Paquets fragmentés

Discussion in 'LnS French Forum' started by r_e_endymion, Oct 20, 2006.

Thread Status:
Not open for further replies.
  1. r_e_endymion

    r_e_endymion Registered Member

    Joined:
    Sep 26, 2006
    Posts:
    35
    Location:
    France
    Cette question s'adresse en particulier à notre voisin Climenole, mais tout autre avis est le bienvenu.
    D'après vous, est-il nécessaire d'avoir plusieurs règles pour bloquer les fragments notamment
    - Frag offset différent de 0
    - Frag flags MF
    et de dupliquer ces 2 règles pour les protocoles 'TCP ou UDP' et 'ICMP'.
    Ne pourrait-on généraliser ces 2 règles au type IP, tous protocoles confondus ?
    Y-a-t'il des protocoles ou il faut impérativement laisser passer ces paquets ?

    Je pose cette question dans le souci d'avoir le moins de règle possible, tant dans un souci de lisibilité du jeu de règle, que dans le souci de ne pas laisser de faille ouverte.

    Amicalement.
     
    Last edited: Oct 20, 2006
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut r_e_endymion :)

    Faut attention! P'têt que je suis un incompétant... ;)

    Remarque 1: en réseau local et pour certaines connexions internet il est parfois nécessaire de permettre la fragmentation...

    Dans le cas du réseau local il faut de même permettre au signaux ICMP
    type 3 code 4 pour les cas de partage de connexion...
    donc j'imagine permettre aussi cette fragmentation en local...

    Dans le cas des connexion internet je me souviens que Bloodscourge avait résolu le problème d'un utilisateur en bidouillant le MTU...

    Voici maintenant les règles anti-fragmentations que j'utilise
    [MOVE][on aime pas les miettes ici !!!! ;)]:[/MOVE]

    { C.01}; [EB]; [ICMP] Fragmentés
    i.e. frag offset différents de tous les frag flags
    tous les code tous les types...

    { C.02}; [EB]; [ICMP] + Fragments
    plus de fragments (MF)

    { D.03}; [EB]; [TCP/UDP] Fragmentés
    Tcp/Udp frag offset différents de tous les frag flags

    { D.04}; [EB]; [TCP/UDP] + Fragments
    MF (more fragments) ...

    Sont-elles vraiment utiles? C'est une autre histoire: la parole est aux autres.

    :)
     
  3. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Les règles sur les fragments, dans le jeu de règles amélioré, sont effectivement sur IP et non sur un protocole particulier.

    Sinon, à noter que la 2.05p3, propose en feature beta une gestion automatique des fragments via le flag "IPFragActive"=dword:00000001 du .reg.
    Cette fonction, bien quue béta, est censée marcher et n'est pas expérimentale (comme les autres du .reg qui ne seront pas reconduites).
    Avec cette fonction activée, Look 'n' Stop sait appliquer, aux fragments suivants, la règle qui s'est appliquée au premier fragment (le premier fragment contenant bien le type de protocole, les ports...).
    Du coup, le jeu de règle peut spécifier de bloquer tous les fragments, car ils correspondront à de vrais fragments isolés.

    Frédéric
     
  4. r_e_endymion

    r_e_endymion Registered Member

    Joined:
    Sep 26, 2006
    Posts:
    35
    Location:
    France
    merci de ta réponse Frederic,

    après vérification, cette fonctionnalité était effectivement activée sur mon PC, mais je n'en avais pas compris les implications. Tes éclaircissements sont les bienvenus sur le sujet, et ça va me permettre de supprimer une règle de plus, tout en restant aussi bien protégé.
     
Thread Status:
Not open for further replies.