IDS en MS-DPC
Descripción de la protección contra cookies SYN en un MS-DPC
La cookie SYN es un mecanismo proxy SYN sin estado que puede usar junto con otras defensas contra un ataque de inundación SYN. La cookie SYN es compatible con la tarjeta multiservicios MS-DPC.
Al igual que con el proxy SYN tradicional, la cookie SYN se activa cuando se supera el umbral de ataque de inundación SYN. Sin embargo, debido a que la cookie SYN no tiene estado, no configura una sesión o política y enruta las búsquedas al recibir un segmento SYN, y no mantiene colas de solicitud de conexión. Esto reduce drásticamente el uso de CPU y memoria y es la principal ventaja de usar la cookie SYN sobre el mecanismo tradicional de proxy SYN.
Cuando la cookie SYN está habilitada en Junos OS y se convierte en el proxy de negociación TCP para el servidor de destino, responde a cada segmento SYN entrante con un SYN/ACK que contiene una cookie cifrada como su número de secuencia inicial (ISN). La cookie es un hash MD5 de la dirección de origen original y el número de puerto, la dirección de destino y el número de puerto, y el ISN del paquete SYN original. Después de enviar la cookie, Junos OS descarta el paquete SYN original y elimina la cookie calculada de la memoria. Si no hay respuesta al paquete que contiene la cookie, el ataque se registra como un ataque SYN activo y se detiene efectivamente.
Si el host iniciador responde con un paquete TCP que contiene la cookie +1 en el campo TCP ACK, Junos OS extrae la cookie, resta 1 del valor y vuelve a calcular la cookie para validar que es una ACK legítima. Si es legítimo, Junos OS inicia el proceso de proxy TCP configurando una sesión y enviando un SYN al servidor que contiene la información de origen del SYN original. Cuando Junos OS recibe un SYN/ACK del servidor, envía ACK al servidor y al host de iniciación. En este punto, la conexión se establece y el host y el servidor pueden comunicarse directamente.
El uso de cookies SYN o proxy SYN permite que el dispositivo del enrutador proteja los servidores TCP detrás de él de ataques de inundación SYN en flujos IPv6.
La figura 1 muestra cómo se establece una conexión entre un host iniciador y un servidor cuando la cookie SYN está activa en Junos OS.
Configuración de reglas IDS en un MS-DPC
Las reglas IDS configuradas con un MS-DPC identifican el tráfico para el que desea que el software del enrutador cuente eventos. Dado que IDS se basa en propiedades de firewall con estado, debe configurar al menos una regla de firewall con estado e incluirla en el conjunto de servicios con las reglas de IDS; para obtener más información, consulte Configuración de reglas de firewall con estado.
Para configurar la protección contra ataques de red con un MS-MPC, consulte Configuración de la protección contra ataques de red en una MS-MPC.
Para configurar una regla IDS, incluya la rule rule-name instrucción en el nivel de [edit services ids] jerarquía:
[edit services ids] rule rule-name { match-direction (input | output | input-output); term term-name { from { application-sets set-name; applications [ application-names ]; destination-address (address | any-unicast) <except>; destination-address-range low minimum-value high maximum-value <except>; destination-prefix-list list-name <except>; source-address (address | any-unicast) <except>; source-address-range low minimum-value high maximum-value <except>; source-prefix-list list-name <except>; } then { aggregation (IDS) { destination-prefix prefix-value | destination-prefix-ipv6 prefix-value; source-prefix prefix-value | source-prefix-ipv6 prefix-value; } (force-entry | ignore-entry); logging { syslog; threshold rate; } session-limit { by-destination (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-pair (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-source (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } } syn-cookie { mss value; threshold rate; } } } }
Cada regla IDS consta de un conjunto de términos, similar a un filtro configurado en el [edit firewall] nivel de jerarquía. Un término consiste en lo siguiente:
frominstrucción: especifica las condiciones de coincidencia y las aplicaciones que se incluyen y excluyen.theninstrucción: especifica las acciones y los modificadores de acciones que debe realizar el software del enrutador.
En las siguientes secciones se describe el contenido de la regla IDS con más detalle:
- Configuración de la dirección de coincidencia para reglas IDS
- Configuración de condiciones de coincidencia en reglas IDS
- Configuración de acciones en reglas IDS
Configuración de la dirección de coincidencia para reglas IDS
Cada regla debe incluir una match-direction instrucción que especifique si la coincidencia se aplica en el lado de entrada o salida de la interfaz. Para configurar dónde se aplica la coincidencia, incluya la match-direction (input | input-output | output) instrucción en el nivel de [edit services ids rule rule-name] jerarquía:
[edit services ids rule rule-name] match-direction (input | output | input-output);
Si configura match-direction input-output, la creación de reglas bidireccionales es .
La dirección de coincidencia se usa con respecto al flujo de tráfico a través del AS o la PIC multiservicios. Cuando se envía un paquete al PIC, la información de dirección se lleva junto con él.
Con un conjunto de servicios de interfaz, la dirección del paquete viene determinada por si un paquete entra o sale de la interfaz en la que se aplica el conjunto de servicios.
Con un conjunto de servicios del próximo salto, la dirección del paquete viene determinada por la interfaz usada para enrutar el paquete al AS o a la PIC multiservicio. Si se utiliza la interfaz interna para enrutar el paquete, se ingresará la dirección del paquete. Si se utiliza la interfaz externa para dirigir el paquete a la PIC, se generará la dirección del paquete. Para obtener más información sobre las interfaces internas y externas, consulte Configuración de conjuntos de servicios para aplicarlos a interfaces de servicios.
En el AS o en la PIC multiservicios, se realiza una búsqueda de flujo. Si no se encuentra ningún flujo, se realiza el procesamiento de reglas. Se tienen en cuenta todas las reglas del conjunto de servicios. Durante el procesamiento de reglas, la dirección del paquete se compara con las instrucciones de la regla. Solo se consideran las reglas con información de dirección que coincida con la dirección del paquete.
Configuración de condiciones de coincidencia en reglas IDS
Para configurar condiciones de coincidencia de IDS, incluya la from instrucción en el nivel de [edit services ids rule rule-name term term-name] jerarquía:
[edit services ids rule rule-name term term-name] from { application-sets set-name; applications [ application-names ]; destination-address (address | any-unicast) <except>; destination-address-range low minimum-value high maximum-value <except>; destination-prefix-list list-name <except>; source-address (address | any-unicast) <except>; source-address-range low minimum-value high maximum-value <except>; source-prefix-list list-name <except>; }
Si omite la from instrucción, el software acepta todos los eventos y los coloca en la caché IDS para su procesamiento.
La dirección de origen y la dirección de destino pueden ser IPv4 o IPv6. Puede usar la dirección de destino, un rango de direcciones de destino, una dirección de origen o un rango de direcciones de origen como condición de coincidencia, de la misma manera que configuraría un filtro de firewall; para obtener más información, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
Como alternativa, puede especificar una lista de prefijos de origen o destino incluyendo la prefix-list instrucción en el [edit policy-options] nivel jerárquico y, a continuación, incluyendo la destination-prefix-list instrucción o source-prefix-list en la regla IDS. Para obtener un ejemplo, consulte Ejemplos: Configuración de reglas de firewall con estado.
También puede incluir definiciones de protocolo de aplicación que haya configurado en el nivel de jerarquía; para obtener más información, consulte Configuración de propiedades de la[edit applications] aplicación.
Para aplicar una o más definiciones de protocolo de aplicación específicas, incluya la
applicationsinstrucción en el nivel de[edit services ids rule rule-name term term-name from]jerarquía.Para aplicar uno o varios conjuntos de definiciones de protocolo de aplicación que haya definido, incluya la
application-setsinstrucción en el nivel de[edit services ids rule rule-name term term-name from]jerarquía.Nota:Si incluye una de las instrucciones que especifica los protocolos de aplicación, el enrutador deriva información de puerto y protocolo de la configuración correspondiente en el
[edit applications]nivel de jerarquía; no puede especificar estas propiedades como condiciones coincidentes.
Si se produce una coincidencia en una aplicación, el protocolo de aplicación se muestra por separado en la salida del show services ids comando. Para obtener más información, consulte el Explorador de CLI.
Configuración de acciones en reglas IDS
Para configurar acciones de IDS, incluya la then instrucción en el nivel de [edit services ids rule rule-name term term-name] jerarquía:
[edit services ids rule rule-name term term-name] then { aggregation (IDS) { destination-prefix prefix-value | destination-prefix-ipv6 prefix-value; source-prefix prefix-value | source-prefix-ipv6 prefix-value; } (force-entry | ignore-entry); logging { syslog; threshold rate; } session-limit { by-destination (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-pair (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-source (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } } syn-cookie { mss value; threshold rate; } }
Puede configurar las siguientes acciones posibles:
aggregation: el enrutador agrega tráfico etiquetado con los prefijos de origen o destino especificados antes de pasar los eventos al procesamiento IDS. Esto es útil si desea examinar todo el tráfico relacionado con un host de origen o destino en particular. Para recopilar tráfico con algún otro marcador, como una aplicación o puerto determinado, configure ese valor en las condiciones de coincidencia.Para configurar prefijos de agregación, incluya la
aggregationinstrucción en el nivel de[edit services ids rule rule-name term term-name then]jerarquía y especifique valores parasource-prefix,destination-prefix source-prefix-ipv6, odestination-prefix-ipv6:[edit services ids rule rule-name term term-name then] aggregation (IDS) { destination-prefix prefix-value | destination-prefix-ipv6 prefix-value; source-prefix prefix-value | source-prefix-ipv6 prefix-value; }
El valor de
source-prefixydestination-prefixdebe ser un número entero entre 1 y 32. El valor desource-prefix-ipv6ydestination-prefix-ipv6debe ser un número entero entre 1 y 128.(force-entry | ignore-entry)—force-entryproporciona un lugar permanente en las memorias caché de IDS para eventos posteriores después de registrar un evento. De forma predeterminada, el software IDS no registra información sobre paquetes "buenos" que no presenten comportamientos sospechosos. Puede utilizar la instrucción para registrar todo el tráfico de un host sospechoso, incluso elforce-entrytráfico que de otro modo no se contaría.ignore-entrygarantiza que se ignoren todos los eventos IDS. Puede utilizar esta instrucción para ignorar todo el tráfico de un host de confianza, incluidas las anomalías temporales que, de otro modo, IDS contarían como eventos.Para configurar un comportamiento de entrada distinto del predeterminado, incluya la
force-entryinstrucción oignore-entryen el nivel de[edit services ids rule rule-name term term-name then]jerarquía:[edit services ids rule rule-name term term-name then] (force-entry | ignore-entry);
logging: el evento se registra en el archivo de registro del sistema.Para configurar el registro, incluya la
logginginstrucción en el nivel de[edit services ids rule rule-name term term-name then]jerarquía:[edit services ids rule rule-name term term-name then] logging { syslog; threshold rate; }
Opcionalmente, puede incluir una tasa de umbral para activar la generación de mensajes de registro del sistema. La tasa de umbral se especifica en eventos por segundo. Los registros IDS se generan una vez cada 60 segundos para cada anomalía que se notifica. Los registros se generan mientras los eventos continúen.
session-limit: el enrutador limita las sesiones abiertas cuando se alcanza el umbral especificado.Para configurar un umbral, incluya la
session-limitinstrucción en el nivel de[edit services ids rule rule-name term term-name then]jerarquía:[edit services ids rule rule-name term term-name then] session-limit { by-destination (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-pair (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } by-source (IDS MS-DPC) { hold-time seconds; maximum number; packets number; rate number; } }
Los umbrales para la limitación de flujo se configuran en función de la dirección del tráfico:
Para limitar el número de sesiones salientes desde un host o subred interna, configure la
by-sourceinstrucción.Para limitar el número de sesiones entre un par de direcciones IP, subredes o aplicaciones, configure la
by-pairinstrucción.Para limitar el número de sesiones entrantes a una subred o dirección IP pública externa, configure la
by-destinationinstrucción.
Para cada dirección, puede configurar los siguientes valores de umbral:
hold-time seconds: cuando laratemedición opacketsalcance el valor umbral, detenga todos los flujos nuevos durante el número de segundos especificado. Una vezhold-timeque está en vigor, el tráfico se bloquea durante el tiempo especificado, incluso si la tasa disminuye por debajo del límite especificado. De forma predeterminada,hold-timetiene un valor de 0; el intervalo es de 0 a 60 segundos.maximum number: número máximo de sesiones abiertas por dirección IP o subred por aplicación. El rango es de 1 a 32,767.packets number: número máximo de paquetes por segundo (pps) por dirección IP o subred por aplicación. El rango es de 4 a 2,147,483,647.rate number: número máximo de sesiones por segundo por dirección IP o subred por aplicación. El rango es de 4 a 32,767.Si incluye más de una dirección de origen en las condiciones de coincidencia configuradas en el nivel de
[edit services ids rule rule-name term term-name from]jerarquía, se aplican límites para cada dirección de origen de forma independiente. Por ejemplo, la siguiente configuración permite 20 conexiones desde cada dirección de origen (10.1.1.1y10.1.1.2), no 20 conexiones en total. La misma lógica se aplica a lasapplicationscondiciones de coincidenciadestination-address.[edit services ids rule rule-name term term-name] from { source-address 10.1.1.1; source-address 10.1.1.2; } then { session-limit by-source { maximum 20; } }Nota:Los límites de IDS se aplican a los paquetes aceptados por reglas de firewall con estado. No se aplican a paquetes descartados o rechazados por reglas de firewall de estado. Por ejemplo, si el firewall de estado acepta el 75 % del tráfico entrante y el 25 por ciento restante se rechaza o descarta, el límite de IDS solo se aplica al 75 % del tráfico.
syn-cookie—El router activa los mecanismos defensivos de SYN-cookie.Para configurar los valores de SYN-cookie, incluya la
syn-cookieinstrucción en el nivel de[edit services ids rule rule-name term term-name then]jerarquía:[edit services ids rule rule-name term term-name then] syn-cookie { mss value; threshold rate; }
Si habilita las defensas de cookies SYN, debe incluir una tasa de umbral para activar la actividad de cookies SYN y un valor de tamaño de segmento máximo (MSS) del Protocolo de control de transmisión (TCP) para el enlace retardado TCP. La tasa de umbral se especifica en ataques SYN por segundo. De forma predeterminada, el valor TCP MSS es 1500; El rango es de 128 a 8192.
Manejo de ataques de inundación SYN y protección de cookies SYN
El objetivo principal de un ataque de inundación SYN es consumir todas las conexiones de red nuevas en un sitio y, por lo tanto, evitar que los usuarios autorizados y legítimos puedan conectarse a los recursos de red. El paquete SYN (número de secuencia de sincronización) es la primera solicitud de conexión enviada a un sistema. El paquete SYN contiene un identificador al que debe responder el receptor. Si el paquete contiene un ID no válido, el sistema receptor recibe una confirmación de conexión cuando responde al iniciador de conexión previsto. Eventualmente, esta conexión semiabierta agota el tiempo de espera y el canal entrante en el receptor vuelve a estar disponible para manejar normalmente otra solicitud. Un ataque de inundación SYN envía tantas solicitudes de este tipo que todas las conexiones entrantes están continuamente atadas a la espera de confirmaciones que nunca se reciben. Esta condición hace que el servidor no esté disponible para los usuarios legales (excepto en los casos en que se establece una sesión de usuario cuando es exactamente en el momento en que se agota el tiempo de espera de una de las conexiones vinculadas). Un ataque de inundación SYN es un ataque sin conexión. No requiere una dirección IP de origen real y, debido a que utiliza direcciones IP o de puerto de destino legítimo, es prácticamente imposible distinguirlo de los paquetes legítimos. Por lo tanto, es muy difícil prevenir este tipo de ataque utilizando solo filtros o reglas de firewall con estado. Básicamente, solo hay tres métodos para protegerse de este tipo de ataque:
Intercepción (enlace diferido): el firewall intercepta las solicitudes de sincronización TCP entrantes y establece una conexión con el cliente en nombre del servidor y con el servidor en nombre del cliente. Si ambas conexiones se realizan correctamente, el firewall combina las dos conexiones de forma transparente. El firewall suele tener tiempos de espera agresivos para evitar que sus propios recursos sean consumidos por un ataque SYN. Esta es la solución más intensiva en términos de requisitos de procesamiento y memoria.
Vigilancia (defensa SYN): el firewall observa pasivamente las conexiones entreabiertas y cierra activamente las conexiones en el servidor después de un período de tiempo configurable.
Cookie SYN: las cookies SYN son opciones particulares para el número de secuencia TCP inicial elegido por el servidor TCP. Un host que solicite una conexión debe responder con la cookie para conectarse a un socket TCP abierto mientras el IDS ha detectado una inundación SYN como en curso.
Los enrutadores de Juniper Networks admiten la combinación de firewall con estado y mecanismos IDS para admitir los métodos SYN cookie and watch (defensa SYN). La clave del ataque de inundación SYN es llenar la cola SYN de la víctima o el elemento de red atacado. El método de defensa contra cookies SYN permite a la víctima seguir aceptando solicitudes de conexión cuando la cola SYN está llena o, en el caso del firewall o de las aplicaciones IDS, cuando se ha alcanzado un determinado umbral. Una vez alcanzado el umbral, se crea una cookie criptográfica (un número de 32 bits) a partir de la información del segmento SYN y se elimina el segmento SYN. La cookie se utiliza como número de secuencia inicial en el SYN-ACK enviado al cliente. La cookie (más una) se devuelve al firewall o a la aplicación IDS como el número de confirmación en el ACK de un cliente legítimo. La cookie devuelta se puede validar y las partes más importantes del segmento SYN se pueden reconstruir a partir de la cookie, lo que permite establecer una conexión. Debido a que los clientes falsificados de la inundación SYN nunca envían ACK, no se asignan recursos para ellos en ningún estado cuando las cookies SYN están en uso. Es preferible que utilice contramedidas de inundación SYN solo para hosts bajo ataque. La tabla de anomalías se puede usar para un reconocimiento confiable de ataques o se puede habilitar dentro del firewall de estado. Este tipo de configuración también ayuda a prevenir el agotamiento de los recursos del sistema (especialmente la tabla de flujo) en caso de ataques.
Cuando se combinan varios servicios, la ruta general es un factor importante a tener en cuenta en las direcciones de avance e retroceso. Esto es especialmente cierto cuando se implementa NAT para determinar si se debe usar la dirección pre-NAT o post-NAT para que coincida con una regla. En la ruta de reenvío desde una interfaz LAN a una interfaz WAN, primero se realizan IDS y firewall con estado, luego NAT y, finalmente, IPSec. Esta secuencia de procesamiento de servicios denota que el firewall con estado debe coincidir en una dirección pre-NAT, mientras que el túnel IPSec coincide en la dirección post-NAT. En la ruta de retorno, primero se procesa el paquete IPSec, luego NAT y, por último, el firewall con estado. Este orden de procesamiento aún permite que IPSec coincida con una dirección pública y que el firewall con estado coincida con una dirección privada. Debe configurar por separado los servicios de firewall, NAT e IDS. El procesamiento de paquetes se vuelve mucho más complicado cuando IPSec sobre GRE se implementa en el enrutador con otros servicios activados. Este comportamiento se produce porque Junos OS trata los paquetes GRE de una manera única después de la encapsulación GRE. Después de encapsular un paquete en un paquete GRE, se marca con una interfaz de entrada como la interfaz de salida del siguiente salto. Este método de marcado hace que los paquetes GRE se bloqueen si hay filtros de entrada o servicios de entrada que no permiten este servicio.
Los servicios de Junos OS admiten un conjunto limitado de reglas IDS para ayudar a detectar ataques como el escaneo de puertos y anomalías en los patrones de tráfico. También admite cierta prevención de ataques al limitar el número de flujos, sesiones y velocidades. Además, protege contra ataques SYN mediante la implementación de un mecanismo de cookies SYN. Dado que el servicio de detección y prevención de intrusiones (IDP) no admite firmas de aplicaciones de capa superior, un enfoque eficaz contra ataques es que se pueda configurar la protección contra un ataque SYN. La solución para los desplazados internos es en gran medida una herramienta de monitoreo y no una herramienta de prevención esencial. Para evitar un ataque SYN, el router funcionará como un tipo de "proxy" SYN y utiliza valores de cookie. Cuando esta función está activada, el enrutador responde al paquete SYN inicial con un paquete SYN-ACK que contiene un valor de cookie único en el campo de número de secuencia. Si el iniciador responde con la misma cookie en el campo de secuencia, se acepta el flujo TCP; Si el respondedor no responde o si responde con la cookie incorrecta, el flujo se interrumpe. Para activar esta defensa, debe configurar un umbral de cookies SYN. Para activar la defensa contra cookies SYN, una acción de regla IDS debe contener un umbral que indique cuándo debe habilitarse la función y un valor MSS para evitar que el router gestione fragmentos segmentados cuando actúe como proxy SYN:
[edit] user@host# set services ids rule simple-ids term 1 then syn-cookie
Configuración de conjuntos de reglas IDS en un MS-DPC
Puede utilizar rule-set la instrucción para definir una colección de reglas IDS que determinen qué acciones realiza el software del enrutador en los paquetes del flujo de datos. Esto es compatible con la tarjeta multiservicios MS-DPC. (Para configurar la protección contra ataques de red con un MS-MPC, consulte Configuración de la protección contra ataques de red en una MS-MPC.)
Para definir cada regla, se especifica un nombre de regla y se configuran los términos. A continuación, especifique el orden de las reglas incluyendo la rule-set instrucción en el [edit services ids] nivel de jerarquía con una rule instrucción para cada regla:
[edit services ids] rule-set rule-set-name { rule rule-name; }
El software del enrutador procesa las reglas en el orden en que se especifican en la configuración. Si un término de una regla coincide con el paquete, el enrutador realiza la acción correspondiente y el procesamiento de la regla se detiene. Si ningún término de una regla coincide con el paquete, el procesamiento continúa con la siguiente regla del conjunto de reglas. Si ninguna de las reglas coincide con el paquete, el paquete se descarta de forma predeterminada.
Ejemplos: Configuración de reglas IDS en un MS-DPC
La siguiente configuración agrega una entrada permanente a la tabla de anomalías de IDS cuando se encuentra un flujo con la dirección de destino 10.410.6.2. Este ejemplo es compatible con la tarjeta multiservicios MS-DPC. (Para configurar la protección contra ataques de red con un MS-MPC, consulte Configuración de la protección contra ataques de red en una MS-MPC.)
[edit services ids]
rule simple_ids {
term 1 {
from {
destination-address 10.410.6.2/32;
}
then {
force-entry;
logging {
threshold 1;
syslog;
}
}
}
term default {
then {
aggregation {
source-prefix 24;
}
}
}
match-direction input;
}
La configuración del IDS funciona junto con el mecanismo del cortafuegos con estado y depende en gran medida de las anomalías notificadas por el cortafuegos con estado. En el siguiente ejemplo de configuración se muestra esta relación:
[edit services ids]
rule simple_ids {
term 1 {
from {
source-address 10.30.20.2/32;
destination-address {
10.30.10.2/32;
10.30.1.2/32 except;
}
applications appl-ftp;
}
then {
force-entry;
logging {
threshold 5;
syslog;
}
syn-cookie {
threshold 10;
}
}
}
match-direction input;
}
[edit services stateful-firewall]
rule my-firewall-rule {
match-direction input-output;
term term1 {
from {
source-address 10.30.20.2/32;
applications appl-ftp ;
destination-address {
10.30.10.2/32;
10.30.1.2/32 except;
}
}
then {
accept;
syslog;
}
}
}
El firewall con estado o el servicio NAT se utilizan para generar los datos de entrada para la aplicación IDS. Cuando habilite y configure un servicio IDS, también debe activar el firewall de estado con al menos una regla (aceptar o descartar todo el tráfico). Cuando el sistema está siendo atacado, el firewall de estado envía la lista correcta y completa de eventos de ataque al sistema IDS. En su entorno de red, puede asegurarse de que el sistema está totalmente protegido contra una amplia gama de ataques, de modo que el sistema IDS informe de todos estos ataques. Debe tener cuidado al configurar el sistema para que esté protegido de todos los ataques y escenarios de acceso no autenticados, de modo que el ancho de banda de tráfico que controla el sistema no se vea sobrecargado. También es importante verificar la correlación entre los mensajes syslog del firewall correspondientes a las tablas de ataques e IDS. Las tablas IDS deben tener el mismo número de anomalías o errores o ligeramente menor en comparación con los mensajes syslog basados en firewall. Puede utilizar los comandos show adecuados para mostrar las tablas IDS.
Una regla de firewall con estado predeterminada puede ser tan simple como permitir solo el inicio de la conexión desde la interfaz interna a la interfaz externa y descartar todos los demás paquetes. Sin embargo, en un entorno de red real, las reglas suelen ser más complejas, como configurar solo una determinada unidad tributaria para que se abran puertos, usar puertas de enlace de capa de aplicación (ALG) para protocolos complicados y usar NAT tanto para conexiones salientes como dentro de hosts como servidores HTTP. Por lo tanto, también es necesario configurar el sistema según sea necesario para intertrabajar con reglas simples y complicadas. Por ejemplo, si un ataque SYN se dirige hacia una dirección interna que simplemente se descarta, no es necesario informar de ninguna anomalía al sistema IDS. Pero si el ataque SYN se dirige hacia el servidor HTTP real, se deben informar las anomalías. El sistema IDS puede mitigar los ataques SYN utilizando la capacidad de defensa contra cookies TCP SYN. Puede habilitar la metodología de protección de cookies SYN estableciendo un umbral para SYN por segundo para un host determinado y también un tamaño máximo de segmento (MSS). Dado que el sistema IDS utiliza el cortafuegos con estado, se debe definir una regla de cortafuegos en el conjunto de servicios. Si no configura la from instrucción en un firewall con estado (condición de coincidencia de término de regla) en el nivel de [edit services service-set service-set-name stateful-firewall-rules rule-name term term-name] jerarquía, significa que todos los eventos se colocan en la caché de IDS.
En el ejemplo siguiente se muestra la configuración de los límites de flujo:
[edit services ids]
rule ids-all {
match-direction input;
term t1 {
from {
application-sets alg-set;
}
then {
aggregation {
destination-prefix 30; /* IDS action aggregation */
}
logging {
threshold 10;
}
session-limit {
by-destination {
hold-time 0;
maximum 10;
packets 200;
rate 100;
}
by-pair {
hold-time 0;
maximum 10;
packets 200;
rate 100;
}
by-source {
hold-time 5;
maximum 10;
packets 200;
rate 100;
}
}
}
}
}