La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - Configuration de TCP Intercept

Présentations similaires


Présentation au sujet: "Sécurité - Configuration de TCP Intercept"— Transcription de la présentation:

1 Sécurité - Configuration de TCP Intercept
ccnp_cch

2 Sommaire • Introduction • TCP Intercept • Etapes de la configuration de TCP Intercept - Valider TCP Intercept Fixer le mode de TCP Intercept Fixer le mode "Drop" de TCP Intercept Modifier les timers de TCP Intercept Modifier les seuils de TCP Intercept en mode "Aggressive" Superviser TCP Intercept Exemple de configuration de TCP Intercept ccnp_cch

3 Introduction Cette note technique décrit comment configurer votre routeur pour protéger des ser- veurs qui utilisent TCP d'une attaque de type "SYN-flooding", attaque de type "deni de service". Cette configuration est effectuée en utilisant la fonctionnalité IOS appelée "TCP Intercept". TCP Intercept La fonctionnalité TCP Intercept est une implémentation logicielle réalisée pour protéger des serveurs utilisant TCP des attaques "SYN-Flooding" qui sont des attaques de type "Deni de service" (Denial of service). Une attaque "SYN-flooding" survient quand un "pirate" inonde un serveur avec un flot de demande de connexion. Comme les messages ont une adresse de reteour non valide ,les connexions restent en attente d'établissement. Le volume important de connexions en attente d'établissement peut éventuellement surcharger le serveur qui ne pourra pas répondre aux bonnes requêtes pour ce service et par conséquent empêche les uti- lisateurs légitimes de se connecter au site Web, au serveur mail, d'utiliser le service FTP, La fonctionnalité TCP Intercept aide à empêcher les attaques "SYN-flooding" par inter- ception et validation des requêtes de connexion. En mode interception, le logiciel TCP Intercept intercepte les segments TCP SYN des clients vers les serveurs qui ont une correspondance avec la liste d'accès IP étendue. Le logiciel établit une connexion avec le client en se comportant comme le serveur destination et si cette connexion réussit, le logiciel établit une connexion avec le serveur en comportant comme le client et relie les deux demi-connexions de manière transparente. Ainsi les connexions pour des hosts non-accessibles n'atteindront jamais le serveur. Le logiciel continue d'intercepter et de réacheminer les paquets tant que la connexion reste établie. Dans le cas de requêtes non-légitimes, les délais délais agressifs sur les demi-con- nexions et les seuils sur les reqêtes de connexion TCP protègent les serveurs destina- tion tout en autorisant les reqêtes valides. Quand vous établissez votre politique de sécurité en utilisant TCP Intercept, vous pou- vez choisir d'intercepter toutes les requêtes ou uniquement celles venant de réseaux particuliers ou destinées à des serveurs particuliers. Vous pouvez également configurer le flux de connexion et le seuil de connexion en attente. Vous pouvez choisir le fonctionnement en mode "watch" de TCP Intercept par opposi- tion au mode interception. Dans le mode "watch", le logiciel scrute de manière passive les requêtes de connexion traversant le routeur. Si l'établissement d'une connexion n'est pas réalisé dans un intervalle de temps donné, le logiciel intervient et efface la tentative de connexion. Les options TCP qui sont négociées sur échange ( tels le RFC 1323, pour la taille des fenêtres,.;) ne seront pas négociées car le logiciel TCP Intercept ne sait pas ce que le serveur peut faire ou négocier. ccnp_cch

4 Etapes de la configuration de TCP Intercept
Exécutez les tâches suivantes pour configurer TCP Intercept. La première tache est obligatoire, les autres sont optionnelles • Valider TCP Intercept • Fixer le mode de TCP Intercept • Fixer le mode "Drop" de TCP Intercept • Modifier les timers de TCP Intercept • Modifier les seuils de TCP Intercept en mode "Aggressive" • Supervision de TCP Intercept Valider TCP Intercept Pour valider TCP Intercept, utilisez les commandes suivantes en mode de configura- tion global. Etape Commande Fonction 1 access-list access-list-number {deny|permit} tcp any destination destination-wildcard Difinition de la liste d'accès IP étendue 2 ip tcp intercept list access-list-number Valide TCP Intercept Vous pouvez définir une liste d'accès pour intercepter toutes les requêtes ou unique- ment celles venant de réseaux particuliers ou destinées à des serveurs particuliers. Typiquement la liste d'accès définira la source comme "any" et définira des serveurs ou des réseaux destination spécifiques. Ce qui veut dire que vous n'essayez pas de filtrer l'adresse source car vous ne connaissez pas nécessairement la source des paquets. Vous identifiez la destination dans le but de protéger les serveurs destina- tion des requêtes de connexion. Fixer le mode de TCP Intercept TPC intercept peut opérer en mode d'interception actif ou passif. Le mode par défaut est le mode d'interception actif. En mode interception le logiciel intercepte de manière active chaque requête de con- nexion entrante (SYN) et répond en se comportant comme le serveur avec un ACK et SYN puis attend un ACK du client pour le message SYN. Quand l'ACK est reçu, le message SYN original est transmis au serveur et le serveur réalise un dialoguer en trois étapes avec le serveur. Quand cela est fait, les deux demi-connexions sont reliées ccnp_cch

5 En mode "watch", les requêtes de connexion sont autorisées à passer à travers le rou- teur vers le serveur mais sont surveillées jusqu'à ce qu'elles soient établies. Si elles ne s'établissent pas dans les 30 secondes (configurable avec la commande ip tcp intercept watch-timeout), le logiciel transmet une message "Reset" (RST) au serveur pour effacer la connexion en attente. Pour fixer le mode d'interception TCP, utilisez les commandes suivantes en mode de configuration global. Commande Fonction ip tcp intercept mode {intercept|watch} Fixe le mode d'interception TCP Fixer le mode Drop de TCP Intercept Quand il y a une attaque, la fonctionnalité TCP Intercept devient plus agressive dans son comportement protecteur. Si le nombre de connexion en attente excède 1100 ou le nombre de requêtes de connexion arrivant en une minute dépasse 1100, chaque nou- velle connexion entraine l'effacement de la requête de connexion la plus ancienne. Le délai initial pour la retransmission est également réduit de moitié ey porté à 0,5 s. (Par conséquent le temps total de tentative de connexion est réduit de moitié). Par défaut, le logiciel élimine la connexion partielle la plus ancienne. Vous avez aussi la possibilité de de configurer le logiciel pour qu'il élimine une connexion en attente de manière aléatoire. pour fixer le mode "Drop", utilisez la commande suivante en mode de configuration global. Commande Fonction ip tcp intercept drop-mode {oldest|random} Fixe le mode drop de TCP Intercept Modifier les timers de TCP Intercept Par défaut, le logiciel attend 30 secondes pour qu'une connexion surveillée passe à l'état "établie" avant de transmettre un message TCP Reset au serveur.Pour changer cette valeur, utilisez la commande suivante en mode de configuration global. Commande Fonction ip tcp intercept watch-timeout seconds Modifie le temps d'attente pour atteindre l'état "established" Par défaut, le logiciel attend 5 secondes après la réception d'un Reset ou FIN avant d'arrêter la supervision de la connexion. pour changer cette valeur, utilisez la com- mande suivante en mode de configuration global. Commande Fonction ip tcp intercept finrst-timeout seconds Modifie le temps d'attente après la réception de FIn ou RST avant d'arrêter de superviser la connexion ccnp_cch

6 Modifier les seuils de TCP Intercept en mode "Aggressive" Deux facteurs déterminent le début et la fin du comportement "aggressive" de TCP In- tercept. Le nombre total de connexions partielles et le nombre de requêtes de conne- xion durant la dernière minute. Les deuils seuils ont des valeurs par défaut qui peu- vent être redéfinies. Quand un seuil est dépassé, TCP Intercept juge que le serveur est attaqué et passe en mode "Aggressive". Voici ce qui sep asse en mode "Aggressive": • Chaque nouvelle connexion entraine l'effacement de la connexion partielle la plus ancienne (Vous pouvez opter pour un mode d'effacement aléatoire). • Le délai initial de retransmission est ramené à 0,5 secondes et par conséquent le temps total d'établissement est réduit de moitié (quand il n'est pas en mode "aggres sive" le logiciel utilise pour le délai un algorithme de type "exponential back-off pour les retransmissions des segments SYN. Le délai de retransmission initial est de 1 se conde. Les délais suivants sont 2 sec, 4 sec, 8 sec et 16 secondes. Le logiciel retrans met 4 fois avant d'arrêter totalement soit après 31 secondes sans acquittement. • En mode "watch", le délai est réduit de moitié ( Si la valeur par défaut est gardée, le délai est ramené à 15 secondes). La stratégie d'élimination peut être modifiée de la connexion la plus ancienne à une connexion choisie aléatoirement avec la commande ip tcp intercept drop-mode. Note: Les deux facteurs qui déterminent le passage en mode "aggressive" sont liés et fonctionnent ensembles. quand un des seuils est atteint, le mode "aggressive" débute. Quand les deux valeurs repassent en dessous de leurs seuils minimum respectifs, le mode "Aggressive" se termine. Vous pouvez changer le seuil de déclechement du mode "Agressive" basé sur le nombre total de connexions partielles. Les valeurs high et low par défaut sont respectivement de 1100 et 900 connexions partielles. Pour changer ces valeurs, utilisez les comman- des suivantes en mode de configuration global. Commande Fonction ip tcp intercept max-incomplete low number Fixe le seuil pour sortir du mode "Aggressive" ip tcp intercept max-incomplete high number Fixe le seuil pour entrer en mode "Aggressive" ccnp_cch

7 Vous pouvez également changer le seuil de déclechement du mode "Agressive" basé sur le nombre total de requêtes de connexion reçues sur une période d'une minute. Les valeurs high et low par défaut sont respectivement de 1100 et 900 requêtes de con- nexion. Pour changer ces valeurs, utilisez les commandes suivantes en mode de confi- guration global. Commande Fonction ip tcp intercept one-minute low number Fixe le seuil pour sortir du mode "Aggressive" ip tcp intercept one-minute high number Fixe le seuil pour entrer en mode "Aggressive" Supervision de TCP Intercept Pour afficher les informations concernant TCP Intercept, utilisez les commandes sui- vantes en mode EXEC. Commande Fonction show ip tcp intercept connections Fixe le nombre de connexions partielles et établies show ip tcp intercept statistics Affiche des statistiques sur TCP Intercept Exemple de configuration TCP Intercept La configuration suivante définit la liste d'accès IP étendue numéro 101 entrainant l'interception des paquets par le logiciel pour tous les serveurs avec TCP situés sur le sous-réseau /24. ip tcp intercpt list 101 ! access-list 101 permit tcp any ccnp_cch


Télécharger ppt "Sécurité - Configuration de TCP Intercept"

Présentations similaires


Annonces Google