Cisco Cisco SG200-26P 26-port Gigabit PoE Smart Switch ユーザーガイド
Sécurité
Prévention du déni de service
Guide d’administration du commutateur intelligent Cisco Small Business série 200
274
19
Prévention du déni de service
Le déni de service (DoS) est une tentative de piratage visant à rendre le périphérique indisponible pour les
utilisateurs.
utilisateurs.
Les attaques DoS saturent le périphérique avec des demandes de communication externes, de telle
manière que le périphérique ne peut pas répondre au trafic légitime. Ces attaques provoquent souvent la
surcharge du processeur du périphérique.
manière que le périphérique ne peut pas répondre au trafic légitime. Ces attaques provoquent souvent la
surcharge du processeur du périphérique.
Secure Core Technology (SCT)
Une méthode pour contrer les dénis de service (DoS) employée par le périphérique est la fonction SCT. La
fonction SCT est activée par défaut sur l'appareil et ne peut pas être désactivée.
fonction SCT est activée par défaut sur l'appareil et ne peut pas être désactivée.
Le périphérique Cisco est un périphérique avancé qui gère le trafic de gestion, de protocole et de
surveillance, outre le trafic de l'utilisateur final (TCP).
surveillance, outre le trafic de l'utilisateur final (TCP).
La fonction SCT garantit que le périphérique reçoive et traite le trafic de gestion et de protocole, quel qu'il
soit le trafic reçu. Ceci est possible en limitant le débit du trafic TCP sur le processeur.
soit le trafic reçu. Ceci est possible en limitant le débit du trafic TCP sur le processeur.
Il n'y a pas d'interactions avec les autres fonctions.
La fonction SCT peut être contrôlée sur la page Déni de service > Prévention du déni de service >
Paramètres de la suite de sécurité (bouton Détails).
Paramètres de la suite de sécurité (bouton Détails).
Types de dénis de service (DoS)
Un déni de service peut être provoqué de l'une des manières suivantes (parmi d'autres) :
•
Paquets TCP SYN : une saturation de paquets TCP SYN, souvent avec une adresse d'expéditeur
fausse, peut signifier une attaque. Chacun de ces paquets provoque une connexion semi-ouverte du
périphérique en renvoyant un paquet TCP/SYN-ACK (confirmation) et en attendant un paquet de
réponse en provenance de l'adresse de l'expéditeur (réponse au paquet ACK). Cependant, étant
donné que l'adresse de l'expéditeur est fausse, la réponse n'arrive jamais. Ces connexions semi-
ouvertes saturent le nombre de connexions disponibles que le périphérique peut effectuer,
l'empêchant ainsi de répondre aux requêtes légitimes. En outre, le nombre de paquets pouvant être
envoyés vers le CPU est limité et le trafic de l'attaque risque d'utiliser la totalité de ces paquets.
fausse, peut signifier une attaque. Chacun de ces paquets provoque une connexion semi-ouverte du
périphérique en renvoyant un paquet TCP/SYN-ACK (confirmation) et en attendant un paquet de
réponse en provenance de l'adresse de l'expéditeur (réponse au paquet ACK). Cependant, étant
donné que l'adresse de l'expéditeur est fausse, la réponse n'arrive jamais. Ces connexions semi-
ouvertes saturent le nombre de connexions disponibles que le périphérique peut effectuer,
l'empêchant ainsi de répondre aux requêtes légitimes. En outre, le nombre de paquets pouvant être
envoyés vers le CPU est limité et le trafic de l'attaque risque d'utiliser la totalité de ces paquets.
Ces paquets peuvent être bloqués sur la page Protection SYN.
•
Paquets TCP SYN-FIN : les paquets SYN sont envoyés pour créer une nouvelle connexion TCP. Les
paquets TCP FIN sont envoyés pour fermer une connexion. Un paquet où les indicateurs SYN et FIN
sont définis ne devrait jamais exister. En conséquence, ces paquets peuvent constituer une attaque
au périphérique et doivent être bloqués.
paquets TCP FIN sont envoyés pour fermer une connexion. Un paquet où les indicateurs SYN et FIN
sont définis ne devrait jamais exister. En conséquence, ces paquets peuvent constituer une attaque
au périphérique et doivent être bloqués.