Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Proteção contra ataques de rede em MS-MPC e MS-MIC

Entender IDS sobre um MS-MPC

Serviços de detecção de invasões

As regras de IDS de detecção de invasões em um MS-MPC dão a você uma maneira de identificar e soltar tráfego que faz parte de um ataque de rede.

as regras da IDS fornecem um nível de filtragem mais granular do que os filtros de firewall e os policiais, que podem impedir bandeiras TCP ilícitas e outras combinações de sinalização ruim, além de aplicar limitação geral de taxas (consulte as Políticas de Roteamento, Filtros de Firewall e Guia do Usuário dos Agentes de tráfego). Você pode usar filtros de firewall e IDS para reduzir o tráfego que precisa ser processado por uma IDS geral.

Em uma IDS, você pode especificar:

  • Limites das sessões que se originam de fontes individuais ou que terminam em destinos individuais. Isso protege contra ataques de sondagem e inundação de rede.

  • Tipos de pacotes suspeitos a cair.

Para se proteger contra ataques de anomalias no header, uma verificação de integridade do header é executada automaticamente se você configurar uma regra de IDS, uma regra de firewall com estado ou uma NAT e aplicá-la ao conjunto de serviços. Você também pode configurar explicitamente uma verificação de integridade do header para o conjunto de serviços se você não designar o conjunto de serviços como uma IDS, uma regra de firewall com estado ou uma NAT geral.

Benefícios

  • Fornece proteção contra vários tipos de ataques de rede.

Limites de sessão

Você pode usar IDS regras para definir limites de sessão para o tráfego de uma origem individual ou para um destino individual. Isso protege contra ataques de sondagem e inundação de rede. O tráfego que excede os limites da sessão é descartado. Você pode especificar limites de sessão para tráfego com um protocolo IP específico, como o ICMP, ou para tráfego em geral.

Você decide se os limites se aplicam a endereços individuais ou a uma agregação de tráfego a partir de sub-redes individuais de um comprimento de prefixo específico. Por exemplo, se você agregar limites para sub-redes IPv4 com um comprimento de prefixo de 24, o tráfego de 192.0.2.2 e 192.0.2.3 será contabilizado contra os limites da sub-rede de 192.0.2.0/24.

Alguns ataques comuns de sondagem e inundação de rede que limitam a proteção da sessão incluem:

Limpeza de endereços ICMP

O invasor envia testes de solicitação de ICMP (pings) para vários alvos. Se uma máquina alvo responder, o invasor receberá o endereço IP do alvo.

Inundação ICMP

O invasor inunda uma máquina alvo enviando um grande número de pacotes DE ICMP de um ou mais endereços IP de origem. A máquina alvo usa seus recursos enquanto tenta processar esses pacotes DE ICMP e não pode mais processar tráfego válido.

Verificação de porta TCP

O invasor envia pacotes TCP SYN de uma única fonte para várias portas de destino da máquina alvo. Se o alvo responder a um SYN-ACK a partir de uma ou mais portas de destino, o invasor aprenderá quais portas estão abertas no alvo.

Inundação TCP SYN

O invasor inunda uma máquina alvo enviando um grande número de pacotes TCP SYN de um ou mais endereços IP de origem. O invasor pode usar endereços IP de origem real, o que resulta em uma conexão TCP concluída ou usar endereços IP de origem falsa, o que faz com que a conexão TCP não seja concluída. A meta cria estados para todas as conexões TCP concluídas e não preenchidas. O alvo usa seus recursos enquanto tenta gerenciar os estados de conexão e não pode mais processar tráfego válido.

Inundação de UDP

O invasor inunda uma máquina alvo enviando um grande número de pacotes de UDP de um ou mais endereços IP de origem. A máquina alvo usa seus recursos enquanto tenta processar esses pacotes UDP e não pode mais processar tráfego válido.

Os limites de sessão para tráfego de uma origem ou destino incluem:

  • número máximo de sessões simultâneas

  • número máximo de pacotes por segundo

  • número máximo de conexões por segundo

IDS também instala um filtro dinâmico nas PFEs das placas de linha para atividades suspeitas quando ocorrem as seguintes condições:

  • Os pacotes por segundo ou o número de conexões por segundo para uma origem ou endereço de destino individual (não para uma subnet) excederá quatro vezes o limite da sessão na IDS geral. Esse limite de sessão é a origem ou o destino geral da IDS, e não o limite especificado para um protocolo específico.

  • A porcentagem de utilização da CPU da placa de serviços ultrapassa um valor configurado (o valor padrão é de 90%).

O filtro dinâmico reduz o tráfego suspeito no PFE, e o tráfego não é enviado ao MS-MPC para ser processado pela IDS geral. Quando a taxa de pacote ou conexão não exceder mais quatro vezes o limite da IDS, o filtro dinâmico é eliminado.

Padrões de pacotes suspeitos

Você pode usar IDS regras básicas para identificar e soltar tráfego com um padrão de pacotes suspeito. Isso protege contra invasores que elaborarem pacotes inusitados para lançar negação de serviço ataques.

Padrões de pacotes e ataques suspeitos que você pode especificar em uma IDS regras são:

Ataque de fragmentação de ICMP

O invasor envia os pacotes ICMP alvo que são fragmentos de IP. Eles são considerados pacotes suspeitos, porque os pacotes ICMP costumam ser curtos. Quando o alvo recebe esses pacotes, os resultados podem variar de processar pacotes incorretamente até invadir todo o sistema.

Ataque de pacotes grandes ICMP

O invasor envia os quadros DE ICMP alvo com um comprimento de IP maior que 1.024 bytes. Eles são considerados pacotes suspeitos porque a maioria das mensagens de ICMP é pequena.

Ping ICMP do ataque mortal

O invasor envia os pacotes de ping ICMP alvo cujo comprimento de datagrama de IP (ip_len) excede o comprimento legal máximo (65.535 bytes) para pacotes IP, e o pacote é fragmentado. Quando o alvo tenta reencontrá-los, pode ocorrer um estouro de buffer, o que resulta em uma falha no sistema, no congelamento e na reinicialização.

ataque de opção ruim IP

O invasor envia os pacotes alvo com opções de IPv4 formatadas incorretamente ou headers de extensão IPv6. Isso pode causar problemas imprevisíveis, dependendo da implementação da pilha de IP dos roteadores e do alvo.

Opções de IPv4

Os invasores podem usar maliciosamente opções de IPv4 para negação de serviço ataques.

cabeamentos de extensão IPv6

Os invasores podem usar, maliciosamente, os cabeamentos de extensão para negação de serviço ataques ou desviar filtros.

ataque de teardrop IP

O invasor envia ao alvo pacotes IP fragmentados que se sobrepõem. A máquina alvo usa seus recursos enquanto tenta reassemgmentar os pacotes e não consegue mais processar tráfego válido.

ataque de protocolo desconhecido IP

O invasor envia os pacotes-alvo com números de protocolo superiores a 137 para IPv4 e 139 para IPv6. Um protocolo desconhecido pode ser malicioso.

Ataque terrestre

O invasor envia os pacotes SYN que contêm o endereço IP do alvo, como o destino e o endereço IP de origem. O alvo usa seus recursos conforme responde repetidamente a si mesmo. Em outra variação do ataque terrestre, os pacotes SYN também contêm as mesmas portas de origem e destino.

Ataque por fragmentação SYN

O invasor envia os fragmentos de pacote SYN alvo. O alvo armazena fragmentos SYN, esperando os fragmentos restantes chegar para que ele possa reassemgê-los e concluir a conexão. Uma inundação de fragmentos SYN acaba por preencher o buffer de memória do host, impedindo conexões de tráfego válidas.

Ataque TCP FIN Sem ACK

O invasor envia os pacotes TCP alvo que têm o bit FIN definido, mas que não têm o bit ACK. Isso pode permitir ao invasor identificar o sistema operacional do alvo ou identificar portas abertas no alvo.

TCP sem ataque de bandeira

O invasor envia os pacotes TCP alvo sem bandeiras. Isso pode causar comportamento imprevisível no alvo, dependendo da implementação da pilha de TCP.

Ataque TCP SYN FIN

O invasor envia os pacotes TCP alvo que têm o SYN e o conjunto de bits FIN. Isso pode causar comportamento imprevisível no alvo, dependendo da implementação da pilha de TCP.

Ataque TCP WinNuke

O invasor envia um segmento TCP com o conjunto de bandeiras urgente (URG) e destinado à porta 139 de um alvo em execução no Windows. Isso pode causar acidentes na máquina alvo.

Ataques de anomalia na cabeça

Para se proteger contra ataques de anomalias no header, uma verificação de integridade do header é executada automaticamente se você configurar uma regra IDS, uma regra de firewall com estado ou uma NAT e aplicá-la ao conjunto de serviços. Você também pode configurar explicitamente uma verificação de integridade do header para o conjunto de serviços se você não designar o conjunto de serviços como uma IDS, uma regra de firewall com estado ou uma NAT geral.

A verificação de integridade do header fornece proteção contra os seguintes ataques de anomalia no header:

Ping ICMP do ataque mortal

O invasor envia os pacotes de ping ICMP alvo cujo comprimento de datagrama de IP (ip_len) excede o comprimento legal máximo (65.535 bytes) para pacotes IP, e o pacote é fragmentado. Quando o alvo tenta reencontrá-los, pode ocorrer um estouro de buffer, o que resulta em uma falha no sistema, no congelamento e na reinicialização.

ataque de protocolo desconhecido IP

O invasor envia os pacotes-alvo com números de protocolo superiores a 137 para IPv4 e 139 para IPv6. Um protocolo desconhecido pode ser malicioso.

TCP sem ataque de bandeira

O invasor envia os pacotes TCP alvo sem bandeiras. Isso pode causar comportamento imprevisível no alvo, dependendo da implementação da pilha de TCP.

Ataque TCP SYN FIN

O invasor envia os pacotes TCP alvo que têm o SYN e o conjunto de bits FIN. Isso pode causar comportamento imprevisível no alvo, dependendo da implementação da pilha de TCP.

Ataque TCP FIN Sem ACK

O invasor envia os pacotes TCP alvo que têm o bit FIN definido, mas que não têm o bit ACK. Isso pode permitir ao invasor identificar o sistema operacional do alvo ou identificar portas abertas no alvo.

Configuração de proteção contra ataques de rede em um MS-MPC

Este tópico inclui as seguintes tarefas, que descreve como se proteger contra ataques de rede ao usar um MS-MPC:

Configurando proteção contra problemas de rede, inundações de rede e ataques de padrão suspeito

Você configura proteção contra ataques de sondagem de rede, ataques de inundação de rede e ataques de padrão suspeito configurando uma regra de serviço de detecção de invasão (IDS) e aplicando essa regra a um conjunto de serviços que está em um MS-MPC. Apenas o primeiro termo de uma IDS é usado, e apenas a primeira IDS de entrada e a primeira IDS de saída para um conjunto de serviços são usadas.

Configurar proteção contra problemas na rede, inundações na rede e ataques de padrão suspeito incluem:

Configurando IDS de regras e direção

Para cada IDS, você deve configurar um nome e a direção do tráfego ao qual ele é aplicado.

Para configurar o nome IDS de regras e direção:

  1. Especifique um nome para a IDS geral.
  2. Especifique se a IDS geral é aplicada ao tráfego de entrada, tráfego de saída ou ambos.

Configurando limites de sessão para sub-redes

Se você quiser aplicar limites de sessão a uma agregação de todos os ataques a ou a partir de sub-redes de destino ou origem individuais, em vez de endereços individuais, configure a agregação.

Para configurar a agregação de sub-rede:

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques de uma sub-rede IPv4 individual, especifique o comprimento do prefixo da subnet. O intervalo vai de 1 a 32.

    Por exemplo, a instrução a seguir configura um comprimento de prefixo IPv4 de 24, e ataques de 10.1.1.2 e 10.1.1.3 são contabilizados como ataques da sub-rede de 10.1.1/24.

    No entanto, se um único host em uma subnet gerar um grande número de ataques de sondagem ou inundação de rede, os fluxos para toda a subnet podem ser interrompidos.

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques de uma sub-rede IPv6 individual, especifique o comprimento do prefixo da subnet. O intervalo vai de 1 a 128.

    Por exemplo, a declaração a seguir configura um comprimento de prefixo IPv6 de 64, e ataques de 2001:db8:1234:72a2:2 e 2001:db8:1234:72a2::3 são contabilizados como ataques da subneta de 2001:db8:1234:72a2::64.

    No entanto, se um único host em uma subnet gerar um grande número de ataques de sondagem ou inundação de rede, os fluxos para toda a subnet podem ser interrompidos.

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques a uma subnet IPv4 individual, especifique o comprimento do prefixo da subnet. O intervalo vai de 1 a 32.

    Por exemplo, a instrução a seguir configura um comprimento de prefixo IPv4 de 24, e ataques a 10.1.1.2 e 10.1.1.3 são contabilizados como ataques à sub-rede de 10.1.1/24.

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques a uma subnet IPv6 individual, especifique o comprimento do prefixo da subnet. O intervalo vai de 1 a 128.

    Por exemplo, a declaração a seguir configura um comprimento de prefixo IPv6 de 64, e ataques a 2001:db8:1234:72a2:2 e 2001:db8:1234:72a2::3 são contabilizados como ataques à subneta de 2001:db8:1234:72a2::/64.

Configurando limites de sessão independentemente do protocolo

Se você quiser configurar limites de sessão para tráfego até um destino individual ou de uma origem individual, independentemente do protocolo, execute uma ou mais das seguintes tarefas:

  • Para configurar limites de sessão para endereços IP de origem ou sub-redes, independentemente de um protocolo:
    • Configure o número máximo de sessões simultâneas permitidas a partir de um endereço IP de origem individual ou subnet.

    • Configure o número máximo de pacotes por segundo permitido a partir de um endereço IP de origem individual ou subnet.

    • Configure o número máximo de conexões por segundo permitida a partir de um endereço IP de origem individual ou subnet.

  • Para configurar limites de sessão para endereços IP de destino ou sub-redes, independentemente de um protocolo:
    • Configure o número máximo de sessões simultâneas permitidas para um endereço IP ou subnet de destino individual.

    • Configure o número máximo de pacotes por segundo permitido para um endereço IP ou subnet de destino individual.

    • Configure o número máximo de conexões por segundo permitida para um endereço IP ou subnet de destino individual.

Configuração da proteção contra varredura de endereços ICMP

Para configurar a proteção contra varreduras de endereços ICMP, configure qualquer combinação das sessões simultâneas DE ICMP máximas permitidas, pacotes por segundo e conexões por segundo para uma fonte:

  • Configure o número máximo de sessões de ICMP simultânea permitidas a partir de um endereço IP de origem individual ou subnet.
  • Configure o número máximo de pacotes DE ICMP por segundo permitidos a partir de um endereço IP de origem individual ou subnet.
  • Configure o número máximo de conexões ICMP por segundo permitidas a partir de um endereço IP de origem individual ou subnet.

Configurando a proteção do TCP Port Scanner

Para configurar a proteção contra ataques de scanner de porta TCP, configure qualquer combinação das sessões simultâneas TCP permitidas e conexões por segundo para uma origem ou destino:

  • Configure o número máximo de sessões TCP simultâneas permitidas a partir de um endereço IP de origem individual ou subnet.
  • Configure o número máximo de conexões TCP por segundo permitido para um endereço IP de origem individual ou subnet.
  • Configure o número máximo de sessões TCP permitidas para um endereço IP ou subnet de destino individual.
  • Configure o número máximo de conexões TCP por segundo permitido para um endereço IP ou subnet de destino individual.

Configurando proteção contra inundações DE ICMP

Para configurar a proteção contra ataques de inundação DE ICMP, configure qualquer combinação das sessões simultâneas DE ICMP máximas permitidas, pacotes por segundo e número de conexões por segundo para um destino:

  • Configure o número máximo de sessões de ICMP simultâneas permitidas para um endereço IP ou subnet de destino individual.
  • Configure o número máximo de pacotes DE ICMP por segundo permitido para um endereço IP ou subnet de destino individual.
  • Configure o número máximo de conexões ICMP por segundo permitida para um endereço IP de destino individual ou subnet para ICMP.

Configurando a proteção contra inundações de UDP

Para configurar a proteção contra ataques de inundação de UDP, configure qualquer combinação das sessões simultâneas de UDP máximas permitidas, pacotes por segundo e conexões por segundo para um destino:

  • Configure o número máximo de sessões UDP simultâneas permitidas para um endereço IP ou subnet de destino individual.
  • Configure o número máximo de pacotes de UDP por segundo permitido para um IPaddress ou subnet de destino individual.
  • Configure o número máximo de conexões UDP por segundo permitido para um endereço IP ou subnet de destino individual.

Configuração da proteção contra inundações TCP SYN

Para configurar a proteção contra ataques de inundação TCP SYN, configure qualquer combinação das sessões simultâneas TCP máximas permitidas, pacotes por segundo e conexões por segundo para uma origem ou destino. Você também pode configurar o fechamento de conexões TCP não-estabelecedas após um tempo de saída:

  • Configure o número máximo de sessões TCP simultâneas permitidas a partir de um endereço IP de origem individual ou subnet.
  • Configure o número máximo de pacotes TCP por segundo permitido a partir de um endereço IP de origem individual ou subnet.
  • Configure o número máximo de conexões TCP por segundo permitidas a partir de um endereço IP de origem individual ou subnet.
  • Configure o número máximo de sessões TCP simultâneas permitidas para um endereço IP ou subnet de destino individual.
  • Configure o número máximo de conexões TCP por segundo permitido para um endereço IP ou subnet de destino individual.
  • Configure o número máximo de pacotes TCP por segundo permitido para um endereço IP ou subnet de destino individual.
  • Configure o fechamento de conexões TCP não definidas e a entrega de um TCP RST ao host final para limpar os estados TCP open-timeout [edit interfaces interface-name service-options] quando o valor no nível da hierarquia expirar.

Configuração da proteção contra fragmentação de ICMP

Para se proteger contra ataques de fragmentação de ICMP:

  • Configure a identificação e a entrega de pacotes ICMP que são fragmentos de IP.

Configuração da proteção de pacotes grandes ICMP

Para se proteger contra ataques de pacotes grandes do ICMP:

  • Configure a identificação e a entrega de pacotes ICMP maiores que 1.024 bytes.

Configuração de proteção contra opções de IP ruim

Para se proteger contra opções de IPv4 ou ataques de header de extensão IPv6:

  1. Configure o tipo de opções de IPv4 que o pacote pode incluir. Se o pacote incluir uma opção que não está configurada, o pacote será bloqueado. Se o pacote incluir uma opção configurada cujo comprimento é um valor ilícito, o pacote será descartado. Especificar permite any todas as opções.

    As opções de IPv4 suportadas sãoany, loose-source-route, route-record, security, stream-ide strict-source-routetimestamp.

    Se você não incluir a instrução allow-ip-options na IDS, os pacotes com qualquer tipo de opção IPv4 serão bloqueados.

  2. Configure o tipo de headers de extensão IPv6 que o pacote pode incluir. Se o pacote incluir um header de extensão que não está configurado, o pacote será bloqueado. Se o pacote incluir headers de extensão configurados que estão incorretos, o pacote será descartado. Especificar permite any que todos os headers de extensão.

    Os headers de extensão IPv6 suportados são any, dstoptsah, esp, fragment, hop-by-hop, e mobilityrouting.

    Caso você não inclua a instrução allow-ipv6-extension-header na IDS, pacotes com qualquer tipo de header de extensão serão descartados.

Configuração de proteção contra ataques terrestres

Para se proteger contra ataques terrestres:

  • Configure a identificação e a entrega de pacotes SYN que tenham o mesmo endereço IP de origem e destino ou o mesmo endereço e porta IP de origem e destino.

    Para especificar que os pacotes têm o mesmo endereço IP de origem e destino, ip-only use a opção; para especificar que os pacotes têm o mesmo endereço e porta IP de origem e destino, ip-port use a opção.

Configuração da proteção de fragmentados TCP SYN

Para se proteger contra ataques de fragmentação TCP SYN:

  • Configure a identificação e a entrega de pacotes TCP SYN que são fragmentos de IP:

Configurando a proteção do WinNuke

Para se proteger contra ataques do WinNuke:

  • Configure a identificação e a queda dos segmentos de TCP destinados à porta 139 e que tenham o conjunto de bandeiras urgente (URG).

Configuração do conjunto de serviços

Para aplicar as IDS de regras a um conjunto de serviços:

  1. Atribua a IDS a um conjunto de serviços que está em um MS-MPC.

    Se o conjunto de serviços estiver associado a uma interface AMS, os limites de sessão definidos por você serão aplicáveis a cada interface de membro.

  2. Limite os pacotes que a IDS processa configurando uma regra de firewall com estado (consulte Configurando regras de firewall com estado). A regra do firewall com estado pode identificar o tráfego que deve ser IDS o processamento ou o tráfego que deve IDS o processamento:
    • Para permitir IDS processamento no tráfego que corresponde à regra de firewall com estado, inclua no accept nível da [edit services stateful-firewall rule rule-name term term-name then] hierarquia.

    • Para IDS o processamento no tráfego que corresponde à regra de firewall com estado, inclua no accept skip-ids nível da [edit services stateful-firewall rule rule-name term term-name then] hierarquia.

  3. Atribua a regra de firewall com estado ao conjunto de serviços.

Configurando a proteção contra ataques de anomalia no header

Proteja-se contra ataques de anomalia no header usando um dos seguintes métodos para habilitar uma verificação de integridade do header, que deixa todos os pacotes com anomalias no header:

  • Configure uma regra de firewall com estado, uma NAT ou uma IDS e aplique-a ao conjunto de serviços que está em um MS-MPC. Uma verificação de integridade do header é ativada automaticamente.
  • Configure uma verificação de integridade do header para o conjunto de serviços que está em um MS-MPC.

Configurando o registro de gotas de pacote de proteção contra ataques de rede em um MS-MPC

Para configurar o registro de gotas de pacote decorrentes da integridade do header, do padrão de pacote suspeito e das verificações de limite de sessão executadas por um MS-MPC:

  1. Configure o registro de gotas de pacotes decorrentes de falhas de integridade do header e de padrões de pacotes suspeitos.
  2. Configure o registro de gotas de pacotes decorrentes de violações do limite de sessão.