Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Proteção contra ataques de rede no MS-MPC e MS-MIC

Entender o IDS em um MS-MPC

Serviços de detecção de invasões

As regras dos serviços de detecção de invasões (IDS) em um MS-MPC oferecem a você uma maneira de identificar e soltar o tráfego que faz parte de um ataque de rede.

As regras do IDS fornecem um nível mais granular de filtragem do que filtros de firewall e policiais, o que pode parar bandeiras ilegais de TCP e outras combinações de bandeiras ruins, e pode aplicar limitações gerais de taxa (veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego). Você pode usar filtros de firewall e policiais junto com o IDS para reduzir o tráfego que precisa ser processado por uma regra de IDS.

Em uma regra de IDS, você pode especificar:

  • Limites para as sessões que se originam de fontes individuais ou que terminam em destinos individuais. Isso protege contra ataques de sondagem e inundação de rede.

  • Tipos de pacotes suspeitos a serem largados.

Para se proteger contra ataques de anomalias de cabeçalho, uma verificação de integridade do cabeçalho é realizada automaticamente se você configurar uma regra de IDS, uma regra de firewall stateful ou uma regra NAT e aplicá-la ao conjunto de serviços. Você também pode configurar explicitamente uma verificação de integridade do cabeçalho para o conjunto de serviços se você não atribuir o conjunto de serviços a uma regra de IDS, regra de firewall stateful ou uma regra NAT.

Benefícios

  • Oferece proteção contra vários tipos de ataques de rede.

Limites de sessão

Você pode usar as regras do IDS para definir limites de sessão para o tráfego de uma fonte individual ou para um destino individual. Isso protege contra ataques de sondagem e inundação de rede. O tráfego que exceder os limites de sessão é descartado. Você pode especificar limites de sessão para tráfego com um protocolo IP específico, como ICMP, ou para tráfego em geral.

Você decide se os limites se aplicam a endereços individuais ou a uma agregação de tráfego de sub-redes individuais de um determinado comprimento de prefixo. Por exemplo, se você agregar limites para sub-redes IPv4 com um comprimento de prefixo de 24, o tráfego de 192.0.2.2 e 192.0.2.3 é contado em relação aos limites da sub-rede 192.0.2.0/24.

Alguns ataques comuns de sondagem de rede e inundação contra os quais os limites de sessão protegem incluem:

ICMP Address Sweep

O invasor envia sondas de solicitação de ICMP (pings) para vários alvos. Se uma máquina alvo responder, o invasor receberá o endereço IP do alvo.
ICMP Flood

O invasor inunda uma máquina alvo enviando um grande número de pacotes ICMP de um ou mais endereços IP de origem. A máquina-alvo usa seus recursos enquanto tenta processar esses pacotes ICMP, e não pode mais processar tráfego válido.
TCP Port Scan

O invasor envia pacotes TCP SYN de uma fonte para várias portas de destino da máquina alvo. Se o alvo responder com um SYN-ACK de uma ou mais portas de destino, o invasor saberá quais portas estão abertas no alvo.
TCP SYN Flood

O invasor inunda uma máquina alvo enviando um grande número de pacotes TCP SYN de um ou mais endereços IP de origem. O invasor pode usar endereços IP de origem real, o que resulta em uma conexão TCP concluída ou pode usar endereços IP de origem falsos, resultando na não conclusão da conexão TCP. A meta cria estados para todas as conexões TCP completas e não concluídas. O alvo usa seus recursos enquanto tenta gerenciar os estados de conexão e não pode mais processar tráfego válido.
UDP Flood

O invasor inunda uma máquina alvo enviando um grande número de pacotes UDP de um ou mais endereços IP de origem. A máquina-alvo usa seus recursos enquanto tenta processar esses pacotes UDP e não pode mais processar tráfego válido.

Os limites de sessão para tráfego de uma fonte ou de um destino incluem:

  • número máximo de sessões simultâneas

  • número máximo de pacotes por segundo

  • número máximo de conexões por segundo

O IDS também instala um filtro dinâmico nos PFEs das placas de linha para atividades suspeitas quando ocorrem as seguintes condições:

  • Os pacotes por segundo ou o número de conexões por segundo para uma fonte ou endereço de destino individual (não para uma sub-rede) excedem quatro vezes o limite de sessão na regra IDS. Este limite de sessão é a fonte geral ou limite de destino para a regra IDS, não o limite especificado para um protocolo específico.

  • O percentual de utilização da CPU da placa de serviços excede um valor configurado (o valor padrão é de 90%).

O filtro dinâmico derruba o tráfego suspeito no PFE, e o tráfego não é enviado ao MS-MPC para ser processado pela regra IDS. Quando a taxa de pacote ou conexão não excede mais quatro vezes o limite na regra IDS, o filtro dinâmico é removido.

Padrões suspeitos de pacotes

Você pode usar as regras do IDS para identificar e soltar o tráfego com um padrão de pacote suspeito. Isso protege contra invasores que criam pacotes incomuns para lançar ataques de negação de serviço.

Padrões e ataques suspeitos de pacotes que você pode especificar em uma regra de IDS são:

ICMP fragmentation attack

O invasor envia os pacotes ICMP alvo que são fragmentos de IP. Estes são considerados pacotes suspeitos porque os pacotes ICMP geralmente são curtos. Quando o alvo recebe esses pacotes, os resultados podem variar desde o processamento de pacotes incorretamente até a falha de todo o sistema.
ICMP large packet attack

O invasor envia os quadros ICMP alvo com um comprimento de IP superior a 1024 bytes. Estes são considerados pacotes suspeitos porque a maioria das mensagens ICMP são pequenas.
ICMP Ping of death attack

O invasor envia os pacotes de ping ICMP alvo cujo comprimento de datagrama IP (ip_len) excede o comprimento legal máximo (65.535 bytes) para pacotes IP, e o pacote é fragmentado. Quando o alvo tenta remontar os pacotes IP, pode ocorrer um estouro de buffer, resultando em uma falha, congelamento e reiniciamento do sistema.
IP Bad option attack

O invasor envia os pacotes alvo com opções IPv4 formatadas incorretamente ou cabeçalhos de extensão IPv6. Isso pode causar problemas imprevisíveis, dependendo da implementação da pilha IP dos roteadores e do alvo.
IPv4 options

Os invasores podem usar maliciosamente opções IPv4 para ataques de negação de serviço.
IPv6 extension headers

Os invasores podem usar cabeçalhos de extensão maliciosamente para ataques de negação de serviço ou para ignorar filtros.
IP teardrop attack

O invasor envia os pacotes de IP fragmentados que se sobrepõem. A máquina-alvo usa seus recursos enquanto tenta remontar os pacotes e não pode mais processar tráfego válido.
IP unknown protocol attack

O invasor envia os pacotes alvo com números de protocolo superiores a 137 para IPv4 e 139 para IPv6. Um protocolo desconhecido pode ser malicioso.
Land attack

O invasor envia os pacotes SYN falsificados alvo que contêm o endereço IP do alvo como o destino e o endereço IP de origem. O alvo usa seus recursos conforme responde repetidamente a si mesmo. Em outra variação do ataque terrestre, os pacotes SYN também contêm as mesmas portas de origem e destino.
SYN fragment attack

O invasor envia os fragmentos de pacote SYN alvo. O alvo caches fragmentos SYN, à espera da chegada dos fragmentos restantes para que ele possa remontá-los e completar a conexão. Uma inundação de fragmentos SYN eventualmente enche o buffer de memória do host, impedindo conexões de tráfego válidas.
TCP FIN No ACK attack

O invasor envia os pacotes TCP alvo que têm o conjunto de bits FIN, mas que o ACK não é definido. Isso pode permitir que o invasor identifique o sistema operacional do alvo ou identifique portas abertas no alvo.
TCP no flag attack

O invasor envia os pacotes TCP alvo sem bandeiras. Isso pode causar um comportamento imprevisível no alvo, dependendo da implementação da pilha TCP.
TCP SYN FIN attack

O invasor envia os pacotes TCP alvo que têm o conjunto de bits SYN e FIN. Isso pode causar um comportamento imprevisível no alvo, dependendo da implementação da pilha TCP.
TCP WinNuke attack

O invasor envia um segmento de TCP com o conjunto de bandeiras urgentes (URG) e destinado à porta 139 de um alvo que executa o Windows. Isso pode causar a falha da máquina alvo.

Ataques de anomalias de cabeçalho

Para se proteger contra ataques de anomalias de cabeçalho, uma verificação de integridade do cabeçalho é realizada automaticamente se você configurar uma regra de IDS, uma regra de firewall stateful ou uma regra NAT e aplicá-la ao conjunto de serviços. Você também pode configurar explicitamente uma verificação de integridade do cabeçalho para o conjunto de serviços se você não atribuir o conjunto de serviços a uma regra de IDS, regra de firewall stateful ou uma regra NAT.

A verificação de integridade do cabeçalho oferece proteção contra os seguintes ataques de anomalia de cabeçalho:

ICMP Ping of death attack

O invasor envia os pacotes de ping ICMP alvo cujo comprimento de datagrama IP (ip_len) excede o comprimento legal máximo (65.535 bytes) para pacotes IP, e o pacote é fragmentado. Quando o alvo tenta remontar os pacotes IP, pode ocorrer um estouro de buffer, resultando em uma falha, congelamento e reiniciamento do sistema.
IP unknown protocol attack

O invasor envia os pacotes alvo com números de protocolo superiores a 137 para IPv4 e 139 para IPv6. Um protocolo desconhecido pode ser malicioso.
TCP no flag attack

O invasor envia os pacotes TCP alvo sem bandeiras. Isso pode causar um comportamento imprevisível no alvo, dependendo da implementação da pilha TCP.
TCP SYN FIN attack

O invasor envia os pacotes TCP alvo que têm o conjunto de bits SYN e FIN. Isso pode causar um comportamento imprevisível no alvo, dependendo da implementação da pilha TCP.
TCP FIN No ACK attack

O invasor envia os pacotes TCP alvo que têm o conjunto de bits FIN, mas que o ACK não é definido. Isso pode permitir que o invasor identifique o sistema operacional do alvo ou identifique portas abertas no alvo.

Configurando a proteção contra ataques de rede em um MS-MPC

Este tópico inclui as seguintes tarefas, que descrevem como proteger contra ataques de rede ao usar um MS-MPC:

Configuração da proteção contra sondagem de rede, inundações de rede e ataques de padrões suspeitos

Você configura a proteção contra ataques de sondagem de rede, ataques de inundação de rede e ataques de padrões suspeitos configurando uma regra de serviço de detecção de intrusão (IDS) e, em seguida, aplicando essa regra a um conjunto de serviços que está em um MS-MPC. Apenas o primeiro termo de uma regra IDS é usado, e apenas a primeira regra de entrada IDS e a primeira regra de saída de IDS para um conjunto de serviços são usadas.

A configuração da proteção contra sondagem de rede, inundações de rede e ataques de padrões suspeitos inclui:

Configuração do nome e direção das regras do IDS

Para cada regra de IDS, você deve configurar um nome e a direção do tráfego ao qual ele é aplicado.

Para configurar o nome e a direção da regra do IDS:

  1. Especifique um nome para a regra do IDS.
  2. Especifique se a regra do IDS é aplicada ao tráfego de entrada, tráfego de saída ou ambos.

Configuração dos limites de sessão para sub-redes

Se você quiser aplicar limites de sessão a uma agregação de todos os ataques de ou para sub-redes de destino ou origem individuais, em vez de endereços individuais, configure a agregação.

Para configurar a agregação de sub-rede:

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques de uma sub-rede IPv4 individual, especifique o comprimento do prefixo da sub-rede. A faixa é de 1 a 32.

    Por exemplo, a declaração a seguir configura um comprimento de prefixo IPv4 de 24, e ataques de 10.1.1.2 e 10.1.1.3 são contados como ataques da sub-rede 10.1.1/24.

    No entanto, se um único host em uma sub-rede gerar um grande número de ataques de sondagem ou inundação de rede, os fluxos para toda a sub-rede podem ser interrompidos.

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques de uma sub-rede IPv6 individual, especifique o comprimento do prefixo da sub-rede. A faixa é de 1 a 128.

    Por exemplo, a declaração a seguir configura um comprimento de prefixo IPv6 de 64, e ataques de 2001:db8:1234:72a2:2 e 2001:db8:1234:72a2:3 são contados como ataques da sub-rede 2001:db8:1234:72a2:/64.

    No entanto, se um único host em uma sub-rede gerar um grande número de ataques de sondagem ou inundação de rede, os fluxos para toda a sub-rede podem ser interrompidos.

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques a uma sub-rede IPv4 individual, especifique o comprimento do prefixo da sub-rede. A faixa é de 1 a 32.

    Por exemplo, a declaração a seguir configura um comprimento de prefixo IPv4 de 24 e ataques a 10,1.1.2 e 10.1.1.3 são contados como ataques à sub-rede 10.1.1/24.

  • Se você quiser aplicar limites de sessão a uma agregação de todos os ataques a uma sub-rede IPv6 individual, especifique o comprimento do prefixo da sub-rede. A faixa é de 1 a 128.

    Por exemplo, a declaração a seguir configura um comprimento de prefixo IPv6 de 64, e ataques a 2001:db8:1234:72a2:2 e 2001:db8:1234:72a2:3 são contados como ataques à sub-rede 2001:db8:1234:72a2:/64.

Configuração de limites de sessão independentemente do protocolo

Se você quiser configurar limites de sessão para tráfego para um destino individual ou de uma fonte individual independente do protocolo, execute uma ou mais das seguintes tarefas:

  • Para configurar limites de sessão para endereços IP de origem ou sub-redes independentemente de um protocolo:

    • Configure o número máximo de sessões simultâneas permitidas em um endereço IP ou sub-rede de origem individual.

    • Configure o número máximo de pacotes por segundo permitido a partir de um endereço IP ou sub-rede de origem individual.

    • Configure o número máximo de conexões por segundo permitidas a partir de um endereço IP ou sub-rede de origem individual.

  • Configurar limites de sessão para endereços IP de destino ou sub-redes independentemente de um protocolo:

    • Configure o número máximo de sessões simultâneas permitidas para um endereço IP ou sub-rede de destino individual.

    • Configure o número máximo de pacotes por segundo permitido para um endereço IP ou sub-rede de destino individual.

    • Configure o número máximo de conexões por segundo permitidas para um endereço IP ou sub-rede de destino individual.

Configuração da proteção de varredura de endereços do ICMP

Para configurar a proteção contra varreduras de endereços ICMP, configure qualquer combinação das sessões simultâneas de ICMP permitidas, pacotes por segundo e conexões por segundo para uma fonte:

  • Configure o número máximo de sessões simultâneas de ICMP permitidas a partir de um endereço IP ou sub-rede de origem individual.
  • Configure o número máximo de pacotes ICMP por segundo permitidos a partir de um endereço IP ou sub-rede de origem individual.
  • Configure o número máximo de conexões ICMP por segundo permitidas a partir de um endereço IP ou sub-rede de origem individual.

Configuração da proteção do scanner de portas TCP

Para configurar a proteção contra ataques de scanner de porta TCP, configure qualquer combinação das sessões e conexões simultâneas de TCP permitidas pelo máximo permitido por segundo para uma fonte ou destino:

  • Configure o número máximo de sessões de TCP simultâneas permitidas a partir de um endereço IP ou sub-rede de origem individual.
  • Configure o número máximo de conexões TCP por segundo permitidas para um endereço IP ou sub-rede de origem individual.
  • Configure o número máximo de sessões de TCP permitidas para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de conexões TCP por segundo permitidas para um endereço IP ou sub-rede de destino individual.

Configuração da proteção contra inundações do ICMP

Para configurar a proteção contra ataques de inundação do ICMP, configure qualquer combinação das sessões simultâneas máximas permitidas do ICMP, pacotes por segundo e número de conexões por segundo para um destino:

  • Configure o número máximo de sessões simultâneas de ICMP permitidas para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de pacotes ICMP por segundo permitido para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de conexões ICMP por segundo permitidas para um endereço IP de destino individual ou sub-rede para ICMP.

Configuração da proteção contra inundações UDP

Para configurar a proteção contra ataques de inundação de UDP, configure qualquer combinação das sessões simultâneas de UDP permitidas, pacotes por segundo e conexões por segundo para um destino:

  • Configure o número máximo de sessões de UDP simultâneas permitidas para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de pacotes UDP por segundo permitido para um IPaddress de destino individual ou sub-rede.
  • Configure o número máximo de conexões UDP por segundo permitidas para um endereço IP ou sub-rede de destino individual.

Configuração da proteção contra inundações TCP SYN

Para configurar a proteção contra ataques de inundação TCP SYN, configure qualquer combinação das sessões simultâneas de TCP permitidas, pacotes por segundo e conexões por segundo para uma fonte ou destino. Você também pode configurar o fechamento de conexões TCP inéditas após um intervalo:

  • Configure o número máximo de sessões de TCP simultâneas permitidas a partir de um endereço IP ou sub-rede de origem individual.
  • Configure o número máximo de pacotes TCP por segundo permitido a partir de um endereço IP ou sub-rede de origem individual.
  • Configure o número máximo de conexões TCP por segundo permitidas a partir de um endereço IP ou sub-rede de origem individual.
  • Configure o número máximo de sessões de TCP simultâneas permitidas para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de conexões TCP por segundo permitidas para um endereço IP ou sub-rede de destino individual.
  • Configure o número máximo de pacotes TCP por segundo permitido para um endereço IP ou sub-rede de destino individual.
  • Configure o fechamento de conexões TCP não publicadas e a entrega de um TCP RST até o host final para limpar os estados do TCP quando o open-timeout valor no nível de [edit interfaces interface-name service-options] hierarquia expirar.

Configuração da proteção de fragmentação do ICMP

Para proteger contra ataques de fragmentação do ICMP:

  • Configure a identificação e a queda de pacotes ICMP que são fragmentos de IP.

Configuração da proteção de pacotes grandes do ICMP

Para proteger contra ataques de pacotes de grande porte de ICMP:

  • Configure a identificação e a queda de pacotes ICMP que são maiores que 1024 bytes.

Configuração da proteção contra opções ruins de IP

Para proteger contra opções ruins de IPv4 ou ataques de cabeçalho de extensão IPv6:

  1. Configure o tipo de opções IPv4 que o pacote pode incluir. Se o pacote incluir uma opção que não esteja configurada, o pacote será bloqueado. Se o pacote incluir uma opção configurada cujo comprimento é um valor ilegal, então o pacote será descartado. Especificar any permite todas as opções.

    As opções IPv4 suportadas sãoany, , loose-source-route, route-record, security, e timestampstream-idstrict-source-route.

    Se você não incluir a allow-ip-options declaração na regra do IDS, os pacotes com qualquer tipo de opção IPv4 serão bloqueados.

  2. Configure o tipo de cabeçalhos de extensão IPv6 que o pacote pode incluir. Se o pacote incluir um cabeçalho de extensão que não estiver configurado, o pacote será bloqueado. Se o pacote incluir cabeçalhos de extensão configurados incorretos, o pacote será descartado. Especificar any permite todos os cabeçalhos de extensão.

    Os cabeçalhos de extensão IPv6 suportados sãoany, , ah, dstopts, , esp, fragmente mobilityhop-by-hoprouting.

    Se você não incluir a allow-ipv6-extension-header declaração na regra do IDS, os pacotes com qualquer tipo de cabeçalho de extensão serão descartados.

Configuração da proteção contra ataques terrestres

Para se proteger contra ataques de terra:

  • Configure a identificação e a queda de pacotes SYN que tenham o mesmo endereço IP de origem e destino ou o mesmo endereço e porta IP de origem e destino.

    Para especificar que os pacotes têm o mesmo endereço IP de origem e destino, use a opção ip-only ; para especificar que os pacotes têm o mesmo endereço e porta IP de origem e destino, use a opção ip-port .

Configuração da proteção contra fragmentos de SYN do TCP

Para proteger contra ataques de fragmentos de TCP SYN:

  • Configure a identificação e a queda de pacotes TCP SYN que são fragmentos de IP:

Configuração da proteção WinNuke

Para se proteger contra ataques WinNuke:

  • Configure a identificação e a queda de segmentos de TCP destinados à porta 139 e que tenham a bandeira urgente (URG).

Configuração do conjunto de serviços

Para aplicar as ações de regra do IDS a um conjunto de serviços:

  1. Atribua a regra do IDS a um conjunto de serviços que está em um MS-MPC.

    Se o conjunto de serviços estiver associado a uma interface AMS, então os limites de sessão que você configura são aplicáveis a cada interface de membro.

  2. Limite os pacotes que a regra IDS processa configurando uma regra de firewall stateful (ver Configuração de regras de firewall stateful). A regra do firewall stateful pode identificar o tráfego que deve passar pelo processamento de IDS ou o tráfego que deve pular o processamento de IDS:

    • Para permitir o processamento de IDS no tráfego que corresponda à regra do firewall stateful, inclua accept no nível de [edit services stateful-firewall rule rule-name term term-name then] hierarquia.

    • Para pular o processamento de IDS no tráfego que corresponda à regra do firewall stateful, inclua accept skip-ids no nível de [edit services stateful-firewall rule rule-name term term-name then] hierarquia.

  3. Atribua a regra de firewall stateful ao conjunto de serviços.

Configuração da proteção contra ataques de anomalias de cabeçalho

Proteja-se contra ataques de anomalia de cabeçalho usando qualquer um dos seguintes métodos para permitir uma verificação de integridade do cabeçalho, que derruba quaisquer pacotes com anomalias de cabeçalho:

  • Configure uma regra de firewall stateful, uma regra DE NAT ou uma regra de IDS e aplique-a ao conjunto de serviços que está em um MS-MPC. Uma verificação de integridade do cabeçalho é habilitada automaticamente.
  • Configure uma verificação de integridade do cabeçalho para o conjunto de serviços que está em um MS-MPC.

Configuração do registro de quedas de pacote de proteção contra ataques de rede em um MS-MPC

Para configurar o registro de quedas de pacotes resultantes da integridade do cabeçalho, padrão suspeito de pacotes e verificações de limite de sessão realizadas por um MS-MPC:

  1. Configure o registro de quedas de pacotes resultantes de falhas de integridade do cabeçalho e padrões suspeitos de pacotes.
  2. Configure o registro de quedas de pacotes resultantes de violações do limite de sessão.

Veja também