Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de la protección contra ataques de red con pantallas IDS para servicios de próxima generación

Configuración del nombre de pantalla, la dirección y la opción de alarma del IDS

Configure el nombre de pantalla del IDS, la dirección del tráfico y la alarma opcional.

  1. Especifique un nombre para la pantalla IDS.
  2. Especifique si la pantalla IDS se aplica al tráfico de entrada, al tráfico de salida o a ambos.
  3. Si desea que la pantalla IDS registre una alarma cuando los paquetes superen el límite de la sesión, en lugar de descartar paquetes, configure alarm-without-drop.

Configuración de límites de sesión en la pantalla IDS

Puede utilizar las pantallas IDS para establecer límites de sesión para el tráfico desde direcciones o subredes individuales hasta direcciones o subredes individuales. Esto protege contra ataques de sondeo e inundación de red. En la Tabla 1 se muestran las opciones de límite de sesión que protegen contra algunos ataques comunes de sondeo e inundación de red.

Tabla 1: Opciones de pantalla de IDS para el tipo de ataques de red

Tipo de ataque a la red

[edit services screen ids-options screen-name limit-sessions] Opciones para establecer

Barrido de direcciones ICMP

by-source by-protocol icmp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Inundación ICMP

by-destination by-protocol icmp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Análisis de puertos TCP

(by-destination | by-source) by-protocol tcp {
    maximum-sessions number;
    packet-rate number;
}

Inundación TCP SYN

(by-destination | by-source) by-protocol tcp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Inundación UDP

by-destination by-protocol udp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Para configurar los límites de sesión en una pantalla IDS:

  1. Si desea aplicar límites de sesión a una agregación de todas las sesiones a subredes de destino individuales o de subredes de origen individuales en lugar de direcciones individuales, configure la agregación.
    1. Para aplicar límites de sesión a una agregación de todas las sesiones desde una subred IPv4 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 32.

      Por ejemplo, la siguiente instrucción configura una longitud de prefijo IPv4 de 24 y las sesiones de 192.0.2.2 y 192.0.2.3 se cuentan como sesiones de la subred 192.0.2.0/24/24.

    2. Para aplicar límites de sesión a una agregación de todas las sesiones desde una subred IPv6 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 128.

      Por ejemplo, la instrucción siguiente configura una longitud de prefijo IPv6 de 64 y las sesiones de 2001:db8:1234:72a2::2 y 2001:db8:1234:72a2::3 se cuentan como sesiones de la subred 2001:db8:1234:72a2::/64.

    3. Para aplicar límites de sesión a una agregación de todas las sesiones a una subred IPv4 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 32.
    4. Para aplicar límites de sesión a una agregación de todas las sesiones a una subred IPv6 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 128.
  2. Si desea aplicar límites de sesión desde un origen para un protocolo IP determinado:
    1. Configure el número máximo de sesiones simultáneas permitidas desde una dirección IP o subred de origen individual para un protocolo IP determinado.
    2. Configure el número máximo de paquetes por segundo permitidos desde una dirección IP o subred de origen individual para un protocolo determinado.
    3. Configure el número máximo de conexiones por segundo permitidas desde una dirección IP o subred de origen individual para un protocolo determinado.
  3. Si desea aplicar límites de sesión a un destino para un protocolo IP determinado:
    1. Configure el número máximo de sesiones simultáneas permitidas a una dirección IP o subred de destino individual para un protocolo IP determinado.
    2. Configure el número máximo de paquetes por segundo permitidos para una dirección IP o subred de destino individual para un protocolo determinado.
    3. Configure el número máximo de conexiones por segundo permitidas a una dirección IP o subred de destino individual para un protocolo determinado.
  4. Si desea aplicar límites de sesión desde una fuente independientemente del protocolo IP:
    1. Configure el número máximo de sesiones simultáneas permitidas desde una subred o dirección IP de origen individual.
    2. Configurar el número máximo de paquetes por segundo permitidos desde una dirección IP o subred de origen individual
    3. Configure el número máximo de conexiones por segundo permitidas desde una dirección IP o subred de origen individual.
  5. Si desea aplicar límites de sesión a un destino independientemente del protocolo IP:
    1. Configure el número máximo de sesiones simultáneas permitidas para una dirección IP o subred de destino individual.
    2. Configurar el número máximo de paquetes por segundo permitidos para una dirección IP o subred de destino individual
    3. Configure el número máximo de conexiones por segundo permitidas a una dirección IP o subred de destino individual.
  6. Especifique el porcentaje de utilización de CPU de la tarjeta de servicios que desencadena la instalación de un filtro dinámico en los PFE de las tarjetas de línea para detectar tráfico sospechoso. El valor predeterminado es 90.

    Además del umbral del porcentaje de utilización de la CPU, la velocidad de paquetes o la velocidad de conexión para una dirección de origen o destino individual debe superar cuatro veces el límite de sesión en la pantalla IDS antes de instalar el filtro dinámico. Los filtros dinámicos no se crean a partir de pantallas IDS que utilizan agregación de subred.

    El filtro dinámico elimina el tráfico sospechoso en el PFE, sin que el tráfico sea procesado por la pantalla del IDS. Cuando el paquete o la velocidad de conexión ya no supera cuatro veces el límite en la pantalla IDS, se elimina el filtro dinámico.

Configuración de la detección de patrones de paquetes sospechosos en la pantalla IDS

Puede utilizar las pantallas IDS para identificar y soltar paquetes sospechosos. Esto protege contra atacantes que crean paquetes inusuales para lanzar ataques de denegación de servicio.

Para configurar la detección de patrones sospechosos:

  1. Para protegerse contra ataques de fragmentación ICMP, identifique y elimine paquetes ICMP que sean fragmentos IP.
  2. Para identificar y eliminar paquetes ICMPv6 con formato incorrecto, configure icmpv6-malformed.
  3. Para protegerse contra ataques de paquetes grandes de ICMP, identifique y elimine paquetes ICMP que tengan más de 1024 bytes.
  4. Para protegerse contra el ping de ataques de la muerte, identifique y suelte paquetes ICMP irregulares y de gran tamaño.
  5. Para protegerse contra ataques de opciones incorrectas, identifique y elimine paquetes con opciones IPv4 o encabezados de extensión IPv6 con formato incorrecto.
  6. Para identificar y colocar paquetes IP fragmentados, configure block-frag.
  7. Para colocar paquetes IPv6 con valores de encabezado de extensión específicos, especifique los valores.

    Se pueden configurar los siguientes valores de encabezado:

    ah-header

    Encabezado de extensión de encabezado de autenticación

    esp-header

    Encabezado de extensión de carga de seguridad encapsuladora

    fragment-header

    Encabezado de extensión de encabezado de fragmento

    hop-by-hop-header

    Opción salto a salto con la opción especificada:

    CALIPSO-option

    Etiqueta de arquitectura común Opción de seguridad IPv6

    jumbo-payload-option

    Opción de carga jumbo IPv6

    quick-start-option

    Opción de inicio rápido de IPv6

    router-alert-option

    Opción de alerta de enrutador IPv6

    RPL-option

    Opción de protocolo de enrutamiento para redes de baja potencia y con pérdida

    SFM-DPD-option

    Reenvío multiliticast simplificado Opción de detección de paquetes duplicados IPv6

    user-defined-option-type type-low to type-high

    Un rango de tipos de encabezado

    • Rango: 1 a 255.

    mobility-header

    Encabezado de extensión del encabezado de movilidad.

    routing-header

    Encabezado de extensión del encabezado de enrutamiento.

  8. Para colocar paquetes IPv4 con determinados valores de opción IPv4, especifique los valores.

    Se pueden configurar los siguientes valores de opción IPv4:

    loose-source-route-option

    Opción IP de 3 (enrutamiento de origen flexible)

    record-route-option

    Opción IP de 7 (Ruta de registro)

    security-option

    Opción IP de 2 (Seguridad)

    source-route-option

    Opción IP de 3 (enrutamiento de fuente flexible) o la opción IP de 9 (enrutamiento de fuente estricto)

    stream-option

    Opción IP de 8 (ID de flujo)

    strict-source-route-option

    Opción IP de 9 (enrutamiento estricto de origen)

    timestamp-option

    Opción IP de 4 (marca de tiempo de Internet)

  9. Para protegerse contra ataques de lágrima de IP, identifique y elimine paquetes IP fragmentados que se superpongan.
  10. Para protegerse contra ataques de protocolo IP desconocido, identifique y elimine tramas IP con números de protocolo superiores a 137 para IPv4 y 139 para IPv6.
  11. Para protegerse contra ataques TCP FIN sin ACK, identifique y elimine cualquier paquete que tenga el indicador FIN establecido y sin el indicador ACK establecido.
  12. Para protegerse contra ataques terrestres, identifique y suelte paquetes SYN que tengan la misma dirección o puerto de origen y destino.
  13. Para protegerse contra ataques TCP SYN ACK ACK, configure el número máximo de conexiones desde una dirección IP que se puede abrir sin completarse.
  14. Para protegerse contra ataques TCP SYN FIN, identifique y descarte los paquetes que tengan los indicadores SYN y FIN establecidos.
  15. Para protegerse contra ataques de fragmentos SYN, identifique y elimine fragmentos de paquetes SYN.
  16. Para protegerse contra ataques sin bandera TCP, identifique y elimine los paquetes TCP que no tengan campos de bandera establecidos.
  17. Para protegerse contra ataques TCP WinNuke, identifique y elimine segmentos TCP destinados al puerto 139 y que tengan el indicador urgente (URG) establecido.

Configuración del conjunto de servicios para IDS

Configure un conjunto de servicios para aplicar la pantalla IDS.

  1. Asigne la pantalla IDS a un conjunto de servicios.

    Si el conjunto de servicios está asociado a una interfaz AMS, los límites de sesión que configure se aplicarán a cada interfaz miembro.

  2. Limite los paquetes que procesa la pantalla IDS configurando una regla de firewall con estado. La regla de firewall con estado puede identificar el tráfico que debe someterse al procesamiento de IDS o el tráfico que debe omitir el procesamiento de IDS:
    • Para permitir el procesamiento de IDS en el tráfico que coincida con la regla de firewall con estado, incluya accept en el nivel de [edit services stateful-firewall rule rule-name term term-name then] jerarquía.

    • Para omitir el procesamiento de IDS en el tráfico que coincide con la regla de firewall de estado, incluya accept skip-ids en el nivel de [edit services stateful-firewall rule rule-name term term-name then] jerarquía.

  3. Asigne la regla de firewall con estado al conjunto de servicios.
  4. Para protegerse contra ataques de anomalías de encabezado, configure una comprobación de integridad de encabezado para el conjunto de servicios.