Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Proteção contra ataques de rede no MS-MPC e MS-MIC

Entendendo o IDS em um MS-MPC

Serviços de detecção de invasões

As regras dos serviços de detecção de intrusão (IDS) em um MS-MPC oferecem uma maneira de identificar e descartar o tráfego que faz parte de um ataque à rede.

As regras de IDS fornecem um nível de filtragem mais granular do que os filtros de firewall e policiais, que podem parar sinalizadores TCP ilegais e outras combinações de sinalizadores ruins e podem impor uma limitação de taxa geral (consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiais de tráfego). Você pode usar filtros de firewall e policiais, juntamente com o IDS, para reduzir o tráfego que precisa ser processado por uma regra de IDS.

Em uma regra de IDS, você pode especificar:

  • Limites nas sessões que se originam de origens individuais ou que terminam em destinos individuais. Isso protege contra ataques de sondagem e inundação de rede.

  • Tipos de pacotes suspeitos a serem descartados.

Para proteger contra ataques de anomalia de cabeçalho, uma verificação de integridade de cabeçalho será executada automaticamente se você configurar uma regra IDS, uma regra de firewall stateful ou uma regra NAT e aplicá-la ao conjunto de serviços. Você também pode configurar explicitamente uma verificação de integridade de cabeçalho para o conjunto de serviços se não atribuir ao conjunto de serviços uma regra IDS, uma regra de firewall stateful ou uma regra NAT.

Benefícios

  • Fornece proteção contra vários tipos de ataques de rede.

Limites de sessão

Você pode usar regras de IDS para definir limites de sessão para o tráfego de uma origem individual ou para um destino individual. Isso protege contra ataques de sondagem e inundação de rede. O tráfego que excede os limites da sessão é descartado. Você pode especificar limites de sessão para tráfego com um protocolo IP específico, como ICMP, ou para tráfego em geral.

Você decide se os limites se aplicam a endereços individuais ou a uma agregação de tráfego de sub-redes individuais de um determinado comprimento de prefixo. Por exemplo, se você agregar limites para sub-redes IPv4 com um comprimento de prefixo de 24, o tráfego de 192.0.2.2 e 192.0.2.3 será contado em relação aos limites da sub-rede 192.0.2.0/24.

Alguns ataques comuns de sondagem e inundação de rede contra os quais os limites de sessão protegem incluem:

ICMP Address Sweep

O invasor envia sondas de solicitação ICMP (pings) para vários alvos. Se uma máquina de destino responder, o invasor receberá o endereço IP do alvo.
ICMP Flood

O invasor inunda uma máquina de destino enviando um grande número de pacotes ICMP de um ou mais endereços IP de origem. A máquina de destino usa seus recursos ao tentar processar esses pacotes ICMP e não pode mais processar tráfego válido.
TCP Port Scan

O invasor envia pacotes TCP SYN de uma fonte para várias portas de destino da máquina de destino. Se o alvo responder com um SYN-ACK de uma ou mais portas de destino, o invasor saberá quais portas estão abertas no alvo.
TCP SYN Flood

O invasor inunda uma máquina de destino enviando um grande número de pacotes TCP SYN de um ou mais endereços IP de origem. O invasor pode usar endereços IP de origem reais, o que resulta em uma conexão TCP concluída, ou pode usar endereços IP de origem falsos, resultando na não conclusão da conexão TCP. O destino cria estados para todas as conexões TCP concluídas e incompletas. O destino usa seus recursos enquanto tenta gerenciar os estados de conexão e não pode mais processar tráfego válido.
UDP Flood

O invasor inunda uma máquina de destino enviando um grande número de pacotes UDP de um ou mais endereços IP de origem. A máquina de destino usa seus recursos ao tentar processar esses pacotes UDP e não pode mais processar tráfego válido.

Os limites de sessão para o tráfego de uma origem ou para um destino incluem:

  • Número máximo de sessões simultâneas

  • Número máximo de pacotes por segundo

  • Número máximo de conexões por segundo

O IDS também instala um filtro dinâmico nos PFEs das placas de linha para atividades suspeitas quando ocorrem as seguintes condições:

  • Os pacotes por segundo ou o número de conexões por segundo para um endereço de origem ou destino individual (não para uma sub-rede) excedem quatro vezes o limite de sessão na regra IDS. Esse limite de sessão é o limite geral de origem ou destino para a regra IDS, não o limite especificado para um protocolo específico.

  • A porcentagem de utilização da CPU da placa de serviços excede um valor configurado (o valor padrão é 90%).

O filtro dinâmico descarta o tráfego suspeito no PFE e o tráfego não é enviado ao MS-MPC para ser processado pela regra IDS. Quando a taxa de pacotes ou conexões não excede mais quatro vezes o limite na regra IDS, o filtro dinâmico é removido.

Padrões de pacotes suspeitos

Você pode usar regras de IDS para identificar e descartar o tráfego com um padrão de pacote suspeito. Isso protege contra invasores que criam pacotes incomuns para lançar ataques de negação de serviço.

Os padrões de pacotes e ataques suspeitos que você pode especificar em uma regra de IDS são:

ICMP fragmentation attack

O invasor envia ao destino pacotes ICMP que são fragmentos de IP. Esses são considerados pacotes suspeitos porque os pacotes ICMP geralmente são curtos. Quando o alvo recebe esses pacotes, os resultados podem variar desde o processamento incorreto de pacotes até a falha em todo o sistema.
ICMP large packet attack

O invasor envia os quadros ICMP de destino com um comprimento de IP maior que 1024 bytes. Esses são considerados pacotes suspeitos porque a maioria das mensagens ICMP são pequenas.
ICMP Ping of death attack

O invasor envia ao ICMP de destino pacotes de ping cujo comprimento do datagrama IP (ip_len) excede o comprimento máximo legal (65.535 bytes) para pacotes IP e o pacote é fragmentado. Quando o destino tenta remontar os pacotes IP, pode ocorrer um estouro de buffer, resultando em uma falha, congelamento e reinicialização do sistema.
IP Bad option attack

O invasor envia os pacotes de destino com opções IPv4 ou cabeçalhos de extensão IPv6 formatados incorretamente. Isso pode causar problemas imprevisíveis, dependendo da implementação da pilha de IP dos roteadores e do alvo.
IPv4 options

Os invasores podem usar maliciosamente as opções IPv4 para ataques de negação de serviço.
IPv6 extension headers

Os invasores podem usar cabeçalhos de extensão mal-intencionados para ataques de negação de serviço ou para contornar filtros.
IP teardrop attack

O invasor envia ao alvo pacotes IP fragmentados que se sobrepõem. A máquina de destino usa seus recursos ao tentar remontar os pacotes e não pode mais processar tráfego válido.
IP unknown protocol attack

O invasor envia ao alvo pacotes com números de protocolo maiores que 137 para IPv4 e 139 para IPv6. Um protocolo desconhecido pode ser malicioso.
Land attack

O invasor envia ao alvo pacotes SYN falsificados que contêm o endereço IP do alvo como endereço IP de destino e de origem. O alvo usa seus recursos à medida que responde repetidamente a si mesmo. Em outra variação do ataque terrestre, os pacotes SYN também contêm as mesmas portas de origem e destino.
SYN fragment attack

O invasor envia fragmentos de pacote SYN ao alvo. O destino armazena em cache os fragmentos SYN, aguardando a chegada dos fragmentos restantes para que ele possa remontá-los e concluir a conexão. Uma enxurrada de fragmentos SYN eventualmente preenche o buffer de memória do host, impedindo conexões de tráfego válidas.
TCP FIN No ACK attack

O invasor envia os pacotes TCP de destino que têm o bit FIN definido, mas têm o bit ACK não definido. Isso pode permitir que o invasor identifique o sistema operacional do alvo ou identifique portas abertas no alvo.
TCP no flag attack

O invasor envia ao destino pacotes TCP sem sinalizadores. Isso pode causar um comportamento imprevisível no destino, dependendo da implementação da pilha TCP.
TCP SYN FIN attack

O invasor envia ao destino pacotes TCP que têm os bits SYN e FIN definidos. Isso pode causar um comportamento imprevisível no destino, dependendo da implementação da pilha TCP.
TCP WinNuke attack

O invasor envia um segmento TCP com o sinalizador urgente (URG) definido e destinado à porta 139 de um destino que executa o Windows. Isso pode fazer com que a máquina de destino trave.

Ataques de anomalia de cabeçalho

Para proteger contra ataques de anomalia de cabeçalho, uma verificação de integridade de cabeçalho será executada automaticamente se você configurar uma regra IDS, uma regra de firewall stateful ou uma regra NAT e aplicá-la ao conjunto de serviços. Você também pode configurar explicitamente uma verificação de integridade de cabeçalho para o conjunto de serviços se não atribuir ao conjunto de serviços uma regra IDS, uma regra de firewall stateful ou uma regra NAT.

A verificação de integridade do cabeçalho fornece proteção contra os seguintes ataques de anomalia de cabeçalho:

ICMP Ping of death attack

O invasor envia ao ICMP de destino pacotes de ping cujo comprimento do datagrama IP (ip_len) excede o comprimento máximo legal (65.535 bytes) para pacotes IP e o pacote é fragmentado. Quando o destino tenta remontar os pacotes IP, pode ocorrer um estouro de buffer, resultando em uma falha, congelamento e reinicialização do sistema.
IP unknown protocol attack

O invasor envia ao alvo pacotes com números de protocolo maiores que 137 para IPv4 e 139 para IPv6. Um protocolo desconhecido pode ser malicioso.
TCP no flag attack

O invasor envia ao destino pacotes TCP sem sinalizadores. Isso pode causar um comportamento imprevisível no destino, dependendo da implementação da pilha TCP.
TCP SYN FIN attack

O invasor envia ao destino pacotes TCP que têm os bits SYN e FIN definidos. Isso pode causar um comportamento imprevisível no destino, dependendo da implementação da pilha TCP.
TCP FIN No ACK attack

O invasor envia os pacotes TCP de destino que têm o bit FIN definido, mas têm o bit ACK não definido. Isso pode permitir que o invasor identifique o sistema operacional do alvo ou identifique portas abertas no alvo.

Configurando a proteção contra ataques de rede em um MS-MPC

Este tópico inclui as seguintes tarefas, que descrevem como se proteger contra ataques de rede ao usar um MS-MPC:

Configurando a proteção contra sondagem de rede, inundação de rede e ataques de padrões suspeitos

Você configura a proteção contra ataques de sondagem de rede, ataques de inundação de rede e ataques de padrão suspeitos configurando uma regra de serviço de detecção de invasão (IDS) e, em seguida, aplicando essa regra a um conjunto de serviços que está em um MS-MPC. Somente o primeiro termo de uma regra IDS é usado, e apenas a primeira regra de entrada IDS e a primeira regra de saída IDS para um conjunto de serviços são usadas.

A configuração da proteção contra sondagem de rede, inundação de rede e ataques de padrões suspeitos inclui:

Configurando o nome e a direção da regra IDS

Para cada regra de IDS, você deve configurar um nome e a direção do tráfego ao qual ela é aplicada.

Para configurar o nome e a direção da regra IDS:

  1. Especifique um nome para a regra IDS.
  2. Especifique se a regra IDS é aplicada ao tráfego de entrada, ao tráfego de saída ou a ambos.

Configuração de limites de sessão para sub-redes

Se você quiser aplicar limites de sessão a uma agregação de todos os ataques de ou para sub-redes de destino ou origem individuais, em vez de endereços individuais, configure a agregação.

Para configurar a agregação de sub-rede:

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques de dentro de uma sub-rede IPv4 individual, especifique o comprimento do prefixo da sub-rede. O intervalo é de 1 a 32.

    Por exemplo, a instrução a seguir configura um comprimento de prefixo IPv4 de 24 e os ataques de 10.1.1.2 e 10.1.1.3 são contados como ataques da sub-rede 10.1.1/24.

    No entanto, se um único host em uma sub-rede gerar um grande número de ataques de sondagem ou inundação de rede, os fluxos de toda a sub-rede poderão ser interrompidos.

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques de dentro de uma sub-rede IPv6 individual, especifique o comprimento do prefixo da sub-rede. O intervalo é de 1 a 128.

    Por exemplo, a instrução a seguir configura um comprimento de prefixo IPv6 de 64 e os ataques de 2001:db8:1234:72a2::2 e 2001:db8:1234:72a2::3 são contados como ataques da sub-rede 2001:db8:1234:72a2::/64.

    No entanto, se um único host em uma sub-rede gerar um grande número de ataques de sondagem ou inundação de rede, os fluxos de toda a sub-rede poderão ser interrompidos.

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques a uma sub-rede IPv4 individual, especifique o comprimento do prefixo da sub-rede. O intervalo é de 1 a 32.

    Por exemplo, a instrução a seguir configura um comprimento de prefixo IPv4 de 24 e os ataques a 10.1.1.2 e 10.1.1.3 são contados como ataques à sub-rede 10.1.1/24.

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques a uma sub-rede IPv6 individual, especifique o comprimento do prefixo da sub-rede. O intervalo é de 1 a 128.

    Por exemplo, a instrução a seguir configura um comprimento de prefixo IPv6 de 64 e os ataques a 2001:db8:1234:72a2::2 e 2001:db8:1234:72a2::3 são contados como ataques à sub-rede 2001:db8:1234:72a2::/64.

Configuração de limites de sessão independentes do protocolo

Se você quiser configurar limites de sessão para tráfego para um destino individual ou de uma origem individual independente do protocolo, execute uma ou mais das seguintes tarefas:

  • Para configurar limites de sessão para endereços IP de origem ou sub-redes independentes de um protocolo:

    • Configure o número máximo de sessões simultâneas permitidas de um endereço IP de origem individual ou sub-rede.

    • Configure o número máximo de pacotes por segundo permitidos de um endereço IP de origem individual ou sub-rede.

    • Configure o número máximo de conexões por segundo permitidas de um endereço IP de origem individual ou sub-rede.

  • Para configurar limites de sessão para endereços IP de destino ou sub-redes independentes de um protocolo:

    • Configure o número máximo de sessões simultâneas permitidas para um endereço IP de destino individual ou sub-rede.

    • Configure o número máximo de pacotes por segundo permitidos para um endereço IP ou sub-rede de destino individual.

    • Configure o número máximo de conexões por segundo permitidas para um endereço IP ou sub-rede de destino individual.

Configuração da proteção de varredura de endereço ICMP

Para configurar a proteção contra varreduras de endereço ICMP, configure qualquer combinação do máximo permitido de sessões simultâneas ICMP, pacotes por segundo e conexões por segundo para uma origem:

  • Configure o número máximo de sessões ICMP simultâneas permitidas de um endereço IP de origem individual ou sub-rede.
  • Configure o número máximo de pacotes ICMP por segundo permitidos de um endereço IP ou sub-rede de origem individual.
  • Configure o número máximo de conexões ICMP por segundo permitidas de um endereço IP de origem individual ou sub-rede.

Configurando a proteção do scanner de porta TCP

Para configurar a proteção contra ataques de scanner de porta TCP, configure qualquer combinação do máximo permitido de sessões simultâneas de TCP e conexões por segundo para uma origem ou destino:

  • Configure o número máximo de sessões TCP simultâneas permitidas de um endereço IP de origem individual ou sub-rede.
  • Configure o número máximo de conexões TCP por segundo permitidas para um endereço IP de origem individual ou sub-rede.
  • Configure o número máximo de sessões TCP permitidas para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de conexões TCP por segundo permitidas para um endereço IP ou sub-rede de destino individual.

Configurando a proteção contra inundação ICMP

Para configurar a proteção contra ataques de inundação de ICMP, configure qualquer combinação do máximo permitido de sessões simultâneas de ICMP, pacotes por segundo e número de conexões por segundo para um destino:

  • Configure o número máximo de sessões ICMP simultâneas permitidas para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de pacotes ICMP por segundo permitidos para um endereço IP de destino individual ou sub-rede.
  • Configure o número máximo de conexões ICMP por segundo permitidas para um endereço IP de destino individual ou sub-rede para ICMP.

Configurando a proteção contra inundação UDP

Para configurar a proteção contra ataques de inundação UDP, configure qualquer combinação do máximo permitido de sessões simultâneas UDP, pacotes por segundo e conexões por segundo para um destino:

  • Configure o número máximo de sessões UDP simultâneas permitidas para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de pacotes UDP por segundo permitidos para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de conexões UDP por segundo permitidas para um endereço IP ou sub-rede de destino individual.

Configurando a proteção contra inundação TCP SYN

Para configurar a proteção contra ataques de inundação TCP SYN, configure qualquer combinação do máximo permitido de sessões simultâneas TCP, pacotes por segundo e conexões por segundo para uma origem ou destino. Você também pode configurar o fechamento de conexões TCP não estabelecidas após um tempo limite:

  • Configure o número máximo de sessões TCP simultâneas permitidas de um endereço IP de origem individual ou sub-rede.
  • Configure o número máximo de pacotes TCP por segundo permitidos de um endereço IP de origem individual ou sub-rede.
  • Configure o número máximo de conexões TCP por segundo permitidas de um endereço IP de origem individual ou sub-rede.
  • Configure o número máximo de sessões TCP simultâneas permitidas para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de conexões TCP por segundo permitidas para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de pacotes TCP por segundo permitidos para um endereço IP de destino individual ou sub-rede.
  • Configure o fechamento de conexões TCP não estabelecidas e a entrega de um RST TCP ao host final para limpar os estados TCP nele quando o open-timeout valor no nível da [edit interfaces interface-name service-options] hierarquia expirar.

Configurando a proteção contra fragmentação ICMP

Para se proteger contra ataques de fragmentação ICMP:

  • Configure a identificação e o descarte de pacotes ICMP que são fragmentos de IP.

Configurando a proteção de pacotes grandes ICMP

Para se proteger contra ataques de pacotes grandes ICMP:

  • Configure a identificação e o descarte de pacotes ICMP maiores que 1024 bytes.

Configurando a proteção de opções incorretas de IP

Para se proteger contra opções IPv4 ruins ou ataques de cabeçalho de extensão IPv6:

  1. Configure o tipo de opções de IPv4 que o pacote pode incluir. Se o pacote incluir uma opção que não esteja configurada, o pacote será bloqueado. Se o pacote incluir uma opção configurada cujo comprimento é um valor ilegal, o pacote será descartado. Especificar any permite todas as opções.

    As opções IPv4 suportadas são any, loose-source-route, route-record, securitystream-idstrict-source-routee .timestamp

    Se você não incluir a allow-ip-options declaração na regra IDS, os pacotes com qualquer tipo de opção IPv4 serão bloqueados.

  2. Configure o tipo de cabeçalhos de extensão IPv6 que o pacote pode incluir. Se o pacote incluir um cabeçalho de extensão que não esteja configurado, o pacote será bloqueado. Se o pacote incluir cabeçalhos de extensão configurados incorretos, o pacote será descartado. Especificar any permite todos os cabeçalhos de extensão.

    Os cabeçalhos de extensão IPv6 suportados são any, ah, dstopts, fragmentesp, , hop-by-hop, mobilitye routing.

    Se você não incluir a allow-ipv6-extension-header instrução na regra IDS, os pacotes com qualquer tipo de cabeçalho de extensão serão descartados.

Configuração da proteção contra ataques terrestres

Para se proteger contra ataques terrestres:

  • Configure a identificação e o descarte de pacotes SYN que tenham o mesmo endereço IP de origem e destino ou o mesmo endereço IP e porta de origem e destino.

    Para especificar que os pacotes têm o mesmo endereço IP de origem e destino, use a ip-only opção; para especificar que os pacotes têm o mesmo endereço IP e porta de origem e destino, use a ip-port opção.

Configuração da proteção contra fragmentos TCP SYN

Para se proteger contra ataques de fragmentos TCP SYN:

  • Configure a identificação e o descarte de pacotes TCP SYN que são fragmentos de IP:

Configurando o WinNuke Protection

Para se proteger contra ataques do WinNuke:

  • Configure a identificação e o descarte de segmentos TCP destinados à porta 139 e que tenham o sinalizador urgente (URG) definido.

Configurando o conjunto de serviços

Para aplicar as ações da regra IDS a um conjunto de serviços:

  1. Atribua a regra IDS a um conjunto de serviços que esteja em um MS-MPC.

    Se o conjunto de serviços estiver associado a uma interface AMS, os limites de sessão configurados serão aplicáveis a cada interface de membro.

  2. Limite os pacotes que a regra IDS processa configurando uma regra de firewall stateful (consulte Configurando Regras de Firewall com estado). A regra de firewall stateful pode identificar o tráfego que deve passar pelo processamento do IDS ou o tráfego que deve ignorar o processamento do IDS:

    • Para permitir o processamento de IDS no tráfego que corresponde à regra de firewall stateful, inclua accept no nível da [edit services stateful-firewall rule rule-name term term-name then] hierarquia.

    • Para ignorar o processamento de IDS no tráfego que corresponde à regra de firewall stateful, inclua accept skip-ids no nível da [edit services stateful-firewall rule rule-name term term-name then] hierarquia.

  3. Atribua a regra de firewall stateful ao conjunto de serviços.

Configurando a proteção contra ataques de anomalia de cabeçalho

Proteja-se contra ataques de anomalia de cabeçalho usando um dos seguintes métodos para habilitar uma verificação de integridade de cabeçalho, que descarta todos os pacotes com anomalias de cabeçalho:

  • Configure uma regra de firewall stateful, uma regra NAT ou uma regra IDS e aplique-a ao conjunto de serviços que está em um MS-MPC. Uma verificação de integridade do cabeçalho é habilitada automaticamente.
  • Configure uma verificação de integridade de cabeçalho para o conjunto de serviços que está em um MS-MPC.

Configuração do registro de quedas de pacotes de proteção contra ataques de rede em um MS-MPC

Para configurar o registro de quedas de pacotes resultantes da integridade do cabeçalho, padrão de pacote suspeito e verificações de limite de sessão realizadas por um MS-MPC:

  1. Configure o registro de quedas de pacotes resultantes de falhas de integridade do cabeçalho e padrões de pacotes suspeitos.
  2. Configure o registro de quedas de pacotes resultantes de violações do limite de sessão.

Veja também