Segurança : Cisco IOS Firewall

Definindo estratégias para proteção contra ataques de recusa de serviço de porta de diagnóstico de UDP

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Há um ataque de recusa de serviço potencial nos ISP esses dispositivos de rede dos alvos.

  • Ataque portuário diagnóstico do User Datagram Protocol (UDP): Um remetente transmite um volume de pedidos para serviços diagnósticos UDP no roteador. Isto faz com que todos os recursos do CPU sejam consumidos para prestar serviços de manutenção aos pedidos falsos.

Este documento descreve como o ataque portuário diagnóstico do potencial UDP ocorre e sugere os métodos para usar-se com software de Cisco IOS� a fim defender contra ele.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas. Alguns dos comandos referidos neste documento são somente começar disponível nos Cisco IOS Software Release 10.2(9), 10.3(7), e 11.0(2), e todas as versões subsequente. Estes comandos são o padrão no Cisco IOS Software Release 12.0 e Mais Recente.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Descrição do problema

O ataque de porta de diagnóstico UDP

À revelia, o roteador Cisco tem uma série com certeza de serviços permitidos portas de diagnóstico UDP e TCP. Estes serviços incluem o eco, o chargen, e o descarte. Quando os diplomatas de um host a estas portas, uma quantidade pequena de capacidade de CPU forem consumidos para prestar serviços de manutenção a estes pedidos.

Se um único dispositivo de ataque envia uma grande barragem dos pedidos com diferente, aleatória, endereços IP de Um ou Mais Servidores Cisco ICM NT do origem falsa, é possível que o roteador Cisco se torna oprimido e se retarda ou se falha.

A manifestação externa do problema inclui uma mensagem de erro de tabela de processos cheia (%SYS-3 NOPROC) ou uma utilização de CPU muito alta. O processo do exec command show mostra muitos processos com o mesmo nome, tal como “o eco UDP.”

Defenda contra ataques diretamente aos dispositivos de rede

Desabilite portas de diagnóstico UDP

Todo o dispositivo de rede que tiver serviços diagnósticos UDP e TCP precisa de ser protegido por um Firewall ou tem os serviços desabilitado. Para um roteador Cisco, isso pode ser feito usando esses comandos de configuração global.

no service udp-small-servers
no service tcp-small-servers

Consulte o Apêndice para obter informações sobre estes comandos. Os comando estão disponíveis a partir dos software Cisco IOS versões 10.2(9), 10.3(7) e 11.0(2) e todas as versões subseqüentes. Estes comandos são o padrão no Cisco IOS Software Release 12.0 e Mais Recente.

Impeça que a rede hospede Unwittingly um ataque

Como um mecanismo primário de ataques de negação de serviço é a geração de tráfego originado a partir de endereços IP aleatórios, a Cisco recomenda filtrar o tráfego destinado para a Internet. O conceito básico é desativar pacotes que tenham endereços IP de origem inválidos quando eles entrarem na Internet. Isto não impede o ataque de recusa de serviço em sua rede. Contudo, ajuda os partidos atacados a ordenar para fora seu lugar como a fonte do atacante. Além disso, ele impede o uso da rede para essa classe de ataques.

Impeça a transmissão de endereços IP inválidos

Ao filtrar pacotes nos seus roteadores que conectam sua rede à Internet, você pode permitir que apenas pacotes com endereços IP de origem válidos saiam da sua rede e entrem na Internet.

Por exemplo, se sua rede consiste na rede 172.16.0.0, e seu roteador conecta a seu ISP usando uma relação FDDI0/1, você pode aplicar a lista de acessos como este:

access-list 111 permit ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip any any log �

interface Fddi 0/1
ip access-group 111 out

O � a última linha da lista de acessos determina se há algum tráfego com um endereço de origem inválido que entre no Internet. Isto ajuda a encontrar a fonte dos ataques possíveis.

Impeça a recepção dos endereços IP inválidos

Para ISPs que fornecem serviço para redes finais, a Cisco recomenda a validação de pacotes de entrada a partir dos clientes. Isso pode ser obtido pelo uso de filtros de pacotes de entrada nos roteadores de borda.

Por exemplo, se seus clientes têm estes network number conectados a seu roteador através de uma interface do FDDI nomeada “FDDI 1/0", você pode criar esta lista de acessos.

The network numbers are 192.168.0.0 to 192.168.15.0, and 172.18.0.0

access-list 111 permit ip 192.168.0.0 0.0.15.255 any
access-list 111 permit ip 172.18.0.0 0.0.255.255 any
access-list 111 deny ip any any log

interface Fddi 1/0
ip access-group 111 in

Nota: A última linha da lista de acessos determina se há algum tráfego com um endereço de origem inválido que entre no Internet. Isto ajuda a encontrar a fonte do ataque possível.

Anexo: Descrição de servidores pequenos

Os server pequenos são os server (demónios, no Unix parlance) essa corrida no roteador que são úteis para diagnósticos. Portanto, estão ativados por padrão.

Os comandos para os servidores pequenos de TCP e UDP são:

  • preste serviços de manutenção a TCP-pequeno-server

  • service udp-small-servers

Se você não quer seu roteador proporcionar nenhuns serviços sem roteamento, desligue-o (não usando nenhum formulário dos comandos precedentes).

Os pequenos servidores TCP são:

  • Eco — Os ecos suportam o que quer que você datilografa. Digite o comando telnet x.x.x.x echo para ver.

  • Chargen — Gera um córrego de dados ascii. Datilografe o comando telnet x.x.x.x chargen ver.

  • Descarte — Lances afastado o que quer que você datilografa. Digite o comando telnet x.x.x.x discard para verificar.

  • Dia — Data do sistema e tempo dos retornos, se correto. Está correto se você executa o NTP ou ajusta a data e hora manualmente do nível do executivo. Digite o comando telnet x.x.x.x daytime para ver.

Os pequenos servidores UDP são:

  • Eco — Ecoa o payload da datagrama que você envia.

  • Descarte — Lança silenciosamente a datagrama que você envia.

  • Chargen — Lança a datagrama que você envia e responde com uma sequência de caracteres 72 dos caracteres ASCII terminados com um CR+LF.

Nota: Quase todas as caixas Unix apoiam os server pequenos alistados previamente. O roteador igualmente oferece o serviço BOOTP do serviço específico e da linha assíncrono. Estes podem independentemente ser desligados com os comandos configuration global nenhum finger e no ip bootp server do serviço, respectivamente.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13367