セキュリティ : Cisco IOS ファイアウォール

戦略の UDP 診断ポート サービスの拒絶不正侵入から保護するために定義

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2002 年 10 月 1 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

ISP に潜在的なサービスの拒絶不正侵入がそのターゲット ネットワーク デバイスあります。

  • ユーザ・データグラム・プロトコル(UDP)診断ポート不正侵入: 送信側はルータの UDP 診断サービスのための要求の音量を送信します。 これはすべての CPU リソースを偽りの要求を保守するために消費します。

可能性 UDP 診断ポート不正侵入がいかに起こる記述され、Cisco IOS によって使用するために方式を提案しますかこの文書にか。 ソフトウェアそれに対して守るため。

前提条件

要件

この文書のための特定の要件がありません。

使用するコンポーネント

この文書は特定のソフトウェアおよびハードウェア バージョンに制限されません。 いくつかのこの文書で参照されるコマンドは Cisco IOS ソフトウェア リリースの利用可能な開始だけ 10.2(9)、10.3(7)、および 11.0(2)、およびすべてのそれに続くリリースです。 これらのコマンドは Cisco IOS ソフトウェア リリース 12.0 のデフォルトおよびそれ以降です。

表記法

文書規定に関する詳細については、Cisco テクニカル・ティップ規定を参照して下さい。

問題記述

UDP 診断ポート不正侵入

デフォルトで、Cisco ルータはある特定の UDP および TCP サービスのためにイネーブルになっている一連の診断ポートを備えています。 これらのサービスはエコー、chargen および廃棄が含まれています。 これらの要求を保守するためにこれらのポートへのホスト大使館員が、わずか CPU キャパシティ消費される時。

単一攻撃デバイスが異なる、ランダムの、偽りのソース IP アドレスの要求の大きい弾幕を送れば、Cisco ルータが圧倒されるようになり、減速するか、または壊れることは可能です。

問題の外部明示はプロセス表完全なエラー メッセージ(%SYS-3 NOPROC)または非常に高い CPU 利用が含まれています。 exec コマンドはプロセスが「UDP エコーのような同じ名前の多くのプロセスを」。表示することを示します

ネットワーク デバイスに不正侵入に対して直接守って下さい

UDP 診断ポートを無効にして下さい

UDP および TCP 診断サービスがファイアウォールによって保護される必要があるあるまたはサービスがありますディセーブルにされるどのネットワーク デバイスでも。 Cisco ルータの場合、これはこれらのグローバルな構成コマンドの使用によって達成することができます。

no service udp-small-servers
no service tcp-small-servers

これらのコマンドのさらに詳しい詳細については付録を参照して下さい。 コマンドは Cisco IOS ソフトウェア リリースの利用可能な開始 10.2(9)、10.3(7)、および 11.0(2) およびすべてのそれに続くリリースです。 これらのコマンドは Cisco IOS ソフトウェア リリース 12.0 のデフォルトおよびそれ以降です。

ネットワークが無意識のうちに不正侵入をホストすることを防いで下さい

サービスの拒絶不正侵入の主要なメカニズムがランダム IP アドレスからソースをたどられるトラフィックの生成であるので Cisco はインターネットに向かうトラフィックをフィルタリングすることを推奨します。 基本概念はインターネットに入るので無効なソース IP アドレスのパケットを破棄することです。 これはあなたのネットワークのサービスの拒絶不正侵入を防ぎません。 但し、それは攻撃された当事者が攻撃者のソースとして宛先住所を除外するのを助けます。 さらに、それは不正侵入のこのクラスのためのあなたのネットワークの使用を防ぎます。

無効な IP アドレスの伝達を防いで下さい

インターネットにあなたのネットワークを接続するあなたのルータのパケットのフィルタリングによって、有効なソース IP アドレスのパケットだけあなたのネットワークを残し、インターネットに得るように許可できます。

たとえばあなたのネットワークがネットワーク 172.16.0.0 で構成されていれば、およびあなたのルータ FDDI0/1 インターフェイスを使用してあなたの ISP に、このようなアクセス・リストを追加できます接続します:

access-list 111 permit ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip any any log ?

interface Fddi 0/1
ip access-group 111 out

か。 アクセス・リストの最後のラインはインターネットに入る無効なソース アドレスを用いるトラフィックがあったかどうか確認します。 これは可能な不正侵入のソースを見つけるのを助けます。

無効な IP アドレスの受信を防いで下さい

ネットワークを終えるためにサービスを提供する ISP に関しては Cisco は強くあなたのクライアントからの着信パケットの確認を推奨します。 これはあなたのボーダー ルータの受信パケット フィルタの使用によって達成することができます。

たとえば、あなたのクライアントに「FDDI 1/0" と示される FDDI インターフェイスを通してあなたのルータに接続されるこれらのネットワーク番号があればこのアクセス・リストを作成できます。

The network numbers are 192.168.0.0 to 192.168.15.0, and 172.18.0.0

access-list 111 permit ip 192.168.0.0 0.0.15.255 any
access-list 111 permit ip 172.18.0.0 0.0.255.255 any
access-list 111 deny ip any any log

interface Fddi 1/0
ip access-group 111 in

注: アクセス・リストの最後のラインはインターネットに入る無効なソース アドレスを用いるトラフィックがあったかどうか確認します。 これは可能な不正侵入のもとを見つけるのを助けます。

付録: 小さいサーバの記述

小さいサーバは診断に役立つサーバ(UNIX 語調のデーモン、)ルータのその実行です。 従って、それらはデフォルトでオンになっています。

TCP および UDP 小さいサーバのためのコマンドは次のとおりです:

  • tcp-small-servers を保守して下さい

  • udp-small-servers を保守して下さい

あなたのルータに非ルーティング サービスを提供してほしくない場合それらを消して下さい(前のコマンドの形式無しを使用して)。

TCP 小さいサーバは次のとおりです:

  • エコー—エコーはタイプするものは何でも支持します。 見るためにコマンド telnet x.x.x.x エコーをタイプして下さい。

  • Chargen — ASCII データの流れを生成します。 見るコマンド telnet x.x.x.x chargen をタイプして下さい。

  • 廃棄—タイプするものは何でも投げます。 見るためにコマンド telnet x.x.x.x 廃棄をタイプして下さい。

  • 昼間—正しかったらリターン システム日時。 それは NTP を実行するか、または exec レベルから日時を手動で設定したら正しいです。 見るためにコマンド telnet x.x.x.x 昼間をタイプして下さい。

UDP 小さいサーバは次のとおりです:

  • エコー—送信するデータグラムのペイロードをエコーします。

  • 廃棄—無言で送信するデータグラムを投げます。

  • Chargen —送信する投げ、CR+LF と終わる ASCII 文字の 72 文字列と応答しますデータグラムを。

注: ほとんどすべての UNIX ボックスは前にリストされている小さいサーバをサポートします。 ルータはまた指サービスおよび async ライン BOOTP サービスを提供します。 これらは設定グローバル コマンドで独自にサービス指および IP BOOTP サーバ、それぞれ消すことができません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13367