TCP-UDP
Le protocole TCP assure le contrôle des données lors de leur transfert. Il a pour rôle de vérifier que les paquets IP envoyés sont bien reçus en l'état, sans aucune perte ou changement sur le plan de leur intégrité.
Le protocole UDP peut remplacer le TCP en cas de problème mineur, il assure un transfert plus fluide car il ne contrôle pas chacune des étapes de la transmission. Il convient par exemple à des applications de streaming (diffusion audio/vidéo) pour lesquelles la perte de paquets n'est pas vitale. En effet, lors de ces transmissions, les paquets perdus seront ignorés.
L’écran des profils
Onglet IPS-Connexion
Inspection
| Imposer une limite MSS | Cette case permet d’imposer une limite MSS (Maximum Segment Size) pour l’inspection du profil. NOTE En cochant cette option, vous dégriserez le champ suivant qui vous permettra d’établir votre limite. |
| Limite MSS (en octets) | Définissez votre limite MSS, comprise entre 100 et 65535 octets. |
| Réécrire les séquences TCP avec un aléa fort (arc4) | En cochant cette case, les numéros de séquence TCP générées par le client et le serveur seront écrasés et remplacés par le moteur de prévention d’intrusion Stormshield Network, qui produira des numéros de séquence aléatoires. |
| Protéger contre l’envoi répété de paquets ACK | En cochant cette option, vous vous protégez contre le vol de session, ou attaque de type « ACK ». |
| Activer l'ajustement automatique de la mémoire dédiée au suivi de données | En cochant cette option, vous autorisez le firewall à ajuster dynamiquement la mémoire allouée au suivi de données (data tracking). La valeur maximale de la mémoire allouée dynamiquement est égale à la taille de la fenêtre TCP divisée par la limite MSS. Lorsque la case est décochée, cette valeur maximale est de 256. |
| Activer le suivi d'applications | Cette option permet de consigner les identifiants d'applications dans les logs d'alarmes et de connexions afin de générer un rapport basé sur ces identifiants d'applications. |
Protection contre le déni de service
Limites de connexions
| Nombre maximal de connexions TCP par adresse IP source (0 désactive cette protection) | Cette option permet de limiter le nombre de connexions TCP pour une même adresse IP source. Lorsque la valeur choisie vaut 0, aucune restriction n’est appliquée. IMPORTANT |
| Nombre maximal de sessions UDP par adresse IP source (0 désactive cette protection) | Cette option permet de limiter le nombre de sessions UDP pour une même adresse IP source. Lorsque la valeur choisie vaut 0, aucune restriction n’est appliquée. IMPORTANT |
Limites de fréquences
| Intervalle de temps minimal (s) entre deux nouvelles connexions TCP pour une adresse IP source (0 désactive cette protection) | Cette option permet de fixer l'intervalle de temps (en secondes) devant être respecté entre l'établissement deux nouvelles connexions TCP par une même adresse IP source. Si l'intervalle de temps relevé entre deux nouvelles connexions issues d'une même adresse IP source est inférieur à cette valeur, la protection est déclenchée. IMPORTANT |
| Intervalle de temps minimal (s) entre deux sessions UDP pour une adresse IP source (0 désactive cette protection) |
Cette option permet de fixer l'intervalle de temps (en secondes) devant être respecté entre l'établissement deux nouvelles sessions UDP par une même adresse IP source. Si l'intervalle de temps relevé entre deux nouvelles sessions issues d'une même adresse IP source est inférieur à cette valeur, la protection est déclenchée. IMPORTANT
|
Limites de premiers paquets TCP / UDP reçus
| Nombre maximal de SYN reçus par seconde pour une adresse IP source | Cette option permet de fixer le nombre maximal de connexions initiales TCP (paquets SYN) reçus depuis une même adresse IP source en une seconde. Cette option permet de protéger le firewall contre des attaques de type SYN flood (DDoS). |
| Nombre maximal de premiers paquets UDP reçus par seconde pour une adresse IP source |
Cette option permet de fixer le nombre maximal de premiers paquets UDP reçus depuis une même adresse IP source en une seconde. Cette option permet de protéger le firewall contre des attaques de type UDP flood (DoS). |
NOTE
Pour suivre les valeurs des compteurs de connexions simultanées, vous devez utiliser la commande : sfctl -s host -v.
Expiration (en secondes)
| Délai d’ouverture d’une connexion (SYN) | Temps maximum, exprimé en secondes, autorisé pour l’établissement complet de la connexion TCP (SYN / SYN+ACK / ACK). Ce temps est compris entre 10 et 60 secondes (valeur par défaut : 20 secondes). |
| Connexion TCP | Temps maximum en secondes, de conservation de l’état d’une connexion TCP sans activité. Ce temps est compris entre 30 et 604800 secondes (valeur par défaut : 3600 secondes). |
| Session UDP | Temps maximum, exprimé en secondes, de conservation de l’état d’une pseudo-connexion UDP sans activité. Ce temps est compris entre 30 et 604800 secondes (valeur par défaut : 120 secondes). |
| Fermeture d’une connexion (FIN) | Temps maximum, exprimé en secondes, admis pour la phase de fermeture d’une connexion TCP (FIN+ACK / ACK / FIN+ACK / ACK). Cette valeur doit être comprise entre 10 et 3600 secondes (valeur par défaut : 480 secondes). |
| Connexions closes | Délai, en secondes, de conservation d’une connexion clôturée (état closed). Ce délai est compris entre 2 et 60 secondes (valeur par défaut : 2 secondes). |
| Petite fenêtre TCP | Pour éviter les attaques par déni de service, ce compteur détermine la durée de vie maximum d’une connexion avec une petite fenêtre TCP (inférieure à 100 octet). Ce compteur est initialisé lors de la réception de la première annonce de petite fenêtre. Si aucun message d’augmentation de fenêtre n'est reçu avant l'expiration de ce compteur, la connexion TCP est coupée. |
Support
| Désactiver le proxy SYN | En cochant cette case, vous ne serez plus protégé contre les attaques de type « SYN », car le proxy ne filtrera plus les paquets. Il est recommandé de ne désactiver cette option qu’à des fins de diagnostic. |