Ochrona Cisco Catalyst 3750/3560 SYN FLOOD

11

Jak można złagodzić SYN FLOOD DOS na Catalyst 3750/3560, ponieważ nie ma on zabezpieczenia płaszczyzny kontrolnej?

romuald_geo
źródło

Odpowiedzi:

11

3750 ma pewien wewnętrzny priorytet w stosunku do tego, co woli punt, gdy jest zatłoczony, ale nie można go konfigurować.

Dlatego powinieneś polegać na popularnych najlepszych praktykach, czyli na wszystkich krawędziach swojej sieci, powinieneś mieć iACL (ACL infrastruktury). W iACL zezwalasz na wysokie UDP, ICMP na adresy sieciowe infrastruktury i upuszczanie. W ten sposób działają polecenia ping i traceroute, ale infrastruktura nie może zostać zaatakowana.
iACL należy uzupełnić poprzez nadzorowanie dozwolonego ruchu do małych dopuszczalnych stawek.

W ten sposób, gdy strona zewnętrzna atakuje adresy na 3750, zostanie zrzucona przez granicę sieci na brzegu.

iACL zwykle jest w 100% statyczny, więc nie wymaga konserwacji, ponieważ będzie zawierał tylko adresy infrastruktury (sprzężenie zwrotne, łącza podstawowe).

To nadal pozostawia szeroko otwarte przypadki, w których router jest skierowany bezpośrednio do klienta LAN, na przykład gdy LAN ma 192.0.2.0/24, a 3750 ma 192.0.2.1, wtedy 192.0.2.1 zwykle nie będzie objęty przez iACL i może zostać zaatakowany.
Rozwiązaniem dla tych urządzeń jest albo zainwestowanie w urządzenie z odpowiednimi możliwościami CoPP, albo utrzymanie dynamicznego iACL zawsze dodając tam adres klienta routera.

Jeśli spotykasz się tylko z klientami za pośrednictwem łącza-sieci (/ 30 lub / 31), rozwiązanie jest znacznie czystsze, po prostu pomijasz reklamę łącza-sieci i dodajesz statyczną / 32 trasę dla strony CPE, w ten sposób zewnętrzna strona routera nie może atakować router, ponieważ nie będą mieli trasy.
Alternatywnym rozwiązaniem tego samego problemu jest użycie nieciągłego wpisu ACL w iACL, jeśli twoja sieć łączy CPE to 198.51.100.0/24 w iACL, możesz „odmówić adresu IP 198.51.100.0 0.0.0.254”, to wszystkie parzyste adresy byłyby być dozwolone i odmawiać adresów nieparzystych, więc jeśli CPE jest parzysty, a 3750 jest nieparzysty, wszystkie bieżące i przyszłe linki są chronione bez aktualizacji iACL.

iti
źródło
1
Jestem pewien, że miałeś na myśli 198.51.100.0 0.0.0.254
Marco