Synchroniser la configuration du filtrage (SYN) sur les commutateurs gérés de la gamme 300

Objectif

TCP est un protocole de couche transport qui fournit une livraison fiable et ordonnée des paquets et permet également de détecter les erreurs et de déclencher la retransmission des données perdues jusqu’à ce que les données soient correctement et complètement reçues. Avant d'envoyer des données, le client demande une connexion avec un paquet SYN (Synchronize) au serveur pour démarrer la connexion. Le serveur envoie ensuite un paquet SYN et ACK au client et le client envoie un paquet ACK pour accuser réception de la réponse du serveur. Après cette connexion en trois étapes entre le client et le serveur, les données peuvent être envoyées.

Une attaque par inondation SYN se produit lorsque cette connexion TCP en trois étapes est interrompue. Un client malveillant inonde le serveur avec des paquets SYN, le serveur répond avec des paquets SYN et ACK pour toutes les requêtes de client malveillant, mais le client malveillant ne renvoie pas de paquets ACK. Le serveur attend un paquet ACK qui n'arrivera tout simplement pas, ce qui consomme les ressources du serveur pour les utilisateurs légitimes et finit par mettre le réseau hors service. Le filtrage SYN empêche ces attaques. Cet article explique comment configurer le filtrage SYN sur les commutateurs gérés de la gamme 300.

Périphériques pertinents

Commutateurs gérés · série SF/SG 300

Version du logiciel

•v 1.2.7.76

Activer la prévention des niveaux de refus de service

Pour appliquer le filtrage SYN, vous devez d'abord vous assurer que le commutateur est dans la bonne prévention de niveau de refus de service. Cette section explique comment activer le niveau de prévention correct sur les commutateurs gérés de la gamme 300.

Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > Denial of Service Prevention > Security Suite Settings. La page Security Suite Settings s'ouvre :

Étape 2. Dans le champ Prévention des attaques par déni de service, il existe trois niveaux de prévention. Cliquez sur System-Level and Interface-Level Prevention. Ce niveau vous permet de configurer le filtrage SYN.

Étape 3. Cliquez sur Apply pour enregistrer votre configuration. 

Filtrer les paquets SYN TCP

Cette section explique comment configurer le filtrage SYN sur les commutateurs gérés de la gamme 300.

Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > Denial of Service Prevention > SYN Filtering. La page SYN Filtering s'ouvre :

Étape 2. Cliquez sur Add. La fenêtre Ajouter un filtrage SYN apparaît :

Étape 3. Dans le champ Interface, cliquez sur la case d'option de l'une des options d'interface disponibles :

· Port : permet de choisir le port à partir duquel vous souhaitez filtrer les paquets SYN dans la liste déroulante Port.

· LAG : vous permet de choisir le LAG à partir duquel vous souhaitez filtrer les paquets SYN dans la liste déroulante Link Aggregation Group (LAG). Un LAG regroupe plusieurs ports en un seul port logique.

Étape 4. Dans le champ IPv4 Address (Adresse IPv4), cliquez sur la case d'option de l'une des options disponibles pour définir l'adresse/les adresses IPv4 à partir de laquelle filtrer les paquets SYN :

· User Defined : permet d'entrer l'adresse IPv4 pour laquelle le filtre de paquets SYN est défini.

· Toutes les adresses : cette option filtre toutes les adresses IPv4 pour les paquets SYN.

Étape 5 Dans le champ Network Mask (Masque réseau), cliquez sur la case d'option de l'une des options disponibles pour entrer le masque réseau de l'adresse IP configurée à l'étape 4 :

· Mask : cette option vous permet d'entrer le masque de sous-réseau de l'adresse IP.

· Prefix Length : cette option vous permet d'entrer l'adresse IP du masque de sous-réseau au format préfixe.

Étape 5. Dans le champ TCP Port, cliquez sur l'une des options disponibles pour déterminer les ports TCP à filtrer :

· Ports connus : cette option vous permet de sélectionner des ports dans la liste déroulante Ports connus. Par exemple, HTTP est 80 et TELNET est 23.

· défini par l'utilisateur : cette option vous permet d'entrer les numéros de port TCP à filtrer.

· Tous les ports : cette option filtre tous les ports TCP.

Étape 6. Cliquez sur Apply pour enregistrer votre configuration. Les modifications sont apportées à la table de filtrage SYN :

Étape 7. (Facultatif) pour supprimer un filtre SYN, dans la table de filtrage SYN, cochez la case du filtre SYN que vous souhaitez supprimer. Cliquez ensuite sur Supprimer.