Configurations de suite de Sécurité sur des commutateurs gérés de gamme 300

Objectif

La suite de Sécurité sur la protection d'offre de commutateurs gérés de gamme Cisco 300 contre le déni de service des attaques (DOS). Les attaques DoS inondent des réseaux avec le trafic faux, qui rend des ressources en serveur de réseau indisponibles ou insensibles aux utilisateurs légitimes. Généralement, il y a deux types d'attaques DoS. Les attaques DoS de force brutale inondent le serveur et consomment le serveur et la bande passante de réseau. Les attaques systématiques manipulent des vulnérabilités de protocoles comme le message de synchronisation de TCP pour tomber en panne des systèmes. Cet article explique les configurations disponibles dans la suite de Sécurité sur les commutateurs gérés de gamme 300.

Remarque: Le Listes de contrôle d'accès (ACL) et les stratégies QoS avancées ne sont pas en activité sur un port quand la protection d'attaque DoS est activée.

Périphériques applicables

• Commutateurs gérés de gamme 300 SF/SG

Version de logiciel

• 1.3.0.62

Configuration de configurations de suite de Sécurité

Étape 1. Ouvrez une session à l'utilitaire de configuration Web et choisissez les configurations de suite de Sécurité > de prévention > de Sécurité de Déni de service. La page Settings de suite de Sécurité s'ouvre :

Remarque: Le mécanisme de protection CPU est activé par défaut sur des commutateurs gérés de gamme 300 et ne peut pas être désactivé. Les utilisations de commutateur sécurisent la technologie de base (SCT), qui permet au commutateur pour traiter la Gestion et le trafic de protocole n'importe comment le trafic beaucoup total est reçu. 

Les détails (facultatifs) de clic d'étape 2. dans l'utilisation du processeur mettent en place pour visualiser l'utilisation du processeur. Référez-vous à l'utilisation du processeur d'article sur le pour en savoir plus de commutateurs gérés de gamme 200/300.

Étape 3. (facultative) cliquent sur Edit dans le domaine de protection de synchronisation de TCP pour éditer les configurations de protection de synchronisation de TCP. Référez-vous à l'article synchronisent (SYN) la configuration de filtrage sur le pour en savoir plus de commutateurs gérés de gamme 300.

Étape 4. Dans le domaine de prévention DOS, cliquez sur la case d'option qui correspond à la méthode de prévention DOS que vous voudriez utiliser. Les options disponibles sont :

• Débronchement — Caractéristique de protection DOS de débronchement. Si le débronchement est choisi, ignorez à l'étape 13.

• Système - Niveau-prévention — Active les caractéristiques de protection DOS qui se protègent contre cheval de Troie d'Invasor, la distribution de Stacheldraht, le cheval de Troie arrière d'orifice, et les adresses de Martien.

• Système - Niveau-prévention et protection niveau de l'interface — Active toutes les mesures de sécurité définies dans la région de protection de Déni de service.

Étape 5. Cochez la case d'enable dans le domaine de distribution de Stacheldraht pour jeter des paquets TCP avec un nombre de port TCP de source de 16660.

Étape 6. Cochez la case d'enable dans le domaine de cheval de Troie d'Invasor pour jeter des paquets TCP avec un port TCP de destination de 2140 et un port TCP de source de 1024.

Étape 7. Cochez la case d'enable dans le domaine arrière de cheval de Troie d'orifice pour jeter des paquets UDP avec un port UDP de destination égal à 31337 et un port UDP de source de 1024.

Remarque: Tandis qu'il y a des centaines d'attaques DoS, les ports mentionnés ci-dessus sont généralement exploités pour l'action malveillante. Cependant, ils également sont aussi bien utilisés pour le trafic légitime.  Si vous avez un périphérique qui utilise l'un des au-dessus des ports, ces informations seront bloquées.

Étape 8. Cliquez sur Edit dans la zone adresse martienne pour éditer le Tableau d'adresses martien. Le Tableau d'adresses martien jette des paquets des adresses IP choisies. Pour éditer la liste d'adresses de Martien, référez-vous au déni de service d'article la configuration martienne d'adresse (DOS) sur des commutateurs gérés de gamme 300.

Remarque: Étapes 9-12 exigent au niveau système et la prévention niveau de l'interface soit choisie au saut d'étape 4. à l'étape 13 si vous avez choisi un autre type de prévention DOS.

Étape 9. Cliquez sur Edit dans le domaine de filtrage de synchronisation pour permettre à l'administrateur pour bloquer certains ports TCP. Pour configurer le SYN filtrant, référez-vous au déni de service d'article la configuration de filtrage de SYN (DOS) sur des commutateurs gérés de gamme 300.

Étape 10. Cliquez sur Edit dans le domaine de protection de débit de synchronisation pour limiter le nombre de paquets de synchronisation reçus. Pour configurer la protection de débit de SYN, référez-vous à la protection de débit de SYN d'article sur des commutateurs gérés de gamme 300.

Étape 11. Cliquez sur Edit dans le domaine de filtrage d'ICMP pour permettre des paquets d'ICMP de certaines sources à bloquer. Pour configurer l'ICMP filtrant, référez-vous à la configuration de filtrage de Protocole ICMP (Internet Control Message Protocol) d'article sur les commutateurs gérés de gamme 300.

Étape 12. Cliquez sur Edit dans le domaine fragmenté par IP pour bloquer les paquets IP fragmentés. Pour configurer des fragments IP filtrant, référez-vous au déni de service d'article la configuration de filtrage de fragments IP (DOS) sur des commutateurs gérés de gamme 300.

Étape 13. Cliquez sur Apply pour sauvegarder les modifications ou l'annulation de clic pour annuler vos modifications.