IDS no MS-DPC
Entendendo a proteção contra cookies SYN em um MS-DPC
O cookie SYN é um mecanismo de proxy SYN sem estado que você pode usar em conjunto com outras defesas contra um ataque de inundação SYN. O cookie SYN é suportado na placa multisserviços MS-DPC.
Assim como no proxy SYN tradicional, o cookie SYN é ativado quando o limite de ataque de inundação SYN é excedido. No entanto, como o cookie SYN não tem estado, ele não configura uma sessão ou política e roteia pesquisas após o recebimento de um segmento SYN e não mantém filas de solicitação de conexão. Isso reduz drasticamente o uso de CPU e memória e é a principal vantagem de usar o cookie SYN em relação ao mecanismo de proxy SYN tradicional.
Quando o cookie SYN é habilitado no Junos OS e se torna o proxy de negociação de TCP para o servidor de destino, ele responde a cada segmento SYN de entrada com um SYN/ACK contendo um cookie criptografado como seu número de sequência inicial (ISN). O cookie é um hash MD5 do endereço de origem e número da porta original, endereço de destino e número da porta e ISN do pacote SYN original. Após enviar o cookie, o Junos OS descarta o pacote SYN original e exclui o cookie calculado da memória. Se não houver resposta ao pacote que contém o cookie, o ataque será anotado como um ataque SYN ativo e será efetivamente interrompido.
Se o host iniciador responder com um pacote TCP contendo o cookie +1 no campo TCP ACK, o Junos OS extrai o cookie, subtrai 1 do valor e recalcula o cookie para validar que é um ACK legítimo. Se for legítimo, o Junos OS inicia o processo de proxy TCP configurando uma sessão e enviando um SYN ao servidor contendo as informações de origem do SYN original. Quando o Junos OS recebe um SYN/ACK do servidor, ele envia ACKs para o servidor e para o host de iniciação. Neste ponto, a conexão é estabelecida e o host e o servidor podem se comunicar diretamente.
O uso do cookie SYN ou proxy SYN permite que o dispositivo roteador proteja os servidores TCP por trás dele contra ataques de inundação SYN em fluxos IPv6.
A Figura 1 mostra como uma conexão é estabelecida entre um host inicial e um servidor quando o cookie SYN está ativo no Junos OS.
Configurando regras de IDS em um MS-DPC
As regras IDS configuradas com um MS-DPC identificam o tráfego para o qual você deseja que o software do roteador conte eventos. Como o IDS é baseado em propriedades de firewall stateful, você deve configurar pelo menos uma regra de firewall stateful e incluí-la no conjunto de serviços com as regras IDS; Para obter mais informações, consulte Configurando regras de Firewall com estado.
Para configurar a proteção contra ataques de rede com um MS-MPC, consulte Configurando a proteção contra ataques de rede em um MS-MPC.
Para configurar uma regra de IDS, inclua a rule rule-name declaração no nível da [edit services ids] hierarquia:
[edit services ids] rule rule-name { match-direction (input | output | input-output); term term-name { from { application-sets set-name; applications [ application-names ]; destination-address (address | any-unicast) <except>; destination-address-range low minimum-value high maximum-value <except>; destination-prefix-list list-name <except>; source-address (address | any-unicast) <except>; source-address-range low minimum-value high maximum-value <except>; source-prefix-list list-name <except>; } then { aggregation (IDS) { destination-prefix prefix-value | destination-prefix-ipv6 prefix-value; source-prefix prefix-value | source-prefix-ipv6 prefix-value; } (force-entry | ignore-entry); logging { syslog; threshold rate; } session-limit { by-destination (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-pair (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-source (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } } syn-cookie { mss value; threshold rate; } } } }
Cada regra de IDS consiste em um conjunto de termos, semelhante a um filtro configurado no nível de [edit firewall] hierarquia. Um termo consiste no seguinte:
fromdeclaração — Especifica as condições de correspondência e os aplicativos incluídos e excluídos.thendeclaração — Especifica as ações e modificadores de ação a serem executados pelo software do roteador.
As seções a seguir descrevem o conteúdo da regra IDS com mais detalhes:
- Configuração da direção de correspondência para regras de IDS
- Configuração de condições de correspondência em regras de IDS
- Configuração de ações em regras de IDS
Configuração da direção de correspondência para regras de IDS
Cada regra deve incluir uma match-direction instrução que especifique se a correspondência é aplicada no lado de entrada ou saída da interface. Para configurar onde a correspondência é aplicada, inclua a match-direction (input | input-output | output) declaração no nível da [edit services ids rule rule-name] hierarquia:
[edit services ids rule rule-name] match-direction (input | output | input-output);
Se você configurar match-direction input-outputa criação de regras bidirecionais .
A direção da correspondência é usada em relação ao fluxo de tráfego pelo AS ou pelo PIC multisserviços. Quando um pacote é enviado ao PIC, as informações de direção são transportadas junto com ele.
Com um conjunto de serviços de interface, a direção do pacote é determinada pelo fato de um pacote estar entrando ou saindo da interface na qual o conjunto de serviços é aplicado.
Com um conjunto de serviços next-hop, a direção do pacote é determinada pela interface usada para rotear o pacote para o AS ou o PIC multisserviços. Se a interface interna for usada para rotear o pacote, a direção do pacote será a entrada. Se a interface externa for usada para direcionar o pacote para o PIC, a direção do pacote será a saída. Para obter mais informações sobre interfaces internas e externas, consulte Configurando conjuntos de serviços a serem aplicados a interfaces de serviços.
No PIC de AS ou Multisserviços, uma pesquisa de fluxo é executada. Se nenhum fluxo for encontrado, o processamento da regra será executado. Todas as regras no conjunto de serviços são consideradas. Durante o processamento da regra, a direção do pacote é comparada com as direções da regra. Somente as regras com informações de direção que correspondem à direção do pacote são consideradas.
Configuração de condições de correspondência em regras de IDS
Para configurar condições de correspondência de IDS, inclua a from declaração no nível da [edit services ids rule rule-name term term-name] hierarquia:
[edit services ids rule rule-name term term-name] from { application-sets set-name; applications [ application-names ]; destination-address (address | any-unicast) <except>; destination-address-range low minimum-value high maximum-value <except>; destination-prefix-list list-name <except>; source-address (address | any-unicast) <except>; source-address-range low minimum-value high maximum-value <except>; source-prefix-list list-name <except>; }
Se você omitir a from instrução, o software aceitará todos os eventos e os colocará no cache IDS para processamento.
O endereço de origem e o endereço de destino podem ser IPv4 ou IPv6. Você pode usar o endereço de destino, um intervalo de endereços de destino, um endereço de origem ou um intervalo de endereços de origem como uma condição de correspondência, da mesma forma que configuraria um filtro de firewall; para obter mais informações, consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiais de tráfego.
Como alternativa, você pode especificar uma lista de prefixos de origem ou destino incluindo a prefix-list instrução no nível da [edit policy-options] hierarquia e, em seguida, incluindo a destination-prefix-list instrução or source-prefix-list na regra IDS. Para obter um exemplo, consulte Exemplos: Configuração de regras de Firewall com estado.
Você também pode incluir definições de protocolo de aplicativo que você configurou no nível de [edit applications] hierarquia; para obter mais informações, consulte Configurando propriedades do aplicativo.
Para aplicar uma ou mais definições específicas de protocolo de aplicativo, inclua a
applicationsinstrução no nível de[edit services ids rule rule-name term term-name from]hierarquia.Para aplicar um ou mais conjuntos de definições de protocolo de aplicativo que você definiu, inclua a
application-setsinstrução no nível de[edit services ids rule rule-name term term-name from]hierarquia.Observação:Se você incluir uma das declarações que especifica protocolos de aplicação, o roteador deriva informações de porta e protocolo da configuração correspondente no
[edit applications]nível de hierarquia; você não pode especificar essas propriedades como condições de correspondência.
Se ocorrer uma correspondência em um aplicativo, o protocolo de aplicativo será exibido separadamente na saída do show services ids comando. Para obter mais informações, consulte o CLI Explorer.
Configuração de ações em regras de IDS
Para configurar ações do IDS, inclua a then declaração no nível da [edit services ids rule rule-name term term-name] hierarquia:
[edit services ids rule rule-name term term-name] then { aggregation (IDS) { destination-prefix prefix-value | destination-prefix-ipv6 prefix-value; source-prefix prefix-value | source-prefix-ipv6 prefix-value; } (force-entry | ignore-entry); logging { syslog; threshold rate; } session-limit { by-destination (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-pair (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-source (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } } syn-cookie { mss value; threshold rate; } }
Você pode configurar as seguintes ações possíveis:
aggregation— O roteador agrega o tráfego rotulado com os prefixos de origem ou destino especificados antes de passar os eventos para o processamento de IDS. Isso é útil se você quiser examinar todo o tráfego conectado a um host de origem ou destino específico. Para coletar tráfego com algum outro marcador, como um aplicativo ou porta específico, configure esse valor nas condições de correspondência.Para configurar prefixos de agregação, inclua a
aggregationdeclaração no nível da[edit services ids rule rule-name term term-name then]hierarquia e especifique valores parasource-prefix,destination-prefix source-prefix-ipv6oudestination-prefix-ipv6:[edit services ids rule rule-name term term-name then] aggregation (IDS) { destination-prefix prefix-value | destination-prefix-ipv6 prefix-value; source-prefix prefix-value | source-prefix-ipv6 prefix-value; }
O valor de
source-prefixedestination-prefixdeve ser um número inteiro entre 1 e 32. O valor desource-prefix-ipv6edestination-prefix-ipv6deve ser um número inteiro entre 1 e 128.(force-entry | ignore-entry)—force-entryfornece um local permanente nos caches IDS para eventos subsequentes após um evento ser registrado. Por padrão, o software IDS não registra informações sobre pacotes "bons" que não exibem comportamento suspeito. Você pode usar a instrução para registrar todo o tráfego de um host suspeito, mesmo oforce-entrytráfego que de outra forma não seria contado.ignore-entrygarante que todos os eventos IDS sejam ignorados. Você pode usar essa declaração para desconsiderar todo o tráfego de um host confiável, incluindo quaisquer anomalias temporárias que, de outra forma, o IDS contaria como eventos.Para configurar um comportamento de entrada diferente do padrão, inclua a
force-entryinstrução orignore-entryno nível da[edit services ids rule rule-name term term-name then]hierarquia:[edit services ids rule rule-name term term-name then] (force-entry | ignore-entry);
logging— O evento é registrado no arquivo de log do sistema.Para configurar o registro, inclua a
loggingdeclaração no nível da[edit services ids rule rule-name term term-name then]hierarquia:[edit services ids rule rule-name term term-name then] logging { syslog; threshold rate; }
Opcionalmente, você pode incluir uma taxa de limite para disparar a geração de mensagens de log do sistema. A taxa de limite é especificada em eventos por segundo. Os logs do IDS são gerados uma vez a cada 60 segundos para cada anomalia relatada. Os logs são gerados enquanto os eventos continuam.
session-limit— O roteador limita sessões abertas quando o limite especificado é atingido.Para configurar um limite, inclua a
session-limitdeclaração no nível da[edit services ids rule rule-name term term-name then]hierarquia:[edit services ids rule rule-name term term-name then] session-limit { by-destination (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-pair (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-source (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } }
Você configura os limites para limitação de fluxo com base na direção do tráfego:
Para limitar o número de sessões de saída de um host interno ou sub-rede, configure a
by-sourcedeclaração.Para limitar o número de sessões entre um par de endereços IP, sub-redes ou aplicativos, configure a
by-pairdeclaração.Para limitar o número de sessões de entrada a um endereço IP público externo ou sub-rede, configure a
by-destinationdeclaração.
Para cada direção, você pode configurar os seguintes valores limite:
hold-time seconds— Quando a medição ouratepacketsatingir o valor limite, interrompa todos os novos fluxos pelo número especificado de segundos. Uma vezhold-timeem vigor, o tráfego é bloqueado pelo tempo especificado, mesmo que a taxa diminua abaixo do limite especificado. Por padrão,hold-timetem um valor de 0; o intervalo é de 0 a 60 segundos.maximum number— Número máximo de sessões abertas por endereço IP ou sub-rede por aplicativo. O intervalo é de 1 a 32.767.packets number— Número máximo de pacotes por segundo (pps) por endereço IP ou sub-rede por aplicativo. O intervalo é de 4 a 2.147.483.647.rate number— Número máximo de sessões por segundo por endereço IP ou sub-rede por aplicativo. O intervalo é de 4 a 32.767.Se você incluir mais de um endereço de origem nas condições de correspondência configuradas no nível da hierarquia, os
[edit services ids rule rule-name term term-name from]limites serão aplicados a cada endereço de origem de forma independente. Por exemplo, a configuração a seguir permite 20 conexões de cada endereço de origem (10.1.1.1e10.1.1.2), não 20 conexões no total. A mesma lógica se aplica às condições eapplicationsdestination-addresscorrespondem.[edit services ids rule rule-name term term-name] from { source-address 10.1.1.1; source-address 10.1.1.2; } then { session-limit by-source { maximum 20; } }Observação:Os limites de IDS são aplicados a pacotes que são aceitos por regras de firewall stateful. Eles não são aplicados a pacotes descartados ou rejeitados por regras de firewall stateful. Por exemplo, se o firewall stateful aceitar 75 por cento do tráfego de entrada e os 25 por cento restantes forem rejeitados ou descartados, o limite de IDS se aplicará apenas a 75 por cento do tráfego.
syn-cookie— O roteador ativa mecanismos defensivos SYN-cookie.Para configurar valores de cookie SYN, inclua a
syn-cookiedeclaração no nível da[edit services ids rule rule-name term term-name then]hierarquia:[edit services ids rule rule-name term term-name then] syn-cookie { mss value; threshold rate; }
Se você habilitar defesas de cookie SYN, deverá incluir uma taxa de limite para disparar a atividade de cookie SYN e um valor de tamanho máximo de segmento (MSS) do Protocolo de Controle de Transmissão (TCP) para vinculação atrasada de TCP. A taxa limite é especificada em ataques SYN por segundo. Por padrão, o valor TCP MSS é 1500; o intervalo é de 128 a 8192.
Tratamento de ataques de inundação SYN e proteção contra cookies SYN
O principal objetivo de um ataque de inundação SYN é consumir todas as novas conexões de rede em um local e, assim, impedir que usuários autorizados e legítimos consigam se conectar aos recursos da rede. O pacote SYN (sincronizar número de sequência) é a primeira solicitação de conexão enviada a um sistema. O pacote SYN contém um ID ao qual o receptor é obrigado a responder. Se o pacote contiver uma ID ilegal, o sistema receptor receberá uma confirmação de conexão quando responder ao iniciador de conexão pretendido. Eventualmente, essa conexão semiaberta atinge o tempo limite e o canal de entrada no receptor fica disponível novamente para lidar normalmente com outra solicitação. Um ataque de inundação SYN envia tantas dessas solicitações que todas as conexões de entrada são continuamente amarradas aguardando confirmações que nunca são recebidas. Essa condição faz com que o servidor fique indisponível para usuários legais (exceto nos casos em que uma sessão de usuário é estabelecida exatamente no momento em que uma das conexões vinculadas expira). Um ataque de inundação SYN é um ataque sem conexão. Ele não requer endereços IP de origem reais e, por usar endereços IP ou de porta de destino legítimos, é praticamente impossível distinguir de pacotes legítimos. Portanto, é muito difícil evitar esse tipo de ataque usando apenas filtros ou regras de firewall stateful. Basicamente, existem apenas três métodos para se proteger desse tipo de ataque:
Intercept (ligação atrasada) — O firewall intercepta solicitações de sincronização TCP de entrada e estabelece uma conexão com o cliente em nome do servidor e com o servidor em nome do cliente. Se ambas as conexões forem bem-sucedidas, o firewall mesclará as duas conexões de forma transparente. O firewall geralmente tem tempos limite agressivos para evitar que seus próprios recursos sejam consumidos por um ataque SYN. Esta é a solução mais intensiva em termos de requisitos de processamento e memória.
Assistir (defesa SYN) — O firewall observa passivamente conexões semiabertas e fecha ativamente as conexões no servidor após um período de tempo configurável.
Cookie SYN — cookies SYN são opções específicas para o número de sequência TCP inicial escolhido pelo servidor TCP. Um host que solicita uma conexão deve responder com o cookie para se conectar a um soquete TCP aberto enquanto uma inundação SYN foi detectada como em andamento pelo IDS.
Os roteadores da Juniper Networks oferecem suporte à combinação de mecanismos de firewall stateful e IDS para oferecer suporte aos métodos de cookie and watch (defesa SYN). A chave para o ataque de inundação SYN é o preenchimento da fila SYN da vítima ou do elemento de rede atacado. O método de defesa contra cookies SYN permite que a vítima continue aceitando solicitações de conexão quando a fila SYN estiver cheia ou, no caso de aplicativos de firewall ou IDS, quando um determinado limite for atingido. Depois que o limite é atingido, um cookie criptográfico (um número de 32 bits) é criado a partir de informações no segmento SYN e o segmento SYN é descartado. O cookie é usado como o número de sequência inicial no SYN-ACK enviado ao cliente. O cookie (mais um) é retornado ao firewall ou aplicativo IDS como o número de confirmação no ACK de um cliente legítimo. O cookie retornado pode ser validado e as partes mais importantes do segmento SYN podem ser reconstruídas a partir do cookie, permitindo assim que uma conexão seja estabelecida. Como os clientes falsificados da inundação SYN nunca enviam ACKs, nenhum recurso é alocado para eles em qualquer estado quando os cookies SYN estão em uso. É preferível que você use contramedidas de inundação SYN apenas para hosts sob ataque. A tabela de anomalias pode ser usada para reconhecimento confiável de ataques ou pode ser habilitada dentro do firewall stateful. Esse tipo de configuração também ajuda a evitar o esgotamento dos recursos do sistema (especialmente a tabela de fluxo) em caso de ataques.
Ao combinar vários serviços, o caminho geral é um fator importante a ser considerado nas direções para frente e para trás. Isso é especialmente verdadeiro quando o NAT é implantado para determinar se o endereço pré-NAT ou pós-NAT deve ser usado para corresponder a uma regra. No caminho de encaminhamento de uma interface LAN para uma interface WAN, o IDS e o firewall stateful são executados primeiro, depois o NAT e, finalmente, o IPSec. Essa sequência de processamento de serviços indica que o firewall stateful deve corresponder em um endereço pré-NAT, enquanto o túnel IPSec corresponde ao endereço pós-NAT. No caminho de retorno, o pacote IPSec é processado primeiro, depois o NAT e, por fim, o firewall stateful. Essa ordem de processamento ainda permite que o IPSec corresponda a um endereço público e que o firewall stateful corresponda a um endereço privado. Você deve configurar separadamente os serviços de firewall, NAT e IDS. O processamento de pacotes se torna muito mais complicado quando o IPSec sobre GRE é implementado no roteador com outros serviços ativados. Esse comportamento ocorre porque o Junos OS trata os pacotes GRE de maneira única após o encapsulamento GRE. Depois que um pacote é encapsulado em um pacote GRE, ele é marcado com uma interface de entrada como a interface de saída do próximo salto. Esse método de marcação faz com que os pacotes GRE sejam bloqueados se algum filtro de entrada ou serviço de entrada não permitir esse serviço.
Os serviços do Junos OS oferecem suporte a um conjunto limitado de regras de IDS para ajudar a detectar ataques, como varredura de portas e anomalias nos padrões de tráfego. Ele também oferece suporte a alguma prevenção de ataques, limitando o número de fluxos, sessões e taxas. Além disso, ele protege contra ataques SYN implementando um mecanismo de cookie SYN. Como o serviço de Intrusion Detection and Prevention (IDP) não oferece suporte a assinaturas de aplicativos de camada superior, uma abordagem eficaz contra ataques é que a proteção contra um ataque SYN possa ser configurada. A solução IDP é em grande parte uma ferramenta de monitoramento e não uma ferramenta de prevenção essencial. Para evitar um ataque SYN, o roteador operará como um tipo de "proxy" SYN e utilizará valores de cookie. Quando esse recurso é ativado, o roteador responde ao pacote SYN inicial com um pacote SYN-ACK que contém um valor de cookie exclusivo no campo de número de sequência. Se o iniciador responder com o mesmo cookie no campo de sequência, o fluxo TCP será aceito; Se o respondente não responder ou se responder com o cookie errado, o fluxo será descartado. Para acionar essa defesa, você deve configurar um limite de cookie SYN. Para habilitar a defesa do cookie SYN, uma ação de regra IDS deve conter um limite que indique quando o recurso deve ser habilitado e um valor MSS para evitar que o roteador gerencie fragmentos segmentados ao atuar como um proxy SYN:
[edit] user@host# set services ids rule simple-ids term 1 then syn-cookie
Configuração de conjuntos de regras IDS em um MS-DPC
Você pode usar rule-set a instrução para definir uma coleção de regras IDS que determinam quais ações o software do roteador executa em pacotes no fluxo de dados. Isso é suportado na placa multisserviços MS-DPC. (Para configurar a proteção contra ataques de rede com um MS-MPC, consulte Configurando a proteção contra ataques de rede em um MS-MPC.)
Você define cada regra especificando um nome de regra e configurando termos. Em seguida, você especifica a ordem das regras incluindo a rule-set instrução no nível da [edit services ids] hierarquia com uma rule instrução para cada regra:
[edit services ids] rule-set rule-set-name { rule rule-name; }
O software do roteador processa as regras na ordem em que você as especifica na configuração. Se um termo em uma regra corresponder ao pacote, o roteador executará a ação correspondente e o processamento da regra será interrompido. Se nenhum termo em uma regra corresponder ao pacote, o processamento continuará para a próxima regra no conjunto de regras. Se nenhuma das regras corresponder ao pacote, o pacote será descartado por padrão.
Exemplos: Configuração de regras de IDS em um MS-DPC
A configuração a seguir adiciona uma entrada permanente à tabela de anomalias do IDS quando encontra um fluxo com o endereço de destino 10.410.6.2. Este exemplo é suportado na placa multisserviços MS-DPC. (Para configurar a proteção contra ataques de rede com um MS-MPC, consulte Configurando a proteção contra ataques de rede em um MS-MPC.)
[edit services ids]
rule simple_ids {
term 1 {
from {
destination-address 10.410.6.2/32;
}
then {
force-entry;
logging {
threshold 1;
syslog;
}
}
}
term default {
then {
aggregation {
source-prefix 24;
}
}
}
match-direction input;
}
A configuração do IDS funciona em conjunto com o mecanismo de firewall stateful e depende muito das anomalias relatadas pelo firewall stateful. O exemplo de configuração a seguir mostra essa relação:
[edit services ids]
rule simple_ids {
term 1 {
from {
source-address 10.30.20.2/32;
destination-address {
10.30.10.2/32;
10.30.1.2/32 except;
}
applications appl-ftp;
}
then {
force-entry;
logging {
threshold 5;
syslog;
}
syn-cookie {
threshold 10;
}
}
}
match-direction input;
}
[edit services stateful-firewall]
rule my-firewall-rule {
match-direction input-output;
term term1 {
from {
source-address 10.30.20.2/32;
applications appl-ftp ;
destination-address {
10.30.10.2/32;
10.30.1.2/32 except;
}
}
then {
accept;
syslog;
}
}
}
O firewall stateful ou serviço NAT é usado para gerar os dados de entrada para o aplicativo IDS. Ao habilitar e configurar um serviço IDS, você também deve habilitar o firewall stateful com pelo menos uma regra (aceitar ou descartar todo o tráfego). Quando o sistema está sob um ataque, o firewall stateful envia a lista correta e completa de eventos de ataque para o sistema IDS. Em seu ambiente de rede, você pode garantir que o sistema esteja totalmente protegido contra uma ampla gama de ataques para que o sistema IDS relate todos esses ataques. Você deve ter cuidado ao configurar o sistema para ser protegido contra todos os ataques e cenários de acesso não autenticado, para que a largura de banda do tráfego que o sistema manipula não seja sobrecarregada. Também é importante verificar a correlação entre as mensagens de syslog do firewall correspondentes aos ataques e as tabelas IDS. As tabelas IDS devem ter o mesmo número ou um pouco menor de anomalias ou erros em comparação com as mensagens syslog baseadas em firewall. Você pode usar os comandos show apropriados para exibir as tabelas IDS.
Uma regra de firewall stateful padrão pode ser tão simples quanto permitir apenas o início da conexão da interface interna para a interface externa e descartar todos os outros pacotes. No entanto, em um ambiente de rede real, as regras geralmente são mais complexas, como configurar apenas uma determinada porta de unidade tributária a ser aberta, usar gateways de camada de aplicativo (ALGs) para protocolos complicados e usar NAT para conexões de saída e hosts internos, como servidores HTTP. Portanto, é necessário também configurar o sistema conforme necessário para intertrabalhar com regras simples e complicadas. Por exemplo, se um ataque SYN for direcionado a um endereço interno que é simplesmente descartado, nenhuma anomalia precisará ser relatada ao sistema IDS. Mas se o ataque SYN for direcionado para o servidor HTTP real, as anomalias devem ser relatadas. O sistema IDS pode mitigar ataques SYN usando o recurso de defesa de cookie TCP SYN. Você pode habilitar a metodologia de proteção contra cookies SYN definindo um limite para SYNs por segundo para um determinado host e também um tamanho máximo de segmento (MSS). Como o sistema IDS usa o firewall stateful, uma regra de firewall deve ser definida no conjunto de serviços. Se você não configurar a from declaração em um firewall stateful (condição de correspondência de termo de regra) no nível de [edit services service-set service-set-name stateful-firewall-rules rule-name term term-name] hierarquia, isso significa que todos os eventos são colocados no cache IDS.
O exemplo a seguir mostra a configuração dos limites de fluxo:
[edit services ids]
rule ids-all {
match-direction input;
term t1 {
from {
application-sets alg-set;
}
then {
aggregation {
destination-prefix 30; /* IDS action aggregation */
}
logging {
threshold 10;
}
session-limit {
by-destination {
hold-time 0;
maximum 10;
packets 200;
rate 100;
}
by-pair {
hold-time 0;
maximum 10;
packets 200;
rate 100;
}
by-source {
hold-time 5;
maximum 10;
packets 200;
rate 100;
}
}
}
}
}