VMware SD-WAN bietet Erkennung von und Schutz vor verschiedenen Angriffen, um Exploits in allen Phasen ihrer Ausführung zu bekämpfen.

Um alle Verbindungsversuche in einem Unternehmensnetzwerk zu sichern, können Sie mit VMware SD-WAN Orchestrator die Netzwerk- und Flood-Protection-Einstellungen auf Profil- und Edge-Ebene konfigurieren, um vor folgenden Arten von Angriffen zu schützen:
  • Denial-of-Service (DoS)-Angriff
  • TCP-basierte Angriffe (TCP-based attacks): Ungültige TCP-Flags (Invalid TCP Flags), TCP-Land (TCP Land) und TCP-SYN-Fragment (TCP SYN Fragment)
  • ICMP-basierte Angriffe (ICMP-based attacks): ICMP – Ping of Death (ICMP Ping of Death) und ICMP – Fragment (ICMP-Fragment)
  • IP-basierte Angriffe – Unbekanntes IP-Protokoll, IP-Optionen, unbekanntes IPv6-Protokoll und IPv6-Erweiterungsheader
Denial-of-Service (DoS)-Angriff

Ein Denial-of-Service (DoS)-Angriff ist eine Art von Netzwerksicherheitsangriff, bei dem das Zielgerät mit einer riesigen Menge an gefälschtem Datenverkehr überschwemmt wird, sodass das Ziel so sehr damit beschäftigt ist, den gefälschten Datenverkehr zu verarbeiten, dass der legitime Datenverkehr nicht verarbeitet werden kann. Bei dem Ziel kann es sich um eine Firewall, die Netzwerkressourcen, auf die die Firewall den Zugriff kontrolliert, oder eine bestimmte Hardwareplattform oder das Betriebssystem eines einzelnen Hosts handeln. Bei dem DoS-Angriff wird versucht, die Ressourcen des Zielgeräts auszuschöpfen, wodurch das Zielgerät für berechtigte Benutzer nicht mehr verfügbar ist.

Es gibt zwei allgemeine Methoden von DoS-Angriffen: Überflutung von Diensten oder Dienste zum Absturz bringen. Flooding-Angriffe finden statt, wenn das System zu viel Datenverkehr empfängt, den der Server nicht mehr puffern kann. Dadurch kommt es zu einer Verlangsamung und schließlich zum Anhalten des Systems. Andere DoS-Angriffe nutzen einfach Schwachstellen aus, die das Zielsystem oder den Zieldienst zum Absturz bringen. Bei diesen Angriffen werden Eingaben gesendet, die Fehler im Zielsystem ausnutzen, die anschließend zum Absturz oder einer hochgradigen Destabilisierung des Systems führen.

Ungültige TCP-Flags (Invalid TCP Flags)
Ein Angriff des Typs „Ungültige TCP-Flags“ findet statt, wenn ein TCP-Paket eine falsche oder ungültige Flag-Kombination aufweist. Ein anfälliges Zielgerät stürzt aufgrund ungültiger TCP-Flag-Kombinationen ab. Daher wird empfohlen, diese herauszufiltern. „Ungültige TCP-Flags (Invalid TCP Flags)“ schützt vor Folgendem:
  • Einem Paket, in dessen TCP-Header keine Flags festgelegt sind, z. B. SYN, FIN, ACK.
  • Einem TCP-Header mit kombinierten SYN- und FIN-Flags, die in Wirklichkeit sich gegenseitig ausschließende Flags sind.
TCP-Land (TCP Land)

Bei einem Land-Angriff handelt es sich um einen Layer-4-DoS-Angriff, bei dem ein TCP-SYN-Paket so erstellt wird, dass die Quell-IP-Adresse und der Quellport mit der Ziel-IP-Adresse und dem Zielport übereinstimmen, die wiederum so festgelegt sind, dass sie auf einen geöffneten Port auf einem Zielgerät verweisen. Ein anfälliges Zielgerät empfängt eine solche Nachricht und antwortet an die Zieladresse, wodurch das Paket in einer Endlosschleife zur erneuten Verarbeitung gesendet wird. Folglich wird die Geräte-CPU auf unbestimmte Zeit verbraucht, was zur Folge hat, dass das anfällige Zielgerät abstürzt oder einfriert.

TCP-SYN-Fragment (TCP SYN Fragment)

Das Internet Protocol (IP) kapselt ein SYN-Segment des Transmission Control Protocol (TCP) in das IP-Paket ein, um eine TCP-Verbindung zu initiieren und als Reaktion darauf ein SYN/ACK-Segment aufzurufen. Da das IP-Paket klein ist, gibt es keinen legitimen Grund, es zu fragmentieren. Ein fragmentiertes SYN-Paket ist anormal und als solches verdächtig. Bei einem Angriff mit TCP-SYN-Fragmenten wird ein Zielserver oder -host mit TCP-SYN-Paketfragmenten überflutet. Der Host fängt die Fragmente ab und wartet, bis die verbleibenden Pakete eintreffen, damit sie neu zusammengesetzt werden können. Durch das Überfluten eines Servers oder Hosts mit Verbindungen, die nicht abgeschlossen werden können, läuft der Arbeitsspeicherpuffer des Hosts über, sodass keine weiteren legitimen Verbindungen mehr möglich sind und das Betriebssystem des Zielhosts beschädigt wird.

ICMP – Ping of Death (ICMP Ping of Death)

Bei einem Angriff vom Typ „Internet Control Message Protocol (ICMP) – Ping of Death“ sendet der Angreifer mehrere fehlerhafte oder bösartige Pings an ein Zielgerät. Obwohl Ping-Pakete üblicherweise klein sind und zur Überprüfung der Erreichbarkeit von Netzwerkhosts verwendet werden, können sie von Angreifern größer als die maximale Größe von 65.535 Byte gestaltet werden.

Wenn ein bösartig großes Paket vom bösartigen Host übertragen wird, wird das Paket bei der Übertragung fragmentiert. Wenn das Zielgerät versucht, die IP-Fragmente wieder zu einem vollständigen Paket zusammenzusetzen, wird dabei die maximale Größe überschritten. Dadurch kann der ursprünglich für das Paket zugewiesene Arbeitsspeicherpuffer überlaufen, was einen Systemabsturz oder das Einfrieren oder einen Neustart des Systems zur Folge haben kann, da er mit derart großen Paketen nicht umgehen kann.

ICMP – Fragment (ICMP Fragment)

Ein ICMP-Fragmentierungsangriff ist ein gängiger DoS-Angriff, der die Überflutung durch betrügerische ICMP-Fragmente umfasst, die nicht auf dem Zielserver defragmentiert werden können. Da die Defragmentierung nur durchgeführt werden kann, wenn alle Fragmente empfangen werden, verbraucht die temporäre Speicherung solcher gefälschten Fragmente Speicherplatz und kann die verfügbaren Arbeitsspeicherressourcen des anfälligen Zielservers erschöpfen. Dies kann zur Folge haben, dass der Server nicht verfügbar ist.

IP Unbekanntes Protokoll (IP Unknown Protocol)

Durch die Aktivierung des Schutzes vom Typ „IP Unbekanntes Protokoll“ werden IP-Pakete mit dem Protokollfeld, das die Protokoll-ID 143 oder höher enthält, blockiert, da dies bei unsachgemäßer Handhabung auf dem Endgerät zum Absturz führen kann. Eine vorsichtige Haltung wäre es, solche IP-Pakete am Eindringen in das geschützte Netzwerk zu hindern.

IP-Optionen (IP Options)

Angreifer konfigurieren IP-Optionsfelder innerhalb eines IP-Pakets manchmal falsch und erzeugen dadurch entweder unvollständige oder falsch formatierte Felder. Angreifer verwenden diese fehlerhaften Pakete, um anfällige Hosts im Netzwerk zu kompromittieren. Die Ausnutzung der Schwachstelle ermöglicht möglicherweise die Ausführung von beliebigem Code. Die Schwachstelle wird möglicherweise nach der Verarbeitung eines Pakets ausgenutzt, das eine bestimmte gestaltete IP-Option im IP-Header des Pakets enthält. Durch die Aktivierung des Schutzes vom Typ „IP Unsichere Optionen“ werden durchlaufende IP-Pakete mit falsch formatiertem IP-Optionsfeld im IP-Paket-Header blockiert.

Unbekanntes IPv6-Protokoll (IPv6 Unknown Protocol)

Durch Aktivierung des Schutzes vom Typ „Unbekanntes IPv6-Protokoll“ werden IPv6-Pakete mit dem Protokollfeld, das die Protokoll-ID 143 oder höher enthält, blockiert, da dies bei unsachgemäßer Handhabung auf dem Endgerät zum Absturz führen kann. Eine vorsichtige Vorgehensweise bestünde darin, solche IPv6-Pakete am Eindringen in das geschützte Netzwerk zu hindern.

IPv6-Erweiterungsheader (IPv6 Extension Header)

Bei dem Angriff auf den IPv6-Erweiterungsheader handelt es sich um einen DoS-Angriff, der aufgrund der fehlerhaften Handhabung von Erweiterungsheadern in einem IPv6-Paket auftritt. Die falsche Handhabung von IPv6-Erweiterungsheadern erzeugt neue Angriffsvektoren, die zu DoS-Angriffen führen und für verschiedene Zwecke genutzt werden können, wie z. B. das Erstellen von verdeckten Kanälen und Routing-Header-Typ-0-Angriffen. Wenn Sie diese Option aktivieren, wird ein IPv6-Paket mit allen Erweiterungsheadern ausgenommen Fragmentierungsheadern verworfen.

Konfigurieren von Netzwerk- und Flood-Protection-Einstellungen

Führen Sie die folgenden Schritte aus, um Netzwerk- und Flood-Protection-Einstellungen auf Profilebene zu konfigurieren.

Prozedur

  1. Navigieren Sie in SD-WAN Orchestrator zu Konfigurieren (Configure) > Profile (Profiles) > Firewall.
  2. Aktivieren Sie Statusbehaftete Firewall (Stateful Firewall) für das ausgewählte Profil.
  3. Konfigurieren Sie im Bereich Netzwerk- und Flood-Protection-Einstellungen (Network & Flood Protection Settings) die folgenden Einstellungen:
    Standardmäßig werden die Netzwerk- und Flood-Protection-Einstellungen für IPv4-Adressen angewendet.
    Hinweis: Wenn Sie Netzwerk- und Flood-Protection-Einstellungen für IPv6-Adressen konfigurieren möchten, müssen Sie die neue Orchestrator-Benutzeroberfläche verwenden. Weitere Informationen finden Sie unter Konfigurieren einer Firewall mit der neuen Orchestrator-Benutzeroberfläche.
    Feld Beschreibung
    Neuer Schwellenwert für Verbindungen (Verbindungen pro Sekunde) (New Connection Threshold (connections per second)) Die maximale Anzahl neuer Verbindungen, die von einer einzelnen Quell-IP pro Sekunde zulässig sind. Der zulässige Wertebereich liegt zwischen 10 und 100 Prozent. Der Standardwert ist 25 Prozent.
    Negativliste (Denylist) Aktivieren Sie das Kontrollkästchen, um eine Quell-IP-Adresse zu blockieren, die gegen den neuen Schwellenwert für Verbindungen verstößt, indem Flood-Datenverkehr entweder aufgrund einer Fehlkonfiguration des Netzwerks oder wegen bösartigen Benutzerangriffen gesendet wird.
    Hinweis: Die Einstellungen Neuer Schwellenwert für Verbindungen (Verbindungen pro Sekunde) (New Connection Threshold (connections per second)) funktionieren nur, wenn die Negativliste (Denylist) aktiviert ist.
    Erkennungsdauer (Sek.) (Detect Duration (seconds)) Vor der Blockierung einer Quell-IP-Adresse ist dies die Karenzzeit, in der die Quell-IP Datenverkehrsströme senden darf.

    Wenn ein Host Flood-Datenverkehr in Form neuer Verbindungsanfragen (Portprüfung, TCP-SYN-Flood usw.) sendet, die die maximal zulässigen Verbindungen pro Sekunde (Connections per Second, CPS) für diese Dauer überschreiten, wird er als zur Aufnahme in die Negativliste berechtigt betrachtet, anstatt sofort darin aufgenommen zu werden, sobald der CPS-Wert pro Sekunde einmal überschritten wurde. Angenommen, der maximal zulässige CPS-Wert beträgt 10 mit einer Erkennungsdauer von 10 Sekunden. Wenn der Host neue Verbindungsanfragen 10 Sekunden lang mit mehr als 100 Anfragen überflutet, wird der Host in die Negativliste aufgenommen.

    Der zulässige Wertebereich liegt zwischen 10 und 100 Sekunden. Der Standardwert beträgt 10 Sekunden.
    Dauer der Negativliste (Sek.) (Denylist Duration (seconds)) Der Zeitraum, für den die Quell-IP, gegen die verstoßen wurde, für das Senden von Paketen gesperrt ist. Der zulässige Wertebereich liegt zwischen 10 und 86.400 Sekunden. Der Standardwert beträgt 10 Sekunden.
    TCP-basierte Angriffe (TCP Based Attacks) Unterstützt den Schutz vor den folgenden TCP-basierten Angriffen durch Aktivieren der entsprechenden Kontrollkästchen:
    • Ungültige TCP-Flags (Invalid TCP Flags)
    • TCP-Land
    • TCP-SYN-Fragment (TCP SYN Fragment)
    ICMP-basierte Angriffe (ICMP Based Attacks) Unterstützt den Schutz vor den folgenden ICMP-basierten Angriffen durch Aktivieren der entsprechenden Kontrollkästchen:
    • ICMP – Ping of Death (ICMP Ping of Death)
    • ICMP – Fragment (ICMP Fragment)
    IP-basierte Angriffe (IP Based Attacks) Unterstützt den Schutz vor den folgenden IP-basierten Angriffen durch Aktivieren der entsprechenden Kontrollkästchen:
    • IP Unbekanntes Protokoll (IP Unknown Protocol)
    • IP Unsichere Optionen (IP Insecure Options)
    • Unbekanntes IPv6-Protokoll
    • IPv6-Erweiterungsheader
    Optional können Sie auch die Netzwerk- und Flood-Protection-Einstellungen auf der Edge-Ebene außer Kraft setzen. Weitere Informationen finden Sie unter Konfigurieren von Netflow-Einstellungen für Edges.