Durcissement de la pile IP Windows 2000

Durcissement de la pile IP Windows 2000 - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 19-06-2007 à 09:27:06    

Bonjour :)
 
Je ne suis pas sûr de poster au bon endroit, c'est un problème système et réseau qui m'ammène ici.
 
Je travaille actuellement sur le durcissement de la pile IP d'un système Windows 2000 Server.
J'ai lu quelques documentations Microsoft sur les valeurs du registre à ajouter pour y parvenir mais j'ai un doute.
 
Microsoft propose une clé SynAttackProtect qui n'est active que si la valeur TcpMaxConnectResponseRetransmissions est au moins égale a 2.
La protection activée par SynAttackProtect=1 ET TcpMaxConnectResponseRetransmissions<=2 s'active dès q'un des 3 seuil suivants est franchi:
 
- TcpMaxPortsExhausted  
 nombre de refus de connection maximum
 
- TCPMaxHalfOpen
 valeur minimum 100
 nombre de connections demi-ouvertes maximum
 doit être supérieur à TCPMaxHalfOpenRetried
 
- TCPMaxHalfOpenRetried
 valeur minimum 50
 nombre de connections demi-ouvertes relancées maximum
 doit être inférieur à TCPMaxHalfOpen
 
Les valeurs possibles de SynAttackProtect sont différentes sur deux pages du site de Microsoft, l'une sur la KB, l'autre sur le TechNet.
 http://support.microsoft.com/kb/315669/fr
 http://www.microsoft.com/technet/p [...] x?mfr=true
 
1) Vaut-il mieux activer la protection de SynFLood via SynAttackProtect, ce qui demande d'autoriser les retransmissions de SYN-ACKS TCP
2) Tout simplement désactiver les retransmissions de SYN-ACKS sur les connections demi-ouvertes ?
 
Solution 1:
  Avantage: Permet de mettre fin aux connection demi-ouvertes plus rapidement en cas de détection d'attaque
  Inconvénient: Doit attendre le dépassement d'un seuil parmis trois et retransmet des SYN-ACKS sur toutes les connections demi-ouvertes
 
Solution 2:
  Avantage: Plus de retransmissions de SYN-ACKS, une connection qui ne s'établit pas à la première tentative devient inactive et se ferme
  Inconvénient: Quelque soit la situation les connections demi-ouvertes auront le même délai d'expiration, en cas de SynFlood le système mettra les connections à l'état inactif sans attendre de retransmission
 
[EDIT] Merci pour vos réponses :) [/EDIT]


Message édité par Kurrt le 19-06-2007 à 09:28:03
Reply

Marsh Posté le 19-06-2007 à 09:27:06   

Reply

Marsh Posté le 19-06-2007 à 14:07:33    

Personne n'a d'avis à ce sujet ?  :sweat:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed