Guía de configuración de controlador de la frontera de la sesión de los Cisco 7600 Series Router
Prevención DOS y el poner dinámico
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 212 KB | Inglés (28 Abril 2008) | Comentarios

Contenidos

Prevención DOS y el poner dinámico

Contenido

Requisitos previos para la prevención DOS y poner dinámico

Restricciones para la prevención DOS y poner dinámico

Información sobre la prevención DOS y poner dinámico

Cómo configurar poner dinámico

Configurar los parámetros de la lista negra para una dirección IP, un puerto, o un VPN

Configurar un final a poner

Ejemplos de configurar, de quitar, y de visualizar poner dinámico

Ejemplo de configurar poner dinámico

Ejemplo de quitar una fuente de la lista negra

Ejemplo de visualizar todos los límites configurados

Ejemplos de los comandos show que usan con poner


Prevención DOS y el poner dinámico


La prevención de la negación de servicio (DOS) y el poner dinámico es utilizada por el regulador de la frontera de la sesión (SBC) para bloquear los puntos finales malévolos de atacar la red.

El SBC debe monitorear la señalización de tráfico y detectar dinámicamente los SCR_INVALID sin la interrupción del resto de los servicios que proporciona. Los ataques se pueden entonces bloquear internamente o externamente.

Los ataques DOS se realizan generalmente en los servicios de Internet para negar estos servicios a otros. Generalmente se dirigen el proveedor del servicio, y son vandalismo o parte de puramente malévolo una tentativa en la extorsión.

El poner es el proceso de corresponder con los paquetes de entrada basados en los parámetros, tales como dirección IP de origen, y prevención de los paquetes que hacen juego esos parámetros del proceso.

Las listas negras dinámicas pusieron en el lugar automáticamente (conforme a un conjunto de los apremios configurables) por el SBC cuando detecta una tentativa de interrumpir el tráfico que la atraviesa. El poner dinámico no requiere interferencia de la Administración. Puede ocurrir dentro de los milisegundos del comienzo de un ataque y puede cambiar y adaptarse mientras que el ataque cambia proporcionar a la protección inmediata de la red.


Observepara la versión 3.0.00 SBC de ACE, esta característica se soporta en el modelo unificado solamente.


Ofrezca el historial para el codecs de restricción

Versión
Modificación

Versión 3.0.00 SBC de ACE

Esta característica fue introducida en el Cisco 7600 Series Router junto con el soporte para el modelo unificado SBC.


Contenido

Este módulo contiene las secciones siguientes:

Requisitos previos para la prevención DOS y poner dinámico

Restricciones para la prevención DOS y poner dinámico

Información sobre la prevención DOS y poner dinámico

Cómo configurar poner dinámico

Ejemplos de configurar, de quitar, y de visualizar poner dinámico

Requisitos previos para la prevención DOS y poner dinámico

Los requisitos previos siguientes se requieren para poner dinámico:

En el módulo del motor del control de la aplicación (ACE), usted debe ser Usuario administrador para ingresar los comandos SBC. Para más información, vea la guía de administración del módulo del motor del control de la aplicación en el http://www.cisco.com/en/US/docs/interfaces_modules/services_modules/ace/vA4_2_0/configuration/administration/guide/AdminGd.html.

El SBC debe ser creado ya. Vea los procedimientos descritos en los requisitos previos de la configuración de ACE para la sección SBC.

Restricciones para la prevención DOS y poner dinámico

Revise las restricciones siguientes para poner dinámico:

Solamente el tráfico del Session Initiation Protocol (SIP) se analiza en la versión 3.0.00 SBC de ACE. Los ataques sobre H.323 no se protegen. Sin embargo, un ataque sobre el SORBO puede también dar lugar al tráfico de H.323 que es bloqueado.

Los paquetes se clasifican como la señalización o media según el puerto en donde se envían:

– Los puertos debajo de 10.000 están señalando.

– Los puertos sobre 10.000 son media.

Un límite de velocidad global se aplica para asegurarse de que la carga total a través de todas las fuentes y destinos no excede la capacidad de CPU (el Mbps predeterminado pps/1000 del limitador 8000).

Las configuraciones iniciales codificado por hardware para cada tipo de evento en cada dirección IP se configuran para llevar a cabo 4 eventos por 100 milisegundos. Si se exceden los valores configurados, la dirección IP se pone por 10 minutos.

Si usted tiene un límite explícitamente configurado para una sola dirección IP o puerto, cualquier el activador y valor del tiempo del bloqueo definido en esa configuración reemplazarán el valor por defecto. Visualizaciones del cuadro 31-1 donde los parámetros de los límites del evento en cada alcance para un mensaje dado pueden ser configurados. Los límites son diferentes si el Origen de los mensajes está en un espacio de dirección global o un VPN.

La habilitación de la lista negra se define como 'cuando 'un E'vent (por ejemplo, falla de autenticación) se está monitoreando que, ocurre excediendo el 'N'umber de las épocas configuradas (<> de los activador-tamaños) dentro 'del W'indow (<> del activador-período), después activa el Access Control List dinámico por un 'período de T'ime (<> del descanso).

Los eventos siguientes se pueden monitorear como razones de las directivas de la detección DOS:

falla de autenticación — Si el SBC localmente está autenticando los UA o a los pares, después cualquier falla de autenticación contará como un evento.

– malo-direccionamiento — Se genera este evento cuando una fuente inesperada envía un paquete que alcance el SBC; el paquete será caído.

falla de ruteo — Se genera este evento cuando el tráfico no puede encontrar una coincidencia en política de ruteo.

registro del punto final — Se genera este evento cuando un punto extremo se está registrando a través del SBC y se rechaza el registro.

– corrupto-mensaje — Se genera este evento cuando un mensaje de señalización no se puede decodificar por la aplicación ni contiene una excepción del protocolo/una infracción.

– directiva-rechazo — Esto es una categoría compleja pues esencialmente monitorea para los errores de la directiva CAC (es decir, un resultado negativo de la directiva CAC). Esta categoría por lo tanto incluye la tarifa, la cuenta, y los límites del ancho de banda y no hace ninguna distinción entre ellos.

Cualquier punto final dado puede tener hasta tres eventos puestos que son monitoreados en un momento dado en un por puerto, un por-direccionamiento, y una base por-VPN. Dentro del tipo de la fuente del direccionamiento, hay el siguiente orden de la precedencia:

– Límites configurados por el direccionamiento específico del IPv4

– Límites predeterminados del espacio de la dirección del padre VRF

– Límites predeterminados del espacio de dirección global (si es diferente del padre VRF)

– Los límites codificado por hardware del direccionamiento.

Cuando solamente se define una lista negra del espacio de dirección global (ninguna lista negra específica VRF), ésta será utilizada para poner los direccionamientos en todos los VRF configurados.

Los límites basados VRF de la lista negra reemplazarán ningunos por los límites de la fuente o del direccionamiento-valor por defecto establecidos ya. Usted no puede utilizar por el alcance de la dirección IP para reemplazar el comportamiento en el espacio VRF.

Cuando un ACL dinámico creado lista negra es activo, todas las sesiones que corresponden con el alcance se afectan, incluyendo los que son activos.

Los ACL dinámicos siguen siendo activos hasta la expiración de “T” o el claro de la configuración de la lista negra.

La configuración específica de la lista negra del puerto no es posible.

El SBC genera un SNMP trap cuando se activa una lista negra.

Prioridad del cuadro 31-1 de los parámetros del límite del evento

Alcance del límite del evento
Fuentes del parámetro del límite del evento (prioridad más alta primero)
Espacio de dirección global
VPN

Puerto

1.Límite explícito para este puerto

2.Valor por defecto para esta dirección IP

1.Límite explícito para este puerto

2.Valor por defecto para esta dirección IP

Dirección

1.Límite explícito para este direccionamiento

2.Valor por defecto para los IP Address globales

3.Configuraciones iniciales codificado por hardware

1.Límite explícito para este direccionamiento

2.Valor por defecto para los direccionamientos en este VPN

3.Valor por defecto para los IP Address globales

4.Configuraciones iniciales codificado por hardware

VPN

Límite explícito para el espacio de dirección global.

1.Límite explícito para este VPN

2.Límite puesto para el espacio de dirección global


Información sobre la prevención DOS y poner dinámico

Hay dos tipos de eventos que pudieron indicar el comportamiento que causaría poner: ataques bajos y de alto nivel.

Ataques de bajo nivel

Un volumen de tráfico de forma aplastante enviado en la línea tarifa a los dispositivos que realizan una cantidad significativa de proceso por el paquete.

Ataques de alto nivel

Ataques en cualquier embotellamientos dentro del avión o de las capas de la aplicación de la señalización.

El filtro de paquete SBC (SPF) es un nuevo componente diseñado para defender contra los ataques de bajo nivel. El SPF reside con el componente del promotor de los paquetes de medios (MPF) en la unidad de procesamiento de la red (NPU) y proporciona la prevención de bajo nivel DOS para el elemento independiente de la frontera de los datos (DBE) y los escenarios de instrumentación unificados SBC.

Un nuevo componente se agrega al elemento de la frontera de la señalización (SBE) para detectar los ataques de alto nivel y para crear las listas negras dinámicas basadas en estos ataques. La lista negra dinámica se configura usando el comando line interface(cli). Recibe los eventos de otros componentes SBE y genera las alertas para comenzar o para parar poner de ciertos mensajes. Los eventos que pudieron formar la parte de un ataque de alto nivel son detectados por otros componentes SBE y enviados al SBE que el componente que pone dinámico a recoge las estadísticas sobre su índice de acontecimiento.

Limitaciones que ponen dinámicas:

Los paquetes de medios deben hacer juego una entrada válida en la tabla del flujo o se caen.

Los paquetes de medios válidos no deben exceder los límites del ancho de banda establecidos en la señalización de llamada. se caen los paquetes de la NON-concesión.

Señalando los paquetes son tarifa limitada al lado del puerto de origen en un intento por parar las inundaciones de paquetes fuertes temprano (el limitador predeterminado es 1000 mpbs pps/100).

Señalando se caen los paquetes que no se destinan a un puerto de local válida.

Señalando los paquetes son tarifa limitada al lado de puerto destino (el limitador predeterminado es 4000 Mbps pps/500).

Los límites se pueden configurar para los eventos específicos de las fuentes siguientes: un VPN ID, una dirección IP, o un puerto en una dirección IP específica.

Los límites predeterminados en las tarifas del evento se pueden definir para todas las dirección IP de origen en un VPN, y para todos los puertos en una dirección IP dada. Los límites predeterminados en cada dirección IP se establecen automáticamente al inicio del día, pero sus parámetros pueden ser configurados de nuevo. Por abandono, no se configura ningunos límites del evento para los puertos.

El SBC monitorea los eventos por la dirección IP por abandono. Usted puede también configurar el SBC para monitorear un VPN entero o un puerto determinado. Si cualquier límite en un VPN entonces se excede, se pone el VPN entero. Si un límite para un puerto se excede, se ponen el puerto y su dirección IP.

El SBC aplica un límite del evento predeterminado a cada fuente del límite, pero usted puede cambiarlos.

Cómo configurar poner dinámico

Usted puede configurar poner dinámico como se explica en las secciones siguientes:

Configurar los parámetros de la lista negra para una dirección IP, un puerto, o un VPN

Configurar un final a poner

Configurar los parámetros de la lista negra para una dirección IP, un puerto, o un VPN

Para configurar los límites del evento para una fuente específica, utilice los siguientes comandos.

PASOS SUMARIOS

1. configure

2.sbc service-namefuente de la lista negra del sbe

3. description text

4. reason event

5. trigger-size number

6. trigger-period time

7. timeout timeframe

8. exit

9. exit

10.show services sbc service-name lista negra del sbe configured-limits

11show services sbc service-name fuente de la lista negra del sbe

12. show services sbc servicio-nombre sbe blacklist current-blacklisting

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

configure

Example:

host1/Admin# configure

Habilita el modo de configuración global.

Paso 2 

sbc service-name sbe blacklist source

Example:

host1/Admin(config)# sbc mysbc sbe blacklist ipv4 25.25.25.5

Ingresa el submode para configurar los límites del evento para una fuente dada.

Utilice el argumento del servicio-nombre para definir el nombre del servicio.

La ninguna forma de este comando vuelve los límites a los valores predeterminados.

Observecualquier parámetro del límite del evento que no se configure en este submode se configure con el valor por defecto como sigue:
puerto = valor por defecto para su direccionamiento
Dirección IP = valor del direccionamiento-valor por defecto para el VPN
VPN = valor para el espacio de dirección global
espacio de dirección global = ningún límite

Paso 3 

description text

Example:

host1/Admin(config-sbc-sbe-blacklist)# description NAT of XYZ Corp

Agrega una descripción para la fuente y sus límites del evento usando un formato de la cadena de texto legible.

La ninguna forma de este comando quita la descripción.

Se visualiza esta descripción cuando utilizan al comando show para esta fuente.

Paso 4 

reason event

Example:

host1/Admin(config-sbc-sbe-blacklist)# reason authentication-failure

Ingresa un submode para configurar un límite para un tipo de evento específico en la fuente.

La ninguna forma de este comando vuelve el límite del evento a sus valores predeterminados.

Un evento incluye:

falla de autenticación (peticiones que no pueden ser autenticadas)

malo-direccionamiento (paquetes de los direccionamientos inesperados)

falla de ruteo (peticiones que no pueden ser ruteadas por el SBC)

registro del punto final (todos los registros del punto finales)

directiva-rechazo (peticiones que son rechazadas por la directiva configurada)

corrupto-mensaje (paquetes de la señalización que son demasiado corruptos ser analizados por el protocolo relevante)

Paso 5 

trigger-size number

Example:

host1/Admin(config-sbc-sbe-blacklist-reason# trigger-size 5

Define el número de eventos de la fuente especificada se permitan que antes de que se accione el poner y todos los paquetes se bloquean de la fuente.

El rango puede ser 0 a 65535,

Paso 6 

trigger-period time

Example:

host1/Admin(config-sbc-sbe-blacklist-
reason)# trigger-period 20 milliseconds

Define el período de tiempo que los eventos están considerados.

el tiempo se expresa como unidad del número donde está un número entero el número y la unidad es uno de: milisegundos, segundos, minutos, horas, o días.

El período predeterminado de tiempo es entre 10 milisegundos y 23 días.

Paso 7 

timeout time

Example:

host1/Admin(config-sbc-sbe-blacklist-
reason)# timeout 180 seconds

Define la longitud del tiempo cuando los paquetes de la fuente se bloquean si se excede el límite configurado.

el tiempo puede tener los valores siguientes:

0 = la fuente no se pone

nunca = el poner es permanente

numere la unidad donde está un número entero el número y la unidad es segundos, minutos, horas, o días

El período predeterminado de tiempo es menos de 23 días.

Paso 8 

exit

Example:

host1/Admin(config-sbc-sbe-blacklist-
reason)# exit

Da salida al modo de la razón al modo de la lista negra.

Paso 9 

exit

Example:

host1/Admin(config-sbc-sbe-blacklist)# exit

Da salida al modo de la lista negra al modo SBE.

Paso 10 

show services sbc service-name sbe blacklist configured-limits


Example:

host1/Admin(config-sbc-sbe)# show sbc mysbc sbe blacklist configured-limits

Visualiza la información detallada sobre los límites explícitamente configurados.

Cualquier valor definido no explícitamente para cada fuente se visualiza en los corchetes.

Paso 11 

show services sbc service-name sbe blacklist source


Example:

host1/Admin(config-sbc-sbe)# show services sbc mysbc sbe blacklist vpn3 ipv4 172.19.12.12

Enumere los límites que son actualmente en el lugar para una fuente específica (en este ejemplo, VPN). Esto incluye cualesquiera valores por defecto o límite explícitamente configurado.

También incluye cualquier valor por defecto de un alcance más pequeño que se configure en este direccionamiento.

Se acorcheta cualquier valor que no se configure explícitamente (éstos son los valores que se heredan de otros valores por defecto).

Paso 12 

show services sbc service-name sbe blacklist current-blacklisting

Example:

host1/Admin(config-sbc-sbe)# show services sbc mysbc sbe blacklist current-blacklisting

Enumera los límites que están haciendo las fuentes ser puestos.

Configurar un final a poner

Utilice el siguiente comando de quitar la fuente de la lista negra:

clear services sbc fuente de la lista negra del sbe del servicio-nombre

Para el parámetro del servicio-nombre, ingrese el nombre del SBC.

Para el parámetro de la fuente ingrese el nombre de la lista negra.

Ejemplos de configurar, de quitar, y de visualizar poner dinámico

Esta sección proporciona una configuración de muestra y una salida para poner dinámico, quitando una fuente de ser puesto, y también visualizando los límites configurados.

Ejemplo de configurar poner dinámico

Esta lista negra se configura para la falla de autenticación del withone del espacio de dirección global de todas las fuentes posibles del direccionamiento de ser capturado dentro de una ventana de 100 milisegundos. El ACL creado (lista negra) nunca debe descanso.

host1/Admin(config-sbc-sbe)# blacklist
host1/Admin(config-sbc-sbe-blacklist)# address-default
host1/Admin(config-sbc-sbe-blacklist-addr-default)# reason authentication-failure
host1/Admin(config-sbc-sbe-blacklist-addr-default)# timeout never
host1/Admin(config-sbc-sbe-blacklist-addr-default)# trigger-size 1
host1/Admin(config-sbc-sbe-blacklist-addr-default)# trigger-period 100 milliseconds

Se configura esta lista negra está para el espacio de dirección global, cinco paquetes de la fuente inesperada dentro de una ventana un minuciosa. El ACL es medir el tiempo hacia fuera en 24 horas.

host1/Admin(config-sbc-sbe-blacklist)# ipv4 10.5.1.21
host1/Admin(config-sbc-sbe-blacklist-ipv4)# reason bad-address
host1/Admin(config-sbc-sbe-blacklist-ipv4)# timeout 1 days
host1/Admin(config-sbc-sbe-blacklist-ipv4-reason)# trigger-size 5
host1/Admin(config-sbc-sbe-blacklist-ipv4-reason)# trigger-period 1 minutes

Ejemplo de quitar una fuente de la lista negra

El siguiente ejemplo muestra el sintaxis para quitar la lista negra del SBC:

host1/Admin# clear services sbc mysbc sbe blacklist blacklist
host1/Admin#

Ejemplo de visualizar todos los límites configurados

Los límites configurados demostraciones del siguiente ejemplo para los diversos tipos de poner:

ACE-105-UUT1-1/Admin# show services sbc uut105-1 sbe blacklist configured-limits 
SBC Service ''uut105-1'' 

Global 
======== 
Reason Trigger Trigger Blacklisting 
Size Period Period 
-------------------------------------------------------------- 
Authentication 30 30 secs 30 secs 
Bad Address (0) (0 days) (0 days) 
Routing (0) (0 days) (0 days) 
Registration (0) (0 days) (0 days) 
Policy (0) (0 days) (0 days) 
Corrupt (0) (0 days) (0 days) 

vpn1 
====== 
Reason Trigger Trigger Blacklisting 
Size Period Period 
-------------------------------------------------------------- 
Authentication (30) (30 secs) (30 secs) 
Bad Address (0) (0 days) (0 days) 
Routing (0) (0 days) (0 days) 
Registration 50 50 secs 50 secs 
Policy (0) (0 days) (0 days) 
Corrupt (0) (0 days) (0 days) 

Default for all addresses 
=========================== 
Reason Trigger Trigger Blacklisting 
Size Period Period 
-------------------------------------------------------------- 
Authentication (4) (100 ms) (10 mins) 
Bad Address (4) (100 ms) (10 mins) 
Routing (4) (100 ms) (10 mins) 
Registration (4) (100 ms) (10 mins) 
Policy (4) (100 ms) (10 mins) 
Corrupt 40 40 secs 40 secs 

Admin 1.1.1.1 
=============== 
Reason Trigger Trigger Blacklisting 
Size Period Period 
-------------------------------------------------------------- 
Authentication (4) (100 ms) (10 mins) 
Bad Address (4) (100 ms) (10 mins) 
Routing 10 20 secs 20 secs 
Registration (4) (100 ms) (10 mins) 
Policy (4) (100 ms) (10 mins) 
Corrupt (40) (40 secs) (40 secs) 
ACE-105-UUT1-1/Admin#

Ejemplos de los comandos show que usan con poner

El siguiente ejemplo muestra el comando required de enumerar los límites que son actualmente en el lugar para una fuente específica (en este ejemplo, VPN). Esto incluye cualesquiera valores por defecto o límite explícitamente configurado. También incluye cualquier valor por defecto de un alcance más pequeño que se configure en este direccionamiento. Se acorcheta cualquier valor que no se configure explícitamente (éstos son los valores que se heredan de otros valores por defecto).

host1/Admin# show sbc mysbc sbe blacklist vpn3 ipv4 172.19.12.12

SBC Service "mySbc" SBE dynamic blacklist vpn3 172.19.12.12

vpn3 172.19.12.12
=================
Reason          Trigger          Trigger      Blacklisting
                   Size           Period            Period
------          -------          -------      ------------
Authentication     (20)            10 ms          (1 hour)
Bad address        (20)            10 ms          (1 hour)
Routing            (20)            10 ms          (1 hour)
Registration        (5)           100 ms        (10 hours)
Policy             (20)            10 ms           (1 day)
Corrupt              40            10 ms          (1 hour)

Default for ports of vpn3 172.19.12.12
======================================
Reason          Trigger          Trigger      Blacklisting
                   Size           Period            Period
------          -------          -------      ------------
Authentication       20            1 sec            1 hour
Bad address          20            1 sec            1 hour
Routing              20            1 sec            1 hour
Registration          5           30 sec          10 hours
Policy               20            1 sec             1 day
Corrupt              20           100 ms            1 hour

El siguiente ejemplo muestra el comando required de enumerar los límites que están haciendo las fuentes ser puestos:

host1/Admin# show sbc mysbc sbe blacklist current-blacklisting
SBC Service "mySbc" SBE dynamic blacklist current members

Global addresses
================
Source           Source   Blacklist       Time
Address          Port     Reason          Remaining
-------          ------   ---------       ---------
125.125.111.123  All      Authentication  15 mins
125.125.111.253  UDP 85   Registration    10 secs
144.12.12.4      TCP 80   Corruption      Never ends

VRF: vpn3
=========
Source           Source   Blacklist       Time
Address          Port     Reason          Remaining
-------          ------   ---------       ---------
132.15.1.2       TCP 285  Registration    112 secs
172.23.22.2      All      Policy          10 hours

Este ejemplo muestra los límites configurados:

host1/Admin# show services sbc MySBC sbe blacklist configured-limits 
SBC Service "MySBC"

Global
========
Reason            Trigger            Trigger      Blacklisting
                     Size             Period            Period
--------------------------------------------------------------
Authentication        (0)           (0 days)          (0 days)          
Bad Address           (0)           (0 days)          (0 days)          
Routing               (0)           (0 days)          (0 days)          
Registration          (0)           (0 days)          (0 days)          
Policy                (0)           (0 days)          (0 days)          
Corrupt               (0)           (0 days)          (0 days)          

Default for all addresses
===========================
Reason            Trigger            Trigger      Blacklisting
                     Size             Period            Period
--------------------------------------------------------------
Authentication          1             100 ms           Forever          
Bad Address           (4)           (100 ms)         (10 mins)          
Routing               (4)           (100 ms)         (10 mins)          
Registration          (4)           (100 ms)         (10 mins)          
Policy                (4)           (100 ms)         (10 mins)          
Corrupt               (4)           (100 ms)         (10 mins)          

Admin 10.5.1.21
=================
Reason            Trigger            Trigger      Blacklisting
                     Size             Period            Period
--------------------------------------------------------------
Authentication        (1)           (100 ms)         (Forever)          
Bad Address             5             1 mins            1 days          
Routing               (4)           (100 ms)         (10 mins)          
Registration          (4)           (100 ms)         (10 mins)          
Policy                (4)           (100 ms)         (10 mins)          
Corrupt               (4)           (100 ms)         (10 mins)


Observetienen cuidado para las configuraciones predeterminadas ya en efecto. Solamente se modifican las configuraciones aplicadas.


Este ejemplo muestra poner actual.

host1/Admin# show services sbc MySBC sbe blacklist current-blacklisting 
SBC Service "MySBC" SBE dynamic blacklist current members

Global addresses
================
Source           Source   Blacklist       Time
Address          Port     Reason          Remaining
-------          ------   ---------       ---------
10.5.1.31		All      Authentication  Forever