Come si può mitigare SYN FLOOD DOS su Catalyst 3750/3560 in quanto non ha protezione sul piano di controllo?
Come si può mitigare SYN FLOOD DOS su Catalyst 3750/3560 in quanto non ha protezione sul piano di controllo?
Risposte:
3750 ha una priorità interna su ciò che preferisce punt quando è congestionato, ma non è configurabile.
Quindi dovresti fare affidamento sulle migliori pratiche comuni, ovvero su tutti i bordi della rete dovresti avere iACL (infrastruttura ACL). In iACL autorizzeresti gli highport UDP, ICMP agli indirizzi di rete dell'infrastruttura e lascerai perdere. In questo modo il ping e il traceroute funzionano, ma l'infrastruttura non può essere attaccata.
L'iACL dovrebbe essere integrato controllando il traffico consentito a tariffe accettabili.
In questo modo quando una parte esterna sta attaccando gli indirizzi sul tuo 3750, verrà rilasciata dal bordo della rete sul bordo.
iACL di solito è statico al 100%, quindi richiede poca manutenzione, poiché includerà solo indirizzi di infrastruttura (loopback, collegamenti core).
Ciò lascerà comunque aperti i casi in cui il router si trova direttamente di fronte alla LAN del cliente, ad esempio quando la LAN è 192.0.2.0/24 e 3750 ha 192.0.2.1, di solito 192.0.2.1 non sarebbe coperto da iACL e può essere attaccato.
La soluzione per questi dispositivi è quella di investire su dispositivi con adeguate capacità CoPP o mantenere iACL dinamici aggiungendo sempre l'indirizzo del cliente del router.
Se si affrontano i clienti solo tramite la soluzione di reti di collegamenti (/ 30 o / 31) è molto più pulito, si omette solo di pubblicizzare la rete di collegamenti e si aggiunge un percorso statico / 32 per il lato CPE, in questo modo esterno a questo router le parti non possono attaccare il router, poiché non avranno percorso.
Una soluzione alternativa allo stesso problema è utilizzare la voce ACL non continua in iACL, se la rete di collegamento CPE è 198.51.100.0/24 in iACL, si potrebbe fare 'negare ip qualsiasi 198.51.100.0 0.0.0.254', allora tutti gli indirizzi pari sarebbero essere autorizzato e negare gli indirizzi dispari, quindi se CPE è pari e 3750 è dispari, tutti i collegamenti attuali e futuri sono protetti senza aggiornare iACL.