Stateful Packet Inspection

Discussion in 'LnS French Forum' started by adoc, May 29, 2003.

Thread Status:
Not open for further replies.
  1. adoc

    adoc Registered Member

    Joined:
    May 4, 2003
    Posts:
    6
    Salut

    Que fait exactement la fonction "Stateful Packet Inspection" ?

    Est ce juste un controle ou un controle et blocage du paquet ?


    J'ai le meme log depuis des jours sur mon serveur et je voudrais savoir ce qu'il se passe avec ces paquets :

    Stateful Packet Inspection TCP ns3372.ovh.net=213.186.38.22 Port Dest:smtp=25 Src:36503


    Merci
     
  2. JacK

    JacK Registered Member

    Joined:
    Jun 20, 2002
    Posts:
    737
    Location:
    Belgium -Li?ge
    Hello,

    Une info claire mais en Eng :
    http://www.webopedia.com/TERM/S/stateful_inspection.html
     
  3. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Le Stateful Packet Inspection contrôle et bloque le paquet s'il ne satisfait pas un certain critère.

    Ce critère est de trouver une connexion existante à laquelle appartient le paquet.

    Le TCP SPI surveille toutes les ouvertures et fermetures de connexions TCP et il conserve dans une table interne toutes les caractéristiques des connexions en cours (ce sont les infos affichées quand on appuie sur le bouton Connexions dans l'onglet journal).
    Quand un paquet arrive (ou est envoyé par le PC):
    - s'il s'agit d'une ouverture ou d'une fermeture de connexion la table interne est mise à jour (ajout ou suppression d'une entrée)
    - s'il s'agit d'un autre paquet, le TCP SPI vérifie qu'il a bien une connexion en cours qui correspond à ce paquet. Si oui, le paquet est accepté, si non le paquet est bloqué (ce qui provoque une alerte TCP SPI dans le journal).

    Pour améliorer les performances, le TCP SPI gère un nombre d'entrée maximum et limité. Si le TCP SPI ne peut ajouter une entrée alors la nouvelle connexion est jetée (et provoque une alerte TCP SPI dans le journal). Le nombre d'entrées est de 64 actuellement, ce nombre sera augmanté dans la prochaine version.
    Avec des applications grosses consomatrices de connexions TCP (comme Edonkey/Emule) le nombre max d'entrées est atteint très rapidement. C'est possible qu'avec un serveur ce soit pareil si le serveur voit toutes les connexions des postes clients (c'est le cas avec ICS).

    En résumé, l'alerte que vous avez est:
    1- soit une vraie alerte avec un paquet reçu qui ne correspond à aucune connexion ouverte
    2- soit une fausse alerte si vous avez atteint la limite du nombre de connexions ouvertes simultanément

    Pour savoir dans quel cas vous êtes, plusieurs possibilités:
    - examiner le détail du paquet, s'il contient le S (SYN) flag c'est que vous êtes dans le 2ème cas
    - ouvrir la liste des connexions, si vous voyez un grand nombre de connexions ouvertes (64), vous êtes dans le 2ème cas
    - ouvrir la console (dans les options) et appuyer sur Driver Logs, si vous voyez apparaître des "CFull" vous êtes aussi dans le 2ème case.

    Cordialement,

    Frédéric.
     
  4. adoc

    adoc Registered Member

    Joined:
    May 4, 2003
    Posts:
    6
    Merci pour ces explications ;)

    Dans connexion j'ai effectivement un liste qui doit pas être loin des 64.

    Par contre je reste intrigué par ces mêmes logs, ca revient en permanence, toujours le même réseau et toujours le port 25. Comme mon serveur mail est bloqué en envoie je me demande ce que font cet ou ces ordinateurs sur le port 25 ?

    Dans les logs de mon serveur mail il y a pas de traces de ces connexions, même en erreur, est ce que cela veut dire que LNS les arrète avant ?

    Merci


    Ps : pour quand la prochaine version LNS ?

    @+
     
  5. Patrice

    Patrice Registered Member

    Joined:
    Apr 15, 2003
    Posts:
    571
    Location:
    Antarctica
    Salut adoc,

    est-ce que tu peux me dire exactement qu'est-ce qui est écrit dans le journal? Et tu as quelle règles activées -Enhanced Rule Set ou Standard Rule Set? Et finalement quel programme de mail est-ce que tu utilises?

    Salutations,

    Patrice
     
  6. adoc

    adoc Registered Member

    Joined:
    May 4, 2003
    Posts:
    6
    Salut

    J'utilises les règles évoluées.

    Les lignes ressemblent toutes à ca :

    D743 31/05/03.19:51:21 Stateful Packet inspection TCP ns3166.ovh.net=213.186.37.26 ports Dest:smtp=25 Src:3675

    Il y a une série de 5 lignes identiques qui reviennent périodiquement toutes les 20 mn environ.

    J'ai regardé dans les connexions et j'en ai compter que 42 la dernière fois que j'ai eu ces logs.

    Mon serveur de mail est Argosoft Mail server, et il requiert une authentification pour l'envoi de mail et il fait également une vérification de l'éxistance du mail expéditeur dans sa base avant d'accepter l'envoi.

    Merci

    @+
     
  7. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Il faudrait une copie d'écran du paquet complet (en double cliquant sur l'une des alertes) et le contenu de la console après avoir appuyé sur "Driver Logs" (faire "Save" et envoyer le fichier créé ou faire un copier/coller manuel de l'ensemble de la fenêtre dans un email).

    Pourriez-vous envoyer l'ensemble (copie d'écran du paquet complet et les logs du driver) à looknstop@soft4ever.com.

    Merci,

    Frédéric.
     
  8. adoc

    adoc Registered Member

    Joined:
    May 4, 2003
    Posts:
    6
    Salut

    C'est parti par mail.

    Merci
    @+
     
Thread Status:
Not open for further replies.