VMware SD-WAN offre funzionalità di rilevamento e protezione contro vari attacchi per combattere gli exploit in tutte le fasi della loro esecuzione.

Per proteggere tutti i tentativi di connessione in una rete aziendale, VMware SD-WAN Orchestrator consente di configurare le impostazioni di protezione rete e flooding a livello di profilo ed Edge, per proteggersi dai seguenti tipi di attacchi:
  • Attacco DoS (Denial of Service)
  • Attacchi basati su TCP: Flag TCP non validi, TCP Land e Frammento SYN TCP
  • Attacchi basati su ICMP: Ping of Death ICMP e Frammento ICMP
  • Attacchi basati su IP: Protocollo IP sconosciuto, Opzioni IP, Protocollo IPv6 sconosciuto e Intestazione estensione IPv6
Attacco DoS (Denial of Service)

Un attacco DoS (Denial of Service) è un tipo di attacco alla sicurezza della rete che sovraccarica il dispositivo di destinazione con una notevole quantità di traffico fittizio, in modo che il dispositivo si dedichi all'elaborazione del traffico fittizio e non elabori il traffico legittimo. La destinazione può essere un firewall, le risorse di rete di cui il firewall controlla l'accesso oppure una piattaforma hardware o un sistema operativo specifici di un singolo host. Gli attacchi DoS tentano di esaurire le risorse del dispositivo di destinazione, rendendolo non disponibile per gli utenti legittimi.

Sono disponibili due metodi generali per gli attacchi DoS, ovvero servizi di flooding o servizi di arresto anomalo. Gli attacchi di flooding si verificano quando il sistema riceve troppo traffico per il buffer del server. Ciò causa un rallentamento e infine l'arresto. Gli altri attacchi DoS sfruttano semplicemente le vulnerabilità che causano un arresto anomalo del sistema o del servizio di destinazione. In questi attacchi, viene inviato un input che sfrutta i bug del sistema di destinazione, che di conseguenza viene arrestato in modo anomalo o gravemente destabilizzato.

Flag TCP non validi
L'attacco Flag TCP non validi si verifica quando la combinazione di flag di un pacchetto TCP è errata o non è valida. Le combinazioni di flag TCP non valide causano l'arresto anomalo di un dispositivo di destinazione vulnerabile. È quindi consigliabile escluderle. Flag TCP non validi protegge da:
  • Pacchetto che non ha flag impostati nell'intestazione TCP come SYN, FIN, ACK e così via.
  • Intestazione TCP con combinazione di flag SYN e FIN, che sono flag che si escludono a vicenda.
TCP Land

Un attacco Land è un attacco DoS di livello 4 in cui viene creato un pacchetto SYN TCP in modo che l'indirizzo IP e la porta di origine siano uguali all'indirizzo IP e alla porta di destinazione, che a sua volta è impostata in modo da puntare a una porta aperta su un dispositivo di destinazione. Un dispositivo di destinazione vulnerabile riceverà un messaggio di questo tipo e risponderà all'indirizzo di destinazione inviando effettivamente il pacchetto per la rielaborazione in un ciclo infinito. In questo modo, la CPU del dispositivo viene utilizzata indefinitamente causando l'arresto anomalo o il blocco del dispositivo di destinazione vulnerabile.

Frammento SYN TCP

Il protocollo Internet (IP) incapsula un segmento SYN del protocollo TCP (Transmission Control Protocol) nel pacchetto IP per avviare una connessione TCP e richiamare un segmento SYN/ACK in risposta. Poiché il pacchetto IP è piccolo, non esiste un motivo legittimo per frammentarlo. Un pacchetto SYN frammentato è anomalo e, in quanto tale, sospetto. In un attacco Frammento SYN TCP, un server o un host di destinazione riceve frammenti di pacchetti SYN TCP. L'host cattura i frammenti e attende che i pacchetti rimanenti arrivino in modo da poterli riassemblare. Quando viene eseguito il flooding di un server o un host con connessioni che non possono essere completate, si verifica l'overflow del buffer di memoria dell'host e pertanto non sono possibili ulteriori connessioni legittime. Ciò causa danni al sistema operativo dell'host di destinazione.

Ping of Death ICMP

Un attacco Ping of Death ICMP (Internet Control Message Protocol) si verifica quando un utente malintenzionato invia più ping errati o dannosi a un dispositivo di destinazione. Mentre i pacchetti ping utilizzati per il controllo della raggiungibilità degli host di rete sono in genere piccoli, gli utenti malintenzionati possono creare pacchetti ping più grandi che superano le dimensioni massime di 65535 byte.

Quando un pacchetto grande viene trasmesso dall'host dannoso, il pacchetto viene frammentato durante il transito e quando il dispositivo di destinazione tenta di riassemblare i frammenti IP nel pacchetto completo, il totale supera il limite massimo delle dimensioni. In questo caso, potrebbe verificarsi l'overflow dei buffer di memoria inizialmente allocati per il pacchetto causando l'arresto anomalo, il blocco o il riavvio del sistema, perché non è in grado di gestire pacchetti così grandi.

Frammento ICMP

Un attacco Frammento ICMP è un attacco DoS comune che comporta il flooding di frammenti ICMP fraudolenti che non possono essere deframmentati nel server di destinazione. Poiché la deframmentazione può avvenire solo quando vengono ricevuti tutti i frammenti, l'archiviazione temporanea di tali frammenti falsi occupa memoria e può esaurire le risorse di memoria disponibili del server di destinazione vulnerabile, causandone l'indisponibilità.

Protocollo IP sconosciuto

Se si abilita la protezione Protocollo IP sconosciuto, vengono bloccati i pacchetti IP in cui il campo del protocollo contiene un numero di ID di protocollo pari a 143 o superiore, perché può causare un arresto anomalo se non viene gestito correttamente sul dispositivo finale. È consigliabile impedire che tali pacchetti IP entrino nella rete protetta.

Opzioni IP

Gli utenti malintenzionati configurano a volte in modo non corretto campi di opzioni IP in un pacchetto IP generando campi incompleti o non validi. Gli utenti malintenzionati utilizzano questi pacchetti non validi per compromettere gli host vulnerabili nella rete. Lo sfruttamento della vulnerabilità può consentire l'esecuzione di codice arbitrario. La vulnerabilità può essere sfruttata dopo l'elaborazione di un pacchetto contenente un'opzione IP specificamente creata nell'intestazione IP del pacchetto. Se si abilita la protezione Opzioni IP non sicure, vengono bloccati i pacchetti IP di transito con un campo di opzione IP formattato in modo errato nell'intestazione del pacchetto IP.

Protocollo IPv6 sconosciuto

Se si abilita la protezione per Protocollo IPv6 sconosciuto, vengono bloccati i pacchetti IPv6 in cui il campo del protocollo contiene un numero di ID protocollo pari a 143 o superiore, perché può causare un arresto anomalo se non viene gestito correttamente sul dispositivo finale. È consigliabile impedire che tali pacchetti IPv6 entrino nella rete protetta.

Intestazione estensione IPv6

L'attacco Intestazione estensione IPv6 è un attacco DoS che si verifica a causa di una gestione non corretta delle intestazioni di estensione in un pacchetto IPv6. La gestione non corretta delle intestazioni di estensione IPv6 crea nuovi vettori di attacco che potrebbero causare un attacco DoS e che possono essere sfruttati per scopi diversi, ad esempio la creazione di canali coperti e il routing di attacchi con intestazione 0. Se si abilita questa opzione, vengono eliminati i pacchetti IPv6 con qualsiasi intestazione di estensione, ad eccezione delle intestazioni di frammentazione.

Configurazione delle impostazioni di protezione rete e flooding

Per configurare le impostazioni di protezione rete e flooding a livello di profilo, eseguire i passaggi seguenti.

Procedura

  1. Da SD-WAN Orchestrator, passare a Configura (Configure) > Profili (Profiles) > Firewall.
  2. Abilitare Firewall stateful (Stateful Firewall) per il profilo selezionato.
  3. Nell'area Impostazioni di protezione rete e flooding (Network & Flood Protection Settings), configurare le seguenti impostazioni:
    Per impostazione predefinita, le impostazioni di protezione rete e flooding vengono applicate per gli indirizzi IPv4.
    Nota: Se si desidera configurare le impostazioni di protezione rete e flooding per gli indirizzi IPv6, è necessario utilizzare la nuova interfaccia utente di Orchestrator. Per ulteriori informazioni, vedere Configurazione del firewall con la nuova interfaccia utente di Orchestrator.
    Campo Descrizione
    Nuova soglia di connessione (connessioni al secondo) (New Connection Threshold (connections per second)) Il numero massimo di nuove connessioni consentite da un singolo IP di origine al secondo. Il valore consentito varia da 10% a 100%. Il valore predefinito è 25%.
    Elenco elementi non consentiti (Denylist) Abilitare la casella di controllo per bloccare un indirizzo IP di origine, che viola la nuova soglia di connessione inviando traffico di flooding a causa di una configurazione non corretta della rete o degli attacchi di utenti malintenzionati.
    Nota: Le impostazioni della Nuova soglia di connessione (connessioni al secondo) (New Connection Threshold (connections per second)) non funzionerà se è abilitato Elenco elementi non consentiti (Denylist).
    Rileva durata (secondi) (Detect Duration (seconds)) Prima di bloccare un indirizzo IP di origine, è la durata del periodo di tolleranza in cui l'IP di origine che esegue la violazione può inviare flussi di traffico.

    Se un host invia il traffico di flooding di nuove richieste di connessione (scansione della porta, flooding SYN TCP e così via) che superano il numero massimo consentito di connessioni al secondo (CPS) per questa durata, verrà considerato idoneo per l'inclusione nell'elenco di elementi non consentiti anziché includerlo immediatamente in tale elenco non appena supera il CPS per origine una volta sola. Ad esempio, si supponga che il valore massimo consentito di CPS sia 10 con una durata del rilevamento di 10 secondi. Se l'host esegue il flooding di nuove richieste di connessione superando 100 richieste per 10 secondi, l'host verrà incluso nell'elenco degli elementi non consentiti.

    Il valore consentito varia da 10 secondi a 100 secondi. Il valore predefinito è 10 secondi.
    Durata elenco elementi non consentiti (secondi) (Denylist Duration (seconds)) Il periodo di tempo per cui l'IP di origine violato non può inviare pacchetti. Il valore consentito varia da 10 secondi a 86400 secondi. Il valore predefinito è 10 secondi.
    Attacchi basati su TCP (TCP Based Attacks) Supporta la protezione dai seguenti attacchi basati su TCP abilitando le rispettive caselle di controllo:
    • Flag TCP non validi (Invalid TCP Flags)
    • TCP Land
    • Frammento SYN TCP (TCP SYN Fragment)
    Attacchi basati su ICMP (ICMP Based Attacks) Supporta la protezione dai seguenti attacchi basati su ICMP abilitando le rispettive caselle di controllo:
    • Ping of Death ICMP (ICMP Ping of Death)
    • Frammento ICMP (ICMP Fragment)
    Attacchi basati su IP (IP Based Attacks) Supporta la protezione dai seguenti attacchi basati su IP abilitando le rispettive caselle di controllo:
    • Protocollo IP sconosciuto (IP Unknown Protocol)
    • Opzioni IP non sicure (IP Insecure Options)
    • Protocollo IPv6 sconosciuto
    • Intestazione estensione IPv6
    Facoltativamente, è inoltre possibile sostituire le impostazioni di protezione rete e flooding a livello di Edge. Per ulteriori informazioni, vedere Configurazione delle impostazioni di Netflow per gli Edge.