Descripción de las pantallas IDS para la protección contra ataques de red
Servicios de detección de intrusiones
Las pantallas de los servicios de detección de intrusiones (IDS) le dan una forma de identificar y dejar caer el tráfico que forma parte de un ataque de red.
En una pantalla de IDS, puede especificar lo siguiente:
Los límites en la cantidad de sesiones que se originan en fuentes individuales o que terminan en destinos individuales
Los tipos de paquetes sospechosos
También puede optar por registrar una alarma cuando una pantalla ids identifica un paquete, en lugar de soltarlo.
Además de las pantallas IDS, puede usar filtros y policiadores de firewall para detener marcas TCP ilegales y otras combinaciones de indicadores malos, y para especificar la limitación de velocidad general (consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico). Las pantallas IDS agregan un nivel de filtrado más granular.
Utilice filtros de firewall y filtros de firewall de estado para filtrar el tráfico que no es necesario procesar mediante una pantalla de IDS.
Ventajas
Ofrece protección contra varios tipos de ataques de red.
Límites de sesión
Puede usar pantallas IDS para establecer límites de sesión para el tráfico desde un origen individual o hacia un destino individual. Esto protege contra ataques de sondeos e inundaciones de red. Se pierde el tráfico que supera los límites de sesión. Puede especificar límites de sesión para el tráfico con un protocolo IP determinado, como ICMP, o para el tráfico en general.
Usted decide si los límites se aplican a direcciones individuales o a una agregación de tráfico de subredes individuales de una longitud de prefijo determinada. Por ejemplo, si agrega límites para subredes IPv4 con una longitud de prefijo de 24, el tráfico de 192.0.2.2 y 192.0.2.3 se cuenta con los límites de la subred 192.0.2.0/24.
Algunos ataques comunes de sondeos e inundación de redes de los que los límites de sesión protegen incluyen:
| ICMP Address Sweep | El atacante envía pruebas de solicitud ICMP (pings) a varios objetivos. Si una máquina de destino responde, el atacante recibe la dirección IP del destino. |
| ICMP Flood | El atacante inunda una máquina de destino mediante el envío de una gran cantidad de paquetes ICMP desde una o más direcciones IP de origen. La máquina de destino utiliza sus recursos mientras intenta procesar esos paquetes ICMP y, luego, ya no puede procesar el tráfico válido. |
| TCP Port Scan | El atacante envía paquetes TCP SYN desde un origen a varios puertos de destino de la máquina de destino. Si el destino responde con un SYN-ACK desde uno o varios puertos de destino, el atacante aprende qué puertos están abiertos en el destino. |
| TCP SYN Flood | El atacante inunda una máquina de destino mediante el envío de una gran cantidad de paquetes TCP SYN desde una o más direcciones IP de origen. El atacante puede usar direcciones IP de origen real, lo que da como resultado una conexión TCP completa, o podría usar direcciones IP de origen falsas, lo que da como resultado que la conexión TCP no se complete. El destino crea estados para todas las conexiones TCP completas e incompletas. El destino usa sus recursos a medida que intenta administrar los estados de conexión y, luego, ya no puede procesar el tráfico válido. |
| UDP Flood | El atacante inunda una máquina de destino mediante el envío de una gran cantidad de paquetes UDP desde una o más direcciones IP de origen. La máquina de destino usa sus recursos mientras intenta procesar esos paquetes UDP y, luego, ya no puede procesar el tráfico válido. |
Los límites de sesión para el tráfico desde un origen o hacia un destino incluyen:
número máximo de sesiones simultáneas
número máximo de paquetes por segundo
número máximo de conexiones por segundo
Las pantallas IDS también instalan un filtro dinámico en los PFP de las tarjetas de línea para actividades sospechosas cuando se producen las siguientes condiciones:
Los paquetes por segundo o la cantidad de conexiones por segundo para una dirección de origen o destino individual supera cuatro veces el límite de sesión en la pantalla de IDS. (Los filtros dinámicos no se crean a partir de pantallas IDS que utilizan agregación de subred.)
El porcentaje de utilización de la CPU de la tarjeta de servicios supera un valor configurado (el valor predeterminado es el 90 %).
El filtro dinámico deja caer el tráfico sospechoso en el PFE, sin que el tráfico sea procesado por la pantalla ids. Cuando la velocidad de conexión o paquetes ya no supera cuatro veces el límite en la pantalla ids, se elimina el filtro dinámico.
Patrones de paquetes sospechosos
Puede usar pantallas IDS para identificar y soltar tráfico con un patrón de paquete sospechoso. Esto protege contra los atacantes que diseñan paquetes inusuales para lanzar ataques de denegación de servicio.
Los patrones de paquetes sospechosos y los ataques que puede especificar en una pantalla IDS son:
| ICMP fragmentation attack | El atacante envía los paquetes ICMP de destino que son fragmentos DE IP. Estos se consideran paquetes sospechosos porque los paquetes ICMP son generalmente cortos. Cuando el destino recibe estos paquetes, los resultados pueden variar desde el procesamiento incorrecto de paquetes hasta el bloqueo de todo el sistema. |
| Malformed ICMPv6 packets | Los paquetes ICMPv6 malformados pueden causar daños al dispositivo y la red. Ejemplos de paquetes IPv6 malformados son paquetes que son demasiado grandes (tipo de mensaje 2), que tienen el siguiente encabezado establecido en enrutamiento (43) o que tienen un encabezado de enrutamiento establecido en salto a salto. |
| ICMP large packet attack | El atacante envía las tramas ICMP de destino con una longitud IP mayor que 1024 bytes. Estos se consideran paquetes sospechosos porque la mayoría de los mensajes ICMP son pequeños. |
| Ping of death attack | El atacante envía los paquetes de ping ICMP de destino cuya longitud de datagrama IP (ip_len) supera la longitud legal máxima (65 535 bytes) para los paquetes IP, y el paquete está fragmentado. Cuando el destino intenta volver a ensamblar los paquetes IP, puede producirse un desbordamiento de búfer, lo que da como resultado un bloqueo, congelación y reinicio del sistema. |
| Bad option attack | El atacante envía los paquetes de destino con opciones IPv4 o encabezados de extensión IPv6 con formato incorrecto. Esto puede causar problemas impredecibles, dependiendo de la implementación de la pila de IP de los enrutadores y el destino. |
| Fragmented IP packets | Los fragmentos de IP pueden contener el intento de un atacante de aprovechar las vulnerabilidades en el código de reensamblamiento de paquetes de implementaciones específicas de pila IP. Cuando el destino recibe estos paquetes, los resultados pueden variar desde el procesamiento incorrecto de los paquetes hasta el bloqueo de todo el sistema. |
| IPv6 extension headers | Los atacantes pueden usar encabezados de extensión de forma maliciosa para ataques de denegación de servicio o para omitir filtros. |
| IPv4 options | Los atacantes pueden usar opciones de IPv4 de forma maliciosa para ataques de denegación de servicio. |
| IP teardrop attack | El atacante envía los paquetes de IP fragmentados de destino que se superponen. La máquina de destino utiliza sus recursos mientras intenta reensamblar los paquetes y, luego, ya no puede procesar el tráfico válido. |
| IP unknown protocol attack | El atacante envía los paquetes de destino con números de protocolo mayores que 137 para IPv4 y 139 para IPv6. Un protocolo desconocido puede ser malicioso. |
| TCP FIN No ACK attack | El atacante envía los paquetes TCP de destino que tienen el conjunto de bits FIN pero tienen el bit ACK sin establecer. Esto puede permitir que el atacante identifique el sistema operativo del destino o que identifique los puertos abiertos en el destino. |
| Land attack | El atacante envía los paquetes SYN falsificados de destino que contienen la dirección IP del destino como la dirección IP de destino y la dirección IP de origen. El objetivo usa sus recursos a medida que responde repetidamente a sí mismo. En otra variación del ataque terrestre, los paquetes SYN también contienen los mismos puertos de origen y destino. |
| TCP SYN ACK ACK attack | El atacante inicia conexiones Telnet o FTP con el destino sin completar las conexiones. La tabla de sesión del destino puede llenarse, lo que da como resultado que el dispositivo rechace las solicitudes de conexión legítimas. |
| TCP SYN FIN attack | El atacante envía los paquetes TCP de destino que tienen los bits SYN y FIN establecidos. Esto puede causar un comportamiento impredecible en el destino, dependiendo de su implementación de la pila TCP. |
| SYN fragment attack | El atacante envía los fragmentos de paquete SYN de destino. El destino almacena en caché los fragmentos syn, a la espera de que lleguen los fragmentos restantes para que pueda volver a ensamblarlos y completar la conexión. Una avalancha de fragmentos SYN eventualmente llena el búfer de memoria del host, lo que impide las conexiones de tráfico válidas. |
| TCP no flag attack | El atacante envía los paquetes TCP de destino que no contienen marcas. Esto puede causar un comportamiento impredecible en el destino, dependiendo de su implementación de la pila TCP. |
| TCP WinNuke attack | El atacante envía un segmento TCP con la marca urgente (URG) establecida y destinada al puerto 139 de un destino que ejecuta Windows. Esto podría causar que la máquina de destino se bloquee. |