Descripción de las pantallas IDS para la protección contra ataques a la red
Servicios de detección de intrusiones
Las pantallas de los servicios de detección de intrusiones (IDS) le ofrecen una forma de identificar y eliminar el tráfico que forma parte de un ataque de red.
En una pantalla IDS, puede especificar:
Los límites en el número de sesiones que se originan en fuentes individuales o que terminan en destinos individuales
Los tipos de paquetes sospechosos
También puede optar por registrar una alarma cuando una pantalla IDS identifique un paquete, en lugar de descartarlo.
Además de las pantallas de IDS, puede utilizar filtros de firewall y políticas para detener indicadores TCP ilegales y otras combinaciones de indicadores incorrectos, y para especificar la limitación de velocidad general (consulte la Guía del usuario de Políticas de enrutamiento, Filtros de firewall y Policías de tráfico). Las pantallas IDS añaden un nivel de filtrado más granular.
Utilice filtros de firewall y filtros de firewall con estado para filtrar el tráfico que no necesita ser procesado por una pantalla de IDS.
Beneficios
Proporciona protección contra varios tipos de ataques a la red.
Límites de sesión
Puede utilizar las pantallas IDS para establecer límites de sesión para el tráfico desde una fuente individual o hacia un destino individual. Esto protege contra ataques de sondeo e inundación de red. Se elimina el tráfico que supera los límites de sesión. Puede especificar límites de sesión para el tráfico con un protocolo IP determinado, como ICMP, o para el tráfico en general.
Usted decide si los límites se aplican a direcciones individuales o a una agregación de tráfico de subredes individuales de una longitud de prefijo determinada. Por ejemplo, si agrega límites para subredes IPv4 con una longitud de prefijo de 24, el tráfico de 192.0.2.2 y 192.0.2.3 se imputa a los límites de la subred 192.0.2.0/24.
Algunos ataques comunes de sondeo e inundación de red contra los que protegen los límites de sesión incluyen:
ICMP Address Sweep | El atacante envía sondeos de solicitud ICMP (pings) a varios objetivos. Si un equipo de destino responde, el atacante recibe la dirección IP del objetivo. |
ICMP Flood | El atacante inunda una máquina de destino enviando una gran cantidad de paquetes ICMP desde una o más direcciones IP de origen. La máquina de destino agota sus recursos cuando intenta procesar esos paquetes ICMP y, a continuación, ya no puede procesar tráfico válido. |
TCP Port Scan | El atacante envía paquetes TCP SYN desde un origen a varios puertos de destino de la máquina de destino. Si el objetivo responde con un SYN-ACK desde uno o más puertos de destino, el atacante aprende qué puertos están abiertos en el destino. |
TCP SYN Flood | El atacante inunda una máquina de destino enviando una gran cantidad de paquetes TCP SYN desde una o más direcciones IP de origen. El atacante podría usar direcciones IP de origen reales, lo que da como resultado una conexión TCP completa, o podría usar direcciones IP de origen falsas, lo que provocaría que la conexión TCP no se complete. El destino crea estados para todas las conexiones TCP completadas e incompletas. El destino consume sus recursos cuando intenta administrar los estados de conexión y, por lo tanto, ya no puede procesar tráfico válido. |
UDP Flood | El atacante inunda una máquina de destino enviando una gran cantidad de paquetes UDP desde una o más direcciones IP de origen. El equipo de destino consume sus recursos cuando intenta procesar esos paquetes UDP y, a continuación, ya no puede procesar tráfico válido. |
Los límites de sesión para el tráfico desde un origen o hacia un destino incluyen:
Número máximo de sesiones simultáneas
Número máximo de paquetes por segundo
Número máximo de conexiones por segundo
Las pantallas IDS también instalan un filtro dinámico en los PFE de las tarjetas de línea para detectar actividades sospechosas cuando se dan las siguientes condiciones:
Tanto los paquetes por segundo como el número de conexiones por segundo para una dirección de origen o destino individual supera cuatro veces el límite de sesión en la pantalla del IDS. (Los filtros dinámicos no se crean a partir de pantallas IDS que utilizan agregación de subred).
El porcentaje de utilización de CPU de la tarjeta de servicios supera un valor configurado (el valor predeterminado es 90 por ciento).
El filtro dinámico elimina el tráfico sospechoso en el PFE, sin que el tráfico sea procesado por la pantalla del IDS. Cuando el paquete o la velocidad de conexión ya no supera cuatro veces el límite en la pantalla IDS, se elimina el filtro dinámico.
Patrones de paquetes sospechosos
Puede utilizar pantallas IDS para identificar y eliminar tráfico con un patrón de paquetes sospechoso. Esto protege contra atacantes que crean paquetes inusuales para lanzar ataques de denegación de servicio.
Los patrones de paquetes sospechosos y los ataques que puede especificar en una pantalla IDS son:
ICMP fragmentation attack | El atacante envía al ICMP de destino paquetes que son fragmentos IP. Estos se consideran paquetes sospechosos porque los paquetes ICMP suelen ser cortos. Cuando el destino recibe estos paquetes, los resultados pueden variar desde procesar paquetes incorrectamente hasta bloquear todo el sistema. |
Malformed ICMPv6 packets | Los paquetes ICMPv6 mal formados pueden dañar el dispositivo y la red. Ejemplos de paquetes IPv6 mal formados son los paquetes que son demasiado grandes (tipo de mensaje 2), que tienen el siguiente encabezado establecido en enrutamiento (43) o que tienen un encabezado de enrutamiento establecido en salto de salto. |
ICMP large packet attack | El atacante envía las tramas ICMP de destino con una longitud de IP superior a 1024 bytes. Estos se consideran paquetes sospechosos porque la mayoría de los mensajes ICMP son pequeños. |
Ping of death attack | El atacante envía al ICMP de destino paquetes de ping cuya longitud de datagrama IP (ip_len) supera la longitud legal máxima (65.535 bytes) para los paquetes IP, y el paquete está fragmentado. Cuando el destino intenta volver a ensamblar los paquetes IP, puede producirse un desbordamiento del búfer, lo que provoca que el sistema se bloquee, se congele y se reinicie. |
Bad option attack | El atacante envía los paquetes de destino con opciones IPv4 o encabezados de extensión IPv6 con formato incorrecto. Esto puede causar problemas impredecibles, dependiendo de la implementación de la pila IP de los enrutadores y del destino. |
Fragmented IP packets | Los fragmentos IP pueden contener el intento de un atacante de aprovechar las vulnerabilidades en el código de reensamblaje de paquetes de implementaciones de pila IP específicas. Cuando el destino recibe estos paquetes, los resultados pueden variar desde procesar los paquetes incorrectamente hasta bloquear todo el sistema. |
IPv6 extension headers | Los atacantes pueden usar los encabezados de extensión de forma malintencionada para ataques de denegación de servicio o para eludir filtros. |
IPv4 options | Los atacantes pueden usar malintencionadamente las opciones de IPv4 para ataques de denegación de servicio. |
IP teardrop attack | El atacante envía al destino paquetes IP fragmentados que se superponen. La máquina de destino consume sus recursos cuando intenta volver a ensamblar los paquetes y, a continuación, ya no puede procesar tráfico válido. |
IP unknown protocol attack | El atacante envía los paquetes de destino con números de protocolo mayores que 137 para IPv4 y 139 para IPv6. Un protocolo desconocido puede ser malicioso. |
TCP FIN No ACK attack | El atacante envía los paquetes TCP de destino que tienen el bit FIN establecido pero que tienen el bit ACK desestablecido. Esto puede permitir al atacante identificar el sistema operativo del objetivo o identificar puertos abiertos en el objetivo. |
Land attack | El atacante envía al destino paquetes SYN falsificados que contienen la dirección IP del destino como dirección IP de destino y de origen. El objetivo consume sus recursos a medida que se responde repetidamente a sí mismo. En otra variación del ataque terrestre, los paquetes SYN también contienen los mismos puertos de origen y destino. |
TCP SYN ACK ACK attack | El atacante inicia conexiones Telnet o FTP con el destino sin completar las conexiones. La tabla de sesión del destino puede llenarse, lo que hace que el dispositivo rechace solicitudes de conexión legítimas. |
TCP SYN FIN attack | El atacante envía los paquetes TCP de destino que tienen los bits SYN y FIN establecidos. Esto puede provocar un comportamiento impredecible en el destino, dependiendo de su implementación de pila TCP. |
SYN fragment attack | El atacante envía fragmentos de paquetes SYN de destino. El destino almacena en caché los fragmentos SYN, esperando que lleguen los fragmentos restantes para poder volver a ensamblarlos y completar la conexión. Una avalancha de fragmentos SYN eventualmente llena el búfer de memoria del host, lo que impide conexiones de tráfico válidas. |
TCP no flag attack | El atacante envía al destino paquetes TCP que no contienen indicadores. Esto puede provocar un comportamiento impredecible en el destino, dependiendo de su implementación de pila TCP. |
TCP WinNuke attack | El atacante envía un segmento TCP con el indicador urgente (URG) establecido y destinado al puerto 139 de un destino que ejecuta Windows. Esto podría hacer que la máquina de destino se bloquee. |