Si aucune règle de préprocesseur n’est mentionnée dans les descriptions suivantes, l’option n’est associée à aucune règle
de préprocesseur.
Vous pouvez configurer l’option TCP globale suivante :
Amélioration de la performance de type de paquet
Permet d’ignorer le trafic TCP pour tous les ports et protocoles d’application qui ne sont pas spécifiés dans les règles de
prévention des intrusions activées, sauf lorsqu’une règle TCP avec les ports source et de destination définis sur any comporte une option flow ou flowbits. Cette amélioration des performances pourrait se traduire par des attaques manquées.
Vous pouvez configurer les options suivantes pour chaque politique TCP.
Réseau
Spécifie les adresses IP de l’hôte auxquelles vous souhaitez appliquer la politique de réassemblage de flux TCP.
Vous pouvez spécifier une adresse IP unique ou un bloc d’adresses. Vous pouvez spécifier jusqu’à 255 profils au total, y compris
la politique par défaut.
Remarque
|
Le système crée une carte réseau distincte pour chaque domaine enfant. Dans un déploiement multidomaine, l’utilisation d’adresses
IP littérales pour limiter cette configuration peut avoir des résultats inattendus.
L’utilisation d’objets de substitution permet aux administrateurs de domaines descendants d’adapter les configurations globales
à leurs environnements locaux.
|
Notez que le paramètre par défaut de la politique par défaut spécifie toutes les adresses IP de votre segment de réseau surveillé qui ne sont pas couvertes
par une autre politique basée sur la cible. Par conséquent, vous ne pouvez pas et n’avez pas besoin de spécifier une adresse
IP ou une longueur de bloc ou de préfixe CIDR pour la politique par défaut, et vous ne pouvez pas laisser ce paramètre vide
dans une autre politique ou utiliser la notation de l'adresse pour représenter toute (par exemple, 0.0.0.0/0 ou:/0).
Politique
Identifie le système d’exploitation de la politique TCP de l’hôte ou des hôtes cibles. Si vous sélectionnez une politique
autre que Mac OS, le système supprime les données des paquets de synchronisation (SYN) et désactive la génération d’événements pour la règle
129:2. Notez que l’activation de l’option Supprimer les données sur SYN du préprocesseur de normalisation en ligne désactive également la règle 129:2.
Le tableau suivant identifie les politiques de système d’exploitation et les systèmes d’exploitation hôtes qui utilisent chacune.
Tableau 2. Politiques du système d’exploitation TCP
|
Politique
|
Systèmes d’exploitation
|
|
Prénom
|
système d’exploitation inconnu
|
|
Nom de famille
|
Cisco IOS
|
|
BSD
|
AIX
FreeBSD
OpenBSD
|
|
Linux
|
Noyau Linux 2.4
Noyau Linux 2.6
|
|
Ancien Linux
|
Noyau Linux 2.2 et antérieur
|
|
Windows
|
Windows 98
Windows NT
Windows 2000
Windows XP
|
|
Windows 2003
|
Windows 2003
|
|
Windows Vista
|
Windows Vista
|
|
Solaris
|
Système d’exploitation Cisco Solaris
SunOS
|
|
IRIX
|
SGI Irix
|
|
HPUX
|
HP-UX 11.0 ou version ultérieure
|
|
HPUX 10
|
HP-UX 10.2 ou version antérieure
|
|
Mac OS
|
Mac OS (Mac OS 10)
|
Astuces
|
La politique Premier système d’exploitation peut offrir une certaine protection lorsque vous ne connaissez pas le système
d’exploitation hôte. Cependant, elle peut entraîner des attaques manquées. Vous devez modifier la politique pour spécifier
le système d’exploitation approprié si vous le connaissez.
|
Délai d’expiration
Nombre de secondes entre 1 et 86400 pendant lesquelles le moteur de règles de prévention des intrusions maintient un flux
inactif dans la table d’état. Si le flux n’est pas réassemblé dans le délai spécifié, le moteur de règles de prévention des
intrusions le supprime de la table d’état.
Remarque
|
Si votre périphérique géré est déployé sur un segment où le trafic réseau est susceptible d’atteindre les limites de la bande
passante du périphérique, vous devriez envisager de définir cette valeur plus élevée (par exemple, à 600 secondes) pour réduire
le surdébit de traitement.
|
Les périphériques défense contre les menaces ignorent cette option et utilisent plutôt les paramètres de la politique de service de contrôle d’accès avancé (Threat Defense Service Policy). Consultez Configurer une règle de politique de service pour obtenir de plus amples renseignements.
Fenêtre TCP maximale
Spécifie la taille maximale de la fenêtre TCP entre 1 et 1073725440 octets, autorisée comme spécifié par un hôte de réception.
La définition de la valeur 0 désactive la vérification de la taille de la fenêtre TCP.
Mise en garde
|
La limite supérieure est la taille de fenêtre maximale autorisée par la RFC et est destinée à empêcher un agresseur de se
soustraire à la détection, mais la définition d’une taille de fenêtre maximale beaucoup plus grande peut entraîner un déni
de service auto-imposé.
|
Lorsque les anomalies d’inspection dynamique sont activées, vous pouvez activer la règle 129:6 de générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés pour cette option.
Limite de chevauchement
Spécifie que lorsque le nombre configuré entre 0 (illimité) et 255 de segments qui se chevauchent dans une session a été détecté,
le réassemblage des segments s'arrête pour cette session et, si les anomalies d'inspection dynamique sont activées et la règle de préprocesseur associée est activée, un événement est généré.
Vous pouvez activer la règle 129:7 de générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés pour cette option.
Facteur de purge
Dans un déploiement en ligne, le modèle précise que lorsqu’un segment de taille réduite a été détecté à la suite du nombre
configuré entre 1 et 2 048 de segments de taille non décroissante, le système purge les données de segment accumulées pour
la détection. La définition de la valeur 0 désactive la détection de ce modèle de segment, ce qui peut indiquer la fin d’une
demande ou d’une réponse. Notez que l’option de normalisation en ligne Normaliser la charge utile TCP doit être activée pour que cette option soit effective.
Anomalies dans le filtrage dynamique de paquets
Détecte les comportements anormaux dans la pile TCP. L’activation des règles de préprocesseur associées peut générer de nombreux
événements si les piles TCP/IP sont mal écrites.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Vous pouvez activer les règles suivantes pour générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés pour cette option :
Tenez compte des points suivants :
-
pour que la règle 129:6 se déclenche, vous devez également configurer une valeur supérieure à 0 pour la Fenêtre TCP maximale.
-
pour que les règles 129:9 et 129:10 se déclenchent, vous devez également activer le déroutement de session TCP.
Détournement de session TCP
Détecte le détournement de session TCP en validant les adresses matérielles (MAC) détectées des deux côtés d’une connexion
TCP lors de l'établissement de liaison tridirectionnelle par rapport aux paquets suivants reçus au cours de la session. Lorsque
l’adresse MAC pour un côté ou l’autre ne correspond pas, si les anomalies d’inspection dynamique sont activées et que l’une des deux règles de préprocesseur correspondantes est activée, le système génère des événements.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Vous pouvez activer les règles 129:9 et 129:10 de générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés pour cette option. Notez que pour que l’une de ces règles génère des événements, vous devez également activer les anomalies d’inspection dynamique.
Petits segments consécutifs
Lorsque les anomalies d’inspection dynamique sont activées, spécifie un nombre maximal de 1 à 2048 petits segments TCP consécutifs autorisés. La définition de la valeur
0 désactive la vérification des petits segments consécutifs.
Vous devez définir cette option avec l’option Taille des petits segments, soit en désactivant les deux, soit en définissant une valeur non nulle pour les deux. Notez que recevoir jusqu’à 2 000 segments
consécutifs, même si chaque segment fait 1 octet, sans accusé de réception (ACK) constituerait beaucoup plus de segments consécutifs
que ce à quoi vous vous attendez normalement.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Vous pouvez activer la règle 129:12 de générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés pour cette option.
Petit segment
Lorsque les anomalies d’inspection dynamique sont activées, précise la taille de segment TCP de 1 à 2048 octets qui est considérée comme petite. La définition de la valeur
0 désactive la spécification de la taille d’un petit segment.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Vous devez définir cette option avec l’option Petits Segments consécutifs, soit en désactivant les deux, soit en définissant une valeur non nulle pour les deux. Notez qu’un segment TCP de 2048 octets
est plus grand qu’une trame Ethernet normale de 1500 octets.
Ports ignorant les petits segments
Lorsque les anomalies d’inspection dynamique, les petits segments consécutifs et la Taille des petits segments sont activés, spécifie une liste séparée par des virgules d’un ou de plusieurs ports qui ignorent la détection des petits
segments TCP. Si vous laissez cette option à blanc, aucun port n’est ignoré.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Vous pouvez ajouter n’importe quel port à la liste, mais la liste n’affecte que les ports spécifiés dans l’une des listes
de ports Réaliser le réassemblage des flux sur de la politique TCP.
Exiger une connexion TCP en 3 temps
Spécifie que les sessions sont traitées comme établies uniquement à l’achèvement d’une prise de contact TCP tridirectionnelle.
Désactivez cette option pour augmenter les performances, vous protéger contre les attaques par inondation SYN et permettre
le fonctionnement dans un environnement partiellement asynchrone. Activez-la pour éviter les attaques qui tentent de générer
des faux positifs en envoyant des informations qui ne font pas partie d’une session TCP établie.
Vous pouvez activer la règle 129:20 de générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés pour cette option.
Expiration du délai de la connexion en 3 temps
Spécifie le nombre de secondes entre 0 (illimité) et 86 400 (vingt-quatre heures) avant que l’établissement de liaison ne
soit terminé lorsque l’option Exiger l’établissement de la liaison TCP tridirectionnelle est activée. Vous devez activer l’option Exiger l’établissement d’une liaison TCP tridirectionnelle pour modifier la valeur de cette option.
Pour les périphériques logiciels Firepower et les interfaces défense contre les menaces en ligne, Tap en ligne et passives, la valeur par défaut est 0. Pour les interfaces routées et transparentes défense contre les menaces , le délai d’expiration est toujours de 30 secondes; la valeur configurée ici est ignorée.
Amélioration de la performance des tailles de paquet
Définit le préprocesseur pour ne pas mettre en file d’attente de paquets volumineux dans la mémoire tampon de réassemblage.
Cette amélioration des performances pourrait se traduire par des attaques manquées. Désactivez cette option pour vous
protéger contre les tentatives d’évitement à l’aide de petits paquets de un à vingt octets. Activez-la lorsque vous êtes assuré
qu’il n’y a pas de telles attaques, car tout le trafic est composé de très gros paquets.
Réassemblage de l‘héritage
Définit le préprocesseur de flux 4 pour émuler le préprocesseur obsolète du flux 4 lors du réassemblage des paquets, ce qui
vous permet de comparer les événements réassemblés par le préprocesseur de flux avec les événements basés sur le même flux
de données réassemblé par le préprocesseur de flux 4.
Réseau asynchrone
Spécifie si le réseau surveillé est un réseau asynchrone, c’est-à-dire un réseau où le système ne voit que la moitié du trafic.
Lorsque cette option est activée, le système ne rassemble pas les flux TCP pour augmenter les performances.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Effectuer le réassemblage de flux sur les ports client
Active le réassemblage du flux en fonction des ports pour le côté client de la connexion. En d’autres termes, il réassemble
les flux destinés aux serveurs Web, aux serveurs de messagerie ou à d’autres adresses IP généralement définies par les adresses
IP spécifiées dans $Home_NET. Utilisez cette option lorsque vous vous attendez à ce que le trafic malveillant provienne des
clients.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Effectuer le réassemblage de flux sur les services client
Active le réassemblage du flux en fonction des services pour le côté client de la connexion. Utilisez cette option lorsque
vous vous attendez à ce que le trafic malveillant provienne des clients.
Au moins un détecteur client doit être activé pour chaque service client que vous sélectionnez. Par défaut, tous les détecteurs
fournis par Cisco sont activés. Si aucun détecteur n’est activé pour une application client associée, le système active automatiquement
tous les détecteurs fournis par Cisco pour l’application; s’il n’en existe aucun, le système active le détecteur défini par
l’utilisateur modifié le plus récemment pour l’application.
Cette fonctionnalité nécessite des licences de protection et de contrôle.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Effectuer le réassemblage de flux sur les ports du serveur
Active le réassemblage du flux en fonction des ports pour le côté du serveur de la connexion uniquement. En d’autres termes,
il réassemble les flux provenant de serveurs Web, de serveurs de messagerie ou d’autres adresses IP généralement définies
par les adresses IP spécifiées dans $EXTERNAL_NET. Utilisez cette option lorsque vous souhaitez surveiller les attaques côté
serveur. Vous pouvez désactiver cette option en ne précisant pas les ports.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Remarque
|
Pour une inspection approfondie d’un service, ajoutez le nom du service dans le champ Perform Stream Reassembly on Server Services (Effectuer le réassemblage des flux sur les services du serveur) en plus d’ajouter le numéro de port dans le champ Perform Stream Reassembly on Server Ports (Effectuer le réassemblage des flux sur les ports du serveur). Par exemple, ajoutez le service « HTTP » dans le champ Perform Stream Reassembly on Server Services pour inspecter le service HTTP en plus d’ajouter le port numéro 80 dans le champ Perform Stream Reassembly on Server Ports.
|
Effectuer le réassemblage de flux sur les services de serveur
Active le réassemblage des flux en fonction des services pour le côté serveur de la connexion uniquement. Utilisez cette option
lorsque vous souhaitez surveiller les attaques côté serveur. Vous pouvez désactiver cette option en ne précisant pas de services.
Au moins un détecteur doit être activé. Par défaut, tous les détecteurs fournis par Cisco sont activés. Si aucun détecteur
n’est activé pour un service, le système active automatiquement tous les détecteurs fournis par Cisco pour le protocole d’application
associé; S’il n’en existe aucun, le système active le détecteur défini par l’utilisateur modifié le plus récemment pour le
protocole d’application.
Cette fonctionnalité nécessite des licences de protection et de contrôle.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Effectuer le réassemblage de flux sur les deux ports
Active le réassemblage du flux en fonction des ports pour les côtés client et serveur de la connexion. Utilisez cette option
lorsque vous prévoyez que le trafic malveillant pour les mêmes ports pourra se déplacer dans les deux sens entre les clients
et les serveurs. Vous pouvez désactiver cette option en ne précisant pas les ports.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Effectuer le réassemblage de flux sur les deux services
Active le réassemblage du flux en fonction des services pour les côtés client et serveur de la connexion. Utilisez cette option
lorsque vous vous attendez à ce que le trafic malveillant pour les mêmes services puisse se déplacer dans les deux sens entre
les clients et les serveurs. Vous pouvez désactiver cette option en ne précisant pas de services.
Au moins un détecteur doit être activé. Par défaut, tous les détecteurs fournis par Cisco sont activés. Si aucun détecteur
n’est activé pour une application cliente ou un protocole d’application associé, le système active automatiquement tous les
détecteurs fournis par Cisco pour l’application ou le protocole d’application; S’il n’en existe aucun, le système active le
dernier détecteur défini par l’utilisateur modifié pour l’application ou le protocole d’application.
Cette fonctionnalité nécessite des licences de protection et de contrôle.
Cette option est ignorée pour les interfaces défense contre les menaces routées et transparentes.
Options de dépannage : nombre maximal d’octets en file d’attente
Le service d’assistance peut vous demander, lors d’un appel de dépannage, de préciser la quantité de données qui peut être
mise en file d’attente d’un côté d’une connexion TCP. La valeur 0 spécifie un nombre illimité d'octets.
Mise en garde
|
La modification du paramètre de cette option de dépannage affectera les performances et doit être effectuée uniquement avec
les conseils du soutien.
|
Options de dépannage : nombre maximal de segments en file d’attente
Le service d’assistance peut vous demander, lors d’un appel de dépannage, de préciser le nombre maximal d’octets de segments
de données qui peuvent être mis en file d’attente d’un côté d’une connexion TCP. La valeur 0 spécifie un nombre illimité d'octets
de segments de données.
Mise en garde
|
La modification du paramètre de cette option de dépannage affectera les performances et doit être effectuée uniquement avec
les conseils du soutien.
|
)
)
)
Commentaires