Configuración del filtrado de sincronización (SYN) en los switches gestionados serie 300

Objetivo

TCP es un protocolo de capa de transporte que proporciona entrega fiable y ordenada de paquetes y también permite la detección de errores y la pérdida de datos para activar la retransmisión hasta que los datos se reciban correcta y completamente. Antes de que el cliente envíe datos, solicita una conexión con un paquete de sincronización (SYN) al servidor para iniciar la conexión. A continuación, el servidor envía un paquete SYN y de reconocimiento (ACK) al cliente y éste envía un paquete ACK para reconocer la respuesta del servidor. Después de esta conexión de entrada en contacto de tres vías entre el cliente y el servidor, se pueden enviar datos.

Un ataque de inundación SYN ocurre cuando se interrumpe este intercambio de señales de tres vías TCP. Un cliente malicioso inunda el servidor con paquetes SYN, el servidor responde con paquetes SYN y ACK para todas las solicitudes de cliente maliciosas, pero el cliente malicioso no envía paquetes ACK de vuelta. El servidor espera un paquete ACK que simplemente no llegará, lo que consume los recursos del servidor para los usuarios legítimos y, en última instancia, hace que la red caiga. El filtrado SYN evita estos ataques. En este artículo se explica cómo configurar el filtrado SYN en los switches gestionados serie 300.

Dispositivos aplicables

Switches gestionados · SF/SG serie 300

Versión del software

•v1.2.7.76

Habilitar la prevención de nivel de servicio de negación

Para aplicar el filtrado SYN, primero debe asegurarse de que el switch se encuentre en la prevención correcta del nivel de denegación de servicio. Esta sección explica cómo habilitar el nivel de prevención correcto en los switches gestionados serie 300.

Paso 1. Inicie sesión en la utilidad de configuración web y elija Security > Denial of Service Prevention > Security Suite Settings. Se abre la página Configuración del conjunto de seguridad:

Paso 2. En el campo de prevención de DoS, hay tres niveles de prevención. Haga clic en System-Level and Interface-Level Prevention. Este nivel le permite configurar el filtrado SYN.

Paso 3. Haga clic en Aplicar para guardar la configuración. 

Filtrar paquetes SYN TCP

Esta sección explica cómo configurar el filtrado SYN en los switches gestionados serie 300.

Paso 1. Inicie sesión en la utilidad de configuración web y elija Security > Denial of Service Prevention > SYN Filtering. Se abre la página Filtrado SYN:

Paso 2. Haga clic en Add (Agregar). Aparece la ventana Add SYN Filtering:

Paso 3. En el campo Interface (Interfaz), haga clic en el botón de opción de una de las opciones de interfaz disponibles:

Puerto ·: permite elegir el puerto desde el que desea filtrar los paquetes SYN de la lista desplegable Puerto.

· LAG: permite elegir el LAG desde el que desea filtrar los paquetes SYN de la lista desplegable Grupo de agregación de enlaces (LAG). Un LAG agrupa varios puertos en un único puerto lógico.

Paso 4. En el campo IPv4 Address (Dirección IPv4), haga clic en el botón de opción de una de las opciones disponibles para definir las direcciones IPv4 desde las que filtrar los paquetes SYN:

· definido por el usuario: permite introducir la dirección IPv4 para la que se define el filtro de paquetes SYN.

· Todas las direcciones: esta opción filtra todas las direcciones IPv4 para los paquetes SYN.

Paso 5 En el campo Máscara de red, haga clic en el botón de opción de una de las opciones disponibles para introducir la máscara de red de la dirección IP configurada en el paso 4:

Máscara de ·: esta opción le permite introducir la máscara de subred de la dirección IP.

Longitud del prefijo ·: esta opción permite introducir la dirección IP de la máscara de subred en el formato de prefijo.

Paso 5. En el campo Puerto TCP, haga clic en una de las opciones disponibles para determinar los puertos TCP que desea filtrar:

· puertos conocidos: esta opción permite elegir puertos de la lista desplegable Puertos conocidos. Por ejemplo, HTTP es 80 y TELNET es 23.

· definido por el usuario: esta opción le permite introducir los números de puerto TCP que desea filtrar.

· Todos los puertos: esta opción filtra todos los puertos TCP.

Paso 6. Haga clic en Aplicar para guardar la configuración. Los cambios se realizan en la Tabla de Filtrado SYN:

Paso 7. (Opcional) para eliminar un filtro SYN, en la tabla de filtrado SYN, active la casilla de verificación del filtro SYN que desea eliminar. A continuación, haga clic en Eliminar.