Vue d’ensemble des attaques DoS
L’objectif d’une attaque par déni de service (DoS) est de submerger la victime ciblée d’une énorme quantité de trafic frauduleux, de sorte que la victime devient tellement préoccupée par le traitement du trafic fictif que le trafic légitime ne peut pas être traité. La cible peut être le pare-feu, les ressources réseau dont le pare-feu contrôle l’accès, ou la plate-forme matérielle ou le système d’exploitation spécifique d’un hôte individuel.
Si une attaque par déni de service provient de plusieurs adresses sources, on parle d’attaque par déni de service distribué (DDoS). En règle générale, l’adresse source d’une attaque par déni de service est usurpée. Les adresses sources d’une attaque DDoS peuvent être usurpées, ou les adresses réelles des hôtes compromis peuvent être utilisées comme « agents zombies » pour lancer l’attaque.
L’appareil peut se défendre et protéger les ressources contre les attaques DoS et DDoS.
Présentation des attaques DoS de pare-feu
L’objectif d’une attaque par déni de service (DoS) est de submerger la victime ciblée d’une énorme quantité de trafic frauduleux, de sorte que la victime devient tellement préoccupée par le traitement du trafic fictif que le trafic légitime ne peut pas être traité.
Si les attaquants découvrent la présence du pare-feu Juniper Networks, ils peuvent lancer une attaque par déni de service contre celui-ci plutôt que contre le réseau sous-jacent. Une attaque par déni de service réussie contre un pare-feu équivaut à une attaque par déni de service réussie contre le réseau protégé dans la mesure où elle contrecarre les tentatives de trafic légitime de traverser le pare-feu.
Un attaquant peut utiliser des inondations de tables de sessions et des inondations de proxy SYN-ACK-ACK pour remplir la table de sessions de Junos OS et ainsi produire un DoS.
Comprendre les filtres de pare-feu sur le concentrateur de ports du module SRX5000
Le concentrateur de ports de module Gamme SRX5000 (SRX5K-MPC) pour les SRX5400, SRX5600 et SRX5800 prend en charge un filtre de pare-feu pour assurer le transfert basé sur les filtres et le filtrage des paquets au niveau des interfaces logiques, y compris l’interface de bouclage du châssis. Un filtre de pare-feu est utilisé pour sécuriser les réseaux, pour protéger les moteurs de routage et de transmission de paquets, et pour garantir la classe de service (CoS).
Le filtre de pare-feu fournit :
Transfert basé sur des filtres au niveau des interfaces logiques
Protection d’un moteur de routage contre les attaques DoS
Blocage de certains types de paquets pour atteindre un moteur de routage et un compteur de paquets
Le filtre de pare-feu examine les paquets et effectue des actions en fonction de la stratégie de filtrage configurée. La stratégie est composée de conditions de correspondance et d’actions. Les conditions de correspondance couvrent différents champs d’informations sur les paquets de couche 3 et d’en-tête de couche 4. En association avec les conditions de correspondance, diverses actions sont définies dans la stratégie de filtre de pare-feu, notamment accept, , compteur, discardlog etc.
Après avoir configuré le filtre de pare-feu, vous pouvez appliquer une interface logique au filtre de pare-feu à l’entrée ou à la sortie, ou dans les deux sens. Tous les paquets transitant par l’interface logique sont contrôlés par le filtre du pare-feu. Dans le cadre de la configuration du filtre de pare-feu, un mécanisme de contrôle est défini et appliqué à l’interface logique. Un mécanisme de contrôle restreint la bande passante du trafic au niveau de l’interface logique.
Le filtrage par pare-feu d’une SRX5K-MPC ne prend pas en charge les interfaces Ethernet agrégées.
Sur SRX5400, SRX5600 et SRX5800 équipements dotés d’un SRX5K-MPC, l’application d’un mécanisme de contrôle au niveau de l’interface de bouclage (lo0) garantit que le moteur de transfert de paquets rejette certains types de paquets et les empêche d’atteindre le moteur de routage.