce temps est compris entre 30 et 604800 secondes (valeur par défaut : 120 secondes). |
Fermeture d’une connexion (FIN) | Temps maximum, exprimé en secondes, admis pour la phase de fermeture d’une connexion TCP (FIN+ACK / ACK / FIN+ACK / ACK). Cette valeur doit être comprise entre 10 et 3600 secondes (valeur par défaut : 480 secondes). |
Connexions closes | Délai, en secondes, de conservation d’une connexion clôturée (état closed). Ce délai est compris entre 2 et 60 secondes (valeur par défaut : 2 secondes). |
Petite fenêtre TCP | Pour éviter les attaques par déni de service, ce compteur détermine la durée de vie maximum d’une connexion avec une petite fenêtre TCP (inférieure à 100 octet). Ce compteur est initialisé lors de la réception de la première annonce de petite fenêtre. Si aucun message d’augmentation de fenêtre n'est reçu avant l'expiration de ce compteur, la connexion TCP est coupée. |
Support
Désactiver le proxy SYN | En cochant cette case, vous ne serez plus protégé contre les attaques de type « SYN », car le proxy ne filtrera plus les paquets. Il est recommandé de ne désactiver cette option qu’à des fins de diagnostic. |