Applications de stratégies prédéfinies |

Comprendre les applications de stratégies prédéfinies liées à Internet

Lorsque vous créez une stratégie, vous pouvez spécifier des applications Internet prédéfinies pour cette stratégie.

Le tableau 1 répertorie les applications prédéfinies liées à Internet. Selon les exigences de votre réseau, vous pouvez choisir d’autoriser ou de refuser l’une ou l’autre de ces applications. Chaque entrée répertorie le nom de l’application, le port de réception par défaut et la description de l’application.

Tableau 1 : Applications prédéfinies
Nom de l’application	(s) port(s)	Description de l’application
AOL	5190-5193	America Online Internet Service Provider (ISP) fournit des applications Internet, de chat et de messagerie instantanée.
Relais DHCP	67 (par défaut)	Dynamic Host Configuration Protocol.
DHCP	68 clients 67 serveurs	Le protocole Dynamic Host Configuration Protocol alloue les adresses réseau et transmet les paramètres de configuration du serveur aux hôtes.
DNS	53	Le système de noms de domaine traduit les noms de domaine en adresses IP.
FTP	20 données Contrôle 21	Le protocole FTP (File Transfer Protocol) permet l’envoi et la réception de fichiers entre les machines. Vous pouvez choisir de refuser ou d’autoriser N’IMPORTE QUOI, ou de le autoriser ou le refuser de manière sélective. Nous vous recommandons de refuser les applications FTP à partir de sources non fiables (Internet).
Gopher	70	Gopher organise et affiche le contenu des serveurs Internet sous la forme d'une liste de fichiers structurée hiérarchiquement. Nous vous recommandons de refuser l’accès Gopher pour éviter d’exposer votre structure réseau.
HTTP	80	HyperText Transfer Protocol est le protocole sous-jacent utilisé par le World Wide Web (WWW). Le fait de refuser l’application HTTP empêche vos utilisateurs d’accéder à Internet. L’autorisation de l’application HTTP permet à vos hôtes fiables d’afficher Internet.
HTTP-EXT	—	Protocole de transfert de l’insétoie avec des ports étendus non standard
HTTPS	443	Le protocole DSL (En anglais) est un protocole permettant de transmettre des documents privés via Internet. Le refus du protocole HTTPS empêche vos utilisateurs d’acheter sur Internet et d’accéder à certaines ressources en ligne nécessitant un échange de mot de passe sécurisé. L’autorisation https permet à vos hôtes autorisés de participer à l’échange de mots de passe, d’effectuer des achats en ligne et de visiter diverses ressources en ligne protégées qui nécessitent une connexion utilisateur.
Service de localisateur d’Internet	—	Le service de localisateur d’Internet inclut ldap, service de localisateur d’utilisateurs et LDAP sur TSL/SSL.
IRC	6665-6669	Le chat relais Internet (IRC) permet aux personnes connectées à Internet de participer à des discussions en direct.
LDAP	389	Le protocole Lightweight Directory Access Protocol est un ensemble de protocoles utilisés pour accéder aux annuaires d’informations.
PC-Anywhere	—	PC-Anywhere est un logiciel de contrôle à distance et de transfert de fichiers.
TFTP	69	Le protocole TFTP (Trivial File Transfer Protocol) est un protocole permettant un transfert de fichiers simple.
WAIS	—	Le serveur d’informations étendus (Wide Area Information Server) est un programme qui détecte les documents sur Internet.

Note:

À partir de Junos OS Version Junos OS Version 18.4R1, les applications chiffrées telles que HTTP, SMTP, IMAP et POP3 sur SSL sont identifiées comme junos:HTTPS, junos:SMTPS, junos:IMAPS et junos:POP3S dans les applications et jeux d’applications prédéfinis par Junos OS. Par exemple : si vous configurez une stratégie de sécurité afin d’autoriser ou de refuser le trafic HTTPS, vous devez spécifier les critères de correspondance des applications sous la forme de junos:HTTPS. Dans les versions précédentes de Junos OS, les applications HTTP et HTTP chiffrées (HTTPS) peuvent être configurées à l’aide du même critère de correspondance d’application que junos:HTTP.

Comprendre les applications de stratégies prédéfinies microsoft

Lorsque vous créez une stratégie, vous pouvez spécifier des applications Microsoft prédéfinies pour cette stratégie.

Le tableau 2 répertorie les applications Microsoft prédéfinies, les paramètres associés à chaque application et une brève description de chaque application. Les paramètres comprennent les identifiants universels uniques (UUIDs) et les ports source et de destination TCP/UDP. Un UUID est un numéro unique de 128 bits généré à partir d’une adresse matérielle, d’un horodatage et de valeurs de graine.

Tableau 2 : Applications Microsoft prédéfinies
Application	Paramètre/UUID	Description
Junos MS-RPC-EPM	135 e1af8308-5d1f-11c9-91a4-08002b14a0fa	Protocole EPM (Endpoint Mapper) RPC (Remote Procedure Call) Microsoft.
Junos MS-RPC	—	Toutes les applications RPC (Remote Procedure Call) Microsoft.
Junos MS-RPC-MSEXCHANGE	3 membres	Le groupe d’applications Microsoft Exchange inclut : Junos-MS-RPC-MSEXCHANGE-DATABASE Junos-MS-RPC-MSEXCHANGE-DIRECTORY Junos-MS-RPC-MSEXCHANGE-INFO-STORE
Junos-MS-RPC-MSEXCHANGE-DATABASE	1a190310-bb9c-11cd-90f8-00aa00466520	Application de base de données Microsoft Exchange.
Junos-MS-RPC-MSEXCHANGE-DIRECTORY	f5cc5a18-4264-101a-8c59-08002b2f8426 f5cc5a7c-4264-101a-8c59-08002b2f8426 f5cc59b4-4264-101a-8c59-08002b2f8426	Application Microsoft Exchange Directory.
Junos-MS-RPC-MSEXCHANGE-INFO-STORE	0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde 1453c42c-0fa6-11d2-a910-00c04f990f3b 10f24e8e-0fa6-11d2-a910-00c04f990f3b 1544f5e0-613c-11d1-93df-00c04fd7bd09	Application du magasin d’informations Microsoft Exchange.
Junos-MS-RPC-TCP	—	Application TCP (Transmission Control Protocol) Microsoft.
Junos-MS-RPC-UDP	—	Application UDP (User Datagram Protocol) Microsoft.
Junos-MS-SQL	—	Langage SQL (Structured Query Language) Microsoft.
Junos-MSN	—	Application Microsoft Network Messenger.

Comprendre les protocoles de routage dynamiques Applications de stratégie prédéfinies

Lorsque vous créez une stratégie, vous pouvez spécifier des applications de protocole de routage dynamique prédéfinies pour cette stratégie.

En fonction de vos besoins en matière de réseau, vous pouvez choisir d’autoriser ou de refuser les messages générés par ces protocoles de routage dynamique et les paquets de ces protocoles de routage dynamique. Le tableau 3 répertorie chaque protocole de routage dynamique pris en charge par nom, port et description.

Tableau 3 : Protocoles de routage dynamique
Protocole de routage dynamique	Port	Description
RIP	520	RIP est un protocole de routage à distance commun.
OSPF	89	OSPF est un protocole de routage à l’état de lien commun.
BGP	179	BGP est un protocole de routage extérieur/interdomaine.

Comprendre les applications de stratégies prédéfinies par vidéo en streaming

Lorsque vous créez une stratégie, vous pouvez spécifier des applications vidéo en streaming prédéfinies pour cette stratégie.

Le tableau 4 répertorie chaque application vidéo en streaming prise en charge par son nom et comprend le port et la description par défaut. Selon les exigences de votre réseau, vous pouvez choisir d’autoriser ou de refuser l’une ou l’autre de ces applications.

Tableau 4 : Applications vidéo en streaming prises en charge
Application	Port	Description
H.323	source TCP 1-65535 ; Destination TCP 1720, 1503, 389, 522, 1731 source UDP 1-65535 ; Source UDP 1719	Le H.323 est une norme approuvée par l’Union internationale des télécommunications (UIT) qui définit la manière dont les données de conférence audiovisuelles sont transmises entre les réseaux.
Netmeeting	source TCP 1-65535 ; Destination TCP 1720, 1503, 389, 522 Source UDP 1719	Microsoft NetMeeting utilise TCP pour fournir des applications de téléconférence (vidéo et audio) sur Internet.
Médias réels	source TCP 1-65535 ; Destination TCP 7070	Real Media est une technologie de streaming vidéo et audio.
RTSP	554	Le protocole RTSP (Real-Time Streaming Protocol) est conçu pour la diffusion d’applications multimédias
SIP	5056	Le protocole SIP (Session Initiation Protocol) est un protocole de contrôle de la couche applicative permettant de créer, modifier et mettre fin aux sessions.
VDO en direct	source TCP 1-65535 ; Destination TCP 7000-7010	VDOLive est une technologie de streaming vidéo évolutive.

Comprendre les applications de stratégies prédéfinies par Sun RPC

Lorsque vous créez une stratégie, vous pouvez spécifier des applications Sun RPC prédéfinies pour cette stratégie.

Le tableau 5 répertorie le nom, les paramètres et le nom complet de chaque procédure distante Sun appelez la passerelle de couche applicative (RPC ALG).

Tableau 5 : Applications ALG RPC
Application	Numéros de programme	Nom complet
SUN-RPC-PORTMAPPER	111100000	Protocole Portmapper Sun RPC
SUN-RPC-ANY	TOUT	Toutes les applications RPC Sun
SUN-RPC-PROGRAM-MOUNTD	100005	Sun RPC Mount Daemon
SUN-RPC-PROGRAM-NFS	100003 100227	Système de fichiers réseau Sun RPC
SUN-RPC-PROGRAM-NLOCKMGR	100021	Gestionnaire de verrouillage du réseau Sun RPC
SUN-RPC-PROGRAM-RQUOTAD	100011	Sun RPC Remote Quota Daemon
SUN-RPC-PROGRAM-RSTATD	100001	Démon d’état distant Sun RPC
SUN-RPC-PROGRAM-RUSERD	100002	Démon de l’utilisateur distant Sun RPC
SUN-RPC-PROGRAM-SADMIND	100232	Démon d’administration du système Sun RPC
SUN-RPC-PROGRAM-SPRAYD	100012	Sun RPC Spray Daemon
ÉTAT DU PROGRAMME SUN-RPC	100024	État du RPC Sun
SUN-RPC-PROGRAM-WALLD	100008	Sun RPC Wall Daemon
SUN-RPC-PROGRAM-YPBIND	100007	Application de liaison de page jaune SUN RPC

Comprendre les applications de stratégie prédéfinies par tunnel et de sécurité

Lorsque vous créez une stratégie, vous pouvez spécifier des applications de sécurité et de tunnel prédéfinies pour cette stratégie.

Le tableau 6 répertorie chaque application prise en charge et donne le(s) port(s) par défaut et une description de chaque entrée.

Tableau 6 : Applications prises en charge
Application	Port	Description
IKE	source UDP 1-65535 ; Destination UDP 500	Internet Key Exchange est le protocole qui définit une association de sécurité dans la suite de protocoles IPsec. L’IKE (Internet Key Protocol) est un protocole permettant d’obtenir des documents de keying authentifiés utilisables avec ISAKMP.
IKE-NAT	4500	IKE-Network Address Translation (NAT) effectue un NAT de couche 3 pour le trafic IKE S2C.
L2TP	1701	L2TP associe LA SOLUTION FAI à L2F (Layer 2 Forwarding) pour l’accès à distance.
PPTP	1723	Le protocole de tunnelisation point à point permet aux entreprises d’étendre leur propre réseau privé via des tunnels privés via l’Internet public.

Comprendre les applications de stratégies prédéfinies liées à l’IP

Lorsque vous créez une stratégie, vous pouvez spécifier des applications IP prédéfinies pour cette stratégie.

Le tableau 7 répertorie les applications IP prédéfinies. Chaque entrée comprend le port par défaut et une description de l’application.

TCP-ANY désigne toute application utilisant TCP, de sorte qu’il n’y a pas de port par défaut. Il en va de même pour UDP-ANY.

Tableau 7 : Applications IP prédéfinies
Application	Port	Description
Tout	—	Toutes les applications
TCP-ANY	0-65,535	Tous les protocoles utilisant le protocole TCP
UDP-ANY	0-65,535	Tous les protocoles utilisant l’UDP

Comprendre les applications de stratégies prédéfinies par messagerie instantanée

Lorsque vous créez une stratégie, vous pouvez spécifier des applications de messagerie instantanée prédéfinies pour cette stratégie.

Le tableau 8 répertorie les applications de messagerie Internet prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou assigné, ainsi qu’une description de l’application.

Tableau 8 : Applications de messagerie Internet prédéfinies
Application	Port	Description
Gnutella	6 346 (par défaut)	Unix est un protocole de partage de fichiers dans le domaine public qui fonctionne sur un réseau distribué. Vous pouvez attribuer n’importe quel port, mais la valeur par défaut est 6346.
MSN	1863	Microsoft Network Messenger est un service public qui vous permet d’envoyer des messages instantanés et de discuter en ligne.
NNTP	119	Network News Transport Protocol est un protocole utilisé pour publier, distribuer et récupérer des messages USENET.
SMB	445	Le protocole SMB (Server Message Block) sur IP vous permet de lire et d’écrire des fichiers sur un serveur sur un réseau.
YMSG	5010	Yahoo! Messenger est un service public qui vous permet de vérifier quand d’autres sont en ligne, d’envoyer des messages instantanés et de parler en ligne.

Comprendre les applications de stratégies prédéfinies de gestion

Lorsque vous créez une stratégie, vous pouvez spécifier des applications de gestion prédéfinies pour cette stratégie.

Le tableau 9 répertorie les applications de gestion prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou assigné, ainsi qu’une description de l’application.

Tableau 9 : Applications de gestion prédéfinies
Application	Port	Description
NOM NBNAME	137	NetBIOS Nom de l’application affiche tous les paquets de nom NetBIOS envoyés sur le port UDP 137.
NDBDS	138	L’application NetBIOS Datagram, publiée par IBM, fournit des applications sans connexion (datagramme) aux PC connectés à un support de diffusion afin de localiser les ressources, lancer des sessions et mettre fin aux sessions. Il n’est pas fiable et les paquets ne sont pas enchaînés.
NFS	—	Le système de fichiers réseau utilise l’UDP pour permettre aux utilisateurs du réseau d’accéder aux fichiers partagés stockés sur des ordinateurs de différents types. SUN RPC est un composant de base de NFS.
NS Global	—	NS-Global est le protocole de gestion central pour les équipements de pare-feu/VPN Juniper Networks.
NS Global PRO	—	NS Global-PRO est le système de surveillance évolutif de la famille d’équipements de pare-feu/VPN Juniper Networks.
NSM	—	Network and Security Manager
NTP	123	Le protocole Network Time Protocol permet aux ordinateurs de synchroniser avec une référence temporelle.
RLOGIN	513	RLOGIN démarre une session de terminal sur un hôte distant.
RSH	514	RSH exécute une commande shell sur un hôte distant.
SNMP	161	Le protocole simple de gestion du réseau est un ensemble de protocoles permettant de gérer des réseaux complexes.
SQL*Net V1	66	SQL*Net Version 1 est un langage de base de données qui permet de créer, d’accéder, de modifier et de protéger les données.
SQL*Net V2	66	SQL*Net version 2 est un langage de base de données qui permet la création, l’accès, la modification et la protection des données.
MSSQL	1 433 (instance par défaut)	Microsoft SQL est un outil propriétaire de serveur de bases de données qui permet de créer, d’accéder, de modifier et de protéger les données.
SSH	22	SSH est un programme permettant de se connecter à un autre ordinateur via un réseau via une authentification forte et des communications sécurisées sur un canal non sécurisé.
SYSLOG	514	Syslog est un programme UNIX qui envoie des messages à l’enregistreur de journalisation système.
Parler	517-518	Talk est un programme de communication visuelle qui copie les lignes de votre terminal à celle d’un autre utilisateur.
Telnet	23	Telnet est un programme UNIX qui fournit une méthode standard d’interfaçage entre les terminaux et les processus orientés terminaux entre eux.
WinFrame	—	WinFrame est une technologie qui permet aux utilisateurs sur des machines non Windows d’exécuter des applications Windows.
X-Windows	—	X-Windows est le système de fenêtre et graphiques sur lequel Motif et OpenLook sont basés.

Comprendre les applications de stratégies prédéfinies par la messagerie

Lorsque vous créez une stratégie, vous pouvez spécifier des applications de messagerie prédéfinies pour cette stratégie.

Le tableau 10 répertorie les applications de messagerie prédéfinies. Chacune comprend le nom de l’application, le numéro de port par défaut ou assigné, ainsi qu’une description de l’application.

Tableau 10 : Applications de messagerie prédéfinies
Application	Port	Description
IMAP	143	Le protocole Internet Message Access Protocol permet de récupérer des messages.
Messagerie (SMTP)	25	Le protocole Simple Mail Transfer Protocol permet d’envoyer des messages entre les serveurs.
POP3	110	Le protocole Post Office sert à récupérer des e-mails.

Comprendre les applications de stratégies prédéfinies UNIX

Lorsque vous créez une stratégie, vous pouvez spécifier des applications UNIX prédéfinies pour cette stratégie.

Le tableau 11 répertorie les applications UNIX prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou assigné, ainsi qu’une description de l’application.

Tableau 11 : Applications UNIX prédéfinies
Application	Port	Description
DOIGT	79	Finger est un programme UNIX qui fournit des informations sur les utilisateurs.
UUCP	117	UUCP (UNIX-to-UNIX Copy Protocol) est un utilitaire UNIX qui permet les transferts de fichiers entre deux ordinateurs via une connexion directe série ou modem.

Comprendre les applications de stratégies prédéfinies diverses

Lorsque vous créez une stratégie, vous pouvez spécifier des applications prédéfinies diverses pour cette stratégie.

Le tableau 12 répertorie les applications diverses prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou assigné, ainsi qu’une description de l’application.

Tableau 12 : Applications diverses prédéfinies
Application	Port	Description
CHARGEN	19	Character Generator Protocol est un outil de débogage et de mesure basé sur UDP ou TCP.
JETER	9	Discard protocol est un protocole de couche applicative qui décrit un processus de rejet des données TCP ou UDP envoyées au port 9.
IDENT	113	Le protocole d’identification est un protocole de couche applicative TCP/IP utilisé pour l’authentification du client TCP.
LPR	515 écoutez; Plage source 721-731 (inclus)	Le protocole Line Printer Daemon est un protocole TCP utilisé pour l’impression d’applications.
RAYON	1812	L’application de service utilisateur d’authentification à distance par appel est un programme de serveur utilisé à des fins d’authentification et de comptabilisation.
Comptabilité RADIUS	1813	Un serveur RADIUS Accounting reçoit des données statistiques sur les utilisateurs qui se connectent ou sortent d’un réseau local.
SQLMON	1434 (port de surveillance SQL)	Surveillance SQL (Microsoft)
VNC	5800	L’informatique réseau virtuelle facilite la consultation et l’interaction avec un autre ordinateur ou appareil Juniper Networks mobile connecté à Internet.
WHOIS	43	Network Directory Application Protocol est un moyen de rechercher les noms de domaine.
SCCP	2000	Cisco Station Call Control Protocol (SCCP) utilise le port de contrôle de connexion de signalisation pour fournir une haute disponibilité et un contrôle de flux.

Comprendre les applications de stratégies prédéfinies ICMP

Lorsque vous créez une stratégie, vous pouvez spécifier l’application prédéfinie ICMP pour la stratégie.

Le protocole ICMP (Internet Control Message Protocol) fait partie de l’IP et permet d’interroger un réseau (messages d’requête ICMP) et de recevoir des commentaires du réseau concernant les modèles d’erreur (messages d’erreur ICMP). ICMP ne garantit toutefois pas la diffusion des messages d’erreur ni la communication de tous les datagrammes perdus ; et ce n’est pas un protocole fiable. Les codes et codes de type ICMP décrivent les messages de requête ICMP et les messages d’erreur ICMP.

Vous pouvez choisir d’autoriser ou de refuser tout ou partie des messages ICMP afin d’améliorer la sécurité du réseau. Certains types de messages ICMP peuvent être exploités pour obtenir des informations sur votre réseau susceptibles de compromettre la sécurité. Par exemple, des paquets ICMP, TCP ou UDP peuvent être construits pour renvoyer des messages d’erreur ICMP contenant des informations sur un réseau, telles que sa topologie et ses caractéristiques de filtrage de liste d’accès. Le tableau 13 répertorie les noms de messages ICMP, le code, le type et la description correspondants.

Tableau 13 : Messages ICMP
Nom du message ICMP	Type	Code	Description
ICMP-ANY	Tous	Tous	ICMP-ANY affecte tous les protocoles utilisant ICMP. Refuser ICMP-ANY nuit à toute tentative de ping ou de surveillance d’un réseau à l’aide d’ICMP. L’autorisation d’ICMP-ANY permet d’autoriser tous les messages ICMP.
ICMP-ADDRESS-MASK Demande Réponse	17 18	0 0	La requête de masque d’adresse ICMP est utilisée pour les systèmes qui ont besoin du masque de sous-réseau local à partir d’un serveur bootstrap. Refuser les messages de demande de masque d’adresse ICMP peut nuire aux systèmes sans disque. L’autorisation des messages de demande de masque d’adresse ICMP peut permettre à d’autres personnes d’empreintes numériques du système d’exploitation d’un hôte sur votre réseau.
ICMP-DEST-UNREACH	3	0	Le message d’erreur de destination inatteignable ICMP indique que l’hôte de destination est configuré pour rejeter les paquets. Les codes 0, 1, 4 ou 5 peuvent provenir d’une passerelle. Les codes 2 ou 3 peuvent provenir d’un hôte (RFC 792). Refuser les messages d’erreur impossibles à atteindre à destination ICMP peut supprimer le principe qu’un hôte est opérationnel derrière un équipement SRX Series. En autorisant l’envoi de messages d’erreur impossibles à atteindre à destination ICMP, certaines hypothèses peuvent être formulées concernant le réseau, telles que le filtrage de sécurité.
Fragment ICMP requis	3	4	Le message d'erreur de fragmentation ICMP indique que la fragmentation est nécessaire, mais que l'indicateur de fragmentation n'est pas défini. Nous vous recommandons de refuser ces messages d’Internet à un réseau interne.
Fragment ICMPReassembly	11	1	L’erreur de réassemblage du temps de réassemblage ICMP indique qu’un hôte réassemblé un message fragmenté a manqué de temps et a perdu le paquet. Ce message est parfois envoyé. Nous vous recommandons de refuser ces messages depuis Internet (externe) vers le réseau (interne) approuvé.
ICMP-HOST-UNREACH	3	1	Les messages d’erreur inatteignables de l’hôte ICMP indiquent que les entrées de la table de routage ne font pas la liste ou la liste à l’infini d’un hôte particulier. Parfois, cette erreur est envoyée par des passerelles qui ne peuvent pas fragmenter lorsqu’un paquet nécessitant une fragmentation est reçu. Nous vous recommandons de refuser ces messages d’Internet à un réseau de confiance. L’autorisation de ces messages permet à d’autres d’être en mesure de déterminer vos adresses IP d’hôtes internes par un processus d’élimination ou d’établir des hypothèses sur les passerelles et la fragmentation.
ICMP-INFO Demande Réponse	15 16	0 0	Les messages d’interrogation ICMP-INFO permettent aux systèmes hôtes sans disque d’interroger le réseau et de s’auto-configurer. Refuser les messages de demande de masque d’adresse ICMP peut nuire aux systèmes sans disque. L’autorisation des messages de demande de masque d’adresse ICMP peut permettre à d’autres personnes de transmettre des requêtes d’informations à un segment réseau afin de déterminer le type d’ordinateur.
PROBLÈME ICMP-PARAMETER	12	0	Les messages d’erreur de problème des paramètres ICMP vous avertissent lorsque des paramètres d’en-tête incorrects sont présents et ont provoqué l’abandon d’un paquet Nous vous recommandons de refuser ces messages d’Internet à un réseau de confiance. En autorisant les messages d’erreur de problème de paramètres ICMP, d’autres personnes peuvent établir des hypothèses sur votre réseau.
ICMP-PORT-UNREACH	3	3	Les messages d’erreur impossibles à atteindre sur le port ICMP indiquent que les passerelles qui traitent des datagrammes demandant certains ports ne sont pas disponibles ou ne sont pas prises en charge dans le réseau. Nous vous recommandons de refuser ces messages d’Internet à un réseau de confiance. En autorisant les messages d’erreur impossibles à atteindre sur le port ICMP, d’autres peuvent déterminer les ports que vous utilisez pour certains protocoles.
ICMP-PROTOCOL-UNREACH	3	2	Les messages d’erreur impossibles à atteindre dans le protocole ICMP indiquent que les passerelles qui traitent des datagrammes demandant certains protocoles ne sont pas disponibles ou ne sont pas prises en charge sur le réseau. Nous vous recommandons de refuser ces messages d’Internet à un réseau de confiance. En autorisant les messages d’erreur impossibles à atteindre dans le protocole ICMP, d’autres personnes peuvent déterminer les protocoles que votre réseau exécute.
REDIRECTION ICMP	5	0	Les messages d’erreur réseau de redirection ICMP sont envoyés par un équipement SRX Series. Nous vous recommandons de refuser ces messages d’Internet à un réseau de confiance.
HÔTE DE REDIRECTION ICMP	5	1	Les messages de redirection ICMP indiquent des datagrammes destinés à l’hôte spécifié qui seront envoyés le long d’un autre chemin.
REDIRECT-TOS-HOST ICMP	5	3	Le type de service de redirection ICMP (TOS) et l’erreur d’hôte sont un type de message.
ICMP-REDIRECT-TOS-NET	5	2	Redirection ICMP TOS et l’erreur réseau est un type de message.
ICMP-SOURCE-QUENCH	4	0	Le message d’erreuration de source ICMP indique qu’un équipement ne dispose pas de l’espace tampon pour accepter, faire la file d’attente et envoyer les paquets au saut suivant. Refuser ces messages n’aidera pas ou ne nuira pas aux performances du réseau interne. L’autorisation de ces messages peut permettre à d’autres de savoir qu’un équipement est encombré, ce qui en fait une cible d’attaque viable.
ICMP-SOURCE-ROUTE-FAIL	3	5	Message d’erreur d’erreur d’échec du routage source ICMP Nous vous recommandons de refuser ces messages depuis Internet (externe).
ICMP-TIME-EXCEEDED	11	0	Le message d'erreur TTL (Time-to-Live) ICMP indique que le paramètre TTL d'un paquet a atteint zéro avant que le paquet n'atteigne sa destination. Cela garantit que les anciens paquets sont jetés avant que les paquets de nouveau ne soient traités. Nous vous recommandons de refuser ces messages d’un réseau fiable vers Internet.
HORODATAGE ICMP Demande Réponse	13 14	0 0	Les messages d’interrogation ICMP-TIMESTAMP fournissent le mécanisme permettant de synchroniser l’heure et de coordonner la distribution de l’heure dans un grand réseau diversifié.
Ping (ICMP ECHO)	8	0	Le ping est un utilitaire permettant de déterminer si un hôte spécifique est accessible par son adresse IP. Le refus de la fonctionnalité ping empêche de vérifier si un hôte est actif. Autoriser le ping peut permettre à d’autres d’exécuter une attaque par déni de service (DoS) ou schtroumpf.
ICMP-ECHO-FRAGMENT-ASSEMBLY-EXPIRE	11	1	Le message d’erreur ayant expiré lors du réassemblage d’écho ICMP indique que le temps d’assemblage a été dépassé. Nous vous recommandons de refuser ces messages.
Traceroute Avant Jeter	30 30	0 1	Traceroute est un utilitaire qui indique le chemin d’accès à un hôte spécifique. Nous vous recommandons de refuser cette utilité depuis Internet (externe) vers votre réseau de confiance (interne).

Comportement par défaut des erreurs inatteignables ICMP

Pour différents niveaux de sécurité, le comportement par défaut des erreurs inatteignables ICMP est géré comme suit :

Les sessions sont clôturées pour les messages ICMP de type 3, code-0, code-1, code-2 et code-3 uniquement lorsque les conditions suivantes sont remplies :
- Le message ICMP inatteignable est reçu dans la direction du serveur jusqu’au client.
- Aucun paquet normal n’est reçu dans la direction du serveur jusqu’au client.
Sinon, les sessions ne se terminent pas.
Les sessions ne se ferment pas pour les messages ICMP type 3, code-4.

Exemple : définition d’une application ICMP personnalisée

Cet exemple montre comment définir une application ICMP personnalisée.

Exigences
Aperçu
Configuration
Vérification

Exigences

Avant de commencer :

Comprenez l’application de stratégies personnalisées. Voir Understanding Custom Policy Applications( Comprendre les applications de stratégies personnalisées).
Comprenez l’application de stratégies prédéfinies ICMP. Voir Understanding ICMP Prédéfini Policy Applications.

Aperçu

Junos OS prend en charge ICMP (ainsi que plusieurs messages ICMP) en tant qu’applications prédéfinies ou personnalisées. Lors de la configuration d’une application ICMP personnalisée, vous définissez un type et un code.

ICMP comporte différents types de messages. Par exemple :
- type 0 = Message de requête d’écho
- type 3 = message destination inatteignable

Un type de message ICMP peut également comporter un code de message. Le code fournit des informations plus spécifiques sur le message, comme illustré dans le tableau 14.

Tableau 14 : Descriptions des messages
Message Type	Message Code
5 = Redirection	0 = Datagramme de redirection pour le réseau (ou sous-réseau)
	1 = Datagramme de redirection pour l’hôte
	2 = Datagramme de redirection pour le type d’application et de réseau
	3 = Datagramme de redirection pour le type d’application et d’hôte
11 = Délais dépassés	0 = Temps de vie dépassé en transit
	1 = Temps de réassemblage fragmenté dépassé

Junos OS prend en charge tout type ou code dans la plage de jusqu’à 0 55 .

Dans cet exemple, vous définissez une application personnalisée nommée host-inreachable en utilisant ICMP comme protocole de transport. Le type est 3 (pour destination inatteignable) et le code 1 (pour l’hôte inaccessible). Vous définissez la valeur du délai d’expiration à 4 minutes.

Note:

Pour plus d’informations sur les types et codes ICMP, reportez-vous à la norme RFC 792, Internet Control Message Protocol.

Configuration

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour définir une application ICMP personnalisée :

Définissez le type et le code de l’application.

Définissez la valeur du délai d’expiration d’inactivité.

Si vous avez terminé la configuration de l’unité, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez la show applications commande.

SUR CETTE PAGE

Applications de stratégies prédéfinies