Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar la protección contra ataques de red con pantallas IDS para servicios de próxima generación

Configuración del nombre de pantalla, la dirección y la opción de alarma de IDS

Configure el nombre de pantalla, la dirección de tráfico y la alarma opcional de IDS.

  1. Especifique un nombre para la pantalla IDS.
  2. Especifique si la pantalla IDS se aplica al tráfico de entrada, al tráfico de salida o a ambos.
  3. Si desea que la pantalla IDS registre una alarma cuando los paquetes superen el límite de sesión, en lugar de soltar paquetes, configure alarm-without-drop.

Configuración de límites de sesión en la pantalla IDS

Puede usar pantallas IDS para establecer límites de sesión para el tráfico de direcciones o subredes individuales y a direcciones o subredes individuales. Esto protege contra ataques de sondeos e inundaciones de red. En la tabla 1, se muestran las opciones de límite de sesión que protegen contra algunos ataques comunes de sondeo e inundación de redes.

Tabla 1: Opciones de pantalla de IDS para ataques de red tipo

Tipo de ataque de red

[edit services screen ids-options screen-name limit-sessions] Opciones para establecer

Barrido de direcciones ICMP

 
by-source by-protocol icmp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Inundación de ICMP

 
by-destination by-protocol icmp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Análisis de puerto TCP

 
(by-destination | by-source) by-protocol tcp {
    maximum-sessions number;
    packet-rate number;
}

Inundación TCP SYN

 
(by-destination | by-source) by-protocol tcp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Inundación UDP

 
by-destination by-protocol udp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

Para configurar los límites de sesión en una pantalla IDS:

  1. Si desea aplicar límites de sesión a una agregación de todas las sesiones a subredes de destino individuales o desde subredes de origen individuales en lugar de direcciones individuales, configure la agregación.
    1. Para aplicar límites de sesión a una agregación de todas las sesiones desde dentro de una subred IPv4 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 32.

      Por ejemplo, la siguiente instrucción configura una longitud de prefijo IPv4 de 24, y las sesiones de 192.0.2.2 y 192.0.2.3 se cuentan como sesiones de la subred 192.0.2.0/24/24.

    2. Para aplicar límites de sesión a una agregación de todas las sesiones desde una subred IPv6 individual, especifique la longitud del prefijo de subred. El rango es del 1 al 128.

      Por ejemplo, la siguiente instrucción configura una longitud de prefijo IPv6 de 64, y las sesiones de 2001:db8:1234:72a2::2 y 2001:db8:1234:72a2::3 se cuentan como sesiones desde la subred 2001:db8:1234:72a2::/64.

    3. Para aplicar límites de sesión a una agregación de todas las sesiones a una subred IPv4 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 32.
    4. Para aplicar límites de sesión a una agregación de todas las sesiones a una subred IPv6 individual, especifique la longitud del prefijo de subred. El rango es del 1 al 128.
  2. Si desea aplicar límites de sesión desde un origen para un protocolo IP determinado:
    1. Configure la cantidad máxima de sesiones simultáneas permitidas desde una dirección IP de origen individual o subred para un protocolo IP determinado.
    2. Configure la cantidad máxima de paquetes por segundo permitida desde una dirección IP de origen individual o subred para un protocolo determinado.
    3. Configure la cantidad máxima de conexiones por segundo permitidas desde una dirección IP de origen individual o subred para un protocolo determinado.
  3. Si desea aplicar límites de sesión a un destino para un protocolo IP en particular:
    1. Configure la cantidad máxima de sesiones simultáneas permitidas para una dirección IP de destino individual o subred para un protocolo IP determinado.
    2. Configure la cantidad máxima de paquetes por segundo permitida en una dirección IP de destino individual o subred para un protocolo determinado.
    3. Configure la cantidad máxima de conexiones por segundo permitidas para una dirección IP de destino individual o subred para un protocolo determinado.
  4. Si desea aplicar límites de sesión desde un origen independientemente del protocolo IP:
    1. Configure la cantidad máxima de sesiones simultáneas permitidas desde una dirección IP de origen individual o subred.
    2. Configure la cantidad máxima de paquetes por segundo permitida desde una dirección IP de origen individual o una subred
    3. Configure la cantidad máxima de conexiones por segundo permitidas desde una dirección IP de origen individual o una subred.
  5. Si desea aplicar límites de sesión a un destino independientemente del protocolo IP:
    1. Configure la cantidad máxima de sesiones simultáneas permitidas en una subred o dirección IP de destino individual.
    2. Configure la cantidad máxima de paquetes por segundo permitida a una dirección IP de destino individual o una subred
    3. Configure la cantidad máxima de conexiones por segundo permitidas para una dirección IP de destino individual o subred.
  6. Especifique el porcentaje de utilización de cpu de la tarjeta de servicios que activa la instalación de un filtro dinámico en los PPE de las tarjetas de línea para el tráfico sospechoso. El valor predeterminado es 90.

    Además del umbral de porcentaje de utilización de la CPU, la velocidad de paquetes o de conexión para una dirección de origen o destino individual debe superar cuatro veces el límite de sesión en la pantalla de IDS antes de instalar el filtro dinámico. Los filtros dinámicos no se crean a partir de pantallas IDS que utilizan agregación de subred.

    El filtro dinámico deja caer el tráfico sospechoso en el PFE, sin que el tráfico sea procesado por la pantalla ids. Cuando la velocidad de conexión o paquetes ya no supera cuatro veces el límite en la pantalla ids, se elimina el filtro dinámico.

Configuración de la detección de patrones de paquetes sospechosos en la pantalla IDS

Puede usar pantallas IDS para identificar y soltar paquetes sospechosos. Esto protege contra los atacantes que diseñan paquetes inusuales para lanzar ataques de denegación de servicio.

Para configurar la detección de patrones sospechosos:

  1. Para protegerse de los ataques de fragmentación ICMP, identifique y suelte los paquetes ICMP que son fragmentos de IP.
  2. Para identificar y soltar paquetes ICMPv6 malformados, configure icmpv6-malformed.
  3. Para protegerse contra ataques icmp de paquetes grandes, identifique y suelte paquetes ICMP que sean mayores que 1024 bytes.
  4. Para protegerse contra ping de ataques mortales, identifique y suelte paquetes ICMP irregulares y de gran tamaño.
  5. Para protegerse de ataques de opciones malas, identifique y suelte paquetes con opciones IPv4 o encabezados de extensión IPv6 con formato incorrecto.
  6. Para identificar y soltar paquetes IP fragmentados, configure block-frag.
  7. Para soltar paquetes IPv6 con valores particulares de encabezado de extensión, especifique los valores.

    Se pueden configurar los siguientes valores de encabezado:

    ah-header

    Encabezado de extensión de encabezado de autenticación
    esp-header

    Encabezado de extensión de carga de seguridad de encapsulación
    fragment-header

    Encabezado de extensión de encabezado de fragmento
    hop-by-hop-header

    Opción salto a salto con la opción especificada:

    CALIPSO-option

    Opción de seguridad IPv6 de etiqueta de arquitectura común
    jumbo-payload-option

    Opción de carga jumbo IPv6
    quick-start-option

    Opción de inicio rápido IPv6
    router-alert-option

    Opción de alerta de enrutador IPv6
    RPL-option

    Opción de protocolo de enrutamiento para redes con baja potencia y con pérdidas
    SFM-DPD-option

    Opción simplificada de detección de paquetes duplicados IPv6 de reenvío de muliticast
    user-defined-option-type type-low to type-high

    Un rango de tipos de encabezado

    • Rango: 1 a 255.
    mobility-header

    Encabezado de extensión de encabezado de movilidad.
    routing-header

    Encabezado de extensión de encabezado de enrutamiento.
  8. Para soltar paquetes IPv4 con valores de opción IPv4 particulares, especifique los valores.

    Se pueden configurar los siguientes valores de opción IPv4:

    loose-source-route-option

    Opción de IP de 3 (enrutamiento de origen flexible)
    record-route-option

    Opción de IP de 7 (Ruta de registro)
    security-option

    Opción de IP de 2 (seguridad)
    source-route-option

    Opción de IP de 3 (enrutamiento de fuente libre) o la opción IP de 9 (enrutamiento de origen estricto)
    stream-option

    Opción de IP de 8 (ID de transmisión)
    strict-source-route-option

    Opción de IP de 9 (enrutamiento de origen estricto)
    timestamp-option

    Opción de IP de 4 (marca de hora de Internet)
  9. Para protegerse de ataques de lágrimas de IP, identifique y suelte paquetes IP fragmentados que se superponen.
  10. Para protegerse contra ataques de protocolo desconocido de IP, identifique y suelte tramas IP con números de protocolo mayores que 137 para IPv4 y 139 para IPv6.
  11. Para protegerse contra los ataques TCP FIN Sin ACK, identifique y suelte cualquier paquete con la marca FIN establecida y sin el ACK establecido.
  12. Para protegerse de ataques terrestres, identifique y suelte paquetes SYN que tengan el mismo puerto o dirección de origen y destino.
  13. Para protegerse contra los ataques TCP SYN ACK ACK, configure la cantidad máxima de conexiones desde una dirección IP que se puede abrir sin completarse.
  14. Para protegerse contra los ataques TCP SYN FIN, identifique y suelte paquetes que tengan los indicadores SYN y FIN establecidos.
  15. Para protegerse contra los ataques de fragmentos syn, identifique y suelte los fragmentos de paquetes SYN.
  16. Para protegerse contra tcp sin ataques de marca, identifique y suelte los paquetes TCP que no tengan campos de marca establecidos.
  17. Para protegerse contra los ataques WinNuke TCP, identifique y suelte los segmentos TCP que están destinados al puerto 139 y tengan el indicador urgente (URG) establecido.

Configurar el conjunto de servicios para IDS

Configure un conjunto de servicios para aplicar la pantalla IDS.

  1. Asigne la pantalla IDS a un conjunto de servicios.

    Si el conjunto de servicios está asociado a una interfaz AMS, los límites de sesión que configure se aplican a cada interfaz miembro.

  2. Limite los paquetes que procesa la pantalla IDS mediante la configuración de una regla de firewall de estado . La regla de firewall de estado puede identificar el tráfico que debe someterse al procesamiento de IDS o el tráfico que debe omitir el procesamiento de IDS:

    • Para permitir el procesamiento de IDS en el tráfico que coincide con la regla de estado del firewall, incluya accept en el [edit services stateful-firewall rule rule-name term term-name then] nivel de jerarquía.

    • Para omitir el procesamiento de IDS en el tráfico que coincide con la regla de firewall de estado, incluya accept skip-ids en el [edit services stateful-firewall rule rule-name term term-name then] nivel de jerarquía.

  3. Asigne la regla de firewall de estado al conjunto de servicios.
  4. Para protegerse contra ataques de anomalías de encabezado, configure una comprobación de integridad de encabezado para el conjunto de servicios.

Documentación relacionada