Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Protección contra ataques a la red en MS-MPC y MS-MIC

Descripción de IDS en una MS-MPC

Servicios de detección de intrusiones

Las reglas de los servicios de detección de intrusiones (IDS) en una MS-MPC le ofrecen una manera de identificar y eliminar el tráfico que forma parte de un ataque a la red.

Las reglas de IDS proporcionan un nivel de filtrado más granular que los filtros y políticas de firewall, lo que puede detener marcas TCP ilegales y otras combinaciones de marcas incorrectas, y puede imponer una limitación de velocidad general (consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y policías de tráfico). Puede utilizar filtros y políticas de firewall junto con IDS para reducir el tráfico que debe procesar una regla de IDS.

En una regla de IDS, puede especificar:

  • Límites en las sesiones que se originan en fuentes individuales o que terminan en destinos individuales. Esto protege contra ataques de sondeo de red e inundación.

  • Tipos de paquetes sospechosos que se deben eliminar.

Para protegerse contra ataques de anomalías de encabezado, se realiza automáticamente una comprobación de integridad del encabezado si configura una regla de IDS, una regla de firewall con estado o una regla de TDR y la aplica al conjunto de servicios. También puede configurar explícitamente una comprobación de integridad de encabezado para el conjunto de servicios si no asigna al conjunto de servicios una regla de IDS, una regla de firewall con estado o una regla de TDR.

Beneficios

  • Brinda protección contra varios tipos de ataques a la red.

Límites de sesiones

Puede utilizar reglas de IDS para establecer límites de sesión para el tráfico desde un origen individual o hacia un destino individual. Esto protege contra ataques de sondeo de red e inundación. El tráfico que supere los límites de sesión se descarta. Puede especificar límites de sesión para el tráfico con un protocolo IP determinado, como ICMP, o para el tráfico en general.

Usted decide si los límites se aplican a direcciones individuales o a una agregación de tráfico desde subredes individuales de una longitud de prefijo determinada. Por ejemplo, si agrega límites para subredes IPv4 con una longitud de prefijo de 24, el tráfico de 192.0.2.2 y 192.0.2.3 se cuenta en los límites de la subred 192.0.2.0/24.

Algunos ataques comunes de sondeo e inundación de red contra los que protegen los límites de sesión incluyen:

ICMP Address Sweep

El atacante envía sondeos de solicitud ICMP (pings) a varios objetivos. Si una máquina de destino responde, el atacante recibe la dirección IP del objetivo.
ICMP Flood

El atacante inunda una máquina de destino enviando una gran cantidad de paquetes ICMP desde una o más direcciones IP de origen. La máquina de destino utiliza sus recursos mientras intenta procesar esos paquetes ICMP y ya no puede procesar tráfico válido.
TCP Port Scan

El atacante envía paquetes TCP SYN desde un origen a varios puertos de destino de la máquina de destino. Si el objetivo responde con un SYN-ACK desde uno o más puertos de destino, el atacante aprende qué puertos están abiertos en el objetivo.
TCP SYN Flood

El atacante inunda una máquina de destino enviando una gran cantidad de paquetes TCP SYN desde una o más direcciones IP de origen. El atacante puede usar direcciones IP de origen reales, lo que da como resultado una conexión TCP completa, o puede usar direcciones IP de origen falsas, lo que hace que la conexión TCP no se complete. El destino crea estados para todas las conexiones TCP completadas y no completadas. El destino agota sus recursos mientras intenta administrar los estados de conexión y ya no puede procesar tráfico válido.
UDP Flood

El atacante inunda una máquina de destino enviando una gran cantidad de paquetes UDP desde una o más direcciones IP de origen. La máquina de destino agota sus recursos mientras intenta procesar esos paquetes UDP y ya no puede procesar tráfico válido.

Los límites de sesión para el tráfico desde una fuente o hacia un destino incluyen:

  • Número máximo de sesiones simultáneas

  • Número máximo de paquetes por segundo

  • Número máximo de conexiones por segundo

El IDS también instala un filtro dinámico en las PFE de las tarjetas de línea para detectar actividades sospechosas cuando se dan las siguientes condiciones:

  • Los paquetes por segundo o el número de conexiones por segundo de una dirección de origen o de destino individual (no para una subred) superan cuatro veces el límite de sesiones de la regla de IDS. Este límite de sesión es el límite general de origen o destino para la regla IDS, no el límite especificado para un protocolo determinado.

  • El porcentaje de uso de CPU de la tarjeta de servicios supera un valor configurado (el valor predeterminado es 90 %).

El filtro dinámico descarta el tráfico sospechoso en la PFE y el tráfico no se envía a MS-MPC para que lo procese la regla IDS. Cuando la velocidad de conexión o paquete ya no supera cuatro veces el límite de la regla IDS, se elimina el filtro dinámico.

Patrones de paquetes sospechosos

Puede usar reglas de IDS para identificar y descartar tráfico con un patrón de paquetes sospechoso. Esto protege contra los atacantes que fabrican paquetes inusuales para lanzar ataques de denegación de servicio.

Los patrones de paquetes sospechosos y los ataques que puede especificar en una regla de IDS son:

ICMP fragmentation attack

El atacante envía al atacante paquetes ICMP de destino que son fragmentos IP. Estos se consideran paquetes sospechosos porque los paquetes ICMP suelen ser cortos. Cuando el destino recibe estos paquetes, los resultados pueden variar desde procesar paquetes incorrectamente hasta bloquear todo el sistema.
ICMP large packet attack

El atacante envía las tramas ICMP de destino con una longitud IP superior a 1024 bytes. Estos se consideran paquetes sospechosos porque la mayoría de los mensajes ICMP son pequeños.
ICMP Ping of death attack

El atacante envía al objetivo paquetes ping ICMP cuya longitud de datagramas IP (ip_len) excede la longitud máxima legal (65.535 bytes) para paquetes IP, y el paquete está fragmentado. Cuando el destino intenta volver a ensamblar los paquetes IP, puede producirse un desbordamiento de búfer que provoque que el sistema se bloquee, se congele y se reinicie.
IP Bad option attack

El atacante envía los paquetes de destino con opciones IPv4 o encabezados de extensión IPv6 formateados incorrectamente. Esto puede causar problemas impredecibles, dependiendo de la implementación de la pila de IP de los enrutadores y el destino.
IPv4 options

Los atacantes pueden usar opciones IPv4 maliciosamente para ataques de denegación de servicio.
IPv6 extension headers

Los atacantes pueden usar encabezados de extensión de forma malintencionada para ataques de denegación de servicio o para eludir los filtros.
IP teardrop attack

El atacante envía al objetivo paquetes IP fragmentados que se superponen. La máquina de destino agota sus recursos al intentar volver a ensamblar los paquetes y ya no puede procesar tráfico válido.
IP unknown protocol attack

El atacante envía los paquetes de destino con números de protocolo mayores que 137 para IPv4 y 139 para IPv6. Un protocolo desconocido puede ser malicioso.
Land attack

El atacante envía al objetivo paquetes SYN falsificados que contienen la dirección IP del objetivo como dirección IP de destino y de origen. El objetivo agota sus recursos mientras se responde repetidamente a sí mismo. En otra variación del ataque terrestre, los paquetes SYN también contienen los mismos puertos de origen y destino.
SYN fragment attack

El atacante envía fragmentos de paquete SYN de destino. El destino almacena en caché fragmentos SYN, esperando a que lleguen los fragmentos restantes para poder volver a ensamblarlos y completar la conexión. Una avalancha de fragmentos SYN finalmente llena el búfer de memoria del host, lo que impide conexiones de tráfico válidas.
TCP FIN No ACK attack

El atacante envía al atacante paquetes TCP de destino que tienen el bit FIN establecido pero que tienen el bit ACK sin establecer. Esto puede permitir al atacante identificar el sistema operativo del objetivo o identificar puertos abiertos en el objetivo.
TCP no flag attack

El atacante envía al destino paquetes TCP que no contienen indicadores. Esto puede provocar un comportamiento impredecible en el destino, dependiendo de su implementación de pila TCP.
TCP SYN FIN attack

El atacante envía los paquetes TCP de destino que tienen establecidos los bits SYN y FIN. Esto puede provocar un comportamiento impredecible en el destino, dependiendo de su implementación de pila TCP.
TCP WinNuke attack

El atacante envía un segmento TCP con la marca urgente (URG) establecida y destinada al puerto 139 de un destino que ejecuta Windows. Esto puede hacer que la máquina de destino se bloquee.

Ataques de anomalías de encabezado

Para protegerse contra ataques de anomalías de encabezado, se realiza automáticamente una comprobación de integridad de encabezado si configura una regla de IDS, una regla de firewall con estado o una regla de TDR y la aplica al conjunto de servicios. También puede configurar explícitamente una comprobación de integridad de encabezado para el conjunto de servicios si no asigna al conjunto de servicios una regla de IDS, una regla de firewall con estado o una regla de TDR.

La comprobación de integridad del encabezado proporciona protección contra los siguientes ataques de anomalías del encabezado:

ICMP Ping of death attack

El atacante envía al objetivo paquetes ping ICMP cuya longitud de datagramas IP (ip_len) excede la longitud máxima legal (65.535 bytes) para paquetes IP, y el paquete está fragmentado. Cuando el destino intenta volver a ensamblar los paquetes IP, puede producirse un desbordamiento de búfer que provoque que el sistema se bloquee, se congele y se reinicie.
IP unknown protocol attack

El atacante envía los paquetes de destino con números de protocolo mayores que 137 para IPv4 y 139 para IPv6. Un protocolo desconocido puede ser malicioso.
TCP no flag attack

El atacante envía al destino paquetes TCP que no contienen indicadores. Esto puede provocar un comportamiento impredecible en el destino, dependiendo de su implementación de pila TCP.
TCP SYN FIN attack

El atacante envía los paquetes TCP de destino que tienen establecidos los bits SYN y FIN. Esto puede provocar un comportamiento impredecible en el destino, dependiendo de su implementación de pila TCP.
TCP FIN No ACK attack

El atacante envía al atacante paquetes TCP de destino que tienen el bit FIN establecido pero que tienen el bit ACK sin establecer. Esto puede permitir al atacante identificar el sistema operativo del objetivo o identificar puertos abiertos en el objetivo.

Configuración de la protección contra ataques de red en una MS-MPC

En este tema se incluyen las siguientes tareas, en las que se describe cómo protegerse contra ataques de red cuando se utiliza una MS-MPC:

Configuración de la protección contra sondeo de red, inundación de red y ataques de patrones sospechosos

Para configurar la protección contra ataques de sondeo de red, ataques de inundación de red y ataques de patrones sospechosos, se configura una regla del servicio de detección de intrusiones (IDS) y, luego, se aplica esa regla a un conjunto de servicios que se encuentra en una MS-MPC. Solo se utiliza el primer término de una regla de IDS y solo se utilizan la primera regla de entrada de IDS y la primera regla de salida de IDS para un conjunto de servicios.

La configuración de la protección contra sondeo de red, inundación de red y ataques de patrones sospechosos incluye lo siguiente:

Configuración del nombre y la dirección de la regla de IDS

Para cada regla de IDS, debe configurar un nombre y la dirección del tráfico al que se aplica.

Para configurar el nombre y la dirección de la regla de IDS:

  1. Especifique un nombre para la regla de IDS.
  2. Especifique si la regla de IDS se aplica al tráfico de entrada, al tráfico de salida o a ambos.

Configurar límites de sesión para subredes

Si desea aplicar límites de sesión a una agregación de todos los ataques hacia o desde subredes de destino u origen individuales en lugar de para direcciones individuales, configure la agregación.

Para configurar la agregación de subred:

  • Si desea aplicar límites de sesión a una agregación de todos los ataques desde una subred IPv4 individual, especifique la longitud del prefijo de subred. El rango es del 1 al 32.

    Por ejemplo, la siguiente instrucción configura una longitud de prefijo IPv4 de 24 y los ataques de 10.1.1.2 y 10.1.1.3 se cuentan como ataques de la subred 10.1.1/24.

    Sin embargo, si un solo host en una subred genera una gran cantidad de ataques de sondeo o inundación de red, es posible que se detengan los flujos de toda la subred.

  • Si desea aplicar límites de sesión a una agregación de todos los ataques desde dentro de una subred IPv6 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 128.

    Por ejemplo, la instrucción siguiente configura una longitud de prefijo IPv6 de 64 y los ataques de 2001:db8:1234:72a2::2 y 2001:db8:1234:72a2::3 se cuentan como ataques de la subred 2001:db8:1234:72a2::/64.

    Sin embargo, si un solo host en una subred genera una gran cantidad de ataques de sondeo o inundación de red, es posible que se detengan los flujos de toda la subred.

  • Si desea aplicar límites de sesión a una agregación de todos los ataques a una subred IPv4 individual, especifique la longitud del prefijo de subred. El rango es del 1 al 32.

    Por ejemplo, la siguiente instrucción configura una longitud de prefijo IPv4 de 24 y los ataques a 10.1.1.2 y 10.1.1.3 se cuentan como ataques a la subred 10.1.1/24.

  • Si desea aplicar límites de sesión a una agregación de todos los ataques a una subred IPv6 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 128.

    Por ejemplo, la sentencia siguiente configura una longitud de prefijo IPv6 de 64 y los ataques a 2001:db8:1234:72a2::2 y 2001:db8:1234:72a2::3 se cuentan como ataques a la subred 2001:db8:1234:72a2::/64.

Configuración de límites de sesión independientes del protocolo

Si desea configurar límites de sesión para el tráfico a un destino individual o desde un origen individual independiente del protocolo, realice una o varias de las siguientes tareas:

  • Para configurar límites de sesión para direcciones IP de origen o subredes independientes de un protocolo:

    • Configure el número máximo de sesiones simultáneas permitidas desde una dirección IP o subred de origen individual.

    • Configure la cantidad máxima de paquetes por segundo permitidos desde una dirección IP o subred de origen individual.

    • Configure la cantidad máxima de conexiones por segundo permitidas desde una dirección IP o subred de origen individual.

  • Para configurar límites de sesión para direcciones IP o subredes de destino independientes de un protocolo:

    • Configure el número máximo de sesiones simultáneas permitidas para una dirección IP o subred de destino individual.

    • Configure la cantidad máxima de paquetes por segundo permitida para una dirección IP o subred de destino individual.

    • Configure el número máximo de conexiones por segundo permitidas para una dirección IP o subred de destino individual.

Configuración de la protección de barrido de direcciones ICMP

Para configurar la protección contra barridos de direcciones ICMP, configure cualquier combinación del máximo permitido de sesiones simultáneas ICMP, paquetes por segundo y conexiones por segundo para un origen:

  • Configure el número máximo de sesiones ICMP simultáneas permitidas desde una dirección IP o subred de origen individual.
  • Configure la cantidad máxima de paquetes ICMP por segundo permitidos desde una dirección IP o subred de origen individual.
  • Configure la cantidad máxima de conexiones ICMP por segundo permitidas desde una dirección IP o subred de origen individual.

Configuración de la protección del escáner de puertos TCP

Para configurar la protección contra ataques de escáner de puertos TCP, configure cualquier combinación del máximo permitido de sesiones y conexiones simultáneas TCP por segundo para un origen o destino:

  • Configure el número máximo de sesiones TCP simultáneas permitidas desde una dirección IP o subred de origen individual.
  • Configure el número máximo de conexiones TCP por segundo permitidas para una dirección IP o subred de origen individual.
  • Configure el número máximo de sesiones TCP permitidas para una dirección IP o subred de destino individual.
  • Configure el número máximo de conexiones TCP por segundo permitidas para una dirección IP o subred de destino individual.

Configuración de la protección contra inundaciones ICMP

Para configurar la protección contra ataques de inundación ICMP, configure cualquier combinación del máximo permitido de sesiones simultáneas ICMP, paquetes por segundo y número de conexiones por segundo para un destino:

  • Configure el número máximo de sesiones ICMP simultáneas permitidas para una dirección IP o subred de destino individual.
  • Configure la cantidad máxima de paquetes ICMP por segundo permitida para una dirección IP o subred de destino individual.
  • Configure la cantidad máxima de conexiones ICMP por segundo permitidas para una dirección IP de destino individual o una subred para ICMP.

Configuración de la protección contra inundaciones UDP

Para configurar la protección contra ataques de inundación de UDP, configure cualquier combinación del máximo permitido de sesiones simultáneas de UDP, paquetes por segundo y conexiones por segundo para un destino:

  • Configure el número máximo de sesiones UDP simultáneas permitidas para una dirección IP o subred de destino individual.
  • Configure la cantidad máxima de paquetes UDP por segundo permitida para una dirección IP o subred de destino individual.
  • Configure la cantidad máxima de conexiones UDP por segundo permitidas para una dirección IP o subred de destino individual.

Configuración de la protección contra inundaciones TCP SYN

Para configurar la protección contra ataques de inundación TCP SYN, configure cualquier combinación del máximo permitido de sesiones simultáneas TCP, paquetes por segundo y conexiones por segundo para un origen o destino. También puede configurar el cierre de conexiones TCP no establecidas después de un tiempo de espera:

  • Configure el número máximo de sesiones TCP simultáneas permitidas desde una dirección IP o subred de origen individual.
  • Configure la cantidad máxima de paquetes TCP por segundo permitidos desde una dirección IP o subred de origen individual.
  • Configure la cantidad máxima de conexiones TCP por segundo permitidas desde una dirección IP o subred de origen individual.
  • Configure el número máximo de sesiones TCP simultáneas permitidas para una dirección IP o subred de destino individual.
  • Configure el número máximo de conexiones TCP por segundo permitidas para una dirección IP o subred de destino individual.
  • Configure la cantidad máxima de paquetes TCP por segundo permitida para una dirección IP o subred de destino individual.
  • Configure el cierre de conexiones TCP no establecidas y la entrega de un RST TCP al host final para borrar los estados TCP en él cuando caduque el open-timeout valor en el nivel de [edit interfaces interface-name service-options] jerarquía.

Configuración de la protección de fragmentación ICMP

Para protegerse contra ataques de fragmentación ICMP:

  • Configure la identificación y eliminación de paquetes ICMP que son fragmentos IP.

Configuración de la protección de paquetes grandes ICMP

Para protegerse contra ataques de paquetes grandes ICMP:

  • Configure la identificación y la eliminación de paquetes ICMP que tengan más de 1024 bytes.

Configuración de protección de IP incorrectas

Para protegerse contra opciones IPv4 incorrectas o ataques de encabezado de extensión IPv6:

  1. Configure el tipo de opciones IPv4 que puede incluir el paquete. Si el paquete incluye una opción que no está configurada, el paquete se bloquea. Si el paquete incluye una opción configurada cuya longitud es un valor no válido, se descarta el paquete. Especificar any permite todas las opciones.

    Las opciones de IPv4 admitidas son any, loose-source-route, route-record, security, strict-source-routestream-id, y timestamp.

    Si no incluye la allow-ip-options instrucción en la regla de IDS, se bloquearán los paquetes con cualquier tipo de opción IPv4.

  2. Configure el tipo de encabezados de extensión IPv6 que puede incluir el paquete. Si el paquete incluye un encabezado de extensión que no está configurado, el paquete se bloquea. Si el paquete incluye encabezados de extensión configurados que son incorrectos, se descarta el paquete. La especificación any permite todos los encabezados de extensión.

    Los encabezados de extensión IPv6 admitidos son any, ah, dstopts, esp, mobilityfragmenthop-by-hop, , y .routing

    Si no incluye la allow-ipv6-extension-header instrucción en la regla de IDS, se descartarán los paquetes con cualquier tipo de encabezado de extensión.

Configuración de la protección contra ataques terrestres

Para protegerse contra ataques terrestres:

  • Configure la identificación y eliminación de paquetes SYN que tengan la misma dirección IP de origen y destino o la misma dirección IP y puerto de origen y destino.

    Para especificar que los paquetes tengan la misma dirección IP de origen y destino, utilice la ip-only opción; para especificar que los paquetes tengan la misma dirección IP y puerto de origen y destino, utilice la ip-port opción.

Configuración de la protección de fragmentos TCP SYN

Para protegerse contra ataques de fragmentos TCP SYN:

  • Configure la identificación y eliminación de paquetes TCP SYN que son fragmentos IP:

Configuración de la protección de WinNuke

Para protegerse contra ataques de WinNuke:

  • Configure la identificación y la eliminación de segmentos TCP destinados al puerto 139 y que tengan establecido el indicador de urgencia (URG).

Configuración del conjunto de servicios

Para aplicar las acciones de la regla de IDS a un conjunto de servicios:

  1. Asigne la regla de IDS a un conjunto de servicios que se encuentre en una MS-MPC.

    Si el conjunto de servicios está asociado con una interfaz AMS, los límites de sesión que configure se aplicarán a cada interfaz miembro.

  2. Limite los paquetes que procesa la regla de IDS configurando una regla de firewall con estado (consulte Configuración de reglas de firewall de inspección de estado). La regla de firewall con estado puede identificar el tráfico que debe someterse al procesamiento de IDS o el tráfico que debe omitir el procesamiento de IDS:

    • Para permitir el procesamiento de IDS en el tráfico que coincida con la regla de firewall con estado, inclúyalo accept en el nivel jerárquico [edit services stateful-firewall rule rule-name term term-name then] .

    • Para omitir el procesamiento de IDS en el tráfico que coincida con la regla de firewall con estado, inclúyalo accept skip-ids en el nivel jerárquico [edit services stateful-firewall rule rule-name term term-name then] .

  3. Asigne la regla de firewall con estado al conjunto de servicios.

Configuración de la protección contra ataques de anomalías de encabezado

Protéjase contra ataques de anomalías de encabezado mediante cualquiera de los siguientes métodos para habilitar una comprobación de integridad de encabezado, que descarta cualquier paquete con anomalías de encabezado:

  • Configure una regla de firewall con estado, una regla de TDR o una regla de IDS y aplíquela al conjunto de servicios que se encuentra en una MS-MPC. Automáticamente se habilita una comprobación de integridad del encabezado.
  • Configure una comprobación de integridad de encabezado para el conjunto de servicios que se encuentra en una MS-MPC.

Configuración del registro de caídas de paquetes de protección contra ataques de red en una MS-MPC

Para configurar el registro de las caídas de paquetes que resultan de la integridad del encabezado, el patrón de paquetes sospechosos y las comprobaciones de límite de sesión realizadas por una MS-MPC:

  1. Configure el registro de las caídas de paquetes resultantes de errores de integridad de encabezado y patrones de paquetes sospechosos.
  2. Configure el registro de las caídas de paquetes resultantes de violaciones del límite de sesión.

Ver también