TCP-UDP
Le protocole TCP assure le contrôle des données lors de leur transfert. Il a pour rôle de vérifier que les paquets IP envoyés sont bien reçus en l'état, sans aucune perte ou changement sur le plan de leur intégrité.
Le protocole UDP peut remplacer le TCP en cas de problème mineur, il assure un transfert plus fluide car il ne contrôle pas chacune des étapes de la transmission. Il convient par exemple à des applications de streaming (diffusion audio/vidéo) pour lesquelles la perte de paquets n'est pas vitale. En effet, lors de ces transmissions, les paquets perdus seront ignorés.
L’écran des profils
Onglet IPS-Connexion
Inspection
Imposer une limite MSS | Cette case permet d’imposer une limite MSS (Maximum Segment Size) pour l’inspection du profil. NOTE En cochant cette option, vous dégriserez le champ suivant qui vous permettra d’établir votre limite. |
Limite MSS (en octets) | Définissez votre limite MSS, comprise entre 100 et 65535 octets. |
Réécrire les séquences TCP avec un aléa fort (arc4) | En cochant cette case, les numéros de séquence TCP générées par le client et le serveur seront écrasés et remplacés par le moteur de prévention d’intrusion Stormshield Network, qui produira des numéros de séquence aléatoires. |
Protéger contre l’envoi répété de paquets ACK | En cochant cette option, vous vous protégez contre le vol de session, ou attaque de type « ACK ». |
Activer l'ajustement automatique de la mémoire dédiée au suivi de données | En cochant cette option, vous autorisez le firewall à ajuster dynamiquement la mémoire allouée au suivi de données (data tracking). La valeur maximale de la mémoire allouée dynamiquement est égale à la taille de la fenêtre TCP divisée par la limite MSS. Lorsque la case est décochée, cette valeur maximale est de 256. |
Activer le suivi d'applications | Cette option permet de consigner les identifiants d'applications dans les logs d'alarmes et de connexions afin de générer un rapport basé sur ces identifiants d'applications. |
Protection contre le déni de service
Limites de connexions
Nombre maximal de connexions TCP par adresse IP source (0 désactive cette protection) | Cette option permet de limiter le nombre de connexions TCP pour une même adresse IP source. Lorsque la valeur choisie vaut 0, aucune restriction n’est appliquée. IMPORTANT |
Nombre maximal de sessions UDP par adresse IP source (0 désactive cette protection) | Cette option permet de limiter le nombre de sessions UDP pour une même adresse IP source. Lorsque la valeur choisie vaut 0, aucune restriction n’est appliquée. IMPORTANT |
Fréquences limites de réception de premiers paquets TCP / UDP
Nombre max. de SYN reçus dans l’intervalle de temps de référence pour une adresse source (0 désactive cette protection) |
Cette option permet de fixer le nombre maximal de demandes d'établissement de connexions TCP (paquets SYN) reçues depuis une même adresse IP source pendant la période de référence définie dans le cadre Intervalles de temps de référence pour les fréquences limites de réception de premiers paquets TCP / UDP. Elle permet de protéger le firewall contre des attaques de type SYN flood (DDoS). |
Nombre max. de nouvelles sessions UDP dans l’intervalle de temps de référence pour une adresse source (0 désactive cette protection) |
Cette option permet de fixer le nombre maximal de demandes d'établissement de sessions UDP reçues depuis une même adresse IP source pendant la période de référence définie dans le cadre Intervalles de temps de référence pour les fréquences limites de réception de premiers paquets TCP / UDP. Elle permet de protéger le firewall contre des attaques de type UDP flood (DoS). |
Intervalles de temps de référence pour les fréquences limites de réception de premiers paquets TCP / UDP
Intervalle de temps pendant lequel les nouvelles connexions TCP venant d'une même adresse source sont comptées jusqu’à atteindre le seuil défini dans le calcul de fréquence limite de réception de premiers paquets TCP |
Cette option permet de fixer le temps de référence pour le calcul des fréquences limites de nouvelles connexions TCP (paquets SYN) pour une même adresse IP source. IMPORTANT
|
Intervalle de temps pendant lequel les nouvelles sessions UDP venant d'une même adresse source sont comptées jusqu’à atteindre le seuil défini dans le calcul de fréquence limite de réception de premiers paquets UDP |
Cette option permet de fixer le temps de référence pour le calcul des fréquences limites de nouvelles sessions UDP pour une même adresse IP source. IMPORTANT
|
NOTE
Pour suivre les valeurs des compteurs de connexions simultanées, vous devez utiliser la commande : sfctl -s host -v
.
Expiration (en secondes)
Délai d’ouverture d’une connexion (SYN) | Temps maximum, exprimé en secondes, autorisé pour l’établissement complet de la connexion TCP (SYN / SYN+ACK / ACK). Ce temps est compris entre 10 et 60 secondes (valeur par défaut : 20 secondes). |
Connexion TCP | Temps maximum en secondes, de conservation de l’état d’une connexion TCP sans activité. Ce temps est compris entre 30 et 604800 secondes (valeur par défaut : 3600 secondes). |
Session UDP | Temps maximum, exprimé en secondes, de conservation de l’état d’une pseudo-connexion UDP sans activité. Ce temps est compris entre 30 et 604800 secondes (valeur par défaut : 120 secondes). |
Fermeture d’une connexion (FIN) | Temps maximum, exprimé en secondes, admis pour la phase de fermeture d’une connexion TCP (FIN+ACK / ACK / FIN+ACK / ACK). Cette valeur doit être comprise entre 10 et 3600 secondes (valeur par défaut : 480 secondes). |
Connexions closes | Délai, en secondes, de conservation d’une connexion clôturée (état closed). Ce délai est compris entre 2 et 60 secondes (valeur par défaut : 2 secondes). |
Petite fenêtre TCP | Pour éviter les attaques par déni de service, ce compteur détermine la durée de vie maximum d’une connexion avec une petite fenêtre TCP (inférieure à 100 octet). Ce compteur est initialisé lors de la réception de la première annonce de petite fenêtre. Si aucun message d’augmentation de fenêtre n'est reçu avant l'expiration de ce compteur, la connexion TCP est coupée. |
Support
Désactiver le proxy SYN | En cochant cette case, vous ne serez plus protégé contre les attaques de type « SYN », car le proxy ne filtrera plus les paquets. Il est recommandé de ne désactiver cette option qu’à des fins de diagnostic. |