Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de la protection contre les attaques réseau avec des écrans IDS pour les services de nouvelle génération

Configuration de l’option IDS de nom d’écran, de direction et d’alarme

Configurez le nom d’écran IDS, le sens du trafic et l’alarme facultative.

  1. Spécifiez un nom pour l’écran IDS.
  2. Indiquez si l’écran IDS s’applique au trafic d’entrée, au trafic de sortie ou aux deux.
  3. Si vous souhaitez que l’écran IDS enregistre une alarme lorsque des paquets dépassent la limite de session, plutôt que d’abandonner des paquets, configurez alarm-without-drop.

Configuration des limites de session dans l’écran IDS

Vous pouvez utiliser les écrans IDS pour définir des limites de session pour le trafic provenant d’adresses ou de sous-réseaux individuels et à destination d’adresses ou de sous-réseaux individuels. Vous êtes ainsi protégé contre les attaques par sondage et par flooding du réseau. Le tableau 1 présente les options de limite de session qui protègent contre certaines attaques courantes par sondage et par flooding réseau.

Tableau 1 : options d’écran IDS pour le type d’attaques réseau

Type d’attaque réseau

[edit services screen ids-options screen-name limit-sessions] Options à définir

Balayage d’adresses ICMP

 
by-source by-protocol icmp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Inondation ICMP

 
by-destination by-protocol icmp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Analyse des ports TCP

 
(by-destination | by-source) by-protocol tcp {
    maximum-sessions number;
    packet-rate number;
}

Saturation TCP SYN

 
(by-destination | by-source) by-protocol tcp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Inondation UDP

 
by-destination by-protocol udp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Pour configurer les limites de session dans un écran IDS :

  1. Si vous souhaitez appliquer des limites de session à une agrégation de toutes les sessions vers des sous-réseaux de destination individuels ou à partir de sous-réseaux sources individuels plutôt que d’adresses individuelles, configurez l’agrégation.
    1. Pour appliquer des limites de session à une agrégation de toutes les sessions à partir d’un sous-réseau IPv4 individuel, spécifiez la longueur du préfixe de sous-réseau. La plage est comprise entre 1 et 32.

      Par exemple, l’instruction suivante configure une longueur de préfixe IPv4 de 24, et les sessions de 192.0.2.2 et 192.0.2.3 sont comptées comme des sessions du sous-réseau 192.0.2.0/24/24.

    2. Pour appliquer des limites de session à une agrégation de toutes les sessions à partir d’un sous-réseau IPv6 individuel, spécifiez la longueur du préfixe du sous-réseau. La plage est comprise entre 1 et 128.

      Par exemple, l’instruction suivante configure une longueur de préfixe IPv6 de 64, et les sessions de 2001 :db8:1234:72a2 ::2 et 2001 :db8:1234:72a2 ::3 sont comptées comme des sessions du sous-réseau 2001 :db8:1234:72a2 ::/64.

    3. Pour appliquer des limites de session à une agrégation de toutes les sessions d’un sous-réseau IPv4 individuel, spécifiez la longueur du préfixe du sous-réseau. La plage est comprise entre 1 et 32.
    4. Pour appliquer des limites de session à une agrégation de toutes les sessions d’un sous-réseau IPv6 individuel, spécifiez la longueur du préfixe du sous-réseau. La plage est comprise entre 1 et 128.
  2. Si vous souhaitez appliquer des limites de session à partir d’une source pour un protocole IP particulier :
    1. Configurez le nombre maximal de sessions simultanées autorisées à partir d’une adresse IP source ou d’un sous-réseau individuel pour un protocole IP particulier.
    2. Configurez le nombre maximal de paquets par seconde autorisés à partir d’une adresse IP source ou d’un sous-réseau individuel pour un protocole particulier.
    3. Configurez le nombre maximal de connexions par seconde autorisées à partir d’une adresse IP source ou d’un sous-réseau individuel pour un protocole particulier.
  3. Si vous souhaitez appliquer des limites de session à une destination pour un protocole IP particulier :
    1. Configurez le nombre maximal de sessions simultanées autorisées vers une adresse IP de destination ou un sous-réseau individuel pour un protocole IP particulier.
    2. Configurez le nombre maximal de paquets par seconde autorisés vers une adresse IP de destination ou un sous-réseau individuel pour un protocole particulier.
    3. Configurez le nombre maximal de connexions par seconde autorisées vers une adresse IP de destination ou un sous-réseau individuel pour un protocole particulier.
  4. Si vous souhaitez appliquer des limites de session à partir d’une source, quel que soit le protocole IP :
    1. Configurez le nombre maximal de sessions simultanées autorisées à partir d’une adresse IP source ou d’un sous-réseau individuel.
    2. Configurez le nombre maximal de paquets par seconde autorisés à partir d’une adresse IP source ou d’un sous-réseau individuel
    3. Configurez le nombre maximal de connexions par seconde autorisées à partir d’une adresse IP source ou d’un sous-réseau individuel.
  5. Si vous souhaitez appliquer des limites de session à une destination, quel que soit le protocole IP :
    1. Configurez le nombre maximal de sessions simultanées autorisées sur une adresse IP de destination ou un sous-réseau individuel.
    2. Configurez le nombre maximal de paquets par seconde autorisés vers une adresse IP de destination ou un sous-réseau individuel
    3. Configurez le nombre maximal de connexions par seconde autorisées vers une adresse IP de destination ou un sous-réseau individuel.
  6. Spécifiez le pourcentage d’utilisation du processeur de la carte de services qui déclenche l’installation d’un filtre dynamique sur les PFE des cartes de ligne pour le trafic suspect. La valeur par défaut est 90.

    Outre le seuil de pourcentage d’utilisation du processeur, le débit de paquets ou le débit de connexion d’une adresse source ou de destination individuelle doit dépasser quatre fois la limite de sessions affichée sur l’écran IDS avant l’installation du filtre dynamique. Les filtres dynamiques ne sont pas créés à partir des écrans IDS qui utilisent l’agrégation de sous-réseaux.

    Le filtre dynamique supprime le trafic suspect au niveau du PFE, sans que le trafic ne soit traité par l’écran IDS. Lorsque le débit de paquets ou de connexion ne dépasse plus quatre fois la limite indiquée sur l’écran IDS, le filtre dynamique est supprimé.

Configuration de la détection de modèles de paquets suspects dans l’écran IDS

Vous pouvez utiliser les écrans IDS pour identifier et supprimer les paquets suspects. Vous êtes ainsi protégé contre les attaquants qui créent des paquets inhabituels pour lancer des attaques par déni de service.

Pour configurer la détection des modèles suspects :

  1. Pour vous protéger contre les attaques par fragmentation ICMP, identifiez et supprimez les paquets ICMP qui sont des fragments IP.
  2. Pour identifier et supprimer les paquets ICMPv6 mal formés, configurez icmpv6-malformed.
  3. Pour vous protéger contre les attaques par paquets volumineux ICMP, identifiez et supprimez les paquets ICMP de plus de 1 024 octets.
  4. Pour vous protéger contre les attaques ping of death, identifiez et supprimez les paquets ICMP surdimensionnés et irréguliers.
  5. Pour vous protéger contre les attaques par mauvaises options, identifiez et supprimez les paquets dont les options IPv4 ou les en-têtes d’extension IPv6 sont mal formatés.
  6. Pour identifier et supprimer les paquets IP fragmentés, configurez block-frag.
  7. Pour supprimer des paquets IPv6 avec des valeurs d’en-tête d’extension particulières, spécifiez les valeurs.

    Les valeurs d’en-tête suivantes peuvent être configurées :

    ah-header

    En-tête d’authentification En-tête d’extension
    esp-header

    En-tête d’extension de la charge utile de sécurité
    fragment-header

    En-tête d’extension Fragment Header
    hop-by-hop-header

    Option saut par saut avec l’option spécifiée :

    CALIPSO-option

    Étiquette d’architecture commune Option de sécurité IPv6
    jumbo-payload-option

    Option de charge utile Jumbo IPv6
    quick-start-option

    Option de démarrage rapide IPv6
    router-alert-option

    Option d’alerte du routeur IPv6
    RPL-option

    Protocole de routage pour les réseaux à faible consommation d’énergie et avec perte d’énergie
    SFM-DPD-option

    Transfert multicast simplifié Option de détection des paquets dupliqués IPv6
    user-defined-option-type type-low to type-high

    Plusieurs types d’en-têtes

    • Portée : 1 à 255.
    mobility-header

    En-tête de mobilité, en-tête d’extension.
    routing-header

    En-tête de routage, en-tête d’extension.
  8. Pour supprimer des paquets IPv4 avec des valeurs d’option IPv4 particulières, spécifiez les valeurs.

    Les valeurs d’option IPv4 suivantes peuvent être configurées :

    loose-source-route-option

    Option IP de 3 (Loose Source Routing)
    record-route-option

    Option IP de 7 (Route d’enregistrement)
    security-option

    Option IP de 2 (Sécurité)
    source-route-option

    Option IP de 3 (routage de source lâche) ou option IP de 9 (routage de source strict)
    stream-option

    Option IP de 8 (ID de flux)
    strict-source-route-option

    Option IP de 9 (routage de source strict)
    timestamp-option

    Option IP de 4 (horodatage Internet)
  9. Pour vous protéger contre les attaques IP en forme de goutte d’eau, identifiez et supprimez les paquets IP fragmentés qui se chevauchent.
  10. Pour vous protéger contre les attaques de protocole IP inconnu, identifiez et supprimez les trames IP dont le numéro de protocole est supérieur à 137 pour IPv4 et 139 pour IPv6.
  11. Pour vous protéger contre les attaques TCP FIN No ACK, identifiez et supprimez tout paquet avec l’indicateur FIN défini et sans l’indicateur ACK défini.
  12. Pour vous protéger contre les attaques terrestres, identifiez et supprimez les paquets SYN qui ont la même adresse ou le même port source et de destination.
  13. Pour vous protéger contre les attaques TCP SYN ACK ACK, configurez le nombre maximal de connexions à partir d’une adresse IP qui peuvent être ouvertes sans être terminées.
  14. Pour vous protéger contre les attaques TCP SYN FIN, identifiez et supprimez les paquets sur lesquels les indicateurs SYN et FIN sont définis.
  15. Pour vous protéger contre les attaques par fragments SYN, identifiez et supprimez les fragments de paquets SYN.
  16. Pour vous protéger contre les attaques TCP sans indicateur, identifiez et supprimez les paquets TCP pour lesquels aucun champ d’indicateur n’est défini.
  17. Pour vous protéger contre les attaques TCP WinNuke, identifiez et supprimez les segments TCP qui sont destinés au port 139 et pour lesquels l’indicateur urgent (URG) est défini.

Configuration de l’ensemble de services pour IDS

Configurez un ensemble de services pour appliquer l’écran IDS.

  1. Affectez l’écran IDS à un ensemble de services.

    Si l’ensemble de services est associé à une interface AMS, les limites de session que vous configurez s’appliquent à chaque interface membre.

  2. Limitez les paquets traités par l’écran IDS en configurant une règle de pare-feu dynamique. La règle de pare-feu dynamique peut identifier soit le trafic qui doit subir un traitement IDS, soit le trafic qui doit ignorer le traitement IDS :

    • Pour autoriser le traitement IDS sur le trafic qui correspond à la règle de pare-feu dynamique, incluez-le accept au niveau de la [edit services stateful-firewall rule rule-name term term-name then] hiérarchie.

    • Pour ignorer le traitement IDS sur le trafic qui correspond à la règle de pare-feu dynamique, incluez-le accept skip-ids au niveau de la [edit services stateful-firewall rule rule-name term term-name then] hiérarchie.

  3. Affectez la règle de pare-feu dynamique à l’ensemble de services.
  4. Pour vous protéger contre les attaques par anomalie d’en-tête, configurez une vérification de l’intégrité de l’en-tête pour l’ensemble de services.

Documentation connexe