Guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos, versión 12.2SR
Configurando la Intercepción de tráfico de TCP y la prevención de los establecimientos de rechazo del servicio
6 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 194 KB | Inglés (5 Mayo 2008) | Comentarios

Contenidos

Configuración de TCP Intercept (Evitando Ataques de Negación de Servicio)

Contenido

Información sobre la Intercepción de tráfico de TCP

Cómo configurar la Intercepción de tráfico de TCP

Habilitar la Intercepción de tráfico de TCP

Determinación del modo de la Intercepción de tráfico de TCP

Determinación del modo del descenso de la Intercepción de tráfico de TCP

Cambio de los temporizadores de la Intercepción de tráfico de TCP

Cambio de los umbrales agresivos de la Intercepción de tráfico de TCP

Monitoreando y mantener la Intercepción de tráfico de TCP

Ejemplos de configuración para la Intercepción de tráfico de TCP


Configuración de TCP Intercept (Evitando Ataques de Negación de Servicio)


Historial de la característica

Versión
Modificación

IOS de Cisco

Para obtener información sobre el soporte de funciones de Cisco IOS Software, utilice Cisco Feature Navigator.


Este capítulo describe cómo configurar a su router para proteger los servidores TCP contra los ataques de inundación SYN TCP, un tipo de establecimiento de rechazo del servicio. Esta tarea es lograda configurando la característica deL Cisco IOS conocida como Intercepción de tráfico de TCP. Usted no puede utilizar la Intercepción de tráfico de TCP en un dispositivo que también tenga Network Address Translation (NAT) configurado.

Contenido

Información sobre la Intercepción de tráfico de TCP

Cómo configurar la Intercepción de tráfico de TCP

Ejemplos de configuración para la Intercepción de tráfico de TCP

Información sobre la Intercepción de tráfico de TCP

La característica de la Intercepción de tráfico de TCP implementa el software para proteger los servidores TCP contra los ataques de inundación SYN TCP, que son un tipo de establecimiento de rechazo del servicio.

Un ataque de inundación SYN ocurre cuando un hacker inunda un servidor con una presa de los pedidos la conexión. Porque estos mensajes tienen las direcciones de retorno inalcanzables, las conexiones no pueden ser establecidas. El volumen resultante de conexiones abiertas sin resolver abruma el servidor y puede eventual hacerlo negar el servicio a las peticiones válidas, de tal modo evitando que los usuarios legítimos conecten con un Web site, accediendo el email, usando el servicio FTP, y así sucesivamente.

Las ayudas de la característica de la Intercepción de tráfico de TCP previenen los ataques de inundación SYN interceptando y validando las peticiones de conexión TCP. En el modo de la interceptación, el software de la Intercepción de tráfico de TCP intercepta los paquetes de la sincronización TCP (SYN) de los clientes a los servidores que hacen juego una lista de acceso ampliada. El software establece una conexión con el cliente en nombre del servidor de destino, y si es acertado, establece la conexión con el servidor en nombre del cliente y hace punto las dos mitad-conexiones juntas transparente. Así, los intentos de conexión de los hosts inalcanzables nunca alcanzarán el servidor. El software continúa interceptando y remitiendo los paquetes en la duración de la conexión. El número de SYN por segundo y el número de conexiones concurrentes proxied depende de la plataforma, de la memoria, del procesador, y de otros factores.

En el caso de las peticiones ilegítimas, los descansos agresivos del software en las conexiones entreabiertas y sus umbrales en las peticiones de conexión TCP protegen los servidores de destino mientras que todavía permiten las peticiones válidas.

Al establecer su política de seguridad usando la Intercepción de tráfico de TCP, usted puede elegir interceptar todas las peticiones o solamente ésas que vienen de las redes específicas o destinadas para los servidores específicos. Usted puede también configurar la velocidad de conexión y el umbral de las conexiones excepcionales.

Usted puede elegir actuar la Intercepción de tráfico de TCP en el modo del reloj, en comparación con el modo de la interceptación. En el modo del reloj, el software mira pasivo los pedidos de conexión el atravesar del router. Si una conexión no puede conseguir establecida en un intervalo configurable, el software interviene y termina el intento de conexión.

La opción TCP que se negocia en el apretón de manos (tal como RFC1323 en el escalamiento de la ventana) no será negociada porque el software de la Intercepción de tráfico de TCP no conoce lo que puede hacer o negociará el servidor.

Cómo configurar la Intercepción de tráfico de TCP

Para configurar la Intercepción de tráfico de TCP, realice las tareas en las secciones siguientes. La primera tarea es obligatoria; el resto son opcionales.


Notausted no puede utilizar la Intercepción de tráfico de TCP en un dispositivo que también tenga NAT configurado.


Habilitando la Intercepción de tráfico de TCP (requerida)

Fijando el modo de la Intercepción de tráfico de TCP (opcional)

Fijando el modo del descenso de la Intercepción de tráfico de TCP (opcional)

Cambiando los temporizadores de la Intercepción de tráfico de TCP (opcionales)

Cambiando los umbrales agresivos de la Intercepción de tráfico de TCP (opcionales)

Monitoreando y mantener la Intercepción de tráfico de TCP (opcional)

Para los ejemplos de configuración de la Intercepción de tráfico de TCP usando los comandos en este capítulo, refiera los “ejemplos de configuración para a la sección de la Intercepción de tráfico de TCP” en el final de este capítulo.

Habilitar la Intercepción de tráfico de TCP

Usted puede definir una lista de acceso para interceptar todas las peticiones o solamente ésas que vienen de las redes específicas o destinadas para los servidores específicos. La lista de acceso definirá típicamente la fuente como any y definirá las redes de destino o los servidores específicos. Es decir, usted no intenta filtrar en las direcciones de origen porque usted no conoce necesariamente de quién para interceptar los paquetes. Usted identifica el destino para proteger los servidores de destino.

Si no se encuentra ninguna coincidencia de la lista de acceso, el router permite la petición de pasar sin la acción adicional.

Para habilitar la Intercepción de tráfico de TCP, utilice los siguientes comandos en el modo de configuración global:

 
Comando
Propósito

Paso 1 

Router(config)# access-list access-list-number

{deny | permit} tcp any destination destination-wildcard

Define una lista de acceso ampliada IP.

Paso 2 

Router(config)# ip tcp intercept list access-list-number

Intercepción de tráfico de TCP de los permisos.

Determinación del modo de la Intercepción de tráfico de TCP

La Intercepción de tráfico de TCP puede actuar en el modo activo de la interceptación o el modo pasivo del reloj. El valor por defecto es modo de la interceptación.

En el modo de la interceptación, el software intercepta cada petición de conexión entrante (SYN) y responde en nombre del servidor con un SYN-ACK, después espera activamente un ACK del cliente. Cuando se recibe ese ACK, el SYN original se envía al servidor y el software realiza una entrada en contacto de tres vías con el servidor. Cuando esto es completo, se unen a las dos mitad-conexiones.

En el modo del reloj, los pedidos de conexión se permiten pasar a través del router al servidor pero se miran hasta que se establezcan. Si no pueden establecerse en el plazo de 30 segundos (de configurable con ip tcp intercept watch-timeout el comando), el software envía una restauración al servidor para aclarar su estado.

Para fijar el modo de la Intercepción de tráfico de TCP, utilice el siguiente comando en el modo de configuración global:

Comando
Propósito

Router(config)# ip tcp intercept mode {intercept | watch}

Fija el modo de la Intercepción de tráfico de TCP.


Determinación del modo del descenso de la Intercepción de tráfico de TCP

Cuando bajo ataque, la característica de la Intercepción de tráfico de TCP llega a ser más agresiva en su comportamiento protector. Si el número de conexiones incompletas excede de 1100 o el número de conexiones que llegan en el un minuto más pasado excede de 1100, cada nueva conexión de llegada hace la más vieja conexión parcial ser borrada. También, el descanso inicial de la retransmisión es reducido por la mitad a 0,5 segundos (así que al tiempo total el intentar establecer una conexión se corta por la mitad).

Por abandono, el software cae la más vieja conexión parcial. Alternativamente, usted puede configurar el software para caer una conexión al azar. Para fijar el modo del descenso, utilice el siguiente comando en el modo de configuración global:

Comando
Propósito

Router(config)# ip tcp intercept drop-mode {oldest | random}

Fija el modo del descenso.


Cambio de los temporizadores de la Intercepción de tráfico de TCP

Por abandono, el software espera 30 segundos para que una conexión mirada alcance al estado establecido antes de enviar una restauración al servidor. Por abandono, el software espera 5 segundos del recibo de una restauración o de un FIN-intercambio antes de que deje de manejar la conexión. Por abandono, el software todavía maneja una conexión por 24 horas después de ninguna actividad.

Comando
Propósito

Router(config)# ip tcp intercept watch-timeout seconds

Cambia el tiempo permitido alcanzar al estado establecido.

Router(config)# ip tcp intercept finrst-timeout seconds

Cambia el tiempo entre el recibo de una restauración o el FIN-intercambio y la caída de la conexión.

Router(config)# ip tcp intercept connection-timeout seconds

Cambia el tiempo que el software manejará una conexión después de ninguna actividad.


Cambio de los umbrales agresivos de la Intercepción de tráfico de TCP

Dos factores determinan cuando el comportamiento agresivo comienza y termina: las conexiones incompletas y los pedidos de conexión totales durante los minutos más pasados muestrean el período. Ambos umbrales tienen valores predeterminados que puedan ser redefinidos.

Cuando se excede un umbral, la Intercepción de tráfico de TCP asume que el servidor está bajo ataque y que entra el modo agresivo. Cuando en el modo agresivo, lo que sigue ocurre:

Cada nueva conexión de llegada hace la más vieja conexión parcial ser borrada. (Usted puede cambiar a un modo al azar del descenso.)

El descanso inicial de la retransmisión es reducido por la mitad a 0,5 segundos, y así que el tiempo total que intenta establecer la conexión se corta por la mitad. (Cuando no en el modo agresivo, el código hace exponencial retrocede en sus retransmisiones de los segmentos SYN. El descanso inicial de la retransmisión es 1 segundo. Los descansos subsiguientes son 2 segundos, 4 segundos, 8 segundos, y 16 segundos. El código retransmite 4 veces antes de abandonar, así que abandona después de 31 segundos de ningún acuse de recibo.)

Si en el modo del reloj, el descanso del reloj es reducido por la mitad. (Si el valor por defecto existe, el descanso del reloj se convierte en 15 segundos.)

La estrategia del descenso se puede cambiar de la más vieja conexión a una conexión al azar con ip tcp intercept drop-mode el comando.


Observelos dos factores que determinan el comportamiento agresivo son relacionados y trabajo juntos. Cuando cualquiera high de los valores se excede, el comportamiento agresivo comienza. Cuando ambas cantidades bajan debajo low del valor, el comportamiento agresivo termina.


Usted puede cambiar el umbral para accionar al modo agresivo basado en el número total de conexiones incompletas. Los valores predeterminados para low y high son 900 y 1100 conexiones incompletas, respectivamente. Usted puede también cambiar el umbral para accionar al modo agresivo basado en el número de pedidos de conexión recibidos en el período de la muestra del último 1-minute. Los valores predeterminados para low y high son 900 y 1100 pedidos de conexión, respectivamente. Para cambiar estos valores, utilice los siguientes comandos en el modo de configuración global:

 
Comando
Propósito

Paso 1 

Router(config)# ip tcp intercept max-incomplete low number

Define el umbral para detener el modo agresivo.

Paso 2 

Router(config)# ip tcp intercept max-incomplete high number

Establece el umbral para accionar el modo dinámico.

Paso 3 

Router(config)# ip tcp intercept one-minute low number

Define el umbral para detener el modo agresivo.

Paso 4 

Router(config)# ip tcp intercept one-minute high number

Establece el umbral para accionar el modo dinámico.

Monitoreando y mantener la Intercepción de tráfico de TCP

Para visualizar la información de la Intercepción de tráfico de TCP, utilice cualquiera de los siguientes comandos en el modo EXEC:

Comando
Propósito

Router# show tcp intercept connections

Conexiones incompletas y conexiones establecidas de las visualizaciones.

Router# show tcp intercept statistics

Estadísticas de la Intercepción de tráfico de TCP de las visualizaciones.


Ejemplos de configuración para la Intercepción de tráfico de TCP

La configuración siguiente define la lista de acceso IP ampliado 101, haciendo el software interceptar los paquetes para todos los servidores TCP en la subred 192.168.1.0/24:

ip tcp intercept list 101
!
access-list 101 permit tcp any 192.168.1.0 0.0.0.255