Aller au contenu
Cliquez ici pour ouvrir la documentation des switchs gérés localement, notamment les guides de l’interface par ligne de commande et de l’API.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=switch-management-security

Sécurité

Vous pouvez configurer les paramètres de sécurité de votre Sophos Switch.

DoS

Sophos Switch peut surveiller et bloquer les attaques par déni de service (DoS). Une attaque DoS est un flux de trafic réseau destiné à submerger l’hôte pour perturber sa connexion au réseau.

Sélectionnez Activé ou Désactivé pour activer ou désactiver la protection DoS. Choisissez Non défini pour utiliser les paramètres configurés localement sur le switch.

Après avoir activé ou désactivé DoS, cliquez sur Mettre à jour pour enregistrer vos modifications.

Lorsque vous activez la protection DoS, le switch bloque les paquets correspondant aux types d’attaques DoS suivants :

  • Adresse MAC de destination identique à l’adresse MAC source : Bloque le trafic lorsque les adresses MAC source et de destination sont identiques.
  • L’adresse IP de destination de l’attaque LAND est identique à l’adresse IP source (IPv4/IPv6) : Bloque les paquets dont les adresses IP source et de destination sont identiques.

  • TCP Blat (Port TCP de destination identique au port TCP source) : Bloque les paquets TCP dont les ports TCP source et de destination sont identiques.

    Remarque

    Le client NTP (Network Time Protocol) utilise parfois le même port source et de destination. Lorsque la protection DoS est activée, Sophos Switch le détecte en tant qu’attaque TCP Blat et bloque les paquets. Nous vous recommandons de désactiver la protection DoS si vous exécutez d'anciens clients NTP qui utilisent les mêmes ports source et de destination.

  • UDP Blat (Port UDP de destination identique au port UDP source) : Bloque les paquets UDP dont les ports UDP source et UDP de destination sont identiques.

  • Ping de la mort (IPv4/IPv6) : Bloque les paquets d’une longueur supérieure à 64 Ko et les fragmente.
  • Fragment minimum IPv6 (octets) : Limite la taille minimum des fragments IPv6 à 1240 octets.
  • Fragments ICMP (IPv4/IPv6) : Bloque les paquets ICMP fragmentés.
  • Taille max. du ping IPv4 : Limite la longueur maximale d’un paquet ping IPv4 à 512 octets.
  • Taille max. du ping IPv6 : Limite la longueur maximale d’un paquet ping IPv6 à 512 octets.
  • Attaque Smurf (longueur du masque de réseau) : Limite la longueur du masque de réseau des paquets ICMP de diffusion à 24 (x.x.x.255).
  • Taille d’en-tête TCP minimale (octets) : Limite la taille minimale de l’en-tête TCP à 20 octets.
  • TCP-SYN : Bloque les paquets TCP dont l’indicateur SYN est défini, l’indicateur ACK n’est pas défini et dont le port source est inférieur à 1024.
  • Null Scan : Bloque les paquets TCP lorsqu’aucun indicateur n’est défini et que le numéro de séquence est égal à zéro.
  • Xmas : Bloque les paquets TCP dont le numéro de séquence est égal à zéro et dont les indicateurs FIN, URG et PSH sont définis.
  • TCP SYN-FIN : Bloque les paquets TCP avec des indicateurs SYN et FIN définis.
  • TCP SYN-RST : Bloque les paquets TCP avec des indicateurs SYN et RST définis.