Configuration du filtrage SYN par déni de service (DoS) sur les commutateurs gérés de la gamme 300

Objectif

Une attaque par déni de service (DoS) inonde un réseau de trafic erroné. Les ressources du serveur réseau sont ainsi éloignées des utilisateurs légitimes. Une inondation SYN cible le protocole TCP en particulier. Le protocole TCP nécessite trois étapes pour fonctionner. Tout d'abord, un utilisateur envoie son adresse IP au serveur et demande une connexion. Ensuite, le serveur répond à la demande et attend une confirmation. Enfin, l'utilisateur reconnaît que le serveur a ouvert une connexion. Une attaque SYN TCP utilise plusieurs adresses IP pour demander une connexion, mais n'envoie jamais d'accusé de réception au serveur une fois qu'une connexion est ouverte. Un serveur ne peut ouvrir qu'un nombre limité de connexions avant de commencer à supprimer des requêtes TCP, même d'utilisateurs légitimes.

Le trafic TCP est envoyé sur plusieurs ports virtuels. Ces ports permettent de diviser le trafic réseau en groupes communs. Le filtre SYN peut être configuré pour bloquer le trafic à partir d'un port virtuel spécifique. En outre, le filtrage SYN est configuré sur un port physique réel ou un LAG sur le commutateur. Cet article explique comment configurer le filtrage SYN sur les commutateurs gérés de la gamme 300.

Note: Les filtres Syn ne peuvent être utilisés que si la prévention DoS est activée. Reportez-vous à l'article Security Suite Settings on 300 Series Managed Switches pour obtenir de l'aide.

Périphériques pertinents

Commutateurs gérés · série SF/SG 300

Version du logiciel

•v 1.2.7.76

Configuration du filtrage SYN

Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > Denial of Service Prevention > SYN Filtering. La page SYN Filtering s'ouvre :

Étape 2. Cliquez sur Ajouter pour ajouter un nouveau filtre SYN. La fenêtre Add Syn Filtering apparaît.

Étape 3. Sélectionnez la case d'option correspondant à l'interface souhaitée dans le champ Interface. Il s'agit de l'emplacement physique auquel le filtre sera affecté.

· Port : port physique du commutateur. Sélectionnez un port spécifique dans la liste déroulante Port.

· LAG : groupe de ports qui agissent en tant que port unique. Sélectionnez un LAG spécifique dans la liste déroulante LAG.

Étape 4. Sélectionnez la case d'option correspondant à l'adresse IPv4 souhaitée dans le champ IPv4 Address.

· User Defined : saisissez une adresse IP à filtrer pour le trafic TCP.

· Toutes les adresses : toutes les adresses IPv4 sont filtrées pour le trafic TCP. Passez à l'étape 6 si Toutes les adresses sont sélectionnées.

Étape 5. Sélectionnez la case d'option correspondant à la méthode utilisée pour définir le masque de sous-réseau de l'adresse IP dans le champ Network Mask.

· Mask : saisissez le masque de réseau dans le champ Network mask.

· Prefix Length : saisissez la longueur du préfixe (entier compris entre 0 et 32) dans le champ Prefix length.

Étape 6. Cliquez sur la case d'option correspondant au port TCP souhaité à filtrer dans le champ Port TCP. Il s'agit des ports virtuels dans lesquels le trafic réseau est divisé. 

· Ports connus : sélectionnez un port TCP à filtrer dans la liste déroulante Ports connus.

· User Defined : saisissez un port TCP à filtrer.

· Tous les ports : tous les ports TCP sont filtrés.

Étape 7. Cliquez sur Apply pour enregistrer vos modifications, puis cliquez sur Close pour quitter la fenêtre Add Syn Filtering.