Durcissement de la pile IP Windows 2000 - Infrastructures serveurs - Systèmes & Réseaux Pro
MarshPosté le 19-06-2007 à 09:27:06
Bonjour
Je ne suis pas sûr de poster au bon endroit, c'est un problème système et réseau qui m'ammène ici.
Je travaille actuellement sur le durcissement de la pile IP d'un système Windows 2000 Server. J'ai lu quelques documentations Microsoft sur les valeurs du registre à ajouter pour y parvenir mais j'ai un doute.
Microsoft propose une clé SynAttackProtect qui n'est active que si la valeur TcpMaxConnectResponseRetransmissions est au moins égale a 2. La protection activée par SynAttackProtect=1 ET TcpMaxConnectResponseRetransmissions<=2 s'active dès q'un des 3 seuil suivants est franchi:
- TcpMaxPortsExhausted nombre de refus de connection maximum
- TCPMaxHalfOpen valeur minimum 100 nombre de connections demi-ouvertes maximum doit être supérieur à TCPMaxHalfOpenRetried
- TCPMaxHalfOpenRetried valeur minimum 50 nombre de connections demi-ouvertes relancées maximum doit être inférieur à TCPMaxHalfOpen
1) Vaut-il mieux activer la protection de SynFLood via SynAttackProtect, ce qui demande d'autoriser les retransmissions de SYN-ACKS TCP 2) Tout simplement désactiver les retransmissions de SYN-ACKS sur les connections demi-ouvertes ?
Solution 1: Avantage: Permet de mettre fin aux connection demi-ouvertes plus rapidement en cas de détection d'attaque Inconvénient: Doit attendre le dépassement d'un seuil parmis trois et retransmet des SYN-ACKS sur toutes les connections demi-ouvertes
Solution 2: Avantage: Plus de retransmissions de SYN-ACKS, une connection qui ne s'établit pas à la première tentative devient inactive et se ferme Inconvénient: Quelque soit la situation les connections demi-ouvertes auront le même délai d'expiration, en cas de SynFlood le système mettra les connections à l'état inactif sans attendre de retransmission
Marsh Posté le 19-06-2007 à 09:27:06
Bonjour
[/EDIT]
Je ne suis pas sûr de poster au bon endroit, c'est un problème système et réseau qui m'ammène ici.
Je travaille actuellement sur le durcissement de la pile IP d'un système Windows 2000 Server.
J'ai lu quelques documentations Microsoft sur les valeurs du registre à ajouter pour y parvenir mais j'ai un doute.
Microsoft propose une clé SynAttackProtect qui n'est active que si la valeur TcpMaxConnectResponseRetransmissions est au moins égale a 2.
La protection activée par SynAttackProtect=1 ET TcpMaxConnectResponseRetransmissions<=2 s'active dès q'un des 3 seuil suivants est franchi:
- TcpMaxPortsExhausted
nombre de refus de connection maximum
- TCPMaxHalfOpen
valeur minimum 100
nombre de connections demi-ouvertes maximum
doit être supérieur à TCPMaxHalfOpenRetried
- TCPMaxHalfOpenRetried
valeur minimum 50
nombre de connections demi-ouvertes relancées maximum
doit être inférieur à TCPMaxHalfOpen
Les valeurs possibles de SynAttackProtect sont différentes sur deux pages du site de Microsoft, l'une sur la KB, l'autre sur le TechNet.
http://support.microsoft.com/kb/315669/fr
http://www.microsoft.com/technet/p [...] x?mfr=true
1) Vaut-il mieux activer la protection de SynFLood via SynAttackProtect, ce qui demande d'autoriser les retransmissions de SYN-ACKS TCP
2) Tout simplement désactiver les retransmissions de SYN-ACKS sur les connections demi-ouvertes ?
Solution 1:
Avantage: Permet de mettre fin aux connection demi-ouvertes plus rapidement en cas de détection d'attaque
Inconvénient: Doit attendre le dépassement d'un seuil parmis trois et retransmet des SYN-ACKS sur toutes les connections demi-ouvertes
Solution 2:
Avantage: Plus de retransmissions de SYN-ACKS, une connection qui ne s'établit pas à la première tentative devient inactive et se ferme
Inconvénient: Quelque soit la situation les connections demi-ouvertes auront le même délai d'expiration, en cas de SynFlood le système mettra les connections à l'état inactif sans attendre de retransmission
[EDIT] Merci pour vos réponses
Message édité par Kurrt le 19-06-2007 à 09:28:03