Vai al contenuto
Cliccare qui per aprire la documentazione per gli switch gestiti localmente, incluse le guide a CLI e API.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=switch-management-security

Sicurezza

È possibile configurare le impostazioni di sicurezza per Sophos Switch.

DoS

Sophos Switch è in grado di monitorare e bloccare gli attacchi DoS (Denial of Service). Un attacco DoS è costituito da traffico di rete inviato per inondare un host di richieste e interromperne la connessione alla rete.

Selezionare On oppure Off per attivare o disattivare la protezione DoS. Scegliere Non impostato per utilizzare le impostazioni configurate localmente sullo switch.

Dopo aver attivato o disattivato DoS, cliccare su Aggiorna per salvare le modifiche.

Quando si attiva la protezione DoS, lo switch rimuove i pacchetti che trovano corrispondenza con i seguenti tipi di attacchi DoS:

  • MAC di destinazione uguale al MAC di origine: rimuove il traffico che presenta indirizzi MAC di origine e di destinazione identici.
  • LAND attack con IP di destinazione uguale all’IP di origine (IPv4/IPv6): rimuove i pacchetti che presentano indirizzi IP di origine e di destinazione identici.

  • TCP Blat (porta TCP di destinazione uguale alla porta TCP di origine): rimuove i pacchetti TCP che presentano porte TCP di origine e TCP di destinazione identiche.

    Nota

    A volte il client Network Time Protocol (NTP) utilizza la stessa porta di origine e di destinazione. Quando si attiva la protezione DoS, Sophos Switch la rileva come un attacco TCP Blat e rimuove i pacchetti. Consigliamo di disattivare la protezione DoS se si utilizzano client NTP meno recenti, che utilizzano le stesse porte di origine e di destinazione.

  • UDP Blat (porta UDP di destinazione uguale alla porta UDP di origine): rimuove i pacchetti UDP che presentano porte UDP di origine e UDP di destinazione identiche.

  • Ping of Death (IPv4/IPv6): rimuove i pacchetti di lunghezza superiore a 64 KB attraverso frammenti.
  • Frammenti minimi IPv6 (byte): limita le dimensioni minime dei frammenti IPv6 a 1240 byte.
  • Frammenti ICMP (IPv4/IPv6): rimuove i pacchetti ICMP frammentati.
  • Dimensioni massime ping IPv4: limita la lunghezza massima di un pacchetto ping IPv4 a 512 byte.
  • Dimensioni massime ping IPv6: limita la lunghezza massima di un pacchetto ping IPv6 a 512 byte.
  • Attacco Smurf (lunghezza della netmask): limita la lunghezza della netmask dei pacchetti ICMP di trasmissione a 24 (x.x.x.255).
  • Dimensione minima intestazione TCP (byte): limita le dimensioni minime dell’intestazione TCP a 20 byte.
  • TCP-SYN: rimuove i pacchetti TCP in cui è impostato il flag SYN, il flag ACK non è impostato e la porta di origine è inferiore alla 1024.
  • NULL scan: rimuove i pacchetti TCP in cui non sono impostati flag e nei quali il numero di sequenza è zero.
  • Xmas: rimuove i pacchetti TCP con numero di sequenza zero e nei quali sono impostati i flag FIN, URG e PSH.
  • TCP SYN-FIN: rimuove i pacchetti TCP nei quali sono impostati i flag SYN e FIN.
  • TCP SYN-RST: rimuove i pacchetti TCP nei quali sono impostati i flag SYN e RST.