Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Protección contra ataques de red en MS-MPC y MS-MIC

Descripción de IDS en un MS-MPC

Servicios de detección de intrusiones

Las reglas de los servicios de detección de intrusiones (IDS) en un MS-MPC le ofrecen una forma de identificar y eliminar el tráfico que forma parte de un ataque de red.

Las reglas de IDS proporcionan un nivel de filtrado más granular que los filtros y las políticas de firewall, lo que puede detener las marcas TCP ilegales y otras combinaciones de banderas incorrectas, y puede imponer una limitación de velocidad general (consulte la Guía del usuario de Políticas de enrutamiento, Filtros de firewall y Controladores de tráfico). Puede utilizar filtros de firewall y aplicadores de políticas junto con IDS para reducir el tráfico que debe procesar una regla de IDS.

En una regla IDS, puede especificar:

  • Límites en las sesiones que se originan en fuentes individuales o que terminan en destinos individuales. Esto protege contra ataques de sondeo e inundación de red.

  • Tipos de paquetes sospechosos que se deben descartar.

Para protegerse contra ataques de anomalías de encabezado, se realiza automáticamente una comprobación de integridad del encabezado si configura una regla IDS, una regla de firewall con estado o una regla NAT y la aplica al conjunto de servicios. También puede configurar explícitamente una comprobación de integridad de encabezado para el conjunto de servicios si no asigna al conjunto de servicios una regla IDS, una regla de firewall con estado o una regla NAT.

Beneficios

  • Proporciona protección contra varios tipos de ataques a la red.

Límites de sesión

Puede utilizar las reglas de IDS para establecer límites de sesión para el tráfico desde una fuente individual o hacia un destino individual. Esto protege contra ataques de sondeo e inundación de red. Se elimina el tráfico que supera los límites de sesión. Puede especificar límites de sesión para el tráfico con un protocolo IP determinado, como ICMP, o para el tráfico en general.

Usted decide si los límites se aplican a direcciones individuales o a una agregación de tráfico de subredes individuales de una longitud de prefijo determinada. Por ejemplo, si agrega límites para subredes IPv4 con una longitud de prefijo de 24, el tráfico de 192.0.2.2 y 192.0.2.3 se imputa a los límites de la subred 192.0.2.0/24.

Algunos ataques comunes de sondeo e inundación de red contra los que protegen los límites de sesión incluyen:

ICMP Address Sweep

El atacante envía sondeos de solicitud ICMP (pings) a varios objetivos. Si un equipo de destino responde, el atacante recibe la dirección IP del objetivo.
ICMP Flood

El atacante inunda una máquina de destino enviando una gran cantidad de paquetes ICMP desde una o más direcciones IP de origen. La máquina de destino agota sus recursos cuando intenta procesar esos paquetes ICMP y ya no puede procesar tráfico válido.
TCP Port Scan

El atacante envía paquetes TCP SYN desde un origen a varios puertos de destino de la máquina de destino. Si el objetivo responde con un SYN-ACK desde uno o más puertos de destino, el atacante aprende qué puertos están abiertos en el destino.
TCP SYN Flood

El atacante inunda una máquina de destino enviando una gran cantidad de paquetes TCP SYN desde una o más direcciones IP de origen. El atacante podría usar direcciones IP de origen reales, lo que da como resultado una conexión TCP completa, o podría usar direcciones IP de origen falsas, lo que provocaría que la conexión TCP no se complete. El destino crea estados para todas las conexiones TCP completadas y no completadas. El destino consume sus recursos cuando intenta administrar los estados de conexión y ya no puede procesar tráfico válido.
UDP Flood

El atacante inunda una máquina de destino enviando una gran cantidad de paquetes UDP desde una o más direcciones IP de origen. El equipo de destino consume sus recursos cuando intenta procesar esos paquetes UDP y ya no puede procesar tráfico válido.

Los límites de sesión para el tráfico desde un origen o hacia un destino incluyen:

  • Número máximo de sesiones simultáneas

  • Número máximo de paquetes por segundo

  • Número máximo de conexiones por segundo

IDS también instala un filtro dinámico en los PFE de las tarjetas de línea para detectar actividad sospechosa cuando se dan las siguientes condiciones:

  • Los paquetes por segundo o el número de conexiones por segundo para una dirección de origen o destino individual (no para una subred) supera cuatro veces el límite de sesión de la regla IDS. Este límite de sesión es el límite general de origen o destino para la regla IDS, no el límite especificado para un protocolo en particular.

  • El porcentaje de utilización de CPU de la tarjeta de servicios supera un valor configurado (el valor predeterminado es 90 por ciento).

El filtro dinámico elimina el tráfico sospechoso en el PFE y el tráfico no se envía a MS-MPC para que lo procese la regla IDS. Cuando la velocidad de conexión o paquete ya no supera cuatro veces el límite de la regla IDS, se elimina el filtro dinámico.

Patrones de paquetes sospechosos

Puede utilizar reglas de IDS para identificar y eliminar tráfico con un patrón de paquetes sospechoso. Esto protege contra atacantes que crean paquetes inusuales para lanzar ataques de denegación de servicio.

Los patrones de paquetes sospechosos y los ataques que puede especificar en una regla IDS son:

ICMP fragmentation attack

El atacante envía al ICMP de destino paquetes que son fragmentos IP. Estos se consideran paquetes sospechosos porque los paquetes ICMP suelen ser cortos. Cuando el destino recibe estos paquetes, los resultados pueden variar desde procesar paquetes incorrectamente hasta bloquear todo el sistema.
ICMP large packet attack

El atacante envía las tramas ICMP de destino con una longitud de IP superior a 1024 bytes. Estos se consideran paquetes sospechosos porque la mayoría de los mensajes ICMP son pequeños.
ICMP Ping of death attack

El atacante envía al ICMP de destino paquetes de ping cuya longitud de datagrama IP (ip_len) supera la longitud legal máxima (65.535 bytes) para los paquetes IP, y el paquete está fragmentado. Cuando el destino intenta volver a ensamblar los paquetes IP, puede producirse un desbordamiento del búfer, lo que provoca que el sistema se bloquee, se congele y se reinicie.
IP Bad option attack

El atacante envía los paquetes de destino con opciones IPv4 o encabezados de extensión IPv6 con formato incorrecto. Esto puede causar problemas impredecibles, dependiendo de la implementación de la pila IP de los enrutadores y del destino.
IPv4 options

Los atacantes pueden usar malintencionadamente las opciones de IPv4 para ataques de denegación de servicio.
IPv6 extension headers

Los atacantes pueden usar los encabezados de extensión de forma malintencionada para ataques de denegación de servicio o para eludir filtros.
IP teardrop attack

El atacante envía al destino paquetes IP fragmentados que se superponen. El equipo de destino agota sus recursos cuando intenta volver a ensamblar los paquetes y ya no puede procesar tráfico válido.
IP unknown protocol attack

El atacante envía los paquetes de destino con números de protocolo mayores que 137 para IPv4 y 139 para IPv6. Un protocolo desconocido puede ser malicioso.
Land attack

El atacante envía al destino paquetes SYN falsificados que contienen la dirección IP del destino como dirección IP de destino y de origen. El objetivo consume sus recursos a medida que se responde repetidamente a sí mismo. En otra variación del ataque terrestre, los paquetes SYN también contienen los mismos puertos de origen y destino.
SYN fragment attack

El atacante envía fragmentos de paquetes SYN de destino. El destino almacena en caché los fragmentos SYN, esperando que lleguen los fragmentos restantes para poder volver a ensamblarlos y completar la conexión. Una avalancha de fragmentos SYN eventualmente llena el búfer de memoria del host, lo que impide conexiones de tráfico válidas.
TCP FIN No ACK attack

El atacante envía los paquetes TCP de destino que tienen el bit FIN establecido pero que tienen el bit ACK desestablecido. Esto puede permitir al atacante identificar el sistema operativo del objetivo o identificar puertos abiertos en el objetivo.
TCP no flag attack

El atacante envía al destino paquetes TCP que no contienen indicadores. Esto puede provocar un comportamiento impredecible en el destino, dependiendo de su implementación de pila TCP.
TCP SYN FIN attack

El atacante envía los paquetes TCP de destino que tienen los bits SYN y FIN establecidos. Esto puede provocar un comportamiento impredecible en el destino, dependiendo de su implementación de pila TCP.
TCP WinNuke attack

El atacante envía un segmento TCP con el indicador urgente (URG) establecido y destinado al puerto 139 de un destino que ejecuta Windows. Esto podría hacer que la máquina de destino se bloquee.

Ataques de anomalías de encabezado

Para protegerse contra ataques de anomalías de encabezado, se realiza automáticamente una comprobación de integridad del encabezado si configura una regla IDS, una regla de firewall con estado o una regla NAT y la aplica al conjunto de servicios. También puede configurar explícitamente una comprobación de integridad de encabezado para el conjunto de servicios si no asigna al conjunto de servicios una regla IDS, una regla de firewall con estado o una regla NAT.

La comprobación de integridad del encabezado proporciona protección contra los siguientes ataques de anomalías de encabezado:

ICMP Ping of death attack

El atacante envía al ICMP de destino paquetes de ping cuya longitud de datagrama IP (ip_len) supera la longitud legal máxima (65.535 bytes) para los paquetes IP, y el paquete está fragmentado. Cuando el destino intenta volver a ensamblar los paquetes IP, puede producirse un desbordamiento del búfer, lo que provoca que el sistema se bloquee, se congele y se reinicie.
IP unknown protocol attack

El atacante envía los paquetes de destino con números de protocolo mayores que 137 para IPv4 y 139 para IPv6. Un protocolo desconocido puede ser malicioso.
TCP no flag attack

El atacante envía al destino paquetes TCP que no contienen indicadores. Esto puede provocar un comportamiento impredecible en el destino, dependiendo de su implementación de pila TCP.
TCP SYN FIN attack

El atacante envía los paquetes TCP de destino que tienen los bits SYN y FIN establecidos. Esto puede provocar un comportamiento impredecible en el destino, dependiendo de su implementación de pila TCP.
TCP FIN No ACK attack

El atacante envía los paquetes TCP de destino que tienen el bit FIN establecido pero que tienen el bit ACK desestablecido. Esto puede permitir al atacante identificar el sistema operativo del objetivo o identificar puertos abiertos en el objetivo.

Configuración de la protección contra ataques de red en un MS-MPC

En este tema se incluyen las siguientes tareas, en las que se describe cómo protegerse contra ataques de red cuando se utiliza un MS-MPC:

Configuración de la protección contra sondeos de red, inundación de red y ataques de patrones sospechosos

Para configurar la protección contra ataques de sondeo de red, inundación de red y ataques de patrones sospechosos, configure una regla de servicio de detección de intrusiones (IDS) y, a continuación, aplique esa regla a un conjunto de servicios que se encuentra en un MS-MPC. Sólo se utiliza el primer término de una regla IDS y sólo se utilizan la primera regla de entrada IDS y la primera regla de salida IDS para un conjunto de servicios.

La configuración de la protección contra sondeos de red, inundación de red y ataques de patrones sospechosos incluye:

Configuración del nombre y la dirección de la regla IDS

Para cada regla IDS, debe configurar un nombre y la dirección del tráfico al que se aplica.

Para configurar el nombre y la dirección de la regla IDS:

  1. Especifique un nombre para la regla IDS.
  2. Especifique si la regla IDS se aplica al tráfico de entrada, al tráfico de salida o a ambos.

Configuración de límites de sesión para subredes

Si desea aplicar límites de sesión a una agregación de todos los ataques hacia o desde subredes de origen o destino individuales, en lugar de para direcciones individuales, configure la agregación.

Para configurar la agregación de subredes:

  • Si desea aplicar límites de sesión a una agregación de todos los ataques desde una subred IPv4 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 32.

    Por ejemplo, la siguiente instrucción configura una longitud de prefijo IPv4 de 24 y los ataques de 10.1.1.2 y 10.1.1.3 se cuentan como ataques de la subred 10.1.1/24.

    Sin embargo, si un único host en una subred genera un gran número de ataques de sondeo o inundación de red, es posible que se detengan los flujos de toda la subred.

  • Si desea aplicar límites de sesión a una agregación de todos los ataques desde una subred IPv6 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 128.

    Por ejemplo, la instrucción siguiente configura una longitud de prefijo IPv6 de 64 y los ataques de 2001:db8:1234:72a2::2 y 2001:db8:1234:72a2::3 se cuentan como ataques de la subred 2001:db8:1234:72a2::/64.

    Sin embargo, si un único host en una subred genera un gran número de ataques de sondeo o inundación de red, es posible que se detengan los flujos de toda la subred.

  • Si desea aplicar límites de sesión a una agregación de todos los ataques a una subred IPv4 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 32.

    Por ejemplo, la siguiente instrucción configura una longitud de prefijo IPv4 de 24 y los ataques a 10.1.1.2 y 10.1.1.3 se cuentan como ataques a la subred 10.1.1/24.

  • Si desea aplicar límites de sesión a una agregación de todos los ataques a una subred IPv6 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 128.

    Por ejemplo, la instrucción siguiente configura una longitud de prefijo IPv6 de 64 y los ataques a 2001:db8:1234:72a2::2 y 2001:db8:1234:72a2::3 se cuentan como ataques a la subred 2001:db8:1234:72a2::/64.

Configuración de límites de sesión independientes del protocolo

Si desea configurar límites de sesión para el tráfico a un destino individual o desde un origen individual independiente del protocolo, realice una o varias de las siguientes tareas:

  • Para configurar límites de sesión para direcciones IP de origen o subredes independientes de un protocolo:

    • Configure el número máximo de sesiones simultáneas permitidas desde una subred o dirección IP de origen individual.

    • Configure el número máximo de paquetes por segundo permitidos desde una dirección IP o subred de origen individual.

    • Configure el número máximo de conexiones por segundo permitidas desde una dirección IP o subred de origen individual.

  • Para configurar límites de sesión para direcciones IP de destino o subredes independientes de un protocolo:

    • Configure el número máximo de sesiones simultáneas permitidas para una dirección IP o subred de destino individual.

    • Configure el número máximo de paquetes por segundo permitido para una dirección IP o subred de destino individual.

    • Configure el número máximo de conexiones por segundo permitido para una dirección IP o subred de destino individual.

Configuración de la protección de barrido de direcciones ICMP

Para configurar la protección contra barridos de direcciones ICMP, configure cualquier combinación del máximo permitido de sesiones simultáneas ICMP, paquetes por segundo y conexiones por segundo para una fuente:

  • Configure el número máximo de sesiones ICMP simultáneas permitidas desde una dirección IP o subred de origen individual.
  • Configure el número máximo de paquetes ICMP por segundo permitidos desde una dirección IP o subred de origen individual.
  • Configure el número máximo de conexiones ICMP por segundo permitidas desde una dirección IP o subred de origen individual.

Configuración de la protección del analizador de puertos TCP

Para configurar la protección contra ataques al analizador de puertos TCP, configure cualquier combinación del número máximo permitido de sesiones simultáneas TCP y conexiones por segundo para un origen o destino:

  • Configure el número máximo de sesiones TCP simultáneas permitidas desde una dirección IP o subred de origen individual.
  • Configure el número máximo de conexiones TCP por segundo permitido para una subred o dirección IP de origen individual.
  • Configure el número máximo de sesiones TCP permitidas para una subred o dirección IP de destino individual.
  • Configure el número máximo de conexiones TCP por segundo permitidas para una dirección IP o subred de destino individual.

Configuración de la protección contra inundaciones ICMP

Para configurar la protección contra ataques de inundación ICMP, configure cualquier combinación del máximo permitido de sesiones simultáneas ICMP, paquetes por segundo y número de conexiones por segundo para un destino:

  • Configure el número máximo de sesiones ICMP simultáneas permitidas para una dirección IP o subred de destino individual.
  • Configure el número máximo de paquetes ICMP por segundo permitido para una dirección IP o subred de destino individual.
  • Configure el número máximo de conexiones ICMP por segundo permitidas para una dirección IP o subred de destino individual para ICMP.

Configuración de la protección contra inundaciones UDP

Para configurar la protección contra ataques de inundación UDP, configure cualquier combinación del máximo permitido de sesiones simultáneas UDP, paquetes por segundo y conexiones por segundo para un destino:

  • Configure el número máximo de sesiones UDP simultáneas permitidas para una dirección IP o subred de destino individual.
  • Configure el número máximo de paquetes UDP por segundo permitidos para una dirección IP o subred de destino individual.
  • Configure el número máximo de conexiones UDP por segundo permitidas para una dirección IP o subred de destino individual.

Configuración de la protección contra inundaciones TCP SYN

Para configurar la protección contra ataques de inundación TCP SYN, configure cualquier combinación del máximo permitido de sesiones simultáneas TCP, paquetes por segundo y conexiones por segundo para un origen o destino. También puede configurar el cierre de conexiones TCP no establecidas después de un tiempo de espera:

  • Configure el número máximo de sesiones TCP simultáneas permitidas desde una dirección IP o subred de origen individual.
  • Configure el número máximo de paquetes TCP por segundo permitidos desde una subred o dirección IP de origen individual.
  • Configure el número máximo de conexiones TCP por segundo permitidas desde una dirección IP o subred de origen individual.
  • Configure el número máximo de sesiones TCP simultáneas permitidas para una dirección IP o subred de destino individual.
  • Configure el número máximo de conexiones TCP por segundo permitidas para una dirección IP o subred de destino individual.
  • Configure el número máximo de paquetes TCP por segundo permitidos para una subred o dirección IP de destino individual.
  • Configure el cierre de conexiones TCP no establecidas y la entrega de un TCP RST al host final para borrar los estados TCP en él cuando expire el open-timeout valor en el [edit interfaces interface-name service-options] nivel de jerarquía.

Configuración de la protección contra fragmentación ICMP

Para protegerse contra ataques de fragmentación ICMP:

  • Configure la identificación y eliminación de paquetes ICMP que sean fragmentos IP.

Configuración de la protección de paquetes grandes ICMP

Para protegerse contra ataques de paquetes grandes del ICMP:

  • Configure la identificación y colocación de paquetes ICMP mayores de 1024 bytes.

Configuración de la protección de opciones incorrectas de IP

Para protegerse contra opciones IPv4 incorrectas o ataques de encabezado de extensión IPv6:

  1. Configure el tipo de opciones IPv4 que puede incluir el paquete. Si el paquete incluye una opción que no está configurada, el paquete se bloquea. Si el paquete incluye una opción configurada cuya longitud es un valor no válido, el paquete se descarta. Especificar any permite todas las opciones.

    Las opciones de IPv4 admitidas son any, loose-source-route, , route-record, strict-source-routestream-idsecurity, , y timestamp.

    Si no incluye la allow-ip-options instrucción en la regla IDS, se bloquearán los paquetes con cualquier tipo de opción IPv4.

  2. Configure el tipo de encabezados de extensión IPv6 que puede incluir el paquete. Si el paquete incluye un encabezado de extensión que no está configurado, el paquete se bloquea. Si el paquete incluye encabezados de extensión configurados que son incorrectos, el paquete se descarta. La especificación any permite todos los encabezados de extensión.

    Los encabezados de extensión IPv6 admitidos son any, ah, , dstopts, mobilityhop-by-hopespfragmenty routing.

    Si no incluye la allow-ipv6-extension-header instrucción en la regla IDS, se descartarán los paquetes con cualquier tipo de encabezado de extensión.

Configuración de la protección contra ataques terrestres

Para protegerse contra ataques terrestres:

  • Configure la identificación y el descarte de paquetes SYN que tengan la misma dirección IP de origen y destino o la misma dirección IP y puerto de origen y destino.

    Para especificar que los paquetes tengan la misma dirección IP de origen y destino, utilice la ip-only opción; para especificar que los paquetes tengan la misma dirección IP y puerto de origen y destino, utilice la ip-port opción.

Configuración de la protección de fragmentos TCP SYN

Para protegerse contra ataques de fragmentos TCP SYN:

  • Configure la identificación y eliminación de paquetes TCP SYN que sean fragmentos IP:

Configuración de la protección WinNuke

Para protegerse contra ataques WinNuke:

  • Configure la identificación y el descarte de los segmentos TCP destinados al puerto 139 y que tengan el indicador urgente (URG) establecido.

Configuración del conjunto de servicios

Para aplicar las acciones de la regla IDS a un conjunto de servicios:

  1. Asigne la regla IDS a un conjunto de servicios que esté en un MS-MPC.

    Si el conjunto de servicios está asociado a una interfaz AMS, los límites de sesión que configure se aplicarán a cada interfaz miembro.

  2. Limite los paquetes que procesa la regla IDS mediante la configuración de una regla de firewall con estado (consulte Configuración de reglas de firewall con estado). La regla de firewall con estado puede identificar el tráfico que debe someterse al procesamiento de IDS o el tráfico que debe omitir el procesamiento de IDS:

    • Para permitir el procesamiento de IDS en el tráfico que coincida con la regla de firewall con estado, incluya accept en el nivel de [edit services stateful-firewall rule rule-name term term-name then] jerarquía.

    • Para omitir el procesamiento de IDS en el tráfico que coincide con la regla de firewall de estado, incluya accept skip-ids en el nivel de [edit services stateful-firewall rule rule-name term term-name then] jerarquía.

  3. Asigne la regla de firewall con estado al conjunto de servicios.

Configuración de la protección contra ataques de anomalías de encabezado

Protéjase contra ataques de anomalías de encabezado mediante cualquiera de los métodos siguientes para habilitar una comprobación de integridad del encabezado, que descarta cualquier paquete con anomalías de encabezado:

  • Configure una regla de firewall con estado, una regla NAT o una regla IDS y aplíquela al conjunto de servicios que se encuentra en un MS-MPC. Se habilita automáticamente una comprobación de integridad del encabezado.
  • Configure una comprobación de integridad de encabezado para el conjunto de servicios que se encuentra en un MS-MPC.

Configuración del registro de paquetes de protección contra ataques de red en un MS-MPC

Para configurar el registro de caídas de paquetes resultantes de la integridad del encabezado, el patrón de paquetes sospechoso y las comprobaciones de límite de sesión realizadas por un MS-MPC:

  1. Configure el registro de descartes de paquetes resultantes de errores de integridad de encabezado y patrones de paquetes sospechosos.
  2. Configure el registro de caídas de paquetes resultantes de infracciones del límite de sesión.

Ver también