VMware SD-WAN umožňuje detekci a ochranu proti různým útokům za účelem boje proti zneužití ve všech fázích jejich působení.
- Útok typu denial-of-Service (DoS) (Denial-of-Service (DoS) attack)
- Útoky založené na protokolu TCP – neplatné příznaky TCP, útoky na TCP typu LAND a fragmenty paketu TCP SYN
- Útoky založené na protokolu ICMP – útoky typu Ping Of Death na ICMP a fragmenty ICMP
- Útoky na bázi IP adresy – neznámý protokol IP adresy a možnosti nezabezpečené IP adresy
Útok typu denial-of-Service (DoS) (Denial-of-Service (DoS) attack) je druh útoku na zabezpečení sítě, který zahlcuje cílová zařízení obrovským množstvím falešných dat, takže dojde k zahlcení cíle, který zpracovává tento falešný příchozí provoz a nemůže zpracovávat běžný provoz. Cílem může být brána firewall, síťové zdroje, ke kterým brána firewall řídí přístup, nebo specifická hardwarová platforma nebo operační systém samostatného hostitele. Útok DoS se pokouší vyčerpat zdroje cílového zařízení, takže cílové zařízení nebude dostupné pro legitimní uživatele.
Existují dvě obecné metody útoků DoS: flooding služeb nebo selhání služeb. K floodingu dojde, když systém obdrží příliš mnoho dat pro server do vyrovnávací paměti, což způsobí jeho zpomalení a nakonec zastavení. Ostatní útoky DoS jednoduše zneužívají chyby, které způsobují selhání cílového systému nebo služby. Během těchto útoků je odeslán vstup, který využívá chyb v cíli, které následně způsobí selhání nebo závažnou destabilizaci systému.
- Pakety, které nemají v záhlaví protokolu TCP nastavené žádné příznaky, například SYN, FIN, ACK atd.
- Záhlavími protokolu TCP s kombinovanými příznaky SYN a FIN, což jsou ve skutečnosti vzájemně se vylučující příznaky
Útok LAND je útok DoS na vrstvu 4, ve kterém je vytvořen paket TCP SYN, což znamená, že zdrojová IP adresa a port jsou stejné jako cílová IP adresa a port, a ty jsou nastaveny tak, aby odkazovaly na otevřený port na cílovém zařízení. Zranitelné cílové zařízení obdrží tuto zprávu a odpoví na cílovou adresu, takže paket bude odesílán v nekonečné smyčce. Kapacita procesoru je tak beze zbytku využita, což způsobuje selhání nebo zamrznutí ohroženého cílového zařízení.
Internetový protokol (IP) zapouzdřuje segment SYN protokolu TCP (Transmission Control Protocol) v paketu IP za účelem iniciace připojení TCP a vyvolá v odezvě segment SYN/ACK. Vzhledem k tomu, že je paket IP malý, neexistuje žádný oprávněný důvod pro jeho fragmentaci. Fragmentovaný paket SYN je anomální a tedy podezřelý. V rámci útoku fragmentu paketu TCP SYN je cílový server nebo hostitel zahlcen fragmenty paketu TCP SYN. Hostitel zachytí fragmenty a čeká na doručení zbývajících paketů, aby mohl paket znovu sestavit. Floodingem serveru nebo hostitele prostřednictvím připojení, která nemohou být dokončena, se vyrovnávací paměť hostitele přeplní, a proto nelze navázat žádné další legitimní připojení. Tím dojde k poškození operačního systému cílového hostitele.
Útok typu Ping Of Death na ICMP (Internet Control Message Protocol) provádí útočník, který odešle několik chybných nebo škodlivých pingů do cílového zařízení. Ačkoli jsou pakety ping pro kontrolu dostupnosti hostitelů v síti obecně malé, útočník může použít větší, než je jejich maximální velikost 65 535 bajtů.
Při přenosu nebezpečného velkého paketu od škodlivého hostitele je paket během přenosu fragmentován, a pokud se cílové zařízení pokusí fragmenty IP znovu sestavit, výsledek překročí maximální povolenou velikost. To může způsobit přetečení paměti, která byla paketu původně přidělena, a dojde k selhání, zamrznutí nebo restartu systému, protože ten nebude schopen takto velké segmenty zpracovávat.
Útok fragmentací ICMP je běžným útokem DoS, který se týká zahlcení podvodnými fragmenty ICMP, které nemohou být na cílovém serveru defragmentovány. Protože defragmentace může proběhnout pouze po obdržení všech fragmentů, dočasné uložení těchto falešných fragmentů zabírá paměť a může vyčerpat dostupné paměťové zdroje ohroženého cílového serveru, v důsledku čehož se server stane nedostupným.
Aktivace ochrany proti neznámému protokolu IP adresy zablokuje pakety IP s polem protokolu obsahujícím číslo ID protokolu 143 nebo vyšší, protože jejich nesprávné zpracování by mohlo vést k selhání koncového zařízení. Opatrným přístupem tak je zablokování takových paketů IP, aby se do chráněné sítě vůbec nedostaly.
Útočníci někdy konfigurují pole s možnostmi IP v paketu IP nesprávně, což vyprodukuje nekompletní nebo nesprávně formátovaná pole. Útočníci používají tyto poškozené pakety k ohrožení zranitelných hostitelů v síti. Zneužití této chyby zabezpečení může potenciálně umožnit spuštění libovolného kódu. Tato chyba zabezpečení může být zneužita po zpracování paketu, který obsahuje specifickou možnost vytvořené IP adresy v záhlaví IP paketu. Aktivace ochrany před možnostmi nezabezpečené IP adresy zablokuje přenosové pakety IP s nesprávně formátovaným polem možností IP adresy v záhlaví paketu IP.
Chcete-li nakonfigurovat nastavení sítě a ochrany před floodingem, postupujte následovně.
Procedura
- V oblasti Nastavení ochrany sítě a floodingu (Network & Flood Protection Settings) nakonfigurujte tato nastavení:
Pole Popis (Description) Mezní hodnota nového připojení (New Connection Threshold) (počet připojení za sekundu) Maximální počet nových připojení, která jsou povolena z jediného zdroje IP adresy za sekundu. Přípustný rozsah hodnot je od 10 % do 100 %. Výchozí hodnota je 25 %. Seznam zakázaných položek (Denylist) Zaškrtnutím tohoto pole aktivujete blokování IP adresy zdroje, který porušuje mezní hodnotu pro nová připojení tím, že odesílá nadměrný provoz, buď z důvodu špatné konfigurace sítě, nebo útoků uživatelů se zlými úmysly. Poznámka: Nastavení možnosti Prahová hodnota nového připojení (počet připojení za sekundu) (New Connection Threshold (connections per second)) nebude fungovat, dokud je povolen Seznam zakázaných položek (Denylist).Doba rozpoznávání (v sekundách) (Detect Duration (seconds)) Doba před zablokováním IP adresy zdroje, po kterou bude provoz z tohoto zdroje přijímán. Pokud hostitel odesílá nadměrný provoz s požadavky o nové připojení (skenování portu, přenos TCP SYN atp.), který přesáhl maximální počet připojení povolených za sekundu (CPS) za tuto nastavenou dobu, bude odmítnut až po uplynutí této doby, a nikoli okamžitě, jakmile překročí povolenou hodnotu CPS pro zdroj. Pokud je například maximální možná hodnota CPS 10 s detekcí po dobu 10 sekund, bude hostitel odmítnut v případě, že bude odesílat provoz v objemu vyšším, že 100 požadavků za 10 sekund.
Přípustný rozsah hodnot je od 10 sekund do 100 sekund. Výchozí hodnota je 10 sekund.Trvání seznamu zakázaných položek (v sekundách) (Denylist Duration (seconds)) Doba trvání, po kterou je IP adresa porušujícího zdroje zablokovaná. Přípustný rozsah hodnot je od 10 sekund do 86 400 sekund. Výchozí hodnota je 10 sekund. Útoky založené na protokolu TCP (TCP Based Attacks) Podporuje ochranu před těmito útoky založenými na protokolu TCP podle zaškrtnutých polí: - Neplatné příznaky TCP (Invalid TCP Flags)
- útok typu LAND na TCP (TCP Land);
- Fragment paketu TCP SYN (TCP SYN Fragment)
Útoky založené na ICMP (ICMP Based Attacks) Podporuje ochranu před těmito útoky založenými na protokolu ICMP podle zaškrtnutých polí: - Útok typu Ping Of Death na ICMP (ICMP Ping of Death)
- Fragment ICMP (ICMP Fragment)
Útoky na bázi IP adresy (IP Based Attacks) Podporuje ochranu před těmito útoky na bázi IP adresy podle zaškrtnutých polí: - Neznámý protokol IP adresy (IP Unknown Protocol)
- Možnosti zabezpečení IP adresy (IP Insecure Options)
Volitelně můžete také přepsat nastavení sítě a ochrany před floodingem na úrovni Edge. Další informace naleznete v tématu Konfigurace nastavení NetFlow pro Edge.
