Proteção contra ataques de rede no MS-MPC e MS-MIC
Entender o IDS em um MS-MPC
- Serviços de detecção de invasões
- Benefícios
- Limites de sessão
- Padrões suspeitos de pacotes
- Ataques de anomalias de cabeçalho
Serviços de detecção de invasões
As regras dos serviços de detecção de invasões (IDS) em um MS-MPC oferecem a você uma maneira de identificar e soltar o tráfego que faz parte de um ataque de rede.
As regras do IDS fornecem um nível mais granular de filtragem do que filtros de firewall e policiais, o que pode parar bandeiras ilegais de TCP e outras combinações de bandeiras ruins, e pode aplicar limitações gerais de taxa (veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego). Você pode usar filtros de firewall e policiais junto com o IDS para reduzir o tráfego que precisa ser processado por uma regra de IDS.
Em uma regra de IDS, você pode especificar:
Limites para as sessões que se originam de fontes individuais ou que terminam em destinos individuais. Isso protege contra ataques de sondagem e inundação de rede.
Tipos de pacotes suspeitos a serem largados.
Para se proteger contra ataques de anomalias de cabeçalho, uma verificação de integridade do cabeçalho é realizada automaticamente se você configurar uma regra de IDS, uma regra de firewall stateful ou uma regra NAT e aplicá-la ao conjunto de serviços. Você também pode configurar explicitamente uma verificação de integridade do cabeçalho para o conjunto de serviços se você não atribuir o conjunto de serviços a uma regra de IDS, regra de firewall stateful ou uma regra NAT.
Benefícios
Oferece proteção contra vários tipos de ataques de rede.
Limites de sessão
Você pode usar as regras do IDS para definir limites de sessão para o tráfego de uma fonte individual ou para um destino individual. Isso protege contra ataques de sondagem e inundação de rede. O tráfego que exceder os limites de sessão é descartado. Você pode especificar limites de sessão para tráfego com um protocolo IP específico, como ICMP, ou para tráfego em geral.
Você decide se os limites se aplicam a endereços individuais ou a uma agregação de tráfego de sub-redes individuais de um determinado comprimento de prefixo. Por exemplo, se você agregar limites para sub-redes IPv4 com um comprimento de prefixo de 24, o tráfego de 192.0.2.2 e 192.0.2.3 é contado em relação aos limites da sub-rede 192.0.2.0/24.
Alguns ataques comuns de sondagem de rede e inundação contra os quais os limites de sessão protegem incluem:
ICMP Address Sweep | O invasor envia sondas de solicitação de ICMP (pings) para vários alvos. Se uma máquina alvo responder, o invasor receberá o endereço IP do alvo. |
ICMP Flood | O invasor inunda uma máquina alvo enviando um grande número de pacotes ICMP de um ou mais endereços IP de origem. A máquina-alvo usa seus recursos enquanto tenta processar esses pacotes ICMP, e não pode mais processar tráfego válido. |
TCP Port Scan | O invasor envia pacotes TCP SYN de uma fonte para várias portas de destino da máquina alvo. Se o alvo responder com um SYN-ACK de uma ou mais portas de destino, o invasor saberá quais portas estão abertas no alvo. |
TCP SYN Flood | O invasor inunda uma máquina alvo enviando um grande número de pacotes TCP SYN de um ou mais endereços IP de origem. O invasor pode usar endereços IP de origem real, o que resulta em uma conexão TCP concluída ou pode usar endereços IP de origem falsos, resultando na não conclusão da conexão TCP. A meta cria estados para todas as conexões TCP completas e não concluídas. O alvo usa seus recursos enquanto tenta gerenciar os estados de conexão e não pode mais processar tráfego válido. |
UDP Flood | O invasor inunda uma máquina alvo enviando um grande número de pacotes UDP de um ou mais endereços IP de origem. A máquina-alvo usa seus recursos enquanto tenta processar esses pacotes UDP e não pode mais processar tráfego válido. |
Os limites de sessão para tráfego de uma fonte ou de um destino incluem:
número máximo de sessões simultâneas
número máximo de pacotes por segundo
número máximo de conexões por segundo
O IDS também instala um filtro dinâmico nos PFEs das placas de linha para atividades suspeitas quando ocorrem as seguintes condições:
Os pacotes por segundo ou o número de conexões por segundo para uma fonte ou endereço de destino individual (não para uma sub-rede) excedem quatro vezes o limite de sessão na regra IDS. Este limite de sessão é a fonte geral ou limite de destino para a regra IDS, não o limite especificado para um protocolo específico.
O percentual de utilização da CPU da placa de serviços excede um valor configurado (o valor padrão é de 90%).
O filtro dinâmico derruba o tráfego suspeito no PFE, e o tráfego não é enviado ao MS-MPC para ser processado pela regra IDS. Quando a taxa de pacote ou conexão não excede mais quatro vezes o limite na regra IDS, o filtro dinâmico é removido.
Padrões suspeitos de pacotes
Você pode usar as regras do IDS para identificar e soltar o tráfego com um padrão de pacote suspeito. Isso protege contra invasores que criam pacotes incomuns para lançar ataques de negação de serviço.
Padrões e ataques suspeitos de pacotes que você pode especificar em uma regra de IDS são:
ICMP fragmentation attack | O invasor envia os pacotes ICMP alvo que são fragmentos de IP. Estes são considerados pacotes suspeitos porque os pacotes ICMP geralmente são curtos. Quando o alvo recebe esses pacotes, os resultados podem variar desde o processamento de pacotes incorretamente até a falha de todo o sistema. |
ICMP large packet attack | O invasor envia os quadros ICMP alvo com um comprimento de IP superior a 1024 bytes. Estes são considerados pacotes suspeitos porque a maioria das mensagens ICMP são pequenas. |
ICMP Ping of death attack | O invasor envia os pacotes de ping ICMP alvo cujo comprimento de datagrama IP (ip_len) excede o comprimento legal máximo (65.535 bytes) para pacotes IP, e o pacote é fragmentado. Quando o alvo tenta remontar os pacotes IP, pode ocorrer um estouro de buffer, resultando em uma falha, congelamento e reiniciamento do sistema. |
IP Bad option attack | O invasor envia os pacotes alvo com opções IPv4 formatadas incorretamente ou cabeçalhos de extensão IPv6. Isso pode causar problemas imprevisíveis, dependendo da implementação da pilha IP dos roteadores e do alvo. |
IPv4 options | Os invasores podem usar maliciosamente opções IPv4 para ataques de negação de serviço. |
IPv6 extension headers | Os invasores podem usar cabeçalhos de extensão maliciosamente para ataques de negação de serviço ou para ignorar filtros. |
IP teardrop attack | O invasor envia os pacotes de IP fragmentados que se sobrepõem. A máquina-alvo usa seus recursos enquanto tenta remontar os pacotes e não pode mais processar tráfego válido. |
IP unknown protocol attack | O invasor envia os pacotes alvo com números de protocolo superiores a 137 para IPv4 e 139 para IPv6. Um protocolo desconhecido pode ser malicioso. |
Land attack | O invasor envia os pacotes SYN falsificados alvo que contêm o endereço IP do alvo como o destino e o endereço IP de origem. O alvo usa seus recursos conforme responde repetidamente a si mesmo. Em outra variação do ataque terrestre, os pacotes SYN também contêm as mesmas portas de origem e destino. |
SYN fragment attack | O invasor envia os fragmentos de pacote SYN alvo. O alvo caches fragmentos SYN, à espera da chegada dos fragmentos restantes para que ele possa remontá-los e completar a conexão. Uma inundação de fragmentos SYN eventualmente enche o buffer de memória do host, impedindo conexões de tráfego válidas. |
TCP FIN No ACK attack | O invasor envia os pacotes TCP alvo que têm o conjunto de bits FIN, mas que o ACK não é definido. Isso pode permitir que o invasor identifique o sistema operacional do alvo ou identifique portas abertas no alvo. |
TCP no flag attack | O invasor envia os pacotes TCP alvo sem bandeiras. Isso pode causar um comportamento imprevisível no alvo, dependendo da implementação da pilha TCP. |
TCP SYN FIN attack | O invasor envia os pacotes TCP alvo que têm o conjunto de bits SYN e FIN. Isso pode causar um comportamento imprevisível no alvo, dependendo da implementação da pilha TCP. |
TCP WinNuke attack | O invasor envia um segmento de TCP com o conjunto de bandeiras urgentes (URG) e destinado à porta 139 de um alvo que executa o Windows. Isso pode causar a falha da máquina alvo. |
Ataques de anomalias de cabeçalho
Para se proteger contra ataques de anomalias de cabeçalho, uma verificação de integridade do cabeçalho é realizada automaticamente se você configurar uma regra de IDS, uma regra de firewall stateful ou uma regra NAT e aplicá-la ao conjunto de serviços. Você também pode configurar explicitamente uma verificação de integridade do cabeçalho para o conjunto de serviços se você não atribuir o conjunto de serviços a uma regra de IDS, regra de firewall stateful ou uma regra NAT.
A verificação de integridade do cabeçalho oferece proteção contra os seguintes ataques de anomalia de cabeçalho:
ICMP Ping of death attack | O invasor envia os pacotes de ping ICMP alvo cujo comprimento de datagrama IP (ip_len) excede o comprimento legal máximo (65.535 bytes) para pacotes IP, e o pacote é fragmentado. Quando o alvo tenta remontar os pacotes IP, pode ocorrer um estouro de buffer, resultando em uma falha, congelamento e reiniciamento do sistema. |
IP unknown protocol attack | O invasor envia os pacotes alvo com números de protocolo superiores a 137 para IPv4 e 139 para IPv6. Um protocolo desconhecido pode ser malicioso. |
TCP no flag attack | O invasor envia os pacotes TCP alvo sem bandeiras. Isso pode causar um comportamento imprevisível no alvo, dependendo da implementação da pilha TCP. |
TCP SYN FIN attack | O invasor envia os pacotes TCP alvo que têm o conjunto de bits SYN e FIN. Isso pode causar um comportamento imprevisível no alvo, dependendo da implementação da pilha TCP. |
TCP FIN No ACK attack | O invasor envia os pacotes TCP alvo que têm o conjunto de bits FIN, mas que o ACK não é definido. Isso pode permitir que o invasor identifique o sistema operacional do alvo ou identifique portas abertas no alvo. |
Configurando a proteção contra ataques de rede em um MS-MPC
Este tópico inclui as seguintes tarefas, que descrevem como proteger contra ataques de rede ao usar um MS-MPC:
- Configuração da proteção contra sondagem de rede, inundações de rede e ataques de padrões suspeitos
- Configuração da proteção contra ataques de anomalias de cabeçalho
Configuração da proteção contra sondagem de rede, inundações de rede e ataques de padrões suspeitos
Você configura a proteção contra ataques de sondagem de rede, ataques de inundação de rede e ataques de padrões suspeitos configurando uma regra de serviço de detecção de intrusão (IDS) e, em seguida, aplicando essa regra a um conjunto de serviços que está em um MS-MPC. Apenas o primeiro termo de uma regra IDS é usado, e apenas a primeira regra de entrada IDS e a primeira regra de saída de IDS para um conjunto de serviços são usadas.
A configuração da proteção contra sondagem de rede, inundações de rede e ataques de padrões suspeitos inclui:
- Configuração do nome e direção das regras do IDS
- Configuração dos limites de sessão para sub-redes
- Configuração de limites de sessão independentemente do protocolo
- Configuração da proteção de varredura de endereços do ICMP
- Configuração da proteção do scanner de portas TCP
- Configuração da proteção contra inundações do ICMP
- Configuração da proteção contra inundações UDP
- Configuração da proteção contra inundações TCP SYN
- Configuração da proteção de fragmentação do ICMP
- Configuração da proteção de pacotes grandes do ICMP
- Configuração da proteção contra opções ruins de IP
- Configuração da proteção contra ataques terrestres
- Configuração da proteção contra fragmentos de SYN do TCP
- Configuração da proteção WinNuke
- Configuração do conjunto de serviços
Configuração do nome e direção das regras do IDS
Para cada regra de IDS, você deve configurar um nome e a direção do tráfego ao qual ele é aplicado.
Para configurar o nome e a direção da regra do IDS:
Configuração dos limites de sessão para sub-redes
Se você quiser aplicar limites de sessão a uma agregação de todos os ataques de ou para sub-redes de destino ou origem individuais, em vez de endereços individuais, configure a agregação.
Para configurar a agregação de sub-rede:
Configuração de limites de sessão independentemente do protocolo
Se você quiser configurar limites de sessão para tráfego para um destino individual ou de uma fonte individual independente do protocolo, execute uma ou mais das seguintes tarefas:
Configuração da proteção de varredura de endereços do ICMP
Para configurar a proteção contra varreduras de endereços ICMP, configure qualquer combinação das sessões simultâneas de ICMP permitidas, pacotes por segundo e conexões por segundo para uma fonte:
Configuração da proteção do scanner de portas TCP
Para configurar a proteção contra ataques de scanner de porta TCP, configure qualquer combinação das sessões e conexões simultâneas de TCP permitidas pelo máximo permitido por segundo para uma fonte ou destino:
Configuração da proteção contra inundações do ICMP
Para configurar a proteção contra ataques de inundação do ICMP, configure qualquer combinação das sessões simultâneas máximas permitidas do ICMP, pacotes por segundo e número de conexões por segundo para um destino:
Configuração da proteção contra inundações UDP
Para configurar a proteção contra ataques de inundação de UDP, configure qualquer combinação das sessões simultâneas de UDP permitidas, pacotes por segundo e conexões por segundo para um destino:
Configuração da proteção contra inundações TCP SYN
Para configurar a proteção contra ataques de inundação TCP SYN, configure qualquer combinação das sessões simultâneas de TCP permitidas, pacotes por segundo e conexões por segundo para uma fonte ou destino. Você também pode configurar o fechamento de conexões TCP inéditas após um intervalo:
Configuração da proteção de fragmentação do ICMP
Para proteger contra ataques de fragmentação do ICMP:
Configure a identificação e a queda de pacotes ICMP que são fragmentos de IP.
[edit services ids rule rule-name term term-name then] user@host# set icmp-fragment-check
Configuração da proteção de pacotes grandes do ICMP
Para proteger contra ataques de pacotes de grande porte de ICMP:
Configure a identificação e a queda de pacotes ICMP que são maiores que 1024 bytes.
[edit services ids rule rule-name term term-name then] user@host# set icmp-large-packet-check
Configuração da proteção contra opções ruins de IP
Para proteger contra opções ruins de IPv4 ou ataques de cabeçalho de extensão IPv6:
Configuração da proteção contra ataques terrestres
Para se proteger contra ataques de terra:
Configure a identificação e a queda de pacotes SYN que tenham o mesmo endereço IP de origem e destino ou o mesmo endereço e porta IP de origem e destino.
[edit services ids rule rule-name term term-name then] user@host# set land-attack-check (ip-only | ip-port)
Para especificar que os pacotes têm o mesmo endereço IP de origem e destino, use a opção
ip-only
; para especificar que os pacotes têm o mesmo endereço e porta IP de origem e destino, use a opçãoip-port
.
Configuração da proteção contra fragmentos de SYN do TCP
Para proteger contra ataques de fragmentos de TCP SYN:
Configure a identificação e a queda de pacotes TCP SYN que são fragmentos de IP:
[edit services ids rule rule-name term term-name then] user@host# set tcp-syn-fragment-check
Configuração da proteção WinNuke
Para se proteger contra ataques WinNuke:
Configure a identificação e a queda de segmentos de TCP destinados à porta 139 e que tenham a bandeira urgente (URG).
[edit services ids rule rule-name term term-name then] user@host# set tcp-winnuke-check
Configuração do conjunto de serviços
Para aplicar as ações de regra do IDS a um conjunto de serviços:
Configuração da proteção contra ataques de anomalias de cabeçalho
Proteja-se contra ataques de anomalia de cabeçalho usando qualquer um dos seguintes métodos para permitir uma verificação de integridade do cabeçalho, que derruba quaisquer pacotes com anomalias de cabeçalho:
Configuração do registro de quedas de pacote de proteção contra ataques de rede em um MS-MPC
Para configurar o registro de quedas de pacotes resultantes da integridade do cabeçalho, padrão suspeito de pacotes e verificações de limite de sessão realizadas por um MS-MPC: