Sécurité - Configuration de TCP Intercept

Slides:



Advertisements
Présentations similaires
Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Advertisements

Effacer la Configuration LWAPP sur un LAP
bgp always-compare-med
Liste de contrôle d’accès
Le modèle TCP/IP Présentation Couche Interface-Réseau Couche Réseau
Hot Standby Router Protocol (HSRP) - Partage de charge
show dialer interface bri
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
OSPF - Comment OSPF génère les routes par défaut
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Commande ip nat service
CCNP Routage Chapitre 8 - Questionnaire N°1
Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Configuration NAT Overload (PAT)
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
IS-IS - Adjacence Point à Point
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
de listes d'accès filtres
Commande show standby ccnp_cch ccnp_cch.
Les protocoles du Web Professeur: Tanja Dinić Étudiant:
(Switch Database Management)
Transfert de fichiers utilisant HTTP ou HTTPS
show ip nat translations
Centralisation de logs
Configuration Routeur SOHO77
TP Hot Standby Router Protocol (HSRP)
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
Préparation de mise à jour
Routage S 7 - Questionnaire N°1
Sécurité - Configuration de
Sécurité - Configuration de
Commande show ip eigrp topology
Intégration de NAT avec les VPNs MPLS
Proxy ARP ccnp_cch ccnp_cch.
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
QoS - Configuration RSVP
OSPF - Commande show ip ospf neighbor.
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
IOS Sécurité - IP Source Tracker
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
SONET - Bref aperçu de Packet Over SONET APS
QoS - Configuration de CAR (Committed Access Rate)
Commande show dialer ccnp_cch ccnp_cch.
Wireshark Capture et analyse de trames IP
Commande show vtp ccnp_cch ccnp_cch.
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
QoS - Configuration Fragmentation
Chapitre 7 Configuration de l'environnement du bureau
QoS - Configuration de COPS pour RSVP
Configuration NAT Dynamique
Les protocoles de la couche application Chapitre 7.
Transcription de la présentation:

Sécurité - Configuration de TCP Intercept ccnp_cch

Sommaire • Introduction • TCP Intercept • Etapes de la configuration de TCP Intercept - Valider TCP Intercept - Fixer le mode de TCP Intercept - Fixer le mode "Drop" de TCP Intercept - Modifier les timers de TCP Intercept - Modifier les seuils de TCP Intercept en mode "Aggressive" - Superviser TCP Intercept - Exemple de configuration de TCP Intercept ccnp_cch

Introduction Cette note technique décrit comment configurer votre routeur pour protéger des ser- veurs qui utilisent TCP d'une attaque de type "SYN-flooding", attaque de type "deni de service". Cette configuration est effectuée en utilisant la fonctionnalité IOS appelée "TCP Intercept". TCP Intercept La fonctionnalité TCP Intercept est une implémentation logicielle réalisée pour protéger des serveurs utilisant TCP des attaques "SYN-Flooding" qui sont des attaques de type "Deni de service" (Denial of service). Une attaque "SYN-flooding" survient quand un "pirate" inonde un serveur avec un flot de demande de connexion. Comme les messages ont une adresse de reteour non valide ,les connexions restent en attente d'établissement. Le volume important de connexions en attente d'établissement peut éventuellement surcharger le serveur qui ne pourra pas répondre aux bonnes requêtes pour ce service et par conséquent empêche les uti- lisateurs légitimes de se connecter au site Web, au serveur mail, d'utiliser le service FTP,.... La fonctionnalité TCP Intercept aide à empêcher les attaques "SYN-flooding" par inter- ception et validation des requêtes de connexion. En mode interception, le logiciel TCP Intercept intercepte les segments TCP SYN des clients vers les serveurs qui ont une correspondance avec la liste d'accès IP étendue. Le logiciel établit une connexion avec le client en se comportant comme le serveur destination et si cette connexion réussit, le logiciel établit une connexion avec le serveur en comportant comme le client et relie les deux demi-connexions de manière transparente. Ainsi les connexions pour des hosts non-accessibles n'atteindront jamais le serveur. Le logiciel continue d'intercepter et de réacheminer les paquets tant que la connexion reste établie. Dans le cas de requêtes non-légitimes, les délais délais agressifs sur les demi-con- nexions et les seuils sur les reqêtes de connexion TCP protègent les serveurs destina- tion tout en autorisant les reqêtes valides. Quand vous établissez votre politique de sécurité en utilisant TCP Intercept, vous pou- vez choisir d'intercepter toutes les requêtes ou uniquement celles venant de réseaux particuliers ou destinées à des serveurs particuliers. Vous pouvez également configurer le flux de connexion et le seuil de connexion en attente. Vous pouvez choisir le fonctionnement en mode "watch" de TCP Intercept par opposi- tion au mode interception. Dans le mode "watch", le logiciel scrute de manière passive les requêtes de connexion traversant le routeur. Si l'établissement d'une connexion n'est pas réalisé dans un intervalle de temps donné, le logiciel intervient et efface la tentative de connexion. Les options TCP qui sont négociées sur échange ( tels le RFC 1323, pour la taille des fenêtres,.;) ne seront pas négociées car le logiciel TCP Intercept ne sait pas ce que le serveur peut faire ou négocier. ccnp_cch

Etapes de la configuration de TCP Intercept Exécutez les tâches suivantes pour configurer TCP Intercept. La première tache est obligatoire, les autres sont optionnelles. • Valider TCP Intercept • Fixer le mode de TCP Intercept. • Fixer le mode "Drop" de TCP Intercept • Modifier les timers de TCP Intercept • Modifier les seuils de TCP Intercept en mode "Aggressive" • Supervision de TCP Intercept Valider TCP Intercept Pour valider TCP Intercept, utilisez les commandes suivantes en mode de configura- tion global. Etape Commande Fonction 1 access-list access-list-number {deny|permit} tcp any destination destination-wildcard Difinition de la liste d'accès IP étendue 2 ip tcp intercept list access-list-number Valide TCP Intercept Vous pouvez définir une liste d'accès pour intercepter toutes les requêtes ou unique- ment celles venant de réseaux particuliers ou destinées à des serveurs particuliers. Typiquement la liste d'accès définira la source comme "any" et définira des serveurs ou des réseaux destination spécifiques. Ce qui veut dire que vous n'essayez pas de filtrer l'adresse source car vous ne connaissez pas nécessairement la source des paquets. Vous identifiez la destination dans le but de protéger les serveurs destina- tion des requêtes de connexion. Fixer le mode de TCP Intercept TPC intercept peut opérer en mode d'interception actif ou passif. Le mode par défaut est le mode d'interception actif. En mode interception le logiciel intercepte de manière active chaque requête de con- nexion entrante (SYN) et répond en se comportant comme le serveur avec un ACK et SYN puis attend un ACK du client pour le message SYN. Quand l'ACK est reçu, le message SYN original est transmis au serveur et le serveur réalise un dialoguer en trois étapes avec le serveur. Quand cela est fait, les deux demi-connexions sont reliées ccnp_cch

En mode "watch", les requêtes de connexion sont autorisées à passer à travers le rou- teur vers le serveur mais sont surveillées jusqu'à ce qu'elles soient établies. Si elles ne s'établissent pas dans les 30 secondes (configurable avec la commande ip tcp intercept watch-timeout), le logiciel transmet une message "Reset" (RST) au serveur pour effacer la connexion en attente. Pour fixer le mode d'interception TCP, utilisez les commandes suivantes en mode de configuration global. Commande Fonction ip tcp intercept mode {intercept|watch} Fixe le mode d'interception TCP Fixer le mode Drop de TCP Intercept Quand il y a une attaque, la fonctionnalité TCP Intercept devient plus agressive dans son comportement protecteur. Si le nombre de connexion en attente excède 1100 ou le nombre de requêtes de connexion arrivant en une minute dépasse 1100, chaque nou- velle connexion entraine l'effacement de la requête de connexion la plus ancienne. Le délai initial pour la retransmission est également réduit de moitié ey porté à 0,5 s. (Par conséquent le temps total de tentative de connexion est réduit de moitié). Par défaut, le logiciel élimine la connexion partielle la plus ancienne. Vous avez aussi la possibilité de de configurer le logiciel pour qu'il élimine une connexion en attente de manière aléatoire. pour fixer le mode "Drop", utilisez la commande suivante en mode de configuration global. Commande Fonction ip tcp intercept drop-mode {oldest|random} Fixe le mode drop de TCP Intercept Modifier les timers de TCP Intercept Par défaut, le logiciel attend 30 secondes pour qu'une connexion surveillée passe à l'état "établie" avant de transmettre un message TCP Reset au serveur.Pour changer cette valeur, utilisez la commande suivante en mode de configuration global. Commande Fonction ip tcp intercept watch-timeout seconds Modifie le temps d'attente pour atteindre l'état "established" Par défaut, le logiciel attend 5 secondes après la réception d'un Reset ou FIN avant d'arrêter la supervision de la connexion. pour changer cette valeur, utilisez la com- mande suivante en mode de configuration global. Commande Fonction ip tcp intercept finrst-timeout seconds Modifie le temps d'attente après la réception de FIn ou RST avant d'arrêter de superviser la connexion ccnp_cch

Modifier les seuils de TCP Intercept en mode "Aggressive" Deux facteurs déterminent le début et la fin du comportement "aggressive" de TCP In- tercept. Le nombre total de connexions partielles et le nombre de requêtes de conne- xion durant la dernière minute. Les deuils seuils ont des valeurs par défaut qui peu- vent être redéfinies. Quand un seuil est dépassé, TCP Intercept juge que le serveur est attaqué et passe en mode "Aggressive". Voici ce qui sep asse en mode "Aggressive": • Chaque nouvelle connexion entraine l'effacement de la connexion partielle la plus ancienne (Vous pouvez opter pour un mode d'effacement aléatoire). • Le délai initial de retransmission est ramené à 0,5 secondes et par conséquent le temps total d'établissement est réduit de moitié (quand il n'est pas en mode "aggres- sive" le logiciel utilise pour le délai un algorithme de type "exponential back-off pour les retransmissions des segments SYN. Le délai de retransmission initial est de 1 se- conde. Les délais suivants sont 2 sec, 4 sec, 8 sec et 16 secondes. Le logiciel retrans- met 4 fois avant d'arrêter totalement soit après 31 secondes sans acquittement. • En mode "watch", le délai est réduit de moitié ( Si la valeur par défaut est gardée, le délai est ramené à 15 secondes). La stratégie d'élimination peut être modifiée de la connexion la plus ancienne à une connexion choisie aléatoirement avec la commande ip tcp intercept drop-mode. Note: Les deux facteurs qui déterminent le passage en mode "aggressive" sont liés et fonctionnent ensembles. quand un des seuils est atteint, le mode "aggressive" débute. Quand les deux valeurs repassent en dessous de leurs seuils minimum respectifs, le mode "Aggressive" se termine. Vous pouvez changer le seuil de déclechement du mode "Agressive" basé sur le nombre total de connexions partielles. Les valeurs high et low par défaut sont respectivement de 1100 et 900 connexions partielles. Pour changer ces valeurs, utilisez les comman- des suivantes en mode de configuration global. Commande Fonction ip tcp intercept max-incomplete low number Fixe le seuil pour sortir du mode "Aggressive" ip tcp intercept max-incomplete high number Fixe le seuil pour entrer en mode "Aggressive" ccnp_cch

Vous pouvez également changer le seuil de déclechement du mode "Agressive" basé sur le nombre total de requêtes de connexion reçues sur une période d'une minute. Les valeurs high et low par défaut sont respectivement de 1100 et 900 requêtes de con- nexion. Pour changer ces valeurs, utilisez les commandes suivantes en mode de confi- guration global. Commande Fonction ip tcp intercept one-minute low number Fixe le seuil pour sortir du mode "Aggressive" ip tcp intercept one-minute high number Fixe le seuil pour entrer en mode "Aggressive" Supervision de TCP Intercept Pour afficher les informations concernant TCP Intercept, utilisez les commandes sui- vantes en mode EXEC. Commande Fonction show ip tcp intercept connections Fixe le nombre de connexions partielles et établies show ip tcp intercept statistics Affiche des statistiques sur TCP Intercept Exemple de configuration TCP Intercept La configuration suivante définit la liste d'accès IP étendue numéro 101 entrainant l'interception des paquets par le logiciel pour tous les serveurs avec TCP situés sur le sous-réseau 192.168.1.0/24. ip tcp intercpt list 101 ! access-list 101 permit tcp any 192.168.1.0 0.0.0.255 ccnp_cch

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.