VMware SD-WAN proporciona detección y protección contra diversos ataques para combatir las vulnerabilidades de seguridad en todas las etapas de su ejecución.

Para proteger todos los intentos de conexión en una red empresarial, VMware SD-WAN Orchestrator permite configurar los ajustes de protección de red y contra inundación en los niveles de perfil y Edge, a fin de brindar protección frente a los siguientes tipos de ataques:
  • Ataque de denegación de servicio (DoS)
  • Ataques basados en TCP: indicadores TCP no válidos, ataque LAND de TCP y fragmento SYN de TCP
  • Ataques basados en ICMP: ataque Ping de la muerte de ICMP y fragmento de ICMP
  • Ataques basados en IP: protocolo desconocido de IP, opciones de IP, protocolo IPv6 desconocido y encabezado de extensión IPv6
Ataque de denegación de servicio (DoS)

Un ataque de denegación de servicio (Denial-of-Service, DoS) es un tipo de ataque de seguridad de red que abruma al dispositivo de destino con una gran cantidad de tráfico fantasma, de modo que el destino está tan ocupado en procesar el tráfico fantasma que no se puede procesar el tráfico legítimo. El destino puede ser un firewall, los recursos de red cuyo acceso controla el firewall o una plataforma de hardware o un sistema operativo específicos de un host individual. El ataque de DoS intenta agotar los recursos del dispositivo de destino, lo cual provoca que el dispositivo no esté disponible para los usuarios legítimos.

Existen dos métodos generales de ataques DoS: la inundación de servicios o el bloqueo de servicios. Los ataques de inundación se producen cuando el sistema recibe demasiado tráfico que el servidor no puede almacenar en búfer, lo que hace que el servidor se ralentice y, finalmente, se detenga. Otros ataques de DoS solo aprovechan las vulnerabilidades que provocan que el servicio o el sistema de destino se bloqueen. En estos ataques, se envían datos que aprovechan los errores en el destino que, posteriormente, bloquean o desestabilizan gravemente el sistema.

Indicadores TCP no válidos
Los ataques de indicadores TCP no válidos se producen cuando un paquete TCP tiene una combinación de indicadores incorrecta o no válida. Un dispositivo de destino vulnerable se bloqueará debido a combinaciones de indicadores TCP no válidos, por lo que se recomienda filtrarlos. Los indicadores TCP no válidos protegen frente a las siguientes situaciones:
  • El paquete que no tiene indicadores definidos en su encabezado TCP, como SYN, FIN, ACK, etcétera.
  • El encabezado TCP tiene indicadores SYN y FIN combinados, que son indicadores mutuamente excluyentes en realidad.
Ataque LAND de TCP

Un ataque LAND es un ataque de DoS de capa 4 en el que se crea un paquete SYN de TCP de modo que la dirección IP y el puerto de origen se configuran para ser iguales a la dirección IP y el puerto de destino, los cuales, a su vez, están configurados para apuntar a un puerto abierto en un dispositivo de destino. Un dispositivo de destino vulnerable puede recibir un mensaje de este tipo y responder a la dirección de destino enviando efectivamente el paquete para volver a procesarlo en un bucle infinito. Como consecuencia, los recursos de CPU del dispositivo se consumen indefinidamente, lo que provoca que el dispositivo de destino vulnerable se bloquee.

Fragmento SYN de TCP

El protocolo de Internet (Internet Protocol, IP) encapsula un segmento SYN del protocolo de control de transmisión (Transmission Control Protocol, TCP) en el paquete de IP para iniciar una conexión TCP y, en respuesta, invocar un segmento SYN/ACK. Debido a que el paquete de IP es pequeño, no hay ningún motivo legítimo para fragmentarlo. Un paquete SYN fragmentado es anómalo y, por ende, sospechoso. En un ataque de fragmento SYN de TCP, un host o un servidor de destino se inundan con fragmentos de paquetes SYN de TCP. El host detecta los fragmentos y espera a que lleguen los paquetes restantes para poder volver a ensamblarlos. Al inundar un servidor o host con conexiones que no se pueden completar, el búfer de memoria del host se desborda y, por lo tanto, no es posible establecer más conexiones legítimas. Esto provoca daños en el sistema operativo del host de destino.

Ping de la muerte de ICMP

Un ataque de "Ping de la muerte" del protocolo de mensajes de control de Internet (Internet Control Message Protocol, ICMP) implica que el atacante envía varios pings con formato incorrecto o malintencionado a un dispositivo de destino. A pesar de que los paquetes de ping generalmente se utilizan para comprobar la disponibilidad de los hosts de red, los atacantes pueden asignarles un tamaño más grande que el máximo de 65 535 bytes.

Cuando se transmite un paquete grande de forma malintencionada desde el host malintencionado, el paquete se fragmenta en tránsito y, cuando el dispositivo de destino intenta volver a ensamblar los fragmentos de IP en el paquete completo, el total supera el límite de tamaño máximo. Esto podría desbordar los búferes de memoria inicialmente asignados para el paquete, lo que provoca que el sistema se bloquee o se reinicie, ya que no puede manejar esos paquetes tan grandes.

Fragmento de ICMP

Un ataque de fragmentación de ICMP es un ataque de DoS común que implica la inundación de fragmentos de ICMP fraudulentos que no se pueden desfragmentar en el servidor de destino. Dado que la desfragmentación solo se puede llevar a cabo cuando se reciben todos los fragmentos, el almacenamiento temporal de esos fragmentos falsos ocupa memoria y puede agotar los recursos de memoria disponibles del servidor de destino vulnerable, lo que provoca que el servidor no esté disponible.

Protocolo de IP desconocido

Habilitar la protección de protocolo de IP desconocido bloquea los paquetes de IP con el campo de protocolo que contiene un número de ID de protocolo 143 o superior, ya que podría generar un error si no se maneja correctamente en el dispositivo final. Una actitud prudente sería bloquear dichos paquetes de IP para evitar que entren en la red protegida.

Opciones de IP

En ocasiones, los atacantes configuran de forma incorrecta los campos de opción de IP dentro de un paquete de IP y generan campos incompletos o con formato incorrecto. Los atacantes utilizan estos paquetes con formato incorrecto para poner en peligro los hosts vulnerables de la red. El aprovechamiento de la vulnerabilidad puede permitir la ejecución de código arbitrario. Es posible que la vulnerabilidad se pueda aprovechar después de procesar un paquete que contiene una opción de IP creada específicamente en el encabezado IP del paquete. Habilitar la protección de opciones no seguras de IP bloquea los paquetes de IP en tránsito con el campo de opción de IP con formato incorrecto en el encabezado del paquete IP.

Protocolo IPv6 desconocido

Habilitar la protección de protocolo IPv6 desconocido bloquea los paquetes IPv6 con el campo de protocolo que contiene un número de ID de protocolo 143 o superior, ya que podría generar un error si no se maneja correctamente en el dispositivo final. Una actitud prudente sería bloquear dichos paquetes IPv6 para evitar que entren en la red protegida.

Encabezado de extensión IPv6

El ataque de encabezado de extensión IPv6 es un ataque de tipo DoS que se produce debido a un manejo incorrecto de encabezados de extensión en un paquete IPv6. El mal manejo de encabezados de extensión IPv6 crea nuevos vectores de ataque que podrían conducir a DoS y que se pueden explotar para diferentes fines, como la creación de canales encubiertos y ataques de encabezado de enrutamiento 0. Al habilitar esta opción, se descartarán los paquetes IPv6 con cualquier encabezado de extensión, excepto los encabezados de fragmentación.

Configurar ajustes de protección de red y contra inundación

Para configurar ajustes de protección de red y contra inundación en el nivel del perfil, realice los pasos a continuación.

Procedimiento

  1. En SD-WAN Orchestrator, vaya a Configurar (Configure) > Perfiles (Profiles) > Firewall.
  2. Habilite Firewall con estado (Stateful Firewall) para el perfil seleccionado.
  3. En el área Configuración de la protección contra redes e inundaciones (Network & Flood Protection Settings), configure los siguientes ajustes:
    De forma predeterminada, la configuración de protección de red y contra inundaciones se aplica a las direcciones IPv4.
    Nota: Si desea configurar los ajustes de la protección de red y contra inundaciones para direcciones IPv6, debe utilizar la nueva interfaz de usuario de Orchestrator. Para obtener más información, consulte Configurar el firewall con la nueva interfaz de usuario de Orchestrator.
    Campo Descripción
    Nuevo umbral de conexión (conexiones por segundo) (New Connection Threshold [connections per second]) La cantidad máxima de conexiones nuevas permitidas desde una única IP de origen por segundo. El valor permitido oscila entre 10% y 100%. El valor predeterminado es 25%.
    Lista de no permitidos (Denylist) Habilite la casilla de verificación para bloquear una dirección IP de origen, que infringe el umbral de conexión nuevo mediante el envío de tráfico de inundación debido a una mala configuración de la red o a ataques de usuarios malintencionados.
    Nota: La configuración de Nuevo umbral de conexión (conexiones por segundo) (New Connection Threshold (connections per second)) no funcionará a menos que la Lista de no permitidos (Denylist) esté habilitada.
    Detectar duración (en segundos) (Detect Duration [seconds]) Antes de bloquear una dirección IP de origen, se otorga una duración de tiempo de gracia para la que la IP de origen infractora puede enviar flujos de tráfico.

    Si un host envía tráfico de inundación de nuevas solicitudes de conexión (exploración de puertos, inundación de SYN de TCP, etc.) que supera la conexión máxima permitida por segundo (CPS) para esta duración, se considerará que el host es apto para una lista de no permitidos en lugar de incluirlo en esa lista inmediatamente apenas supere una vez la CPS por origen. Por ejemplo, tenga en cuenta que la CPS máxima permitida es 10 con una duración de detección de 10 segundos. Por lo tanto, si el host inunda nuevas solicitudes de conexión superiores a 100 solicitudes durante 10 segundos, se lo incluirá en una lista de no permitidos.

    El valor permitido oscila entre 10 segundos y 100 segundos. El valor predeterminado es 10 segundos.
    Duración de la lista de no permitidos (en segundos) (Denylist Duration [seconds]) El tiempo durante el cual la dirección IP de origen infringida está bloqueada y no puede enviar paquetes. El valor permitido oscila entre 10 segundos y 86400 segundos. El valor predeterminado es 10 segundos.
    Ataques basados en TCP (TCP Based Attacks) Admite la protección contra los siguientes ataques basados en TCP al habilitar las casillas correspondientes:
    • Indicadores TCP no válidos (Invalid TCP Flags)
    • LAND de TCP (TCP Land)
    • Fragmento SYN de TCP (TCP SYN Fragment)
    Ataques basados en ICMP (ICMP Based Attacks) Admite la protección contra los siguientes ataques basados en ICMP al habilitar las casillas correspondientes:
    • Ping de la muerte de ICMP (ICMP Ping of Death)
    • Fragmento de ICMP (ICMP Fragment)
    Ataques basados en IP (IP Based Attacks) Admite la protección contra los siguientes ataques basados en IP al habilitar las casillas correspondientes:
    • Protocolo de IP desconocido (IP Unknown Protocol)
    • Opciones no seguras de IP (IP Insecure Options)
    • Protocolo IPv6 desconocido
    • Encabezado de extensión IPv6
    De forma opcional, también puede anular la configuración de ajustes de protección de red y contra inundación en el nivel de Edge. Para obtener más información, consulte Establecer la configuración de NetFlow para instancias de Edge.