Το VMware SD-WAN παρέχει εντοπισμό και προστασία από διάφορες επιθέσεις για την καταπολέμηση των προγραμμάτων εκμετάλλευσης σε όλα τα στάδια της εκτέλεσής τους.

Για να ασφαλίσετε όλες τις προσπάθειες σύνδεσης σε ένα εταιρικό δίκτυο, το VMware SD-WAN Orchestrator σας δίνει τη δυνατότητα να διαμορφώσετε τις ρυθμίσεις προστασίας δικτύου και υπερχείλισης σε επίπεδο Προφίλ και Edge, για προστασία από τους ακόλουθους τύπους επιθέσεων:
  • Επίθεση άρνησης υπηρεσίας (DoS)
  • Επιθέσεις που βασίζονται στο TCP - Μη έγκυροι δείκτες TCP, TCP Land και Τμήμα TCP SYN
  • Επιθέσεις με βάση το ICMP - ICMP Ping of Death και Τμήμα ICMP
  • Επιθέσεις που βασίζονται σε IP - Άγνωστο πρωτόκολλο IP και μη ασφαλείς επιλογές IP
Επίθεση άρνησης υπηρεσίας (DoS)

Μια επίθεση άρνησης υπηρεσίας (DoS) είναι ένας τύπος επίθεσης ασφάλειας δικτύου που κατακλύζει τη συσκευή-στόχο με έναν τεράστιο όγκο ψεύτικης κυκλοφορίας, έτσι ώστε οι πόροι του στόχου να απορροφηθούν στην επεξεργασία της ψεύτικης κυκλοφορίας με αποτέλεσμα να μην είναι δυνατή η επεξεργασία της κανονικής κυκλοφορίας. Ο στόχος μπορεί να είναι ένα τείχος προστασίας, οι πόροι δικτύου στους οποίους ελέγχει την πρόσβαση το τείχος προστασίας ή μια συγκεκριμένη πλατφόρμα υλικού ή το λειτουργικό σύστημα ενός μεμονωμένου κεντρικού υπολογιστή. Η επίθεση DoS προσπαθεί να εξαντλήσει τους πόρους της συσκευής-στόχου, καθιστώντας τη συσκευή προορισμού μη διαθέσιμη σε κανονικούς χρήστες.

Υπάρχουν δύο γενικές μέθοδοι επιθέσεων DoS: υπηρεσίες υπερχείλισης (flooding) ή υπηρεσίες διακοπής λειτουργίας (crashing). Οι επιθέσεις υπερχείλισης συμβαίνουν όταν το σύστημα λαμβάνει υπερβολική κυκλοφορία για προσωρινή αποθήκευση από τον διακομιστή, με αποτέλεσμα την επιβράδυνση και τελικά τη διακοπή της λειτουργίας του. Άλλες επιθέσεις DoS απλά εκμεταλλεύονται ευπάθειες που προκαλούν τη διακοπή λειτουργίας του συστήματος ή της υπηρεσίας-στόχου. Σε αυτές τις επιθέσεις, αποστέλλεται μια εισαγωγή που εκμεταλλεύεται σφάλματα, η οποία στη συνέχεια προκαλεί διακοπή λειτουργίας ή αποσταθεροποιεί σοβαρά το σύστημα.

Μη έγκυροι δείκτες TCP
Η επίθεση με μη έγκυρους δείκτες TCP συμβαίνει όταν ένα πακέτο TCP έχει εσφαλμένο ή μη έγκυρο συνδυασμό δεικτών. Η λειτουργία μιας ευάλωτης συσκευής-στόχου θα διακοπεί εξαιτίας των μη έγκυρων συνδυασμών δεικτών TCP και, ως εκ τούτου, συνιστάται το φιλτράρισμά τους. Οι μη έγκυροι δείκτες TCP προφυλάσσουν έναντι των εξής:
  • Πακέτο που δεν έχει καθορισμένους δείκτες στην κεφαλίδα TCP, όπως SYN, FIN, ACK κ.λπ.,
  • Κεφαλίδα TCP που έχει συνδυασμένους δείκτες SYN και FIN, οι οποίοι είναι ουσιαστικά αμοιβαία αποκλειόμενοι δείκτες
TCP Land

Επίθεση Land είναι μια επίθεση DoS επιπέδου 4 στην οποία δημιουργείται ένα πακέτο TCP SYN έτσι ώστε η διεύθυνση IP και η θύρα προέλευσης να είναι ίδιες με τη διεύθυνση IP και τη θύρα προορισμού, η οποία με τη σειρά της έχει οριστεί να οδηγεί σε μια ανοιχτή θύρα σε μια συσκευή-στόχο. Μια ευάλωτη συσκευή-στόχος θα λάμβανε ένα τέτοιο μήνυμα και θα απαντούσε στη διεύθυνση προορισμού, στέλνοντας ουσιαστικά το πακέτο για επανεπεξεργασία σε έναν ατέρμονα βρόχο. Έτσι, η CPU της συσκευής καταναλώνεται επ’ αόριστον προκαλώντας τη διακοπή λειτουργίας ή το πάγωμα της ευάλωτης συσκευής-στόχου.

Τμήμα TCP SYN

Το πρωτόκολλο Internet (IP) περικλείει ένα τμήμα SYN πρωτοκόλλου ελέγχου μετάδοσης (TCP) στο πακέτο IP για την έναρξη μιας σύνδεσης TCP και την κλήση ενός τμήματος SYN/ACK ως απόκριση. Επειδή το πακέτο IP είναι μικρό, δεν υπάρχει έγκυρος λόγος για τον κατακερματισμό του. Ένα κατακερματισμένο πακέτο SYN είναι μη κανονικό και ως εκ τούτου ύποπτο. Σε μια επίθεση τμήματος TCP SYN, ένας διακομιστής ή ένας κεντρικός υπολογιστής-στόχος κατακλύζεται με τμήματα πακέτων TCP SYN. Ο κεντρικός υπολογιστής συλλέγει τα τμήματα και περιμένει να φτάσουν τα υπόλοιπα πακέτα, ώστε να μπορέσει να τα συναρμολογήσει εκ νέου. Με την υπερχείλιση ενός διακομιστή ή κεντρικού υπολογιστή με συνδέσεις που δεν μπορούν να ολοκληρωθούν, το buffer μνήμης του κεντρικού υπολογιστή υπερχειλίζει και επομένως δεν είναι δυνατή η δημιουργία περαιτέρω ασφαλών συνδέσεων, προκαλώντας βλάβη στο λειτουργικό σύστημα του κεντρικού υπολογιστή-στόχου.

ICMP Ping of Death

Μια επίθεση Ping of Death πρωτοκόλλου μηνυμάτων ελέγχου Internet (ICMP) περιλαμβάνει την αποστολή πολλαπλών ακατάλληλων ή κακόβουλων ping σε μια συσκευή-στόχο. Ενώ τα πακέτα ping είναι γενικά μικρά και χρησιμοποιούνται για τον έλεγχο της προσβασιμότητας των κεντρικών υπολογιστών δικτύου, μπορούν να κατασκευαστούν με μεγαλύτερο από το μέγιστο μέγεθος των 65535 byte από τους επιτιθέμενους.

Όταν ένα κακόβουλα μεγάλο πακέτο μεταδίδεται από τον κακόβουλο κεντρικό υπολογιστή, το πακέτο κατακερματίζεται κατά τη μεταφορά και όταν η συσκευή-στόχος επιχειρεί να συναρμολογήσει εκ νέου τα τμήματα IP στο πλήρες πακέτο, το σύνολο υπερβαίνει το μέγιστο όριο μεγέθους. Αυτό μπορεί να υπερχειλίσει τα buffer μνήμης που είχε αρχικά εκχωρηθεί για το πακέτο, προκαλώντας διακοπή λειτουργίας ή πάγωμα ή επανεκκίνηση του συστήματος, καθώς αυτό δεν μπορεί να χειριστεί τόσο μεγάλα πακέτα.

Τμήμα ICMP

Μια επίθεση κατακερματισμού ICMP είναι μια κοινή επίθεση DoS που περιλαμβάνει υπερχείλιση με κακόβουλα τμήματα ICMP που δεν μπορούν να ανασυγκροτηθούν από τον διακομιστή-στόχο. Δεδομένου ότι η ανασυγκρότηση μπορεί να πραγματοποιηθεί μόνο όταν ληφθούν όλα τα τμήματα, η προσωρινή αποθήκευση τέτοιων πλαστών τμημάτων καταλαμβάνει μνήμη και μπορεί να εξαντλήσει τους διαθέσιμους πόρους μνήμης του ευάλωτου διακομιστή-στόχου, με αποτέλεσμα τη μη διαθεσιμότητα του διακομιστή.

Άγνωστο πρωτόκολλο IP

Η ενεργοποίηση της προστασίας άγνωστου πρωτοκόλλου IP αποκλείει πακέτα IP με πεδίο πρωτοκόλλου που περιέχει έναν αριθμό αναγνωριστικού πρωτοκόλλου 143 ή μεγαλύτερο, καθώς θα μπορούσε να προκληθεί αιφνίδια διακοπή λειτουργίας εάν δεν γίνει σωστά η διαχείρισή τους από την τελική συσκευή. Μια προσεκτική προσέγγιση θα ήταν να αποκλειστούν αυτά τα πακέτα IP από την είσοδο στο προστατευμένο δίκτυο.

Μη ασφαλείς επιλογές IP

Οι εισβολείς ορισμένες φορές ρυθμίζουν εσφαλμένα τα πεδία επιλογών IP μέσα σε ένα πακέτο IP, δημιουργώντας είτε ελλιπή είτε ακατάλληλα πεδία. Οι επιτιθέμενοι χρησιμοποιούν αυτά τα παραμορφωμένα πακέτα για να παραβιάσουν ευάλωτους κεντρικούς υπολογιστές στο δίκτυο. Η εκμετάλλευση της ευπάθειας μπορεί ενδεχομένως να επιτρέψει την εκτέλεση αυθαίρετου κώδικα. Η ευπάθεια μπορεί να αξιοποιηθεί μετά την επεξεργασία ενός πακέτου που περιέχει μια συγκεκριμένη επιλογή IP στην κεφαλίδα IP του πακέτου. Η ενεργοποίηση της προστασίας έναντι μη ασφαλών επιλογών IP αποκλείει πακέτα IP μεταφοράς με εσφαλμένα διαμορφωμένο πεδίο επιλογής IP στην κεφαλίδα πακέτου IP.

Διαμόρφωση ρυθμίσεων προστασίας δικτύου και υπερχείλισης

Για να διαμορφώσετε τις ρυθμίσεις προστασίας δικτύου και υπερχείλισης σε επίπεδο προφίλ, εκτελέστε τα ακόλουθα βήματα.

Διαδικασία

  1. Από το SD-WAN Orchestrator, μεταβείτε στο Διαμόρφωση > Προφίλ > Τείχος προστασίας (Configure > Profiles > Firewall).
  2. Ενεργοποιήστε το Καταστασιακό τείχος προστασίας (Stateful Firewall) για το επιλεγμένο προφίλ.
  3. Στην περιοχή Ρυθμίσεις προστασίας δικτύου και υπερχείλισης (Network & Flood Protection Settings), διαμορφώστε τις ακόλουθες ρυθμίσεις:
    Από προεπιλογή, οι ρυθμίσεις προστασίας δικτύου και υπερχείλισης εφαρμόζονται για διευθύνσεις IPv4.
    Σημείωση: Εάν θέλετε να διαμορφώσετε τις ρυθμίσεις προστασίας δικτύου και υπερχείλισης για διευθύνσεις IPv6, πρέπει να χρησιμοποιήσετε το νέο περιβάλλον εργασίας χρήστη Orchestrator. Για περισσότερες πληροφορίες, δείτε Διαμόρφωση τείχους προστασίας με το νέο περιβάλλον εργασίας χρήστη Orchestrator.
    Πεδίο Περιγραφή
    Νέο όριο συνδέσεων (συνδέσεις ανά δευτερόλεπτο) [New Connection Threshold (connections per second)] Ο μέγιστος αριθμός νέων συνδέσεων που επιτρέπονται από μία μόνο IP προέλευσης ανά δευτερόλεπτο. Οι επιτρεπόμενες τιμές κυμαίνονται από 10 ποσοστιαίες μονάδες έως 100 ποσοστιαίες μονάδες. Η προεπιλεγμένη τιμή είναι 25 ποσοστιαίες μονάδες.
    Denylist (Denylist) Ενεργοποιήστε το πλαίσιο ελέγχου για να αποκλείσετε μια διεύθυνση IP προέλευσης, η οποία παραβιάζει το νέο όριο συνδέσεων στέλνοντας κυκλοφορία υπερχείλισης είτε λόγω εσφαλμένης διαμόρφωσης του δικτύου είτε λόγω κακόβουλων επιθέσεων χρηστών.
    Σημείωση: Οι ρυθμίσεις Νέο όριο συνδέσεων (συνδέσεις ανά δευτερόλεπτο) [New Connection Threshold (connections per second)] θα λειτουργήσουν μόνο εάν είναι ενεργοποιημένο το Denylist.
    Διάρκεια ανίχνευσης (δευτερόλεπτα) [Detect Duration (seconds)] Πριν από τον αποκλεισμό μιας διεύθυνσης IP προέλευσης, είναι η χρονική διάρκεια χάριτος για την οποία επιτρέπεται η αποστολή ροών κυκλοφορίας από την IP προέλευσης που παραβιάζει τον κανόνα.

    Εάν ένας κεντρικός υπολογιστής στείλει κυκλοφορία υπερχείλισης με νέα αιτήματα σύνδεσης (σάρωση θύρας, υπερχείλιση TCP SYN κ.λπ.) που υπερβαίνουν τον μέγιστο επιτρεπόμενο αριθμό συνδέσεων ανά δευτερόλεπτο (CPS) για αυτή τη διάρκεια, θα θεωρείται επιλέξιμος για denylisting αντί για να τεθεί σε denylist αμέσως μόλις υπερβεί μία φορά το CPS ανά προέλευση. Ας πάρουμε για παράδειγμα ένα μέγιστο επιτρεπόμενο CPS 10 με διάρκεια ανίχνευσης 10 δευτερολέπτων, εάν ο κεντρικός υπολογιστής στείλει κυκλοφορία υπερχείλισης με περισσότερες από 100 νέες αιτήσεις σύνδεσης για 10 δευτερόλεπτα, τότε ο κεντρικός υπολογιστής θα τεθεί σε denylist.

    Η επιτρεπόμενη τιμή κυμαίνεται από 10 δευτερόλεπτα έως 100 δευτερόλεπτα. Η προεπιλεγμένη τιμή είναι 10 δευτερόλεπτα.
    Διάρκεια Denylist (δευτερόλεπτα) [Denylist Duration (seconds)] Η χρονική διάρκεια για την οποία η IP προέλευσης που έχει παραβιαστεί αποκλείεται από την αποστολή πακέτων. Η επιτρεπόμενη τιμή κυμαίνεται από 10 δευτερόλεπτα έως 86400 δευτερόλεπτα. Η προεπιλεγμένη τιμή είναι 10 δευτερόλεπτα.
    Επιθέσεις που βασίζονται στο TCP (TCP Based Attacks) Υποστηρίζει την προστασία από τις ακόλουθες επιθέσεις που βασίζονται στο TCP, ενεργοποιώντας τα αντίστοιχα πλαίσια ελέγχου:
    • Μη έγκυροι δείκτες TCP (Invalid TCP Flags)
    • TCP Land (TCP Land)
    • Τμήμα TCP SYN (TCP SYN Fragment)
    Επιθέσεις με βάση το ICMP (ICMP Based Attacks) Υποστηρίζει την προστασία από τις ακόλουθες επιθέσεις που βασίζονται στο ICMP, ενεργοποιώντας τα αντίστοιχα πλαίσια ελέγχου:
    • ICMP Ping of Death
    • Τμήμα ICMP (ICMP Fragment)
    Επιθέσεις με βάση την IP (IP Based Attacks) Υποστηρίζει την προστασία από τις ακόλουθες επιθέσεις που βασίζονται στο IP, ενεργοποιώντας τα αντίστοιχα πλαίσια ελέγχου:
    • Άγνωστο πρωτόκολλο IP (IP Unknown Protocol)
    • Μη ασφαλείς επιλογές IP (IP Insecure Options)
    Προαιρετικά, μπορείτε επίσης να παρακάμψετε τις ρυθμίσεις προστασίας δικτύου και υπερχείλισης σε επίπεδο Edge. Για περισσότερες πληροφορίες, δείτε Διαμόρφωση ρυθμίσεων Netflow για Edge.