Entender as telas IDS para a proteção contra ataques de rede
Serviços de detecção de invasões
As telas dos serviços de detecção de invasões (IDS) oferecem uma maneira de identificar e soltar o tráfego que faz parte de um ataque de rede.
Em uma tela IDS, você pode especificar:
Os limites do número de sessões que se originam de fontes individuais ou que terminam em destinos individuais
Os tipos de pacotes suspeitos
Você também pode optar por registrar um alarme quando uma tela IDS identifica um pacote, em vez de soltar o pacote.
Além das telas IDS, você pode usar filtros de firewall e policiais para parar bandeiras TCP ilegais e outras combinações de bandeiras ruins, e especificar o limite geral de taxas (veja as políticas de roteamento, filtros de firewall e guia de usuário dos policiais de tráfego). As telas IDS adicionam um nível mais granular de filtragem.
Use filtros de firewall e filtros de firewall stateful para filtrar o tráfego que não precisa ser processado por uma tela IDS.
Benefícios
Oferece proteção contra vários tipos de ataques de rede.
Limites de sessão
Você pode usar telas IDS para definir limites de sessão para tráfego de uma fonte individual ou para um destino individual. Isso protege contra ataques de sondagem e inundação de rede. O tráfego que exceder os limites de sessão é descartado. Você pode especificar limites de sessão para tráfego com um protocolo IP específico, como ICMP, ou para tráfego em geral.
Você decide se os limites se aplicam a endereços individuais ou a uma agregação de tráfego de sub-redes individuais de um determinado comprimento de prefixo. Por exemplo, se você agregar limites para sub-redes IPv4 com um comprimento de prefixo de 24, o tráfego de 192.0.2.2 e 192.0.2.3 é contado em relação aos limites da sub-rede 192.0.2.0/24.
Alguns ataques comuns de sondagem de rede e inundação contra os quais os limites de sessão protegem incluem:
| ICMP Address Sweep | O invasor envia sondas de solicitação de ICMP (pings) para vários alvos. Se uma máquina alvo responder, o invasor receberá o endereço IP do alvo. |
| ICMP Flood | O invasor inunda uma máquina alvo enviando um grande número de pacotes ICMP de um ou mais endereços IP de origem. A máquina-alvo usa seus recursos enquanto tenta processar esses pacotes de ICMP e, em seguida, não pode mais processar tráfego válido. |
| TCP Port Scan | O invasor envia pacotes TCP SYN de uma fonte para várias portas de destino da máquina alvo. Se o alvo responder com um SYN-ACK de uma ou mais portas de destino, o invasor saberá quais portas estão abertas no alvo. |
| TCP SYN Flood | O invasor inunda uma máquina alvo enviando um grande número de pacotes TCP SYN de um ou mais endereços IP de origem. O invasor pode usar endereços IP de origem real, o que resulta em uma conexão TCP concluída ou pode usar endereços IP de origem falsos, resultando na não conclusão da conexão TCP. A meta cria estados para todas as conexões TCP completas e incompletas. O alvo usa seus recursos enquanto tenta gerenciar os estados de conexão e, em seguida, não pode mais processar tráfego válido. |
| UDP Flood | O invasor inunda uma máquina alvo enviando um grande número de pacotes UDP de um ou mais endereços IP de origem. A máquina-alvo usa seus recursos enquanto tenta processar esses pacotes UDP e, em seguida, não pode mais processar tráfego válido. |
Os limites de sessão para tráfego de uma fonte ou de um destino incluem:
número máximo de sessões simultâneas
número máximo de pacotes por segundo
número máximo de conexões por segundo
As telas IDS também instalam um filtro dinâmico nos PFEs das placas de linha para atividades suspeitas quando ocorrem as seguintes condições:
Os pacotes por segundo ou o número de conexões por segundo para uma fonte ou endereço de destino individual excedem quatro vezes o limite de sessão na tela IDS. (Os filtros dinâmicos não são criados a partir de telas IDS que usam agregação de sub-rede.)
O percentual de utilização da CPU da placa de serviços excede um valor configurado (o valor padrão é de 90%).
O filtro dinâmico derruba o tráfego suspeito no PFE, sem que o tráfego seja processado pela tela IDS. Quando a taxa de pacote ou conexão não excede mais quatro vezes o limite na tela IDS, o filtro dinâmico é removido.
Padrões suspeitos de pacotes
Você pode usar telas IDS para identificar e soltar o tráfego com um padrão de pacote suspeito. Isso protege contra invasores que criam pacotes incomuns para lançar ataques de negação de serviço.
Padrões e ataques suspeitos de pacotes que você pode especificar em uma tela IDS são:
| ICMP fragmentation attack | O invasor envia os pacotes ICMP alvo que são fragmentos de IP. Estes são considerados pacotes suspeitos porque os pacotes ICMP geralmente são curtos. Quando o alvo recebe esses pacotes, os resultados podem variar desde o processamento de pacotes incorretamente até a falha de todo o sistema. |
| Malformed ICMPv6 packets | Pacotes ICMPv6 malformados podem causar danos ao dispositivo e à rede. Exemplos de pacotes IPv6 malformados são pacotes muito grandes (tipo 2 de mensagem), que têm o próximo cabeçalho definido para roteamento (43), ou que têm um cabeçalho de roteamento definido para hop-by-hop. |
| ICMP large packet attack | O invasor envia os quadros ICMP alvo com um comprimento de IP superior a 1024 bytes. Estes são considerados pacotes suspeitos porque a maioria das mensagens ICMP são pequenas. |
| Ping of death attack | O invasor envia os pacotes de ping ICMP alvo cujo comprimento de datagrama IP (ip_len) excede o comprimento legal máximo (65.535 bytes) para pacotes IP, e o pacote é fragmentado. Quando o alvo tenta remontar os pacotes IP, pode ocorrer um estouro de buffer, resultando em uma falha, congelamento e reiniciamento do sistema. |
| Bad option attack | O invasor envia os pacotes alvo com opções IPv4 formatadas incorretamente ou cabeçalhos de extensão IPv6. Isso pode causar problemas imprevisíveis, dependendo da implementação da pilha IP dos roteadores e do alvo. |
| Fragmented IP packets | Fragmentos de IP podem conter a tentativa de um invasor de explorar as vulnerabilidades no código de remontagem de pacotes de implementações específicas de pilhas IP. Quando o alvo recebe esses pacotes, os resultados podem variar desde o processamento incorreto dos pacotes até a falha de todo o sistema. |
| IPv6 extension headers | Os invasores podem usar cabeçalhos de extensão maliciosamente para ataques de negação de serviço ou para ignorar filtros. |
| IPv4 options | Os invasores podem usar maliciosamente opções IPv4 para ataques de negação de serviço. |
| IP teardrop attack | O invasor envia os pacotes de IP fragmentados que se sobrepõem. A máquina-alvo usa seus recursos enquanto tenta remontar os pacotes e, em seguida, não pode mais processar tráfego válido. |
| IP unknown protocol attack | O invasor envia os pacotes alvo com números de protocolo superiores a 137 para IPv4 e 139 para IPv6. Um protocolo desconhecido pode ser malicioso. |
| TCP FIN No ACK attack | O invasor envia os pacotes TCP alvo que têm o conjunto de bits FIN, mas que o ACK não é definido. Isso pode permitir que o invasor identifique o sistema operacional do alvo ou identifique portas abertas no alvo. |
| Land attack | O invasor envia os pacotes SYN falsificados alvo que contêm o endereço IP do alvo como o destino e o endereço IP de origem. O alvo usa seus recursos conforme responde repetidamente a si mesmo. Em outra variação do ataque terrestre, os pacotes SYN também contêm as mesmas portas de origem e destino. |
| TCP SYN ACK ACK attack | O invasor inicia conexões Telnet ou FTP com o alvo sem concluir as conexões. A tabela de sessão do alvo pode ser preenchido, resultando na rejeição de solicitações de conexão legítimas pelo dispositivo. |
| TCP SYN FIN attack | O invasor envia os pacotes TCP alvo que têm o conjunto de bits SYN e FIN. Isso pode causar um comportamento imprevisível no alvo, dependendo da implementação da pilha TCP. |
| SYN fragment attack | O invasor envia os fragmentos de pacote SYN alvo. O alvo caches fragmentos SYN, à espera da chegada dos fragmentos restantes para que ele possa remontá-los e completar a conexão. Uma inundação de fragmentos SYN eventualmente enche o buffer de memória do host, impedindo conexões de tráfego válidas. |
| TCP no flag attack | O invasor envia os pacotes TCP alvo sem bandeiras. Isso pode causar um comportamento imprevisível no alvo, dependendo da implementação da pilha TCP. |
| TCP WinNuke attack | O invasor envia um segmento de TCP com o conjunto de bandeiras urgentes (URG) e destinado à porta 139 de um alvo que executa o Windows. Isso pode causar a falha da máquina alvo. |