TCP-UDP

Le protocole TCP assure le contrôle des données lors de leur transfert. Il a pour rôle de vérifier que les paquets IP envoyés sont bien reçus en l'état, sans aucune perte ou changement sur le plan de leur intégrité.

Le protocole UDP peut remplacer le TCP en cas de problème mineur, il assure un transfert plus fluide car il ne contrôle pas chacune des étapes de la transmission. Il convient par exemple à des applications de streaming (diffusion audio/vidéo) pour lesquelles la perte de paquets n'est pas vitale. En effet, lors de ces transmissions, les paquets perdus seront ignorés.

L’écran des profils

Onglet IPS-Connexion

Inspection

Imposer une limite MSS Cette case permet d’imposer une limite MSS (Maximum Segment Size) pour l’inspection du profil.

NOTE
Le MSS désigne la quantité de données en octets qu'un ordinateur ou tout équipement de communication peut contenir dans un paquet seul et non fragmenté.


En cochant cette option, vous dégriserez le champ suivant qui vous permettra d’établir votre limite.
Limite MSS (en octets) Définissez votre limite MSS, comprise entre 100 et 65535 octets.
Réécrire les séquences TCP avec un aléa fort (arc4) En cochant cette case, les numéros de séquence TCP générées par le client et le serveur seront écrasés et remplacés par le moteur de prévention d’intrusion Stormshield Network, qui produira des numéros de séquence aléatoires.
Protéger contre l’envoi répété de paquets ACK En cochant cette option, vous vous protégez contre le vol de session, ou attaque de type « ACK ».
Activer l'ajustement automatique de la mémoire dédiée au suivi de données En cochant cette option, vous autorisez le firewall à ajuster dynamiquement la mémoire allouée au suivi de données (data tracking). La valeur maximale de la mémoire allouée dynamiquement est égale à la taille de la fenêtre TCP divisée par la limite MSS. Lorsque la case est décochée, cette valeur maximale est de 256.
Activer le suivi d'applications Cette option permet de consigner les identifiants d'applications dans les logs d'alarmes et de connexions afin de générer un rapport basé sur ces identifiants d'applications.

Protection contre le déni de service

Limites de connexions

Nombre maximal de connexions TCP par adresse IP source (0 désactive cette protection) Cette option permet de limiter le nombre de connexions TCP pour une même adresse IP source. Lorsque la valeur choisie vaut 0, aucune restriction n’est appliquée.

IMPORTANT
Le choix d’un nombre trop faible peut empêcher le fonctionnement de certaines applications ou l’affichage de pages Web.

Nombre maximal de sessions UDP par adresse IP source (0 désactive cette protection) Cette option permet de limiter le nombre de sessions UDP pour une même adresse IP source. Lorsque la valeur choisie vaut 0, aucune restriction n’est appliquée.

IMPORTANT
Le choix d’un nombre trop faible peut empêcher le fonctionnement de certaines applications ou l’affichage de pages Web.

Fréquences limites de réception de premiers paquets TCP / UDP

Nombre max. de SYN reçus dans l’intervalle de temps de référence pour une adresse source (0 désactive cette protection)

Cette option permet de fixer le nombre maximal de demandes d'établissement de connexions TCP (paquets SYN) reçues depuis une même adresse IP source pendant la période de référence définie dans le cadre Intervalles de temps de référence pour les fréquences limites de réception de premiers paquets TCP / UDP. Elle permet de protéger le firewall contre des attaques de type SYN flood (DDoS).

Nombre max. de nouvelles sessions UDP dans l’intervalle de temps de référence pour une adresse source (0 désactive cette protection)

Cette option permet de fixer le nombre maximal de demandes d'établissement de sessions UDP reçues depuis une même adresse IP source pendant la période de référence définie dans le cadre Intervalles de temps de référence pour les fréquences limites de réception de premiers paquets TCP / UDP. Elle permet de protéger le firewall contre des attaques de type UDP flood (DoS).

Intervalles de temps de référence pour les fréquences limites de réception de premiers paquets TCP / UDP

Intervalle de temps pendant lequel les nouvelles connexions TCP venant d'une même adresse source sont comptées jusqu’à atteindre le seuil défini dans le calcul de fréquence limite de réception de premiers paquets TCP

Cette option permet de fixer le temps de référence pour le calcul des fréquences limites de nouvelles connexions TCP (paquets SYN) pour une même adresse IP source.

IMPORTANT
Le choix d’un nombre trop faible peut empêcher le fonctionnement de certaines applications ou l’affichage de pages Web.

Intervalle de temps pendant lequel les nouvelles sessions UDP venant d'une même adresse source sont comptées jusqu’à atteindre le seuil défini dans le calcul de fréquence limite de réception de premiers paquets UDP

Cette option permet de fixer le temps de référence pour le calcul des fréquences limites de nouvelles sessions UDP pour une même adresse IP source.

IMPORTANT
Le choix d’un nombre trop faible peut empêcher le fonctionnement de certaines applications ou l’affichage de pages Web.

NOTE
Pour suivre les valeurs des compteurs de connexions simultanées, vous devez utiliser la commande : sfctl -s host -v.

Expiration (en secondes)

Délai d’ouverture d’une connexion (SYN) Temps maximum, exprimé en secondes, autorisé pour l’établissement complet de la connexion TCP (SYN / SYN+ACK / ACK). Ce temps est compris entre 10 et 60 secondes (valeur par défaut : 20 secondes).
Connexion TCP Temps maximum en secondes, de conservation de l’état d’une connexion TCP sans activité. Ce temps est compris entre 30 et 604800 secondes (valeur par défaut : 3600 secondes).
Session UDP Temps maximum, exprimé en secondes, de conservation de l’état d’une pseudo-connexion UDP sans activité. Ce temps est compris entre 30 et 604800 secondes (valeur par défaut : 120 secondes).
Fermeture d’une connexion (FIN) Temps maximum, exprimé en secondes, admis pour la phase de fermeture d’une connexion TCP (FIN+ACK / ACK / FIN+ACK / ACK). Cette valeur doit être comprise entre 10 et 3600 secondes (valeur par défaut : 480 secondes).
Connexions closes Délai, en secondes, de conservation d’une connexion clôturée (état closed). Ce délai est compris entre 2 et 60 secondes (valeur par défaut : 2 secondes).
Petite fenêtre TCP Pour éviter les attaques par déni de service, ce compteur détermine la durée de vie maximum d’une connexion avec une petite fenêtre TCP (inférieure à 100 octet). Ce compteur est initialisé lors de la réception de la première annonce de petite fenêtre.
Si aucun message d’augmentation de fenêtre n'est reçu avant l'expiration de ce compteur, la connexion TCP est coupée.

Support

Désactiver le proxy SYN En cochant cette case, vous ne serez plus protégé contre les attaques de type « SYN », car le proxy ne filtrera plus les paquets.
Il est recommandé de ne désactiver cette option qu’à des fins de diagnostic.