Le pare-feu OfficeScan contribue à protéger les ordinateurs clients OfficeScan contre les attaques de pirates et les virus de réseau en créant une barrière entre l'ordinateur client et le réseau.
Filtrage du traficLe pare-feu OfficeScan filtre l'ensemble du trafic entrant et sortant, permettant ainsi de bloquer certains types de trafic sur la base des critères suivants :
Direction (entrant/sortant)
Protocole (TCP/UDP/ICMP/ICMPv6)
Ports de destination
Ordinateurs source et de destination
Applications
Recherche de virus de réseauLe pare-feu OfficeScan vérifie également la présence de virus de réseau dans chaque paquet.
Profils et stratégies personnalisablesLe pare-feu OfficeScan vous permet de configurer des stratégies destinées à bloquer ou à autoriser certains types de trafic réseau.
Stateful InspectionLe pare-feu OfficeScan est un pare-feu de type Stateful inspection ; il contrôle toutes les connexions au client et mémorise tous les états de connexion. Il peut identifier les conditions spécifiques de toute connexion, prédire les actions qui doivent être effectuées et détecter toute anomalie de connexion. Les décisions de filtrage reposent dès lors non seulement sur les profils et les stratégies, mais aussi sur le contexte défini par l'analyse des connexions et par le filtrage des paquets qui passent à travers le pare-feu.
Système de détection d'intrusionLe pare-feu OfficeScan comprend également un Système de détection des intrusions (SDI). Lorsqu'il est activé, le SDI peut contribuer à identifier des signatures dans les paquets réseau indiquant une attaque du client. Le pare-feu OfficeScan peut empêcher les intrusions bien connues suivantes :
Fragment trop important : attaque de refus de service dans le cadre de laquelle un pirate dirige un paquet TCP/UDP surdimensionné sur un ordinateur cible. Par conséquent, la mémoire tampon des ordinateurs peut déborder, ce qui risque de geler ou de redémarrer la machine.
Ping of Death : attaque de refus de service dans le cadre de laquelle un pirate dirige un paquet ICMP/ICMPv6 surdimensionné sur un ordinateur cible. Par conséquent, la mémoire tampon des ordinateurs peut déborder, ce qui risque de geler ou de redémarrer la machine.
ARP conflictuel : type d'attaque dans le cadre de laquelle un pirate envoie à un ordinateur une requête de protocole de résolution d'adresse (Address Resolution Protocol ou ARP) avec des adresses IP source et de destination identiques. L'ordinateur cible s'envoie continuellement une réponse ARP (son adresse MAC) et dès lors gèle ou se plante.
SYN Flood : attaque de refus de service dans le cadre de laquelle un programme envoie plusieurs paquets de synchronisation TCP (SYN) à un ordinateur, celui-ci envoyant alors continuellement des réponses d'accusé-réception de synchronisation (SYN/ACK). Cela peut épuiser la mémoire d'un ordinateur et finalement bloquer l'ordinateur.
Fragment de chevauchement : similaire à une attaque Teardrop, cette attaque de refus de service envoie des fragments TCP de chevauchement à un ordinateur. Par conséquent, les informations de l'en-tête sont écrasées dans le premier fragment TCP qui risque alors de passer à travers le pare-feu. Le pare-feu peut ensuite autoriser les fragments suivants contenant du code malicieux à se frayer un chemin vers l'ordinateur cible.
Teardrop : similaire à une attaque de fragment de chevauchement, cette attaque de refus de service a trait à des fragments IP. Une valeur de décalage prêtant à confusion dans le deuxième fragment IP ou dans un fragment ultérieur peut provoquer le blocage du système d'exploitation de l'ordinateur récepteur en cas de tentative de reconstruction des fragments.
Attaque par fragment minuscule : avec ce type d'attaque, un fragment TCP de petite taille force le premier en-tête de paquet TCP dans le fragment suivant. Cela peut amener les routeurs filtrant le trafic à ignorer les fragments suivants qui peuvent contenir des données malveillantes.
IGMP fragmenté: attaque de refus de service qui envoie des paquets d'IGMP fragmentés à un ordinateur cible, lequel ne peut pas les traiter correctement. Cela peut geler ou ralentir l'ordinateur.
Attaque terrestre : type d'attaque qui envoie à un ordinateur des paquets de synchronisation IP (SYN) dont les adresses source et cible sont identiques, celui-ci s'envoyant en retour un accusé-réception de la synchronisation (SYN/ACK). Cela peut geler ou ralentir l'ordinateur.
Surveillance des épidémies de violation de pare-feuLe pare-feu OfficeScan envoie un message de notification à des destinataires spécifiés lorsque le nombre de violations de pare-feu dépasse un seuil déterminé, ce qui peut constituer un signal d'attaque.
Privilèges du pare-feu clientsVotre administrateur peut vous accorder le privilège d'afficher les paramètres de pare-feu sur la console du client OfficeScan. Vous pouvez également bénéficier du privilège d'activation ou de désactivation du pare-feu, du système de détection des intrusions et du message de notification de violation du pare-feu.