AUF DIESER SEITE
Schützen Sie Ihr Netzwerk vor SYN-Flood-Angriffen, indem Sie SYN-Flood-Schutz aktivieren
Beispiel: Aktivieren des SYN-Flood-Schutzes für Webserver in der DMZ
Beispiel: Konfigurieren von Zulassungslisten für SYN-Flood-Bildschirme
Beispiel: Konfigurieren der Zulassungsliste für UDP-Flood-Screens
Grundlegendes zur Zulassungsliste für alle Bildschirmoptionen
Schützen Sie Ihr Netzwerk vor ICMP-Flood-Angriffen durch Aktivieren des ICMP-Flood-Schutzes
Schützen Sie Ihr Netzwerk vor UDP-Flood-Angriffen durch Aktivieren des UDP-Flood-Schutzes
Schützen Sie Ihr Netzwerk vor Landangriffen, indem Sie den Schutz vor Landangriffen aktivieren
Netzwerk-DoS-Angriffe
Ein Netzwerkangriff besteht aus drei großen Phasen. In der ersten Phase führt der Angreifer eine Erkundung des Zielnetzwerks durch. Diese Aufklärung kann aus vielen verschiedenen Arten von Netzwerksonden bestehen. Weitere Informationen finden Sie in den folgenden Themen:
Überblick über Netzwerk-DoS-Angriffe
Bei einem Denial-of-Service-Angriff (DoS), der sich gegen eine oder mehrere Netzwerkressourcen richtet, wird das Ziel mit einer überwältigenden Anzahl von SYN-, ICMP- oder UDP-Paketen oder mit einer überwältigenden Anzahl von SYN-Fragmenten überflutet.
Abhängig vom Zweck der Angreifer und dem Ausmaß und Erfolg früherer Bemühungen zum Sammeln von Informationen können die Angreifer einen bestimmten Host wie ein Gerät oder einen Server herausgreifen oder auf zufällige Hosts im Zielnetzwerk abzielen. Beide Ansätze haben das Potenzial, den Service für einen einzelnen Host oder für das gesamte Netzwerk zu stören, je nachdem, wie kritisch die Rolle des Opfers für den Rest des Netzwerks ist.
Grundlegendes zu SYN-Flood-Angriffen
Eine SYN-Flut tritt auf, wenn ein Host von SYN-Segmenten, die unvollständige Verbindungsanfragen initiieren, so überwältigt wird, dass er legitime Verbindungsanfragen nicht mehr verarbeiten kann.
Zwei Hosts stellen eine TCP-Verbindung mit einem dreifachen Paketaustausch her, der als Drei-Wege-Handshake bezeichnet wird: A sendet ein SYN-Segment an B; B antwortet mit einem SYN/ACK-Segment; und A antwortet mit einem ACK-Segment. Bei einem SYN-Flood-Angriff wird eine Site mit SYN-Segmenten überschwemmt, die gefälschte (gefälschte) IP-Quelladressen mit nicht existierenden oder nicht erreichbaren Adressen enthalten. B antwortet mit SYN/ACK-Segmenten auf diese Adressen und wartet dann auf antwortende ACK-Segmente. Da die SYN/ACK-Segmente an nicht vorhandene oder nicht erreichbare IP-Adressen gesendet werden, rufen sie nie Antworten hervor und es kommt schließlich zu einer Zeitüberschreitung. Siehe Abbildung 1.
Indem der Angreifer einen Host mit unvollständigen TCP-Verbindungen überflutet, füllt er schließlich den Speicherpuffer des Opfers. Sobald dieser Puffer voll ist, kann der Host keine neuen TCP-Verbindungsanforderungen mehr verarbeiten. Die Flut könnte sogar das Betriebssystem des Opfers beschädigen. In beiden Fällen deaktiviert der Angriff das Opfer und seinen normalen Betrieb.
Dieses Thema umfasst die folgenden Abschnitte:
SYN Hochwasserschutz
Junos OS kann die Anzahl der SYN-Segmente, die die Firewall pro Sekunde passieren dürfen, begrenzen. Sie können den Angriffsschwellenwert auf der Zieladresse und dem eingehenden Schnittstellenport, nur der Zieladresse oder nur der Quelladresse basieren. Wenn die Anzahl der SYN-Segmente pro Sekunde den festgelegten Schwellenwert überschreitet, beginnt Junos OS entweder mit der Weiterleitung eingehender SYN-Segmente, antwortet mit SYN/ACK-Segmenten und speichert die unvollständigen Verbindungsanforderungen in einer Verbindungswarteschlange, oder es verwirft die Pakete.
SYN-Proxying findet nur statt, wenn der Schwellenwert für den Angriff auf eine Zieladresse und einen eingehenden Schnittstellenport überschritten wird. Wenn ein Schwellenwert für eine Zieladresse oder Quelladresse überschritten wird, werden zusätzliche Pakete einfach verworfen.
In Abbildung 2 wurde der SYN-Angriffsschwellenwert für eine Zieladresse und einen Eingangsschnittstellenport überschritten, und Junos OS hat mit dem Proxying eingehender SYN-Segmente begonnen. Die unvollständigen Verbindungsanforderungen verbleiben in der Warteschlange, bis die Verbindung abgeschlossen ist oder die Anforderung abläuft.
SYN-Flood-Optionen
Sie können die folgenden Parameter für die Weiterleitung nicht abgeschlossener TCP-Verbindungsanforderungen festlegen:
Angriffsschwelle: Mit dieser Option können Sie die Anzahl der SYN-Segmente (d. h. TCP-Segmente mit gesetztem SYN-Flag) pro Sekunde auf dieselbe Zieladresse festlegen, die zum Aktivieren des SYN-Proxy-Mechanismus erforderlich ist. Obwohl Sie den Schwellenwert auf eine beliebige Zahl festlegen können, müssen Sie die normalen Datenverkehrsmuster auf Ihrer Website kennen, um einen geeigneten Schwellenwert dafür festlegen zu können. Wenn es sich z. B. um eine E-Business-Website handelt, die normalerweise 20.000 SYN-Segmente pro Sekunde erhält, sollten Sie den Schwellenwert auf 30.000 pro Sekunde festlegen. Wenn eine kleinere Site normalerweise 20 SYN-Segmente pro Sekunde erhält, sollten Sie den Schwellenwert auf 40 festlegen.
Alarmschwellenwert: Mit dieser Option können Sie die Anzahl der Proxy-TCP-Verbindungsanforderungen pro Sekunde festlegen, nach denen Junos OS einen Alarm in das Ereignisprotokoll eingibt. Der Wert, den Sie für einen Alarmschwellenwert festlegen, löst einen Alarm aus, wenn die Anzahl der Proxy-Verbindungsanforderungen an dieselbe Zieladresse pro Sekunde diesen Wert überschreitet. Wenn Sie z. B. den SYN-Angriffsschwellenwert auf 2000 SYN-Segmente pro Sekunde und den Alarm auf 1000 festlegen, sind insgesamt 3000 SYN-Segmente an derselben Zieladresse pro Sekunde erforderlich, um einen Alarmeintrag im Protokoll auszulösen.
Für jedes SYN-Segment zur gleichen Zieladresse, das den Alarmschwellenwert überschreitet, generiert das Modul zur Angriffserkennung eine Meldung. Am Ende der Sekunde komprimiert das Protokollierungsmodul alle ähnlichen Meldungen in einen einzigen Protokolleintrag, der angibt, wie viele SYN-Segmente zur gleichen Zieladresse und Portnummer nach Überschreiten der Alarmschwelle angekommen sind. Wenn der Angriff über die erste Sekunde hinaus andauert, gibt das Ereignisprotokoll jede Sekunde einen Alarm aus, bis der Angriff beendet wird.
Quellschwellenwert: Mit dieser Option können Sie die Anzahl der SYN-Segmente angeben, die pro Sekunde von einer einzelnen Quell-IP-Adresse empfangen werden – unabhängig von der Ziel-IP-Adresse –, bevor Junos OS beginnt, Verbindungsanforderungen von dieser Quelle zu verwerfen.
Bei der Verfolgung einer SYN-Flood nach Quelladresse werden andere Erkennungsparameter verwendet als bei der Verfolgung einer SYN-Flood nach Zieladresse. Wenn Sie einen SYN-Angriffsschwellenwert und einen Quellschwellenwert festlegen, setzen Sie sowohl den grundlegenden SYN-Flood-Schutzmechanismus als auch den quellenbasierten SYN-Flood-Tracking-Mechanismus in Kraft.
Zielschwellenwert: Mit dieser Option können Sie die Anzahl der pro Sekunde empfangenen SYN-Segmente für eine einzelne Ziel-IP-Adresse angeben, bevor Junos OS mit der Verwerfung von Verbindungsanforderungen an dieses Ziel beginnt. Wenn auf einem geschützten Host mehrere Services ausgeführt werden, sollten Sie unabhängig von der Zielportnummer einen Schwellenwert festlegen, der nur auf der Ziel-IP-Adresse basiert.
Wenn Sie einen SYN-Angriffsschwellenwert und einen Zielschwellenwert festlegen, setzen Sie sowohl den grundlegenden SYN-Flood-Schutzmechanismus als auch den zielbasierten SYN-Flood-Tracking-Mechanismus in Kraft.
Stellen Sie sich einen Fall vor, in dem Junos OS über Richtlinien verfügt, die FTP-Anforderungen und HTTP-Anforderungen an dieselbe IP-Adresse zulassen. Wenn der Schwellenwert für SYN-Flood-Angriffe bei 1000 Paketen pro Sekunde (pps) liegt und ein Angreifer 999 FTP-Pakete und 999 HTTP-Pakete sendet, behandelt Junos OS sowohl FTP- als auch HTTP-Pakete mit derselben Zieladresse als Mitglieder einer einzelnen Gruppe und lehnt das 1001. Paket (FTP oder HTTP) an dieses Ziel ab.
Timeout: Mit dieser Option können Sie die maximale Zeitspanne festlegen, bevor eine halbfertige Verbindung aus der Warteschlange gelöscht wird. Der Standardwert ist 20 Sekunden, und Sie können das Timeout zwischen 1 und 50 Sekunden festlegen. Sie können versuchen, den Timeoutwert auf eine kürzere Länge zu verringern, bis Sie feststellen, dass Verbindungen unter normalen Datenverkehrsbedingungen unterbrochen werden. Zwanzig Sekunden sind eine sehr konservative Auszeit für eine Drei-Wege-Handschlag-ACK-Antwort.
Junos OS unterstützt SYN Flood Protection sowohl für IPv4- als auch für IPv6-Datenverkehr.
Schützen Sie Ihr Netzwerk vor SYN-Flood-Angriffen, indem Sie SYN-Flood-Schutz aktivieren
In diesem Beispiel wird gezeigt, wie Sie Ihr Netzwerk vor SYN-Flood-Angriffen schützen können, indem Sie den SYN-Flood-Schutz aktivieren.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Übersicht
In diesem Beispiel aktivieren Sie die Bildschirmoption zone-syn-flood protection und legen den Timeout-Wert auf 20 fest. Außerdem geben Sie die Zone an, in der die Überschwemmung ihren Ursprung haben könnte.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security screen ids-option zone-syn-flood tcp syn-flood source-threshold 10000 set security screen ids-option zone-syn-flood tcp syn-flood destination-threshold 10000 set security zones security-zone untrust screen zone-syn-flood
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch. So aktivieren Sie den SYN-Hochwasserschutz:
Geben Sie den Namen des Bildschirmobjekts an.
[edit] user@host# set security screen ids-option zone-syn-flood tcp syn-flood source-threshold 10000 user@host# set security screen ids-option zone-syn-flood tcp syn-flood destination-threshold 10000
Legen Sie die Sicherheitszone für den Zonenbildschirm fest.
[edit] user@host# set security zones security-zone untrust screen zone-syn-flood
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security screen Befehle und show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security screen
ids-option zone-syn-flood {
tcp {
syn-flood {
source-threshold 10000;
destination-threshold 10000;
timeout 20;
}
}
}
[edit]
user@host# show security zones
security-zone untrust {
screen zone-syn-flood;
interfaces {
ge-0/0/1.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfung des SYN-Hochwasserschutzes
Zweck
Überprüfen Sie den SYN-Hochwasserschutz.
Aktion
Geben Sie die Befehle und show security zones aus dem show security screen ids-option zone-syn-flood Betriebsmodus ein.
user@host> show security screen ids-option zone-syn-flood
node0:
--------------------------------------------------------------------------
Screen object status:
Name Value
TCP SYN flood attack threshold 200
TCP SYN flood alarm threshold 512
TCP SYN flood source threshold 10000
TCP SYN flood destination threshold 10000
TCP SYN flood timeout 20
user@host> show security zones
Security zone: untrust
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: zone-syn-flood
Interfaces bound: 1
Interfaces:
ge-0/0/1.0
Bedeutung
Die Beispielausgabe zeigt, dass der SYN-Hochwasserschutz mit Quell- und Zielschwellenwert aktiviert ist.
Beispiel: Aktivieren des SYN-Flood-Schutzes für Webserver in der DMZ
Dieses Beispiel zeigt, wie Sie den SYN-Überflutungsschutz für Webserver in der DMZ aktivieren.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Übersicht
Dieses Beispiel zeigt, wie Sie vier Webserver in der DMZ vor SYN-Flood-Angriffen schützen, die von der externen Zone ausgehen, indem Sie die Bildschirmoption SYN-Flood-Schutz für die externe Zone aktivieren. Siehe Abbildung 3.
Es wird empfohlen, den SYN-Flood-Schutz, den Junos OS bietet, mit einem SYN-Flood-Schutz auf Geräteebene auf jedem Webserver zu erweitern. In diesem Beispiel wird auf den Webservern UNIX ausgeführt, das auch einige SYN-Flood-Abwehrmaßnahmen bietet, wie z. B. das Anpassen der Länge der Verbindungsanforderungswarteschlange und das Ändern des Timeout-Zeitraums für unvollständige Verbindungsanforderungen.
Geräteebene
Um die SYN-Hochwasserschutzparameter mit den entsprechenden Werten für Ihr Netzwerk zu konfigurieren, müssen Sie zunächst eine Baseline typischer Datenverkehrsflüsse festlegen. Beispielsweise führen Sie eine Woche lang einen Sniffer auf Ethernet3 – der an zone_external gebundenen Schnittstelle – aus, um die Anzahl der neuen TCP-Verbindungsanforderungen zu überwachen, die jede Sekunde für die vier Webserver in der DMZ eingehen. Ihre Analyse der Daten, die in einer Woche Überwachung gesammelt wurden, liefert die folgenden Statistiken:
Durchschnittliche Anzahl neuer Verbindungsanfragen pro Server: 250 pro Sekunde
Durchschnittliche Spitzenanzahl neuer Verbindungsanfragen pro Server: 500 pro Sekunde
Ein Sniffer ist ein netzwerkanalysierendes Gerät, das Pakete in dem Netzwerksegment erfasst, an das Sie es anschließen. Bei den meisten Sniffern können Sie Filter definieren, um nur die Art von Datenverkehr zu sammeln, die Sie interessiert. Später können Sie die gesammelten Informationen einsehen und auswerten. In diesem Beispiel soll der Sniffer alle TCP-Pakete mit gesetztem SYN-Flag sammeln, die bei ethernet3 ankommen und für einen der vier Webserver in der DMZ bestimmt sind. Möglicherweise möchten Sie den Sniffer in regelmäßigen Abständen weiter ausführen, um zu sehen, ob es Datenverkehrsmuster basierend auf der Tageszeit, dem Wochentag, der Monatszeit oder der Jahreszeit gibt. In einigen Unternehmen kann beispielsweise der Datenverkehr während eines kritischen Ereignisses drastisch ansteigen. Wesentliche Änderungen rechtfertigen wahrscheinlich eine Anpassung der verschiedenen Schwellenwerte.
Basierend auf diesen Informationen legen Sie die folgenden SYN-Hochwasserschutzparameter für zone_external fest, wie in Tabelle 1 dargestellt.
Parameter |
Wert |
Grund für jeden Wert |
|---|---|---|
Angriffsschwelle |
625 Seiten/S |
Dies ist 25 % höher als die durchschnittliche Spitzenanzahl neuer Verbindungsanforderungen pro Sekunde und Server, was für diese Netzwerkumgebung ungewöhnlich ist. Wenn die Anzahl der SYN-Pakete pro Sekunde für einen der vier Webserver diese Zahl überschreitet, beginnt das Gerät, neue Verbindungsanforderungen an diesen Server weiterzuleiten. (Mit anderen Worten: Beginnend mit dem 626. SYN-Paket an dieselbe Zieladresse in einer Sekunde beginnt das Gerät, Verbindungsanfragen an diese Adresse weiterzuleiten.) |
Alarmschwelle |
250 Seiten |
Wenn das Gerät innerhalb einer Sekunde 251 neue Verbindungsanforderungen weiterleitet, wird ein Alarmeintrag im Ereignisprotokoll erstellt. Indem Sie die Alarmschwelle etwas höher als die Angriffsschwelle setzen, können Sie Alarmeinträge für Verkehrsspitzen vermeiden, die die Angriffsschwelle nur geringfügig überschreiten. |
Schwellenwert für die Quelle |
25 Seiten |
Wenn Sie einen Quellschwellenwert festlegen, verfolgt das Gerät die Quell-IP-Adresse von SYN-Paketen, unabhängig von der Zieladresse. (Beachten Sie, dass diese quellenbasierte Verfolgung von der Verfolgung von SYN-Paketen auf der Grundlage der Zieladresse getrennt ist, die den grundlegenden SYN-Flood-Schutzmechanismus darstellt.) In der einwöchigen Überwachungsaktivität haben Sie festgestellt, dass innerhalb eines Intervalls von einer Sekunde nicht mehr als 1/25 der neuen Verbindungsanforderungen für alle Server von einer Quelle stammten. Daher sind Verbindungsanforderungen, die diesen Schwellenwert überschreiten, ungewöhnlich und bieten dem Gerät einen ausreichenden Anlass, seinen Proxymechanismus auszuführen. (Beachten Sie, dass 25 pps 1/25 der Angriffsschwelle sind, die 625 pps beträgt.) Wenn das Gerät 25 SYN-Pakete von derselben Quell-IP-Adresse verfolgt, lehnt es, beginnend mit dem 26. Paket, alle weiteren SYN-Pakete von dieser Quelle für den Rest dieser Sekunde und auch für die nächste Sekunde ab. |
Ziel-Schwellenwert |
4000 Seiten |
Wenn Sie einen Zielschwellenwert festlegen, führt das Gerät unabhängig von der Zielportnummer eine separate Verfolgung nur der Ziel-IP-Adresse durch. Da die vier Webserver nur HTTP-Datenverkehr (Zielport 80) empfangen und kein Datenverkehr zu einer anderen Zielportnummer sie erreicht, bietet das Festlegen eines weiteren Zielschwellenwerts keinen zusätzlichen Vorteil. |
Timeout |
20 Sekunden |
Der Standardwert von 20 Sekunden ist eine angemessene Zeitspanne, um unvollständige Verbindungsanforderungen zu speichern. |
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 10.2.2.1/24 set interfaces fe-1/0/0 unit 0 family inet address 10.1.1.1/24 set security zones security-zone zone_dmz interfaces ge-0/0/0.0 set security zones security-zone zone_external interfaces fe-1/0/0.0 set security zones security-zone zone_dmz address-book address ws1 10.2.2.10/32 set security zones security-zone zone_dmz address-book address ws2 10.2.2.20/32 set security zones security-zone zone_dmz address-book address ws3 10.2.2.30/32 set security zones security-zone zone_dmz address-book address ws4 10.2.2.40/32 set security zones security-zone zone_dmz address-book address-set web_servers address ws1 set security zones security-zone zone_dmz address-book address-set web_servers address ws2 set security zones security-zone zone_dmz address-book address-set web_servers address ws3 set security zones security-zone zone_dmz address-book address-set web_servers address ws4 set security policies from-zone zone_external to-zone zone_dmz policy id_1 match source-address any destination-address web_servers application junos-http set security policies from-zone zone_external to-zone zone_dmz policy id_1 then permit set security screen ids-option zone_external-syn-flood tcp syn-flood alarm-threshold 250 attack-threshold 625 source-threshold 25 timeout 20 set security zones security-zone zone_external screen zone_external-syn-flood
Schritt-für-Schritt-Anleitung
So konfigurieren Sie SYN-Hochwasserschutzparameter:
Legen Sie Schnittstellen fest.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.2.2.1/24 user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set security zones security-zone zone_dmz interfaces ge-0/0/0.0 user@host# set security zones security-zone zone_external interfaces fe-1/0/0.0
Definieren Sie Adressen.
[edit] user@host# set security zones security-zone zone_dmz address-book address ws1 10.2.2.10/32 user@host# set security zones security-zone zone_dmz address-book address ws2 10.2.2.20/32 user@host# set security zones security-zone zone_dmz address-book address ws3 10.2.2.30/32 user@host# set security zones security-zone zone_dmz address-book address ws4 10.2.2.40/32 user@host# set security zones security-zone zone_dmz address-book address-set web_servers address ws1 user@host# set security zones security-zone zone_dmz address-book address-set web_servers address ws2 user@host# set security zones security-zone zone_dmz address-book address-set web_servers address ws3 user@host# set security zones security-zone zone_dmz address-book address-set web_servers address ws4
Konfigurieren Sie die Richtlinie.
[edit] user@host# set security policies from-zone zone_external to-zone zone_dmz policy id_1 match source-address any user@host# set security policies from-zone zone_external to-zone zone_dmz policy id_1 match destination-address web_servers user@host# set security policies from-zone zone_external to-zone zone_dmz policy id_1 match application junos-http user@host# set security policies from-zone zone_external to-zone zone_dmz policy id_1 then permit
Konfigurieren Sie die Bildschirmoptionen.
[edit] user@host# set security screen ids-option zone_external-syn-flood tcp syn-flood alarm-threshold 250 user@host# set security screen ids-option zone_external-syn-flood tcp syn-flood attack-threshold 625 user@host# set security screen ids-option zone_external-syn-flood tcp syn-flood source-threshold 25 user@host# set security screen ids-option zone_external-syn-flood tcp syn-flood timeout 20 user@host# set security zones security-zone zone_external screen zone_external-syn-flood
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show security zonesshow security policiesund show security screen eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.2.2.1/24;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
...
[edit]
user@host# show security zones
...
security-zone zone_dmz {
address-book {
address ws1 10.2.2.10/32;
address ws2 10.2.2.20/32;
address ws3 10.2.2.30/32;
address ws4 10.2.2.40/32;
address-set web_servers {
address ws1;
address ws2;
address ws3;
address ws4;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone zone_external {
screen zone_external-syn-flood;
interfaces {
fe-1/0/0.0;
}
}
[edit]
user@host# show security policies
from-zone zone_external to-zone zone_dmz {
policy id_1 {
match {
source-address any;
destination-address web_servers;
application junos-http;
}
then {
permit;
}
}
}
[edit]
user@host# show security screen
...
ids-option zone_external-syn-flood {
tcp {
syn-flood {
alarm-threshold 250;
attack-threshold 625;
source-threshold 25;
timeout 20;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Verifizieren des SYN-Flood-Schutzes für Webserver in der DMZ
Zweck
Überprüfen Sie den SYN-Flood-Schutz für Webserver in der DMZ.
Aktion
Geben Sie im Betriebsmodus die show interfacesBefehle , , show security zonesshow security policiesund show security screen ids-option zone_external-syn-flood ein.
Grundlegendes zu Zulassungslisten für SYN Flood Screens
Junos OS bietet die administrative Option, eine Zulassungsliste vertrauenswürdiger IP-Adressen zu konfigurieren, auf die der SYN-Flood-Bildschirm nicht mit einem SYN/ACK antwortet. Stattdessen dürfen die SYN-Pakete von den Quelladressen oder zu den Zieladressen in der Liste die SYN-Cookie- und SYN-Proxy-Mechanismen umgehen. Diese Funktion wird benötigt, wenn Sie über einen Dienst in Ihrem Netzwerk verfügen, der unter keinen Bedingungen, einschließlich eines SYN-Flood-Ereignisses, Proxy-SYN/ACK-Antworten tolerieren kann.
Es werden sowohl Zulassungslisten der IP-Version 4 (IPv4) als auch IP-Version 6 (IPv6) unterstützt. Adressen in einer Zulassungsliste sollten alle IPv4 oder IPv6 sein. Jede Zulassungsliste kann bis zu 32 IP-Adresspräfixe enthalten. Sie können mehrere Adressen oder Adresspräfixe als eine Folge von Adressen angeben, die durch Leerzeichen getrennt und in eckige Klammern eingeschlossen sind.
Eine Zulassungsliste kann je nach Datenverkehrsebene zu einer hohen CPU-Auslastung an einem zentralen Punkt führen. Wenn beispielsweise kein Bildschirm aktiviert ist, betragen die Verbindungen pro Sekunde (cps) 492 KB. Wenn der Bildschirm aktiviert und die Zulassungsliste deaktiviert ist, beträgt der CPS 373 KB. und wenn sowohl der Bildschirm als auch die Zulassungsliste aktiviert sind, beträgt der CPS 194 KB. Nach der Aktivierung der Zulassungsliste sinkt der cps um 40 Prozent.
Beispiel: Konfigurieren von Zulassungslisten für SYN-Flood-Bildschirme
In diesem Beispiel wird gezeigt, wie Zulassungslisten von IP-Adressen konfiguriert werden, die vom SYN-Cookie und den SYN-Proxymechanismen ausgenommen werden sollen, die während des SYN-Flood-Screen-Schutzprozesses auftreten.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie einen Sicherheitsbildschirm und aktivieren Sie den Bildschirm in der Sicherheitszone. Siehe Beispiel: Aktivieren des SYN-Überflutungsschutzes für Webserver in der DMZ.
Übersicht
In diesem Beispiel konfigurieren Sie Zulassungslisten mit den Namen wlipv4 und wlipv6. Alle Adressen sind IP Version 4 (IPv4) für wlipv4und alle Adressen sind IP Version 6 (IPv6) für wlipv6. Beide Zulassungslisten enthalten Ziel- und Quell-IP-Adressen.
Mehrere Adressen oder Adresspräfixe können als eine Folge von Adressen konfiguriert werden, die durch Leerzeichen getrennt und in eckige Klammern eingeschlossen sind, wie in der Konfiguration der Zieladressen für wlipv4gezeigt.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security screen ids-option js1 tcp syn-flood white-list wlipv4 source-address 1.1.1.0/24 set security screen ids-option js1 tcp syn-flood white-list wlipv4 destination-address 2.2.2.2/32 set security screen ids-option js1 tcp syn-flood white-list wlipv4 destination-address 3.3.3.3/32 set security screen ids-option js1 tcp syn-flood white-list wlipv4 destination-address 4.4.4.4/32 set security screen ids-option js1 tcp syn-flood white-list wlipv6 source-address 2001::1/64 set security screen ids-option js1 tcp syn-flood white-list wlipv6 destination-address 2002::1/64
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unterVerwenden des CLI-Editors im Konfigurationsmodus in den Drop-Profilen.
So konfigurieren Sie die Zulassungslisten:
Geben Sie den Namen der Zulassungsliste und die IP-Adressen an, die von der SYN/ACK ausgenommen werden sollen.
[edit security screen ids-option js1 tcp syn-flood] user@host# set white-list wlipv4 source-address 1.1.1.0/24 user@host# set white-list wlipv4 destination-address [2.2.2.2 3.3.3.3 4.4.4.4] user@host# set white-list wlipv6 source-address 2001::1/64 user@host# set white-list wlipv6 destination-address 2002::1/64
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security screen Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security screen
ids-option js1 {
tcp {
syn-flood {
white-list wlipv4 {
source-address 1.1.1.0/24;
destination-address [2.2.2.2/32 3.3.3.3/32 4.4.4.4/32];
}
white-list wlipv6 {
source-address 2001::1/64;
destination-address 2002::1/64;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Grundlegendes zur Zulassungsliste für UDP-Flood-Screens
Junos OS bietet die administrative Option zum Konfigurieren einer Zulassungsliste vertrauenswürdiger IP-Adressen bei UDP-Flood. Wenn UDP-Flood aktiviert ist, werden alle UDP-Pakete, die über dem Schwellenwert liegen, verworfen. Einige dieser Pakete sind gültig und sollten nicht aus dem Datenverkehr verworfen werden. Wenn Sie die Zulassungsliste auf dem UDP-Flood-Bildschirm konfigurieren, dürfen nur die Quelladressen in der Liste die UDP-Flood-Erkennung umgehen. Diese Funktion wird benötigt, wenn der gesamte Datenverkehr von Adressen in den Zulassungslistengruppen die UDP-Flood-Prüfung umgehen soll.
Es werden sowohl IPv4- als auch IPv6-Zulassungslisten unterstützt. Adressen in einer Zulassungsliste sollten alle IPv4 oder IPv6 sein. Jede Zulassungsliste kann bis zu 32 IP-Adresspräfixe enthalten. Sie können mehrere Adressen oder Adresspräfixe als eine Folge von Adressen angeben, die durch Leerzeichen getrennt und in eckige Klammern eingeschlossen sind. Sie können eine einzelne Adresse oder eine Subnetzadresse konfigurieren.
Die Positivliste für UDP-Flood-Bildschirme wird auf SRX5400-, SRX5600- und SRX5800-Geräten nicht unterstützt.
Beispiel: Konfigurieren der Zulassungsliste für UDP-Flood-Screens
In diesem Beispiel wird gezeigt, wie Zulassungslisten von IP-Adressen konfiguriert werden, die von der UDP-Flood-Erkennung ausgenommen werden sollen, die während des UDP-Flood-Screen-Schutzprozesses auftritt.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie einen Sicherheitsbildschirm und aktivieren Sie den Bildschirm in der Sicherheitszone.
Übersicht
In diesem Beispiel konfigurieren Sie Zulassungslisten mit den Namen wlipv4 und wlipv6. Alle Adressen sind IPv4 für und alle Adressen sind IPv6 für wlipv4wlipv6. Beide Zulassungslisten enthalten Ziel- und Quell-IP-Adressen.
Mehrere Adressen oder Adresspräfixe können als eine Folge von Adressen konfiguriert werden, die durch Leerzeichen getrennt und in eckige Klammern eingeschlossen sind, wie in der Konfiguration der Zieladressen für wlipv4 und wlipv6gezeigt.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security screen white-list wlipv4 address 198.51.100.10/24 set security screen white-list wlipv4 address 198.51.100.11/24 set security screen white-list wlipv4 address 198.51.100.12/24 set security screen white-list wlipv4 address 198.51.100.13/24 set security screen white-list wlipv6 address 2001:db8::1/32 set security screen white-list wlipv6 address 2001:db8::2/32 set security screen white-list wlipv6 address [2001:db8::3/32] set security screen white-list wlipv6 address [2001:db8::4/32] set security screen ids-options jscreen udp flood white-list wlipv4 set security screen ids-options jscreen udp flood white-list wlipv6
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die Zulassungslisten:
Geben Sie den Namen der Zulassungsliste und die IPv4-Adressen an, um die UDP-Flood-Erkennung zu umgehen.
[edit security screen] user@host# set white-list wlipv4 address 198.51.100.10/32 user@host# set white-list wlipv4 address 198.51.100.11/32 user@host# set white-list wlipv4 address 198.51.100.12/32 user@host# set white-list wlipv4 address 198.51.100.13/32
Geben Sie den Namen der Zulassungsliste und die IPv6-Adressen an, um die UDP-Überflutungserkennung zu umgehen.
[edit security screen] user@host# set white-list wlipv6 address 2001:db8::1/32 user@host# set white-list wlipv6 address 2001:db8::2/32 user@host# set white-list wlipv6 address 2001:db8::3/32 user@host# set white-list wlipv6 address 2001:db8::4/32
Legen Sie die Option UDP-Flood-Zulassungsliste fest.
[edit security screen] user@host# set ids-option jscreen udp flood white-list wlipv4 user@host# set ids-option jscreen udp flood white-list wlipv6
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security screen Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security screen
ids-option jscreen {
udp {
flood {
white-list [ wlipv4 wlipv6 ];
}
}
}
white-list wlipv4 {
address [ 198.51.100.11/32 198.51.100.12/32 198.51.100.13/32 198.51.100.14/32 ];
}
white-list wlipv6 {
address [ 2001:db8::1/32 2001:db8::2/32 2001:db8::3/32 2001:db8::4/32 ];
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen der Whitelist-Konfiguration
Zweck
Vergewissern Sie sich, dass die Zulassungsliste ordnungsgemäß konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security screen white-list wlipv4 Befehl und show security screen ids-option jscreen ein.
user@host> show security screen white-list wlipv4 Screen white list: 198.51.100.10/32 198.51.100.11/32 198.51.100.12/32 198.51.100.13/32 user@host> show security screen ids-option jscreen Name Value …… UDP flood threshold ## UDP flood white-list wlipv4 UDP flood white-list wlipv6
Grundlegendes zur Zulassungsliste für alle Bildschirmoptionen
Junos OS bietet die administrative Option zum Konfigurieren der Zulassungsliste für alle IP-Bildschirmoptionen in einer Sicherheitszone. Wenn der Bildschirm in einer Sicherheitszone aktiviert ist, werden alle IP-Pakete, die den Schwellenwert überschreiten, verworfen. Einige dieser Pakete sind aus bestimmten Quellen gültig und sollten nicht aus dem Datenverkehr verworfen werden. Wenn Sie die Zulassungsliste auf Zonenebene konfigurieren, dürfen alle IP-Adressen aus den jeweiligen Quellen die Überprüfung der Angriffserkennung umgehen.
Diese Funktion wird benötigt, wenn alle IP-Adressen aus einer bestimmten Quelle die Überprüfung der Angriffserkennung umgehen sollen.
Es werden sowohl IPv4- als auch IPv6-Zulassungslisten unterstützt. Adressen in einer Zulassungsliste sollten alle IPv4 oder IPv6 sein. Jede Zulassungsliste kann bis zu 32 IP-Adresspräfixe enthalten. Sie können mehrere Adressen oder Adresspräfixe als eine Folge von Adressen angeben, die durch Leerzeichen getrennt und in eckige Klammern eingeschlossen sind. Sie können eine einzelne Adresse oder eine Subnetzadresse konfigurieren.
Vorteile
-
Die globale IP-Zulassungsliste umgeht die Überprüfung der IP-Paketprüfung, um alle IP-Pakete aus bestimmten Quellen zuzulassen.
Grundlegendes zum SYN-Cookie-Schutz
SYN-Cookie ist ein zustandsloser SYN-Proxy-Mechanismus, den Sie in Verbindung mit anderen Abwehrmaßnahmen gegen einen SYN-Flood-Angriff verwenden können.
Wie beim herkömmlichen SYN-Proxying wird das SYN-Cookie aktiviert, wenn der Schwellenwert für SYN-Flood-Angriffe überschritten wird. Da das SYN-Cookie jedoch zustandslos ist, richtet es beim Empfang eines SYN-Segments keine Sitzungs- oder Richtlinien- und Routing-Suchvorgänge ein und verwaltet keine Verbindungsanforderungswarteschlangen. Dies reduziert die CPU- und Speicherauslastung drastisch und ist der Hauptvorteil der Verwendung von SYN-Cookies gegenüber dem herkömmlichen SYN-Proxy-Mechanismus.
Wenn das SYN-Cookie unter Junos OS aktiviert ist und zum TCP-aushandelnden Proxy für den Zielserver wird, antwortet es auf jedes eingehende SYN-Segment mit einem SYN/ACK, das ein verschlüsseltes Cookie als anfängliche Sequenznummer (ISN) enthält. Bei dem Cookie handelt es sich um einen MD5-Hash aus der ursprünglichen Quelladresse und Portnummer, der Zieladresse und Portnummer sowie der ISN aus dem ursprünglichen SYN-Paket. Nach dem Senden des Cookies löscht Junos OS das ursprüngliche SYN-Paket und löscht das berechnete Cookie aus dem Arbeitsspeicher. Wenn auf das Paket, das den Cookie enthält, keine Antwort erfolgt, wird der Angriff als aktiver SYN-Angriff vermerkt und effektiv gestoppt.
Wenn der initiierende Host mit einem TCP-Paket antwortet, das das Cookie +1 im Feld TCP ACK enthält, extrahiert Junos OS das Cookie, subtrahiert 1 vom Wert und berechnet das Cookie neu, um zu überprüfen, ob es sich um ein legitimes ACK handelt. Wenn es legitim ist, startet Junos OS den TCP-Proxyprozess, indem es eine Sitzung einrichtet und eine SYN an den Server sendet, die die Quellinformationen aus der ursprünglichen SYN enthält. Wenn Junos OS eine SYN/ACK vom Server empfängt, sendet es ACKs an den Server und an den Initiierungshost. An diesem Punkt wird die Verbindung hergestellt und Host und Server können direkt kommunizieren.
Die Verwendung von SYN-Cookies oder SYN-Proxys ermöglicht es der Firewall der SRX-Serie, die dahinter stehenden TCP-Server vor SYN-Flood-Angriffen in IPv6-Datenströmen zu schützen.
Abbildung 4 zeigt, wie eine Verbindung zwischen einem initiierenden Host und einem Server hergestellt wird, wenn das SYN-Cookie unter Junos OS aktiv ist.
SYN-Cookie
SYN-Cookie-Optionen
Sie können die folgenden Parameter für unvollständige TCP-Proxy-Verbindungsanforderungen festlegen:
Angriffsschwelle: Mit dieser Option können Sie die Anzahl der SYN-Segmente (d. h. TCP-Segmente mit gesetztem SYN-Flag) pro Sekunde auf dieselbe Zieladresse und Portnummer pro Sekunde festlegen, die zur Aktivierung des SYN-Proxy-Mechanismus erforderlich sind. Obwohl Sie den Schwellenwert auf eine beliebige Zahl festlegen können, müssen Sie die normalen Datenverkehrsmuster auf Ihrer Website kennen, um einen geeigneten Schwellenwert dafür festlegen zu können. Für eine E-Business-Website, die normalerweise 2000 SYN-Segmente pro Sekunde empfängt, können Sie den Schwellenwert auf 30.000 SYN-Segmente pro Sekunde festlegen. Der gültige Schwellenwert liegt zwischen 1 und 1.000.000. Für eine kleinere Site, die normalerweise 20 SYN-Segmente pro Sekunde erhält, können Sie den Schwellenwert auf 40 SYN-Segmente pro Sekunde festlegen.
Alarmschwellenwert: Mit dieser Option können Sie die Anzahl der Proxy-TCP-Verbindungsanforderungen pro Sekunde festlegen, nach denen Junos OS einen Alarm in das Ereignisprotokoll eingibt. Der von Ihnen festgelegte Alarmschwellenwert löst einen Alarm aus, wenn die Anzahl der über Proxy gesendeten, halb abgeschlossenen Verbindungsanforderungen an dieselbe Zieladresse und Portnummer pro Sekunde diesen Wert überschreitet. Wenn Sie z. B. den SYN-Angriffsschwellenwert auf 2000 SYN-Segmente pro Sekunde und den Alarm auf 1000 festlegen, sind insgesamt 3001 SYN-Segmente an dieselbe Zieladresse und Portnummer pro Sekunde erforderlich, um einen Alarmeintrag im Protokoll auszulösen. Der gültige Schwellenwert liegt zwischen 1 und 1.000.000, und der Standardschwellenwert für Alarm ist 512.
Quellschwellenwert: Mit dieser Option können Sie die Anzahl der SYN-Segmente angeben, die pro Sekunde von einer einzelnen Quell-IP-Adresse empfangen werden – unabhängig von der Ziel-IP-Adresse und der Portnummer –, bevor Junos OS mit der Verwerfung von Verbindungsanforderungen von dieser Quelle beginnt.
Wenn Sie einen SYN-Angriffsschwellenwert und einen Quellschwellenwert festlegen, setzen Sie sowohl den grundlegenden SYN-Flood-Schutzmechanismus als auch den quellenbasierten SYN-Flood-Tracking-Mechanismus in Kraft. Der gültige Schwellenwert liegt zwischen 4 und 1.000.000, und der Standardschwellenwert für Alarm ist 4000.
Zielschwellenwert: Mit dieser Option können Sie die Anzahl der pro Sekunde empfangenen SYN-Segmente für eine einzelne Ziel-IP-Adresse angeben, bevor Junos OS mit der Verwerfung von Verbindungsanforderungen an dieses Ziel beginnt. Wenn auf einem geschützten Host mehrere Services ausgeführt werden, sollten Sie unabhängig von der Zielportnummer einen Schwellenwert festlegen, der nur auf der Ziel-IP-Adresse basiert. Der gültige Schwellenwert liegt zwischen 4 und 1.000.000, und der Standardschwellenwert für Alarm ist 4000.
Wenn Sie einen SYN-Angriffsschwellenwert und einen Zielschwellenwert festlegen, setzen Sie sowohl den grundlegenden SYN-Flood-Schutzmechanismus als auch den zielbasierten SYN-Flood-Tracking-Mechanismus in Kraft.
Timeout: Mit dieser Option können Sie die maximale Zeitspanne festlegen, bevor eine halbfertige Verbindung aus der Warteschlange gelöscht wird. Der Standardwert ist 20 Sekunden, und Sie können das Timeout zwischen 0 und 50 Sekunden festlegen. Sie können versuchen, den Timeoutwert auf eine kürzere Länge zu verringern, bis Sie unter normalen Datenverkehrsbedingungen Verbindungsabbrüche sehen.
Wenn weder ein Quell- noch ein Zielschwellenwert konfiguriert ist, verwendet das System den Standardschwellenwert. Der Standardschwellenwert für Quelle und Ziel beträgt 4000 pps.
Erkennen und Schützen Ihres Netzwerks vor SYN-Flood-Angriffen durch Aktivieren des SYN-Cookie-Schutzes
Dieses Beispiel zeigt, wie Sie Ihr Netzwerk erkennen und vor SYN-Flood-Angriffen schützen können, indem Sie den SYN-Cookie-Schutz aktivieren.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Übersicht
In diesem Beispiel legen Sie den Timeout-Wert für external-syn-flood auf 20 und die Sicherheitszone für den externen Bildschirm auf external-syn-flood fest. Außerdem stellen Sie den Schutzmodus auf syn-cookie ein.
Die SYN-Cookie-Funktion kann nur gefälschte SYN-Flood-Angriffe erkennen und davor schützen, wodurch die negativen Auswirkungen auf Hosts, die durch Junos OS gesichert sind, minimiert werden. Wenn ein Angreifer eine legitime IP-Quelladresse anstelle einer gefälschten IP-Quelle verwendet, stoppt der SYN-Cookie-Mechanismus den Angriff nicht.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security screen ids-option external-syn-flood tcp syn-flood timeout 20 set security zones security-zone external screen external-syn-flood set security flow syn-flood-protection-mode syn-cookie
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch. So aktivieren Sie den SYN-Cookie-Schutz:
Geben Sie den Timeout-Wert für external-syn-flood an.
[edit] user@host# set security screen ids-option external-syn-flood tcp syn-flood timeout 20
Legen Sie die Sicherheitszone für den externen Bildschirm fest.
[edit] user@host# set security zones security-zone external screen external-syn-flood
Stellen Sie den Schutzmodus ein.
[edit] user@host# set security flow syn-flood-protection-mode syn-cookie
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security screenBefehle , show security zonesund show security flow eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security screen
ids-option external-syn-flood {
tcp {
syn-flood {
timeout 20;
}
}
}
[edit]
user@host# show security zones
security-zone zone {
screen external-syn-flood;
}
[edit]
user@host# show security flow
syn-flood-protection-mode syn-cookie;
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen des SYN-Cookie-Schutzes
Zweck
Überprüfung des SYN-Cookie-Schutzes.
Aktion
Geben Sie die Befehle und show security zones aus dem show security screen ids-option external-syn-flood Betriebsmodus ein.
user@host> show security screen ids-option external-syn-flood node0: -------------------------------------------------------------------------- Screen object status: Name Value TCP SYN flood attack threshold 200 TCP SYN flood alarm threshold 512 TCP SYN flood source threshold 4000 TCP SYN flood destination threshold 4000 TCP SYN flood timeout 20 user@host> show security zones Security zone: external Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: external-syn-flood Interfaces bound: 0 Interfaces:
Bedeutung
Die Beispielausgabe zeigt, dass der SYN-Cookieschutz mit einem Quell- und Zielschwellenwert aktiviert ist.
Grundlegendes zu ICMP-Flood-Angriffen
Eine ICMP-Flut tritt in der Regel auf, wenn ICMP-Echoanforderungen das Ziel des Angriffs mit so vielen Anfragen überlasten, dass das Ziel alle seine Ressourcen für die Beantwortung aufwendet, bis es keinen gültigen Netzwerkverkehr mehr verarbeiten kann.
ICMP-Nachrichten, die im Flow-Modus generiert werden, sind auf 12 Nachrichten alle 10 Sekunden beschränkt. Diese Ratenbegrenzung wird pro CPU berechnet. Sobald der Schwellenwert erreicht ist, werden keine weiteren Bestätigungsnachrichten an das Gerät gesendet.
Wenn Sie die ICMP-Überschwemmungsschutzfunktion aktivieren, können Sie einen Schwellenwert festlegen, der bei Überschreitung die ICMP-Funktion zum Schutz vor Überschwemmungsangriffen aufruft. (Der Standardschwellenwert beträgt 1000 Pakete pro Sekunde.) Wenn der Schwellenwert überschritten wird, ignoriert Junos OS weitere ICMP-Echoanforderungen für den Rest dieser Sekunde sowie für die nächste Sekunde. Siehe Abbildung 5.
Eine ICMP-Flut kann aus jeder Art von ICMP-Nachricht bestehen. Daher überwacht Junos OS alle ICMP-Nachrichtentypen, nicht nur Echoanforderungen.
Junos OS unterstützt ICMP-Flood-Schutz für IPv4- und IPv6-Datenverkehr.
Schützen Sie Ihr Netzwerk vor ICMP-Flood-Angriffen durch Aktivieren des ICMP-Flood-Schutzes
Dieses Beispiel zeigt, wie Sie Ihr Netzwerk vor ICMP-Flood-Angriffen schützen können, indem Sie ICMP-Flood-Schutz aktivieren.
Anforderungen
Über die Geräteinitialisierung hinaus ist keine spezielle Konfiguration erforderlich, bevor der ICMP-Hochwasserschutz aktiviert wird.
Übersicht
In diesem Beispiel aktivieren Sie den ICMP-Überschwemmungsschutz. Die Werteinheit ist ICMP-Pakete pro Sekunde (pps). Der Standardwert ist 1000 pps. Sie geben die Zone an, in der eine Überschwemmung ihren Ursprung haben könnte.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security screen ids-option 1000-icmp-flood icmp flood threshold 1000 set security zones security-zone zone screen 1000-icmp-flood
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch. So aktivieren Sie den ICMP-Hochwasserschutz:
Geben Sie den ICMP-Flood-Schwellenwert an.
[edit] user@host# set security screen ids-option 1000-icmp-flood icmp flood threshold 1000
Legen Sie die Sicherheitszone für den Zonenbildschirm fest.
[edit] user@host# set security zones security-zone zone screen 1000-icmp-flood
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security screen Befehle und show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security screen
ids-option 1000-icmp-flood {
icmp {
flood threshold 1000;
}
}
[edit]
user@host# show security zones
security-zone zone {
screen 1000-icmp-flood;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
ICMP-Hochwasserschutz verifizieren
Zweck
Überprüfen des ICMP-Hochwasserschutzes
Aktion
Geben Sie die Befehle und show security zones aus dem show security screen ids-option 1000-icmp-flood Betriebsmodus ein.
user@host> show security screen ids-option 1000-icmp-flood node0: -------------------------------------------------------------------------- Screen object status: Name Value ICMP flood threshold 1000 user@host> show security zones Security zone: zone Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: 1000-icmp-flood Interfaces bound: 0 Interfaces:
Bedeutung
Die Beispielausgabe zeigt, dass der ICMP-Hochwasserschutz aktiviert und der Schwellenwert festgelegt ist.
UDP-Flood-Angriffe verstehen
Ähnlich wie bei einer ICMP-Flood tritt eine UDP-Flood auf, wenn ein Angreifer IP-Pakete mit UDP-Datagrammen sendet, um das Opfer so weit zu verlangsamen, dass das Opfer keine gültigen Verbindungen mehr verarbeiten kann.
Nachdem Sie die UDP-Flood-Protection-Funktion aktiviert haben, können Sie einen Schwellenwert festlegen, der bei Überschreitung die UDP-Flood-Attack-Protection-Funktion aufruft. (Der Standardschwellenwert beträgt 1000 Pakete pro Sekunde oder pps.) Wenn die Anzahl der UDP-Datagramme von einer oder mehreren Quellen zu einem einzelnen Ziel diesen Schwellenwert überschreitet, ignoriert Junos OS weitere UDP-Datagramme zu diesem Ziel für den Rest dieser Sekunde sowie für die nächste Sekunde. Siehe Abbildung 6.
Die Geräte SRX5400, SRX5600 und SRX5800 verwerfen das Paket nicht in der nächsten Sekunde.
Junos OS unterstützt UDP-Flood-Schutz für IPV4- und IPv6-Pakete.
Schützen Sie Ihr Netzwerk vor UDP-Flood-Angriffen durch Aktivieren des UDP-Flood-Schutzes
Dieses Beispiel zeigt, wie Sie Ihr Netzwerk vor UDP-Flood-Angriffen schützen können, indem Sie den UDP-Flood-Schutz aktivieren.
Anforderungen
Über die Geräteinitialisierung hinaus ist keine spezielle Konfiguration erforderlich, bevor der UDP-Flood-Schutz aktiviert wird.
Übersicht
In diesem Beispiel aktivieren Sie den UDP-Überflutungsschutz. Die Werteinheit ist UDP-Pakete pro Sekunde (pps). Der Standardwert ist 1000 pps. Sie geben die Zone an, in der eine Überschwemmung ihren Ursprung haben könnte.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security screen ids-option 1000-udp-flood udp flood threshold 1000 set security zones security-zone external screen 1000-udp-flood
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus in den Drop-Profilen. So aktivieren Sie den UDP-Flood-Schutz:
Geben Sie den UDP-Flood-Schwellenwert an.
[edit] user@host# set security screen ids-option 1000-udp-flood udp flood threshold 1000
Legen Sie die Sicherheitszone für den externen Bildschirm fest.
[edit] user@host# set security zones security-zone external screen 1000-udp-flood
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security screen Befehle und show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security screen
ids-option 1000-udp-flood {
udp {
flood threshold 1000;
}
}
[edit]
user@host# show security zones
security-zone external {
screen 1000-udp-flood;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen des UDP-Überschwemmungsschutzes
Zweck
Überprüfen Sie den UDP-Überschwemmungsschutz.
Aktion
Geben Sie die Befehle und show security zones aus dem show security screen ids-option 1000-udp-flood Betriebsmodus ein.
user@host> show security screen ids-option 1000-udp-flood node0: -------------------------------------------------------------------------- Screen object status: Name Value UDP flood threshold 1000 user@host> show security zones Security zone: external Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: 1000-udp-flood Interfaces bound: 0 Interfaces:
Bedeutung
Die Beispielausgabe zeigt, dass der UDP-Überflutungsschutz aktiviert und der Schwellenwert festgelegt ist.
Landangriffe verstehen
Bei der Kombination eines SYN-Angriffs mit IP-Spoofing liegt ein Landangriff vor, wenn ein Angreifer gefälschte SYN-Pakete sendet, die die IP-Adresse des Opfers sowohl als Ziel- als auch als Quell-IP-Adresse enthalten.
Das empfangende System antwortet, indem es das SYN-ACK-Paket an sich selbst sendet und eine leere Verbindung erstellt, die so lange anhält, bis der Leerlauf-Timeout-Wert erreicht ist. Ein System mit solchen leeren Verbindungen zu überfluten, kann das System überlasten und einen Denial-of-Service (DoS) auslösen. Siehe Abbildung 7.
Wenn Sie die Bildschirmoption zum Blockieren von Landangriffen aktivieren, kombiniert Junos OS Elemente des SYN-Flood-Schutzes und des IP-Spoofing-Schutzes, um Versuche dieser Art zu erkennen und zu blockieren.
Junos OS unterstützt den Schutz vor Landangriffen sowohl für IPv4- als auch für IPv6-Pakete.
Schützen Sie Ihr Netzwerk vor Landangriffen, indem Sie den Schutz vor Landangriffen aktivieren
In diesem Beispiel wird gezeigt, wie Sie Ihr Netzwerk vor Angriffen schützen können, indem Sie den Schutz vor Landangriffen aktivieren.
Anforderungen
Über die Geräteinitialisierung hinaus ist keine spezielle Konfiguration erforderlich, bevor der Schutz vor Landangriffen aktiviert wird.
Übersicht
In diesem Beispiel wird gezeigt, wie der Schutz vor einem Landangriff aktiviert wird. In diesem Beispiel legen Sie den Objektnamen des Sicherheitsbildschirms als Land und die Sicherheitszone als Zone fest.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security screen ids-option land tcp land set security zones security-zone zone screen land
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch. So aktivieren Sie den Schutz vor einem Landangriff:
Geben Sie den Namen des Bildschirmobjekts an.
[edit] user@host# set security screen ids-option land tcp land
Legen Sie die Sicherheitszone fest.
[edit] user@host# set security zones security-zone zone screen land
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security screen Befehle und show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security screen
ids-option land {
tcp {
land;
}
}
[edit]
user@host# show security zones
security-zone zone {
screen land;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen des Schutzes vor einem Landangriff
Zweck
Überprüfen Sie den Schutz vor einem Landangriff.
Aktion
Geben Sie die Befehle und show security zones aus dem show security screen ids-option land Betriebsmodus ein.
user@host> show security screen ids-option land node0: -------------------------------------------------------------------------- Screen object status: Name Value TCP land attack enabled user@host> show security zones Security zone: zone Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: land Interfaces bound: 0 Interfaces:
Bedeutung
Die Beispielausgabe zeigt, dass der Schutz vor einem Landangriff aktiviert ist.