Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração da proteção contra ataques de rede com telas IDS para serviços de próxima geração

Configuração do nome de tela, direção e opção de alarme do IDS

Configure o nome da tela do IDS, a direção de tráfego e o alarme opcional.

  1. Especifique um nome para a tela IDS.
  2. Especifique se a tela IDS é aplicada ao tráfego de entrada, tráfego de saída ou ambos.
  3. Se você quiser que a tela IDS registre um alarme quando os pacotes excederem o limite da sessão, em vez de soltar pacotes, configure alarm-without-drop.

Configuração dos limites de sessão na tela do IDS

Você pode usar telas IDS para definir limites de sessão para tráfego de endereços ou sub-redes individuais e para endereços ou sub-redes individuais. Isso protege contra ataques de sondagem e inundação de rede. A Tabela 1 mostra as opções de limite de sessão que se protegem contra alguns ataques comuns de sondagem e inundação de rede.

Tabela 1: Opções de tela IDS para ataques de rede Tipo

Tipo de ataque de rede

[edit services screen ids-options screen-name limit-sessions] Opções para definir

Varredura de endereços do ICMP

 
by-source by-protocol icmp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Inundação do ICMP

 
by-destination by-protocol icmp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Verificação da porta TCP

 
(by-destination | by-source) by-protocol tcp {
    maximum-sessions number;
    packet-rate number;
}

Inundação TCP SYN

 
(by-destination | by-source) by-protocol tcp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Inundação UDP

 
by-destination by-protocol udp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Para configurar os limites de sessão em uma tela IDS:

  1. Se você quiser aplicar limites de sessão a uma agregação de todas as sessões a sub-redes de destino individuais ou de sub-redes de origem individuais em vez de endereços individuais, configure a agregação.
    1. Para aplicar limites de sessão a uma agregação de todas as sessões de uma sub-rede IPv4 individual, especifique o comprimento do prefixo da sub-rede. A faixa é de 1 a 32.

      Por exemplo, a declaração a seguir configura um comprimento de prefixo IPv4 de 24, e as sessões de 192.0.2.2 e 192.0.2.3 são contadas como sessões da sub-rede 192.0.2.0/24/24.

    2. Para aplicar limites de sessão a uma agregação de todas as sessões de uma sub-rede IPv6 individual, especifique o comprimento do prefixo da sub-rede. A faixa é de 1 a 128.

      Por exemplo, a declaração a seguir configura um comprimento de prefixo IPv6 de 64, e sessões a partir de 2001:db8:1234:72a2:2 e 2001:db8:1234:72a2:3 são contadas como sessões a partir da sub-rede 2001:db8:1234:72a2:/64.

    3. Para aplicar limites de sessão a uma agregação de todas as sessões a uma sub-rede IPv4 individual, especifique o comprimento do prefixo da sub-rede. A faixa é de 1 a 32.
    4. Para aplicar limites de sessão a uma agregação de todas as sessões a uma sub-rede IPv6 individual, especifique o comprimento do prefixo da sub-rede. A faixa é de 1 a 128.
  2. Se você quiser aplicar limites de sessão de uma fonte para um protocolo IP específico:
    1. Configure o número máximo de sessões simultâneas permitidas a partir de um endereço IP ou sub-rede de origem individual para um protocolo IP específico.
    2. Configure o número máximo de pacotes por segundo permitido a partir de um endereço IP ou sub-rede de origem individual para um protocolo específico.
    3. Configure o número máximo de conexões por segundo permitidas a partir de um endereço IP ou sub-rede de origem individual para um protocolo específico.
  3. Se você quiser aplicar limites de sessão a um destino para um protocolo IP específico:
    1. Configure o número máximo de sessões simultâneas permitidas em um endereço IP de destino individual ou sub-rede para um protocolo IP específico.
    2. Configure o número máximo de pacotes por segundo permitido a um endereço IP de destino individual ou sub-rede para um protocolo específico.
    3. Configure o número máximo de conexões por segundo permitidas a um endereço IP de destino individual ou sub-rede para um protocolo específico.
  4. Se você quiser aplicar limites de sessão de uma fonte, independentemente do protocolo IP:
    1. Configure o número máximo de sessões simultâneas permitidas em um endereço IP ou sub-rede de origem individual.
    2. Configure o número máximo de pacotes por segundo permitido a partir de um endereço IP de origem individual ou sub-rede
    3. Configure o número máximo de conexões por segundo permitidas a partir de um endereço IP ou sub-rede de origem individual.
  5. Se você quiser aplicar limites de sessão a um destino, independentemente do protocolo IP:
    1. Configure o número máximo de sessões simultâneas permitidas em um endereço IP ou sub-rede de destino individual.
    2. Configure o número máximo de pacotes por segundo permitido a um endereço IP de destino individual ou sub-rede
    3. Configure o número máximo de conexões por segundo permitidas a um endereço IP ou sub-rede de destino individual.
  6. Especifique a porcentagem de utilização da CPU da placa de serviços que desencadeia a instalação de um filtro dinâmico nos PFEs das placas de linha para tráfego suspeito. O valor padrão é de 90.

    Além do limiar de porcentagem de utilização da CPU, a taxa de pacotes ou a taxa de conexão para um endereço de origem ou destino individual devem exceder quatro vezes o limite de sessão na tela IDS antes que o filtro dinâmico seja instalado. Os filtros dinâmicos não são criados a partir de telas IDS que usam a agregação de sub-rede.

    O filtro dinâmico derruba o tráfego suspeito no PFE, sem que o tráfego seja processado pela tela IDS. Quando a taxa de pacote ou conexão não excede mais quatro vezes o limite na tela IDS, o filtro dinâmico é removido.

Configuração de detecção suspeita de padrões de pacotes na tela do IDS

Você pode usar telas IDS para identificar e soltar pacotes suspeitos. Isso protege contra invasores que criam pacotes incomuns para lançar ataques de negação de serviço.

Para configurar a detecção de padrões suspeitos:

  1. Para se proteger contra ataques de fragmentação do ICMP, identifique e solte pacotes de ICMP que são fragmentos de IP.
  2. Para identificar e soltar pacotes ICMPv6 malformados, configure icmpv6-malformed.
  3. Para se proteger contra grandes ataques de pacotes do ICMP, identifique e solte pacotes de ICMP maiores que 1024 bytes.
  4. Para se proteger contra ataques de morte, identifique e solte pacotes de ICMP superdimensionados e irregulares.
  5. Para se proteger contra ataques de opção ruins, identifique e solte pacotes com opções IPv4 formatadas incorretamente ou cabeçalhos de extensão IPv6.
  6. Para identificar e soltar pacotes ip fragmentados, configure block-frag.
  7. Para soltar pacotes IPv6 com valores específicos de cabeçalho de extensão, especifique os valores.

    Os valores de cabeçalho a seguir podem ser configurados:

    ah-header

    Cabeçalho de extensão do cabeçalho de autenticação
    esp-header

    Encapsulando o cabeçalho de extensão Security Payload
    fragment-header

    Cabeçalho de extensão de cabeçalho de fragmento
    hop-by-hop-header

    Opção hop-by-hop com a opção especificada:

    CALIPSO-option

    Opção de segurança IPv6 de rótulo de arquitetura comum
    jumbo-payload-option

    Opção de carga jumbo IPv6
    quick-start-option

    Opção de início rápido do IPv6
    router-alert-option

    Opção de alerta de roteador IPv6
    RPL-option

    Protocolo de roteamento para opção de redes com baixa potência e perdas
    SFM-DPD-option

    Opção de detecção de pacotes duplicados de encaminhamento muliticast simplificado de IPv6
    user-defined-option-type type-low to type-high

    Uma variedade de tipos de cabeçalho

    • Faixa: 1 a 255.
    mobility-header

    Cabeçalho de extensão do Mobility Header.
    routing-header

    Cabeçalho de extensão de cabeçalho de roteamento.
  8. Para soltar pacotes IPv4 com valores específicos de opção IPv4, especifique os valores.

    Os valores da opção IPv4 a seguir podem ser configurados:

    loose-source-route-option

    Opção de IP de 3 (roteamento de fontes soltas)
    record-route-option

    Opção de IP de 7 (Rota de registro)
    security-option

    Opção de IP de 2 (Segurança)
    source-route-option

    Opção de IP de 3 (roteamento de fontes soltas) ou a opção de IP de 9 (roteamento rigoroso de fonte)
    stream-option

    Opção de IP de 8 (ID de fluxo)
    strict-source-route-option

    Opção de IP de 9 (roteamento rigoroso de fonte)
    timestamp-option

    Opção de IP de 4 (data de data e hora da Internet)
  9. Para se proteger contra ataques de tears de IP, identifique e solte pacotes de IP fragmentados que se sobrepõem.
  10. Para se proteger contra ataques de protocolo desconhecidos de IP, identifique e solte quadros IP com números de protocolo superiores a 137 para IPv4 e 139 para IPv6.
  11. Para se proteger contra ataques de ACK no TCP FIN, identifique e solte qualquer pacote com o conjunto de bandeiras FIN e sem o conjunto da bandeira ACK.
  12. Para se proteger contra ataques terrestres, identifique e solte pacotes SYN que tenham o mesmo endereço ou porta de origem e destino.
  13. Para se proteger contra ataques ACK TCP SYN ACK, configure o número máximo de conexões de um endereço IP que pode ser aberto sem ser concluído.
  14. Para se proteger contra ataques TCP SYN FIN, identifique e solte pacotes que tenham as bandeiras SYN e FIN definidas.
  15. Para se proteger contra ataques de fragmentos SYN, identifique e solte fragmentos de pacotes SYN.
  16. Para se proteger contra o TCP sem ataques de bandeira, identifique e solte pacotes TCP que não tenham campos de bandeira definidos.
  17. Para se proteger contra ataques TCP WinNuke, identifique e solte segmentos de TCP destinados à porta 139 e que tenham a bandeira urgente (URG).

Configurando o conjunto de serviços para IDS

Configure um conjunto de serviços para aplicar a tela IDS.

  1. Atribua a tela IDS a um conjunto de serviços.

    Se o conjunto de serviços estiver associado a uma interface AMS, então os limites de sessão que você configura são aplicáveis a cada interface de membro.

  2. Limite os pacotes que a tela IDS processa configurando uma regra de firewall stateful. A regra do firewall stateful pode identificar o tráfego que deve passar pelo processamento de IDS ou o tráfego que deve pular o processamento de IDS:

    • Para permitir o processamento de IDS no tráfego que corresponda à regra do firewall stateful, inclua accept no nível de [edit services stateful-firewall rule rule-name term term-name then] hierarquia.

    • Para pular o processamento de IDS no tráfego que corresponda à regra do firewall stateful, inclua accept skip-ids no nível de [edit services stateful-firewall rule rule-name term term-name then] hierarquia.

  3. Atribua a regra de firewall stateful ao conjunto de serviços.
  4. Para se proteger contra ataques de anomalias de cabeçalho, configure uma verificação de integridade do cabeçalho para o conjunto de serviços.

Documentação relacionada