Puede usar pantallas IDS para establecer límites de sesión para el tráfico de direcciones o subredes individuales y a direcciones o subredes individuales. Esto protege contra ataques de sondeos e inundaciones de red. En la tabla 1, se muestran las opciones de límite de sesión que protegen contra algunos ataques comunes de sondeo e inundación de redes.
Tabla 1: Opciones de pantalla de IDS para ataques de red tipo
Tipo de ataque de red |
[edit services screen ids-options screen-name limit-sessions] Opciones para establecer
|
Barrido de direcciones ICMP |
by-source by-protocol icmp {
maximum-sessions number;
packet-rate number;
session-rate number;
}
|
Inundación de ICMP |
by-destination by-protocol icmp {
maximum-sessions number;
packet-rate number;
session-rate number;
}
|
Análisis de puerto TCP |
(by-destination | by-source) by-protocol tcp {
maximum-sessions number;
packet-rate number;
}
|
Inundación TCP SYN |
(by-destination | by-source) by-protocol tcp {
maximum-sessions number;
packet-rate number;
session-rate number;
}
|
Inundación UDP |
by-destination by-protocol udp {
maximum-sessions number;
packet-rate number;
session-rate number;
}
|
Para configurar los límites de sesión en una pantalla IDS:
- Si desea aplicar límites de sesión a una agregación de todas las sesiones a subredes de destino individuales o desde subredes de origen individuales en lugar de direcciones individuales, configure la agregación.
- Para aplicar límites de sesión a una agregación de todas las sesiones desde dentro de una subred IPv4 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 32.
[edit services screen ids-option screen-name aggregations]
user@host# set source-prefix-mask prefix-value
Por ejemplo, la siguiente instrucción configura una longitud de prefijo IPv4 de 24, y las sesiones de 192.0.2.2 y 192.0.2.3 se cuentan como sesiones de la subred 192.0.2.0/24/24.
[edit services screen ids-option screen1 aggregations]
user@host# set source-prefix-mask 24
- Para aplicar límites de sesión a una agregación de todas las sesiones desde una subred IPv6 individual, especifique la longitud del prefijo de subred. El rango es del 1 al 128.
[edit services screen ids-option screen-name aggregations]
user@host# set source-prefix-ipv6-mask prefix-value
Por ejemplo, la siguiente instrucción configura una longitud de prefijo IPv6 de 64, y las sesiones de 2001:db8:1234:72a2::2 y 2001:db8:1234:72a2::3 se cuentan como sesiones desde la subred 2001:db8:1234:72a2::/64.
[edit services screen ids-option screen1 aggregations]
user@host# set source-prefix-ipv6-mask 64
- Para aplicar límites de sesión a una agregación de todas las sesiones a una subred IPv4 individual, especifique la longitud del prefijo de subred. El rango es de 1 a 32.
[edit services screen ids-option screen-name aggregations]
user@host# set destination-prefix-mask prefix-value
- Para aplicar límites de sesión a una agregación de todas las sesiones a una subred IPv6 individual, especifique la longitud del prefijo de subred. El rango es del 1 al 128.
[edit services screen ids-option screen-name aggregations]
user@host# set destination-prefix-ipv6-mask prefix-value
- Si desea aplicar límites de sesión desde un origen para un protocolo IP determinado:
- Configure la cantidad máxima de sesiones simultáneas permitidas desde una dirección IP de origen individual o subred para un protocolo IP determinado.
[edit services screen ids-option screen-name limit-session by-source ]
user@host# set by-protocol (icmp | tcp | udp) maximum-sessions number
- Configure la cantidad máxima de paquetes por segundo permitida desde una dirección IP de origen individual o subred para un protocolo determinado.
[edit services screen ids-option screen-name limit-session by-source ]
user@host# set by-protocol (icmp | tcp | udp) packet-rate number
- Configure la cantidad máxima de conexiones por segundo permitidas desde una dirección IP de origen individual o subred para un protocolo determinado.
[edit services screen ids-option screen-name limit-session by-source ]
user@host# set by-protocol (icmp | tcp | udp) session-rate number
- Si desea aplicar límites de sesión a un destino para un protocolo IP en particular:
- Configure la cantidad máxima de sesiones simultáneas permitidas para una dirección IP de destino individual o subred para un protocolo IP determinado.
[edit services screen ids-option screen-name limit-session by-destination]
user@host# set by-protocol (icmp | tcp | udp) maximum-sessions number
- Configure la cantidad máxima de paquetes por segundo permitida en una dirección IP de destino individual o subred para un protocolo determinado.
[edit services screen ids-option screen-name limit-session by-destination ]
user@host# set by-protocol (icmp | tcp | udp) packet-rate number
- Configure la cantidad máxima de conexiones por segundo permitidas para una dirección IP de destino individual o subred para un protocolo determinado.
[edit services screen ids-option screen-name limit-session by-destination ]
user@host# set by-protocol (icmp | tcp | udp) session-rate number
- Si desea aplicar límites de sesión desde un origen independientemente del protocolo IP:
- Configure la cantidad máxima de sesiones simultáneas permitidas desde una dirección IP de origen individual o subred.
[edit services screen ids-option screen-name limit-session by-source ]
user@host# set maximum-sessions number
- Configure la cantidad máxima de paquetes por segundo permitida desde una dirección IP de origen individual o una subred
[edit services screen ids-option screen-name limit-session by-source ]
user@host# set packets-rate number
- Configure la cantidad máxima de conexiones por segundo permitidas desde una dirección IP de origen individual o una subred.
[edit services screen ids-option screen-name limit-session by-source ]
user@host# set session-rate number
- Si desea aplicar límites de sesión a un destino independientemente del protocolo IP:
- Configure la cantidad máxima de sesiones simultáneas permitidas en una subred o dirección IP de destino individual.
[edit services screen ids-option screen-name limit-session by-destination ]
user@host# set maximum-sessions number
- Configure la cantidad máxima de paquetes por segundo permitida a una dirección IP de destino individual o una subred
[edit services screen ids-option screen-name limit-session by-destination ]
user@host# set packets-rate number
- Configure la cantidad máxima de conexiones por segundo permitidas para una dirección IP de destino individual o subred.
[edit services screen ids-option screen-name limit-session by-destination]
user@host# set session-rate number
- Especifique el porcentaje de utilización de cpu de la tarjeta de servicios que activa la instalación de un filtro dinámico en los PPE de las tarjetas de línea para el tráfico sospechoso. El valor predeterminado es 90.
[edit services screen]
user@host# set cpu-throttle percentage percent
Además del umbral de porcentaje de utilización de la CPU, la velocidad de paquetes o de conexión para una dirección de origen o destino individual debe superar cuatro veces el límite de sesión en la pantalla de IDS antes de instalar el filtro dinámico. Los filtros dinámicos no se crean a partir de pantallas IDS que utilizan agregación de subred.
El filtro dinámico deja caer el tráfico sospechoso en el PFE, sin que el tráfico sea procesado por la pantalla ids. Cuando la velocidad de conexión o paquetes ya no supera cuatro veces el límite en la pantalla ids, se elimina el filtro dinámico.