SUR CETTE PAGE
Protéger votre réseau contre les attaques SYN flood en activant la protection SYN flood
Exemple : Activation de la protection SYN Flood pour les serveurs Web dans la DMZ
Comprendre les listes d’autorisation pour les écrans SYN Flood
Exemple : Configuration des listes d’autorisation pour les écrans SYN Flood
Comprendre la liste d’autorisation pour les écrans d’inondation UDP
Exemple : Configuration de la liste d’autorisation pour les écrans d’inondation UDP
Comprendre la liste d’autorisation pour toutes les options d’écran
Attaques par déni de service réseau
Une attaque réseau se compose de trois grandes étapes. Dans un premier temps, l’attaquant effectue une reconnaissance sur le réseau cible. Cette reconnaissance peut consister en différents types de sondes réseau, Pour plus d’informations, consultez les rubriques suivantes :
Présentation des attaques par déni de service réseau
Une attaque par déni de service (DoS) dirigée contre une ou plusieurs ressources réseau inonde la cible d’un nombre écrasant de paquets SYN, ICMP ou UDP, ou d’un nombre écrasant de fragments SYN.
En fonction de l'objectif des attaquants et de l'étendue et du succès des efforts de collecte de renseignements précédents, les attaquants peuvent cibler un hôte spécifique, tel qu'un appareil ou un serveur, ou ils peuvent cibler des hôtes aléatoires sur le réseau ciblé. L’une ou l’autre approche peut perturber le service d’un seul hôte ou de l’ensemble du réseau, selon l’importance du rôle de la victime par rapport au reste du réseau.
Comprendre les attaques SYN Flood
Un SYN flood se produit lorsqu’un hôte est tellement submergé par des segments SYN initiant des demandes de connexion incomplètes qu’il ne peut plus traiter les demandes de connexion légitimes.
Deux hôtes établissent une connexion TCP avec un triple échange de paquets connu sous le nom d’établissement de liaison à trois voies : A envoie un segment SYN à B ; B répond par un segment SYN/ACK ; et A répond avec un segment ACK. Une attaque SYN flood inonde un site de segments SYN contenant des adresses IP falsifiées (usurpées) dont les adresses sont inexistantes ou inaccessibles. B répond avec des segments SYN/ACK à ces adresses, puis attend que les segments ACK répondent. Étant donné que les segments SYN/ACK sont envoyés à des adresses IP inexistantes ou inaccessibles, ils ne suscitent jamais de réponses et finissent par expirer. Reportez-vous à la figure 1.
SYN flood
En inondant un hôte de connexions TCP incomplètes, l’attaquant finit par remplir la mémoire tampon de la victime. Une fois cette mémoire tampon pleine, l’hôte ne peut plus traiter les nouvelles demandes de connexion TCP. L'inondation pourrait même endommager le système d'exploitation de la victime. Dans les deux cas, l’attaque désactive la victime et ses opérations normales.
Cette rubrique comprend les sections suivantes :
Protection contre les inondations SYN
Junos OS peut imposer une limite au nombre de segments SYN autorisés à traverser le pare-feu par seconde. Vous pouvez baser le seuil d’attaque sur l’adresse de destination et le port de l’interface entrante, l’adresse de destination uniquement ou l’adresse source uniquement. Lorsque le nombre de segments SYN par seconde dépasse le seuil défini, Junos OS lance un proxy pour les segments SYN entrants, répond par segments SYN/ACK et stocke les demandes de connexion incomplètes dans une file d’attente de connexion, ou abandonne les paquets.
Le proxy SYN ne se produit que lorsqu’une adresse de destination et un seuil d’attaque de port d’interface entrante sont dépassés. Si une adresse de destination ou un seuil d’adresse source est dépassé, des paquets supplémentaires sont simplement abandonnés.
Sur la Figure 2, le seuil d’attaque SYN pour une adresse de destination et un port d’interface d’entrée a été dépassé et Junos OS a commencé à utiliser le proxy pour les segments SYN entrants. Les demandes de connexion incomplètes restent dans la file d’attente jusqu’à ce que la connexion soit terminée ou que la demande expire.
SYN
SYN Flood Options
Vous pouvez définir les paramètres suivants pour le proxy des demandes de connexion TCP inachevées :
Seuil d’attaque : cette option vous permet de définir le nombre de segments SYN (c’est-à-dire les segments TCP avec l’indicateur SYN) sur la même adresse de destination par seconde requise pour activer le mécanisme de proxy SYN. Bien que vous puissiez définir le seuil sur n’importe quel nombre, vous devez connaître les schémas de trafic normaux sur votre site pour définir un seuil approprié. Par exemple, s’il s’agit d’un site de commerce électronique qui reçoit normalement 20 000 segments SYN par seconde, vous pouvez définir le seuil à 30 000 par seconde. Si un site plus petit reçoit normalement 20 segments SYN par seconde, vous pouvez envisager de définir le seuil à 40.
Seuil d’alarme : cette option vous permet de définir le nombre de demandes de connexion TCP par proxy semi-complètes par seconde, après quoi Junos OS saisit une alarme dans le journal des événements. La valeur que vous définissez pour un seuil d’alarme déclenche une alarme lorsque le nombre de demandes de connexion proxy à moitié terminées vers la même adresse de destination par seconde dépasse cette valeur. Par exemple, si vous définissez le seuil d’attaque SYN à 2000 segments SYN par seconde et l’alarme à 1000, un total de 3000 segments SYN par seconde vers la même adresse de destination est nécessaire pour déclencher une entrée d’alarme dans le journal.
Pour chaque segment SYN vers la même adresse de destination au-delà du seuil d’alarme, le module de détection d’attaque génère un message. À la fin de la seconde, le module de journalisation compresse tous les messages similaires en une seule entrée de journal qui indique combien de segments SYN vers la même adresse de destination et le même numéro de port sont arrivés après avoir dépassé le seuil d’alarme. Si l’attaque persiste au-delà de la première seconde, le journal des événements saisit une alarme toutes les secondes jusqu’à ce que l’attaque s’arrête.
Seuil source (Source Threshold) : cette option vous permet de spécifier le nombre de segments SYN reçus par seconde à partir d’une seule adresse IP source, quelle que soit l’adresse IP de destination, avant que Junos OS ne commence à abandonner les demandes de connexion à partir de cette source.
Le suivi d’un SYN flood par adresse source utilise des paramètres de détection différents de ceux du suivi d’un SYN flood par adresse de destination. Lorsque vous définissez un seuil d’attaque SYN et un seuil source, vous mettez en vigueur à la fois le mécanisme de protection contre l’inondation SYN de base et le mécanisme de suivi de l’inondation SYN basé sur la source.
Seuil de destination (Destination Threshold) : cette option vous permet de spécifier le nombre de segments SYN reçus par seconde pour une seule adresse IP de destination avant que Junos OS ne commence à abandonner les demandes de connexion vers cette destination. Si un hôte protégé exécute plusieurs services, vous pouvez définir un seuil basé uniquement sur l’adresse IP de destination, quel que soit le numéro de port de destination.
Lorsque vous définissez un seuil d’attaque SYN et un seuil de destination, vous mettez en vigueur à la fois le mécanisme de protection contre l’inondation SYN de base et le mécanisme de suivi de l’inondation SYN basé sur la destination.
Prenons un cas où Junos OS a des stratégies autorisant les requêtes FTP et les requêtes HTTP vers la même adresse IP. Si le seuil d’attaque SYN flood est de 1 000 paquets par seconde (pps) et qu’un attaquant envoie 999 paquets FTP et 999 pps HTTP, Junos OS traite les paquets FTP et HTTP ayant la même adresse de destination que les membres d’un ensemble unique et rejette le 1001e paquet (FTP ou HTTP) vers cette destination.
Délai d’expiration : cette option vous permet de définir la durée maximale avant qu’une connexion à moitié terminée ne soit supprimée de la file d’attente. La valeur par défaut est de 20 secondes et vous pouvez définir le délai d’expiration de 1 à 50 secondes. Vous pouvez essayer de réduire la valeur du délai d’attente à une longueur plus courte jusqu’à ce que vous commenciez à voir des connexions interrompues dans des conditions de trafic normales. Vingt secondes est un délai d’attente très conservateur pour une réponse ACK à trois voies.
Junos OS prend en charge la protection contre le saturation SYN pour le trafic IPv4 et IPv6.
Protéger votre réseau contre les attaques SYN flood en activant la protection SYN flood
Cet exemple montre comment protéger votre réseau contre les attaques SYN flood en activant la protection SYN flood.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous activez l’option d’écran de protection zone-syn-flood et définissez la valeur du délai d’expiration sur 20. Vous spécifiez également la zone d’origine de l’inondation.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security screen ids-option zone-syn-flood tcp syn-flood source-threshold 10000 set security screen ids-option zone-syn-flood tcp syn-flood destination-threshold 10000 set security zones security-zone untrust screen zone-syn-flood
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI. Pour activer la protection contre les inondations SYN :
Spécifiez le nom de l’objet écran.
[edit] user@host# set security screen ids-option zone-syn-flood tcp syn-flood source-threshold 10000 user@host# set security screen ids-option zone-syn-flood tcp syn-flood destination-threshold 10000
Définissez la zone de sécurité pour l’écran de zone.
[edit] user@host# set security zones security-zone untrust screen zone-syn-flood
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security screen commandes et show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security screen
ids-option zone-syn-flood {
tcp {
syn-flood {
source-threshold 10000;
destination-threshold 10000;
timeout 20;
}
}
}
[edit]
user@host# show security zones
security-zone untrust {
screen zone-syn-flood;
interfaces {
ge-0/0/1.0;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la protection contre les inondations SYN
But
Vérifiez la protection contre les inondations SYN.
Action
Entrez les commandes et show security screen ids-option zone-syn-flood show security zones à partir du mode opérationnel.
user@host> show security screen ids-option zone-syn-flood
node0:
--------------------------------------------------------------------------
Screen object status:
Name Value
TCP SYN flood attack threshold 200
TCP SYN flood alarm threshold 512
TCP SYN flood source threshold 10000
TCP SYN flood destination threshold 10000
TCP SYN flood timeout 20
user@host> show security zones
Security zone: untrust
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: zone-syn-flood
Interfaces bound: 1
Interfaces:
ge-0/0/1.0
Sens
L’exemple de sortie montre que la protection contre le saturage SYN est activée avec un seuil de source et de destination.
Exemple : Activation de la protection SYN Flood pour les serveurs Web dans la DMZ
Cet exemple montre comment activer la protection contre l’inondation SYN pour les serveurs Web dans la DMZ.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Cet exemple montre comment protéger quatre serveurs Web de la DMZ contre les attaques SYN flood provenant de la zone externe, en activant l’option d’écran de protection SYN flood pour la zone externe. Reportez-vous à la figure 3.
Nous vous recommandons d’augmenter la protection contre les inondations SYN fournie par Junos OS avec une protection contre les inondations SYN au niveau de l’équipement sur chaque serveur Web. Dans cet exemple, les serveurs Web exécutent UNIX, ce qui fournit également des défenses contre le saturation SYN, telles que l’ajustement de la longueur de la file d’attente des demandes de connexion et la modification du délai d’expiration pour les demandes de connexion incomplètes.
Pour configurer les paramètres de protection contre les inondations SYN avec des valeurs appropriées pour votre réseau, vous devez d’abord établir une base de référence des flux de trafic typiques. Par exemple, pendant une semaine, vous exécutez un renifleur sur Ethernet3 (l’interface liée à zone_external) pour surveiller le nombre de nouvelles demandes de connexion TCP arrivant chaque seconde pour les quatre serveurs Web de la DMZ. L’analyse des données accumulées au cours d’une semaine de surveillance permet d’obtenir les statistiques suivantes :
Nombre moyen de nouvelles demandes de connexion par serveur : 250 par seconde
Nombre maximum moyen de nouvelles demandes de connexion par serveur : 500 par seconde
Un renifleur est un dispositif d’analyse réseau qui capture les paquets sur le segment de réseau auquel vous l’attachez. La plupart des renifleurs vous permettent de définir des filtres pour ne collecter que le type de trafic qui vous intéresse. Plus tard, vous pouvez afficher et évaluer les informations accumulées. Dans cet exemple, vous souhaitez que le renifleur collecte tous les paquets TCP avec l’indicateur SYN défini arrivant à Ethernet3 et destinés à l’un des quatre serveurs Web de la DMZ. Vous pouvez continuer à faire fonctionner le renifleur à intervalles réguliers pour voir s’il existe des schémas de trafic en fonction de l’heure de la journée, du jour de la semaine, de la période du mois ou de la saison de l’année. Par exemple, dans certaines organisations, le trafic peut augmenter considérablement lors d’un événement critique. Des changements importants justifient probablement d’ajuster les différents seuils.
Sur la base de ces informations, vous définissez les paramètres de protection contre les inondations SYN suivants pour zone_external comme indiqué dans le tableau 1.
Paramètre |
Valeur |
Raison de chaque valeur |
|---|---|---|
Seuil d’attaque |
625 pages |
C’est 25 % de plus que le nombre moyen de demandes de nouvelles connexions par seconde et par serveur, ce qui est inhabituel dans cet environnement réseau. Lorsque le nombre de paquets SYN par seconde pour l’un des quatre serveurs Web dépasse ce nombre, l’équipement commence à envoyer de nouvelles demandes de connexion par proxy à ce serveur. (En d’autres termes, à partir du 626e paquet SYN vers la même adresse de destination en une seconde, l’appareil commence à envoyer des demandes de connexion proxy à cette adresse.) |
Seuil d’alarme |
250 pages |
Lorsque l’appareil transmet 251 nouvelles demandes de connexion par proxy en une seconde, il crée une entrée d’alarme dans le journal des événements. En définissant le seuil d’alarme un peu plus haut que le seuil d’attaque, vous pouvez éviter les entrées d’alarme pour les pics de trafic qui ne dépassent que légèrement le seuil d’attaque. |
Seuil source |
25 pages |
Lorsque vous définissez un seuil source, l’équipement suit l’adresse IP source des paquets SYN, quelle que soit l’adresse de destination. (Notez que ce suivi basé sur la source est distinct du suivi des paquets SYN basé sur l’adresse de destination, qui constitue le mécanisme de base de protection contre les inondations SYN.) Au cours de la semaine d’activité de surveillance, vous avez observé que pas plus de 1/25 des nouvelles demandes de connexion pour tous les serveurs provenaient d’une source à un intervalle d’une seconde. Par conséquent, les demandes de connexion dépassant ce seuil sont inhabituelles et constituent une raison suffisante pour que l’appareil exécute son mécanisme de proxy. (Notez que 25 pps correspond à 1/25 du seuil d’attaque, qui est de 625 pps.) Si l’appareil suit 25 paquets SYN à partir de la même adresse IP source, alors, à partir du 26e paquet, il rejette tous les autres paquets SYN de cette source pour le reste de cette seconde et pour la seconde suivante également. |
Seuil de destination |
4000 pages |
Lorsque vous définissez un seuil de destination, l’appareil effectue un suivi distinct de l’adresse IP de destination uniquement, quel que soit le numéro de port de destination. Étant donné que les quatre serveurs Web ne reçoivent que du trafic HTTP (port de destination 80) (aucun trafic vers un autre numéro de port de destination ne les atteint), la définition d’un autre seuil de destination n’offre aucun avantage supplémentaire. |
Timeout |
20 secondes |
La valeur par défaut de 20 secondes correspond à une durée raisonnable de mise en attente des demandes de connexion incomplètes. |
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 10.2.2.1/24 set interfaces fe-1/0/0 unit 0 family inet address 10.1.1.1/24 set security zones security-zone zone_dmz interfaces ge-0/0/0.0 set security zones security-zone zone_external interfaces fe-1/0/0.0 set security zones security-zone zone_dmz address-book address ws1 10.2.2.10/32 set security zones security-zone zone_dmz address-book address ws2 10.2.2.20/32 set security zones security-zone zone_dmz address-book address ws3 10.2.2.30/32 set security zones security-zone zone_dmz address-book address ws4 10.2.2.40/32 set security zones security-zone zone_dmz address-book address-set web_servers address ws1 set security zones security-zone zone_dmz address-book address-set web_servers address ws2 set security zones security-zone zone_dmz address-book address-set web_servers address ws3 set security zones security-zone zone_dmz address-book address-set web_servers address ws4 set security policies from-zone zone_external to-zone zone_dmz policy id_1 match source-address any destination-address web_servers application junos-http set security policies from-zone zone_external to-zone zone_dmz policy id_1 then permit set security screen ids-option zone_external-syn-flood tcp syn-flood alarm-threshold 250 attack-threshold 625 source-threshold 25 timeout 20 set security zones security-zone zone_external screen zone_external-syn-flood
Procédure étape par étape
Pour configurer les paramètres de protection contre les inondations SYN :
Définissez les interfaces.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.2.2.1/24 user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set security zones security-zone zone_dmz interfaces ge-0/0/0.0 user@host# set security zones security-zone zone_external interfaces fe-1/0/0.0
Définir les adresses.
[edit] user@host# set security zones security-zone zone_dmz address-book address ws1 10.2.2.10/32 user@host# set security zones security-zone zone_dmz address-book address ws2 10.2.2.20/32 user@host# set security zones security-zone zone_dmz address-book address ws3 10.2.2.30/32 user@host# set security zones security-zone zone_dmz address-book address ws4 10.2.2.40/32 user@host# set security zones security-zone zone_dmz address-book address-set web_servers address ws1 user@host# set security zones security-zone zone_dmz address-book address-set web_servers address ws2 user@host# set security zones security-zone zone_dmz address-book address-set web_servers address ws3 user@host# set security zones security-zone zone_dmz address-book address-set web_servers address ws4
Configurez la stratégie.
[edit] user@host# set security policies from-zone zone_external to-zone zone_dmz policy id_1 match source-address any user@host# set security policies from-zone zone_external to-zone zone_dmz policy id_1 match destination-address web_servers user@host# set security policies from-zone zone_external to-zone zone_dmz policy id_1 match application junos-http user@host# set security policies from-zone zone_external to-zone zone_dmz policy id_1 then permit
Configurez les options de l’écran.
[edit] user@host# set security screen ids-option zone_external-syn-flood tcp syn-flood alarm-threshold 250 user@host# set security screen ids-option zone_external-syn-flood tcp syn-flood attack-threshold 625 user@host# set security screen ids-option zone_external-syn-flood tcp syn-flood source-threshold 25 user@host# set security screen ids-option zone_external-syn-flood tcp syn-flood timeout 20 user@host# set security zones security-zone zone_external screen zone_external-syn-flood
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show interfacescommandes , , show security zonesshow security policieset show security screen . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette commande inclut uniquement la show configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.2.2.1/24;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
...
[edit]
user@host# show security zones
...
security-zone zone_dmz {
address-book {
address ws1 10.2.2.10/32;
address ws2 10.2.2.20/32;
address ws3 10.2.2.30/32;
address ws4 10.2.2.40/32;
address-set web_servers {
address ws1;
address ws2;
address ws3;
address ws4;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone zone_external {
screen zone_external-syn-flood;
interfaces {
fe-1/0/0.0;
}
}
[edit]
user@host# show security policies
from-zone zone_external to-zone zone_dmz {
policy id_1 {
match {
source-address any;
destination-address web_servers;
application junos-http;
}
then {
permit;
}
}
}
[edit]
user@host# show security screen
...
ids-option zone_external-syn-flood {
tcp {
syn-flood {
alarm-threshold 250;
attack-threshold 625;
source-threshold 25;
timeout 20;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la protection SYN Flood pour les serveurs Web dans la DMZ
But
Vérifiez la protection contre l’inondation SYN pour les serveurs Web dans la DMZ.
Action
À partir du mode opérationnel, entrez les show interfacescommandes , show security zones, show security policieset show security screen ids-option zone_external-syn-flood .
Comprendre les listes d’autorisation pour les écrans SYN Flood
Junos OS fournit l’option d’administration pour configurer une liste d’autorisation d’adresses IP approuvées auxquelles l’écran SYN flood ne répondra pas avec un SYN/ACK. Au lieu de cela, les paquets SYN provenant des adresses sources ou des adresses de destination de la liste sont autorisés à contourner les mécanismes de cookie SYN et de proxy SYN. Cette fonctionnalité est nécessaire lorsque vous disposez d’un service sur votre réseau qui ne peut tolérer les réponses SYN/ACK proxy quelles que soient les conditions, y compris un événement SYN flood.
Les listes d’autorisation IP version 4 (IPv4) et IP version 6 (IPv6) sont prises en charge. Les adresses d’une liste d’autorisation doivent être toutes IPv4 ou toutes IPv6. Dans chaque liste d’autorisation, il peut y avoir jusqu’à 32 préfixes d’adresse IP. Vous pouvez spécifier plusieurs adresses ou préfixes d’adresse sous la forme d’une séquence d’adresses séparées par des espaces et entre crochets.
Une liste d’autorisation peut entraîner une utilisation élevée du processeur sur un point central en fonction du niveau de trafic. Par exemple, lorsqu’aucun écran n’est activé, le nombre de connexions par seconde (cps) est de 492 Ko ; lorsque l’écran est activé et que la liste d’autorisation est désactivée, le cps est de 373 Ko ; Et lorsque l’écran et la liste d’autorisation sont activés, le cps est de 194K. Après avoir activé la liste d’autorisation, le cps chute de 40 %.
Exemple : Configuration des listes d’autorisation pour les écrans SYN Flood
Cet exemple montre comment configurer des listes d’autorisation d’adresses IP pour qu’elles soient exemptées du cookie SYN et des mécanismes de proxy SYN qui se produisent pendant le processus de protection de l’écran SYN flood.
Exigences
Avant de commencer, configurez un écran de sécurité et activez l’écran dans la zone de sécurité. Reportez-vous à la section Exemple : Activation de la protection SYN Flood pour les serveurs Web dans la DMZ.
Aperçu
Dans cet exemple, vous allez configurer des listes d’autorisation nommées wlipv4 et wlipv6. Toutes les adresses sont IP version 4 (IPv4) pour , et toutes les adresses sont IP version 6 (IPv6) pour wlipv4wlipv6. Les deux listes d’autorisation incluent les adresses IP de destination et source.
Plusieurs adresses ou préfixes d’adresse peuvent être configurés sous la forme d’une séquence d’adresses séparées par des espaces et placées entre crochets, comme indiqué dans la configuration des adresses de destination pour wlipv4.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security screen ids-option js1 tcp syn-flood white-list wlipv4 source-address 1.1.1.0/24 set security screen ids-option js1 tcp syn-flood white-list wlipv4 destination-address 2.2.2.2/32 set security screen ids-option js1 tcp syn-flood white-list wlipv4 destination-address 3.3.3.3/32 set security screen ids-option js1 tcp syn-flood white-list wlipv4 destination-address 4.4.4.4/32 set security screen ids-option js1 tcp syn-flood white-list wlipv6 source-address 2001::1/64 set security screen ids-option js1 tcp syn-flood white-list wlipv6 destination-address 2002::1/64
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultezUtilisation de l’éditeur CLI en mode de configuration dans les profils de dépôt.
Pour configurer les listes d’autorisation :
Spécifiez le nom de la liste d’autorisation et les adresses IP à exempter du SYN/ACK.
[edit security screen ids-option js1 tcp syn-flood] user@host# set white-list wlipv4 source-address 1.1.1.0/24 user@host# set white-list wlipv4 destination-address [2.2.2.2 3.3.3.3 4.4.4.4] user@host# set white-list wlipv6 source-address 2001::1/64 user@host# set white-list wlipv6 destination-address 2002::1/64
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security screen commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security screen
ids-option js1 {
tcp {
syn-flood {
white-list wlipv4 {
source-address 1.1.1.0/24;
destination-address [2.2.2.2/32 3.3.3.3/32 4.4.4.4/32];
}
white-list wlipv6 {
source-address 2001::1/64;
destination-address 2002::1/64;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Comprendre la liste d’autorisation pour les écrans d’inondation UDP
Junos OS fournit la possibilité administrative de configurer une liste d’autorisation d’adresses IP approuvées en cas de saturation UDP. Lorsque le saturation UDP est activé, tous les paquets UDP qui se trouvent au-dessus de la valeur seuil sont abandonnés. Certains de ces paquets sont valides et ne doivent pas être supprimés du trafic. Lorsque vous configurez la liste d’autorisation sur l’écran de saturation UDP, seules les adresses sources de la liste sont autorisées à contourner la détection de saturation UDP. Cette fonctionnalité est nécessaire lorsque tout le trafic provenant d’adresses dans les groupes de la liste d’autorisation doit contourner la vérification de saturation UDP.
Les listes d’autorisation IPv4 et IPv6 sont prises en charge. Les adresses d’une liste d’autorisation doivent être toutes IPv4 ou toutes IPv6. Dans chaque liste d’autorisation, il peut y avoir jusqu’à 32 préfixes d’adresse IP. Vous pouvez spécifier plusieurs adresses ou préfixes d’adresse sous la forme d’une séquence d’adresses séparées par des espaces et entre crochets. Vous pouvez configurer une adresse unique ou une adresse de sous-réseau.
La liste d’autorisation de l’écran d’inondation UDP n’est pas prise en charge sur les appareils SRX5400, SRX5600 et SRX5800.
Exemple : Configuration de la liste d’autorisation pour les écrans d’inondation UDP
Cet exemple montre comment configurer des listes d’autorisation d’adresses IP à exempter de la détection d’inondation UDP qui se produisent pendant le processus de protection de l’écran d’inondation UDP.
Exigences
Avant de commencer, configurez un écran de sécurité et activez l’écran dans la zone de sécurité.
Aperçu
Dans cet exemple, vous allez configurer des listes d’autorisation nommées wlipv4 et wlipv6. Toutes les adresses sont IPv4 pour , et toutes les adresses sont IPv6 pour wlipv4wlipv6. Les deux listes d’autorisation incluent les adresses IP de destination et source.
Plusieurs adresses ou préfixes d’adresse peuvent être configurés sous la forme d’une séquence d’adresses séparées par des espaces et placées entre crochets, comme indiqué dans la configuration des adresses de destination pour wlipv4 et wlipv6.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security screen white-list wlipv4 address 198.51.100.10/24 set security screen white-list wlipv4 address 198.51.100.11/24 set security screen white-list wlipv4 address 198.51.100.12/24 set security screen white-list wlipv4 address 198.51.100.13/24 set security screen white-list wlipv6 address 2001:db8::1/32 set security screen white-list wlipv6 address 2001:db8::2/32 set security screen white-list wlipv6 address [2001:db8::3/32] set security screen white-list wlipv6 address [2001:db8::4/32] set security screen ids-options jscreen udp flood white-list wlipv4 set security screen ids-options jscreen udp flood white-list wlipv6
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les listes d’autorisation :
Spécifiez le nom de la liste d’autorisation et les adresses IPv4 pour contourner la détection de saturation UDP.
[edit security screen] user@host# set white-list wlipv4 address 198.51.100.10/32 user@host# set white-list wlipv4 address 198.51.100.11/32 user@host# set white-list wlipv4 address 198.51.100.12/32 user@host# set white-list wlipv4 address 198.51.100.13/32
Spécifiez le nom de la liste d’autorisation et les adresses IPv6 pour contourner la détection de saturation UDP.
[edit security screen] user@host# set white-list wlipv6 address 2001:db8::1/32 user@host# set white-list wlipv6 address 2001:db8::2/32 user@host# set white-list wlipv6 address 2001:db8::3/32 user@host# set white-list wlipv6 address 2001:db8::4/32
Définissez l’option de liste d’autorisation de saturation UDP.
[edit security screen] user@host# set ids-option jscreen udp flood white-list wlipv4 user@host# set ids-option jscreen udp flood white-list wlipv6
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security screen commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security screen
ids-option jscreen {
udp {
flood {
white-list [ wlipv4 wlipv6 ];
}
}
}
white-list wlipv4 {
address [ 198.51.100.11/32 198.51.100.12/32 198.51.100.13/32 198.51.100.14/32 ];
}
white-list wlipv6 {
address [ 2001:db8::1/32 2001:db8::2/32 2001:db8::3/32 2001:db8::4/32 ];
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration de la liste blanche
But
Vérifiez que la liste d’autorisation est correctement configurée.
Action
À partir du mode opérationnel, entrez la show security screen white-list wlipv4 commande et show security screen ids-option jscreen .
user@host> show security screen white-list wlipv4 Screen white list: 198.51.100.10/32 198.51.100.11/32 198.51.100.12/32 198.51.100.13/32 user@host> show security screen ids-option jscreen Name Value …… UDP flood threshold ## UDP flood white-list wlipv4 UDP flood white-list wlipv6
Comprendre la liste d’autorisation pour toutes les options d’écran
Junos OS fournit la possibilité administrative de configurer la liste d’autorisation pour toutes les options d’écran IP dans une zone de sécurité. Lorsque l’écran est activé dans une zone de sécurité, tous les paquets IP dépassant la valeur seuil sont abandonnés. Certains de ces paquets sont valides à partir de sources spécifiques et ne doivent pas être supprimés du trafic. Lorsque vous configurez la liste d’autorisation au niveau d’une zone, toutes les adresses IP provenant de sources spécifiques sont autorisées à contourner la vérification de détection d’attaque.
Cette fonctionnalité est nécessaire lorsque toutes les adresses IP d’une source spécifique doivent contourner la vérification de détection d’attaque.
Les listes d’autorisation IPv4 et IPv6 sont prises en charge. Les adresses d’une liste d’autorisation doivent être toutes IPv4 ou toutes IPv6. Dans chaque liste d’autorisation, il peut y avoir jusqu’à 32 préfixes d’adresse IP. Vous pouvez spécifier plusieurs adresses ou préfixes d’adresse sous la forme d’une séquence d’adresses séparées par des espaces et entre crochets. Vous pouvez configurer une adresse unique ou une adresse de sous-réseau.
Avantages
-
La liste d’autorisation IP globale contourne la vérification de filtrage des paquets IP pour autoriser tous les paquets IP provenant de sources spécifiques.
Comprendre la protection contre les cookies SYN
Le cookie SYN est un mécanisme de proxy SYN sans état que vous pouvez utiliser en conjonction avec d’autres défenses contre une attaque SYN flood.
Comme pour le proxy SYN traditionnel, le cookie SYN est activé lorsque le seuil d’attaque SYN flood est dépassé. Toutefois, étant donné que le cookie SYN est sans état, il ne configure pas de session ou de stratégie et n’achemine pas les recherches à la réception d’un segment SYN, et ne conserve aucune file d’attente de demandes de connexion. Cela réduit considérablement l’utilisation du processeur et de la mémoire et constitue le principal avantage de l’utilisation du cookie SYN par rapport au mécanisme de proxy SYN traditionnel.
Lorsque le cookie SYN est activé sur Junos OS et devient le proxy de négociation TCP pour le serveur de destination, il répond à chaque segment SYN entrant avec un SYN/ACK contenant un cookie chiffré comme numéro de séquence initial (ISN). Le cookie est un hachage MD5 de l’adresse source et du numéro de port d’origine, de l’adresse et du numéro de port de destination, ainsi que de l’ISN du paquet SYN d’origine. Après l’envoi du cookie, Junos OS supprime le paquet SYN d’origine et supprime le cookie calculé de la mémoire. S’il n’y a pas de réponse au paquet contenant le cookie, l’attaque est notée comme une attaque SYN active et est effectivement arrêtée.
Si l’hôte initiateur répond avec un paquet TCP contenant le cookie +1 dans le champ TCP ACK, Junos OS extrait le cookie, soustrait 1 de la valeur et recalcule le cookie pour valider qu’il s’agit bien d’un accusé de réception légitime. S’il est légitime, Junos OS démarre le processus proxy TCP en établissant une session et en envoyant un SYN au serveur contenant les informations source du SYN d’origine. Lorsque Junos OS reçoit un SYN/ACK du serveur, il envoie des accusés de réception au serveur et à l’hôte d’initiation. À ce stade, la connexion est établie et l’hôte et le serveur peuvent communiquer directement.
L’utilisation du cookie SYN ou du proxy SYN permet au pare-feu SRX Series de protéger les serveurs TCP derrière lui contre les attaques SYN flood dans les flux IPv6.
La Figure 4 montre comment une connexion est établie entre un hôte initiateur et un serveur lorsque le cookie SYN est actif sur Junos OS.
Options de cookies SYN
Vous pouvez définir les paramètres suivants pour les demandes de connexion proxy TCP incomplètes :
Seuil d’attaque : cette option vous permet de définir le nombre de segments SYN (c’est-à-dire les segments TCP avec l’indicateur SYN) sur la même adresse de destination et le même numéro de port par seconde requis pour activer le mécanisme de proxy SYN. Bien que vous puissiez définir le seuil sur n’importe quel nombre, vous devez connaître les schémas de trafic normaux sur votre site pour définir un seuil approprié. Par exemple, pour un site de commerce électronique qui reçoit normalement 2000 segments SYN par seconde, vous pouvez définir le seuil à 30 000 segments SYN par seconde. La plage de seuil valide est comprise entre 1 et 1 000 000. Pour un site plus petit qui reçoit normalement 20 segments SYN par seconde, vous pouvez envisager de définir le seuil à 40 segments SYN par seconde.
Seuil d’alarme : cette option vous permet de définir le nombre de demandes de connexion TCP par proxy semi-complètes par seconde, après quoi Junos OS saisit une alarme dans le journal des événements. La valeur de seuil d’alarme que vous définissez déclenche une alarme lorsque le nombre de demandes de connexion proxy à moitié terminées vers la même adresse de destination et le même numéro de port par seconde dépasse cette valeur. Par exemple, si vous définissez le seuil d’attaque SYN à 2000 segments SYN par seconde et l’alarme à 1000, un total de 3001 segments SYN vers la même adresse de destination et le même numéro de port par seconde est requis pour déclencher une entrée d’alarme dans le journal. La plage de seuil valide est comprise entre 1 et 1 000 000 et la valeur de seuil d’alarme par défaut est 512.
Seuil source (Source Threshold) : cette option vous permet de spécifier le nombre de segments SYN reçus par seconde à partir d’une seule adresse IP source, indépendamment de l’adresse IP de destination et du numéro de port, avant que Junos OS ne commence à abandonner les demandes de connexion à partir de cette source.
Lorsque vous définissez un seuil d’attaque SYN et un seuil source, vous mettez en vigueur à la fois le mécanisme de protection contre l’inondation SYN de base et le mécanisme de suivi de l’inondation SYN basé sur la source. La plage de seuil valide est comprise entre 4 et 1 000 000 et la valeur de seuil d’alarme par défaut est 4000.
Seuil de destination (Destination Threshold) : cette option vous permet de spécifier le nombre de segments SYN reçus par seconde pour une seule adresse IP de destination avant que Junos OS ne commence à abandonner les demandes de connexion vers cette destination. Si un hôte protégé exécute plusieurs services, vous pouvez définir un seuil basé uniquement sur l’adresse IP de destination, quel que soit le numéro de port de destination. La plage de seuil valide est comprise entre 4 et 1 000 000 et la valeur de seuil d’alarme par défaut est 4000.
Lorsque vous définissez un seuil d’attaque SYN et un seuil de destination, vous mettez en vigueur à la fois le mécanisme de protection contre l’inondation SYN de base et le mécanisme de suivi de l’inondation SYN basé sur la destination.
Délai d’expiration : cette option vous permet de définir la durée maximale avant qu’une connexion à moitié terminée ne soit supprimée de la file d’attente. La valeur par défaut est de 20 secondes et vous pouvez définir le délai d’expiration de 0 à 50 secondes. Vous pouvez essayer de réduire la valeur du délai d’expiration à une longueur plus courte jusqu’à ce que vous commenciez à voir des connexions interrompues dans des conditions de trafic normales.
Lorsqu’aucun seuil source ou de destination n’est configuré, le système utilise la valeur de seuil par défaut. La valeur par défaut du seuil source et de destination est de 4000 pps.
Détection et protection de votre réseau contre les attaques SYN flood en activant la protection contre les cookies SYN
Cet exemple montre comment détecter et protéger votre réseau contre les attaques SYN flood en activant la protection contre les cookies SYN.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous définissez la valeur du délai d’expiration external-syn-flood sur 20 et définissez la zone de sécurité de l’écran externe sur external-syn-flood. De plus, vous définissez le mode de protection sur syn-cookie.
La fonctionnalité de cookie SYN peut détecter et protéger uniquement contre les attaques SYN flood usurpées, minimisant ainsi l’impact négatif sur les hôtes sécurisés par Junos OS. Si un attaquant utilise une adresse IP source légitime, plutôt qu’une source IP usurpée, le mécanisme de cookie SYN n’arrête pas l’attaque.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security screen ids-option external-syn-flood tcp syn-flood timeout 20 set security zones security-zone external screen external-syn-flood set security flow syn-flood-protection-mode syn-cookie
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI. Pour activer la protection contre les cookies SYN :
Spécifiez la valeur du délai d’expiration external-syn-flood.
[edit] user@host# set security screen ids-option external-syn-flood tcp syn-flood timeout 20
Définissez la zone de sécurité pour l’écran externe.
[edit] user@host# set security zones security-zone external screen external-syn-flood
Définissez le mode de protection.
[edit] user@host# set security flow syn-flood-protection-mode syn-cookie
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show security screencommandes , show security zoneset show security flow . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security screen
ids-option external-syn-flood {
tcp {
syn-flood {
timeout 20;
}
}
}
[edit]
user@host# show security zones
security-zone zone {
screen external-syn-flood;
}
[edit]
user@host# show security flow
syn-flood-protection-mode syn-cookie;
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la protection contre les cookies SYN
But
Vérification de la protection contre les cookies SYN.
Action
Entrez les commandes et show security screen ids-option external-syn-flood show security zones à partir du mode opérationnel.
user@host> show security screen ids-option external-syn-flood node0: -------------------------------------------------------------------------- Screen object status: Name Value TCP SYN flood attack threshold 200 TCP SYN flood alarm threshold 512 TCP SYN flood source threshold 4000 TCP SYN flood destination threshold 4000 TCP SYN flood timeout 20 user@host> show security zones Security zone: external Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: external-syn-flood Interfaces bound: 0 Interfaces:
Sens
L’exemple de sortie montre que la protection contre les cookies SYN est activée avec un seuil de source et de destination.
Comprendre les attaques par flooding ICMP
Un flood ICMP se produit généralement lorsque les requêtes d’écho ICMP surchargent la cible de l’attaque avec un nombre de requêtes tel que la cible dépense toutes ses ressources pour répondre jusqu’à ce qu’elle ne puisse plus traiter un trafic réseau valide.
Les messages ICMP générés en mode flux sont limités à 12 messages toutes les 10 secondes. Cette limite de débit est calculée par processeur. Une fois le seuil atteint, aucun autre message d’accusé de réception n’est envoyé à l’appareil.
Lors de l’activation de la fonctionnalité de protection contre les inondations ICMP, vous pouvez définir un seuil qui, une fois dépassé, appelle la fonctionnalité de protection contre les attaques contre les inondations ICMP. (La valeur seuil par défaut est de 1000 paquets par seconde.) Si le seuil est dépassé, Junos OS ignore les demandes d’écho ICMP supplémentaires pour le reste de cette seconde plus la seconde suivante. Reportez-vous à la figure 5.
Un flood ICMP peut être constitué de n’importe quel type de message ICMP. Par conséquent, Junos OS surveille tous les types de messages ICMP, et pas seulement les requêtes d’écho.
ICMP
Junos OS prend en charge la protection contre les inondations ICMP pour le trafic IPv4 et IPv6.
Protéger votre réseau contre les attaques par inondation ICMP en activant la protection contre les inondations ICMP
Cet exemple montre comment protéger votre réseau contre les attaques par inondation ICMP en activant la protection contre les inondations ICMP.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant d’activer la protection contre les inondations ICMP.
Aperçu
Dans cet exemple, vous activez la protection contre les inondations ICMP. L’unité de valeur est le nombre de paquets ICMP par seconde, ou pps. La valeur par défaut est de 1000 pps. Vous spécifiez la zone d’origine d’une inondation.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security screen ids-option 1000-icmp-flood icmp flood threshold 1000 set security zones security-zone zone screen 1000-icmp-flood
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI. Pour activer la protection contre les inondations ICMP :
Spécifiez la valeur du seuil d’inondation ICMP.
[edit] user@host# set security screen ids-option 1000-icmp-flood icmp flood threshold 1000
Définissez la zone de sécurité pour l’écran de zone.
[edit] user@host# set security zones security-zone zone screen 1000-icmp-flood
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security screen commandes et show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security screen
ids-option 1000-icmp-flood {
icmp {
flood threshold 1000;
}
}
[edit]
user@host# show security zones
security-zone zone {
screen 1000-icmp-flood;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la protection contre les inondations ICMP
But
Vérifier la protection contre les inondations ICMP
Action
Entrez les commandes et show security screen ids-option 1000-icmp-flood show security zones à partir du mode opérationnel.
user@host> show security screen ids-option 1000-icmp-flood node0: -------------------------------------------------------------------------- Screen object status: Name Value ICMP flood threshold 1000 user@host> show security zones Security zone: zone Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: 1000-icmp-flood Interfaces bound: 0 Interfaces:
Sens
L’exemple de sortie montre que la protection contre les inondations ICMP est activée et que le seuil est défini.
Comprendre les attaques par saturation UDP
Semblable à un flood ICMP, un flood UDP se produit lorsqu’un attaquant envoie des paquets IP contenant des datagrammes UDP dans le but de ralentir la victime au point que celle-ci ne puisse plus gérer des connexions valides.
Après avoir activé la fonctionnalité de protection contre les attaques contre les inondations UDP, vous pouvez définir un seuil qui, une fois dépassé, appelle la fonction de protection contre les attaques contre les inondations UDP. (La valeur seuil par défaut est de 1000 paquets par seconde, ou pps.) Si le nombre de datagrammes UDP provenant d’une ou de plusieurs sources vers une destination unique dépasse ce seuil, Junos OS ignore les autres datagrammes UDP vers cette destination pour le reste de cette seconde plus la seconde suivante. Reportez-vous à la figure 6.
Les périphériques SRX5400, SRX5600 et SRX5800 n’abandonnent pas le paquet dans la seconde qui suit.
UDP
Junos OS prend en charge la protection contre le saturation UDP pour les paquets IPV4 et IPv6.
Protection de votre réseau contre les attaques par inondation UDP en activant la protection contre les inondations UDP
Cet exemple montre comment protéger votre réseau contre les attaques par saturation UDP en activant la protection contre les attaques par saturation UDP.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant d’activer la protection contre les inondations UDP.
Aperçu
Dans cet exemple, vous activez la protection contre les inondations UDP. L’unité de valeur est le nombre de paquets UDP par seconde, ou pps. La valeur par défaut est de 1000 pps. Vous spécifiez la zone d’origine d’une inondation.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security screen ids-option 1000-udp-flood udp flood threshold 1000 set security zones security-zone external screen 1000-udp-flood
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode de configuration dans les profils de dépôt. Pour activer la protection contre les inondations UDP :
Spécifiez la valeur du seuil de saturation UDP.
[edit] user@host# set security screen ids-option 1000-udp-flood udp flood threshold 1000
Définissez la zone de sécurité de l’écran externe.
[edit] user@host# set security zones security-zone external screen 1000-udp-flood
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security screen commandes et show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security screen
ids-option 1000-udp-flood {
udp {
flood threshold 1000;
}
}
[edit]
user@host# show security zones
security-zone external {
screen 1000-udp-flood;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la protection contre les inondations UDP
But
Vérifiez la protection contre les inondations UDP.
Action
Entrez les commandes et show security screen ids-option 1000-udp-flood show security zones à partir du mode opérationnel.
user@host> show security screen ids-option 1000-udp-flood node0: -------------------------------------------------------------------------- Screen object status: Name Value UDP flood threshold 1000 user@host> show security zones Security zone: external Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: 1000-udp-flood Interfaces bound: 0 Interfaces:
Sens
L’exemple de sortie montre que la protection contre les inondations UDP est activée et que le seuil est défini.
Comprendre les attaques terrestres
En combinant une attaque SYN avec l’usurpation d’adresse IP, une attaque terrestre se produit lorsqu’un attaquant envoie des paquets SYN usurpés contenant l’adresse IP de la victime comme adresse IP de destination et l’adresse IP source.
Le système de réception répond en envoyant le paquet SYN-ACK à lui-même, créant ainsi une connexion vide qui dure jusqu’à ce que la valeur du délai d’inactivité soit atteinte. L’inondation d’un système avec de telles connexions vides peut submerger le système et provoquer un déni de service (DoS). Reportez-vous à la figure 7.
terrestre
Lorsque vous activez l’option d’écran pour bloquer les attaques terrestres, Junos OS combine des éléments de la défense contre le saturation SYN et de la protection contre l’usurpation d’adresse IP pour détecter et bloquer toute tentative de cette nature.
Junos OS prend en charge la protection contre les attaques terrestres pour les paquets IPv4 et IPv6.
Protéger votre réseau contre les attaques terrestres en activant la protection contre les attaques terrestres
Cet exemple montre comment protéger votre réseau contre les attaques en activant la protection contre les attaques terrestres.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant d’activer la protection contre les attaques terrestres.
Aperçu
Cet exemple montre comment activer la protection contre une attaque terrestre. Dans cet exemple, vous définissez le nom de l’objet de l’écran de sécurité sur land et la zone de sécurité sur zone.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security screen ids-option land tcp land set security zones security-zone zone screen land
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI. Pour activer la protection contre une attaque terrestre :
Spécifiez le nom de l’objet écran.
[edit] user@host# set security screen ids-option land tcp land
Définissez la zone de sécurité.
[edit] user@host# set security zones security-zone zone screen land
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security screen commandes et show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security screen
ids-option land {
tcp {
land;
}
}
[edit]
user@host# show security zones
security-zone zone {
screen land;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la protection contre une attaque terrestre
But
Vérifiez la protection contre une attaque au sol.
Action
Entrez les commandes et show security screen ids-option land show security zones à partir du mode opérationnel.
user@host> show security screen ids-option land node0: -------------------------------------------------------------------------- Screen object status: Name Value TCP land attack enabled user@host> show security zones Security zone: zone Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: land Interfaces bound: 0 Interfaces:
Sens
L’exemple de sortie montre que la protection contre une attaque terrestre est activée.