Apple Mac OS X Server v10.2 Manuel d'utilisation

Services de réseau

331

Prévention des “attaques pour refus de service”

Lorsque le serveur reçoit une demande de connexion TCP de la part d’un client à qui l’accès
est refusé, il envoie par défaut une réponse stipulant le refus de connexion. Ceci empêche le
client refusé de renvoyer la demande à de multiples reprises. Un individu malveillant peut
toutefois générer une série de demandes de connexion TCP à partir de l’adresse IP d’un
client refusé, ce qui force le serveur à lui répondre continuellement et exclut ainsi les autres
utilisateurs qui tentent de se connecter. Il s’agit d’un des types d’attaque pour refus de
service.

Afin de faciliter la prévention de ces attaques, évitez de sélectionner l’option “Envoyer une
notification au client si la connexion est refusée” dans l’onglet Général de la fenêtre
Configurer le service de filtres IP. Songez cependant qu’en désactivant cette option certains
clients pourront essayer de se connecter de nouveau, ce qui risque de provoquer des
encombrements sur le serveur. Sélectionnez cette option uniquement si vous pensez que
votre serveur est exposé à ce type d’attaque.

Modification de l’état du filtre IP par défaut

Le filtre Tout port défini pour Tous constitue le filtre par défaut pour le service de filtres IP.
Tous les paquets entrants n’appartenant pas à la plage d’adresse d’un des ports de la liste, ou
appartenant à une plage d’adresse du filtre Tout port, seront soit autorisés soit refusés, en
fonction de l’accès défini pour Tous.

Lorsque vous démarrez le service de filtres IP, le filtre Tout port pour Tous refuse l’accès par
défaut, vous empêchant d’attribuer un accès à vos services de façon non intentionnelle. En
cas de nécessité, vous pouvez modifier l’option Tout filtre pour autoriser l’accès. Mais
réfléchissez bien avant de prendre cette décision. Si vous changez la valeur par défaut en
autorisant l’accès, vous devez refuser de manière explicite tout accès à vos services en
configurant des filtres de ports spécifiques pour tous les services nécessitant une protection.

Pour travailler avec la liste de filtres IP

La liste de filtres IP présente l’ensemble des filtres du serveur. Les filtres sont regroupés par
numéros de port, qui sont classé dans l’ordre numérique. Les filtres d’un port apparaissent
dans leur ordre de priorité, des filtres dont la plage d’adresses IP (ou l’adresse IP unique) est
la plus spécifique aux filtres dont la plage d’adresse est la plus étendue (ou Toutes).

Après avoir sélectionné un filtre, vous pouvez cliquer sur les boutons Dupliquer ou Modifier
pour ouvrir la fenêtre des filtres IP, décrite à la page 327.