Paquets fragmentés

Cette question s'adresse en particulier à notre voisin Climenole, mais tout autre avis est le bienvenu.
D'après vous, est-il nécessaire d'avoir plusieurs règles pour bloquer les fragments notamment
- Frag offset différent de 0
- Frag flags MF
et de dupliquer ces 2 règles pour les protocoles 'TCP ou UDP' et 'ICMP'.
Ne pourrait-on généraliser ces 2 règles au type IP, tous protocoles confondus ?
Y-a-t'il des protocoles ou il faut impérativement laisser passer ces paquets ?

Je pose cette question dans le souci d'avoir le moins de règle possible, tant dans un souci de lisibilité du jeu de règle, que dans le souci de ne pas laisser de faille ouverte.

Amicalement.

 

Salut r_e_endymion

Faut attention! P'têt que je suis un incompétant...

Remarque 1: en réseau local et pour certaines connexions internet il est parfois nécessaire de permettre la fragmentation...

Dans le cas du réseau local il faut de même permettre au signaux ICMP
type 3 code 4 pour les cas de partage de connexion...
donc j'imagine permettre aussi cette fragmentation en local...

Dans le cas des connexion internet je me souviens que Bloodscourge avait résolu le problème d'un utilisateur en bidouillant le MTU...

Voici maintenant les règles anti-fragmentations que j'utilise
[MOVE][on aime pas les miettes ici !!!! ]:[/MOVE]

{ C.01}; [EB]; [ICMP] Fragmentés
i.e. frag offset différents de tous les frag flags
tous les code tous les types...

{ C.02}; [EB]; [ICMP] + Fragments
plus de fragments (MF)

{ D.03}; [EB]; [TCP/UDP] Fragmentés
Tcp/Udp frag offset différents de tous les frag flags

{ D.04}; [EB]; [TCP/UDP] + Fragments
MF (more fragments) ...

Sont-elles vraiment utiles? C'est une autre histoire: la parole est aux autres.

 

Les règles sur les fragments, dans le jeu de règles amélioré, sont effectivement sur IP et non sur un protocole particulier.

Sinon, à noter que la 2.05p3, propose en feature beta une gestion automatique des fragments via le flag "IPFragActive"=dword:00000001 du .reg.
Cette fonction, bien quue béta, est censée marcher et n'est pas expérimentale (comme les autres du .reg qui ne seront pas reconduites).
Avec cette fonction activée, Look 'n' Stop sait appliquer, aux fragments suivants, la règle qui s'est appliquée au premier fragment (le premier fragment contenant bien le type de protocole, les ports...).
Du coup, le jeu de règle peut spécifier de bloquer tous les fragments, car ils correspondront à de vrais fragments isolés.

Frédéric

 

merci de ta réponse Frederic,

après vérification, cette fonctionnalité était effectivement activée sur mon PC, mais je n'en avais pas compris les implications. Tes éclaircissements sont les bienvenus sur le sujet, et ça va me permettre de supprimer une règle de plus, tout en restant aussi bien protégé.