O VMware SD-WAN fornece deteção e proteção contra vários ataques para combater vulnerabilidades em todas as fases da sua execução.

Para proteger todas as tentativas de ligação numa rede empresarial, o VMware SD-WAN Orchestrator permite-lhe configurar as definições de proteção de rede e flood nos níveis do perfil e Edge, para proteger contra os seguintes tipos de ataques:
  • Ataque de negação de serviço (DoS)
  • Ataques baseados em TCP – Sinalizações TCP inválidas, Land TCP e Fragmento SYN TCP
  • Ataques baseados em ICMP – Ping of Death ICMP e Fragmento ICMP
  • Ataques baseados em IP – Protocolo desconhecido IP e opções de IP inseguro
Ataque de negação de serviço (DoS)

Um ataque de negação de serviço (DoS) é um tipo de ataque de segurança de rede que sobrecarrega o dispositivo alvo com uma quantidade enorme de tráfego falso para que o alvo fique tão concentrado a processar o tráfego falso que o tráfego legítimo não pode ser processado. O alvo pode ser uma firewall, os recursos de rede cuja acesso é controlado pela firewall, ou uma plataforma de hardware específica ou sistema operativo de um anfitrião individual. O ataque DoS tenta esgotar os recursos do dispositivo alvo, tornando o dispositivo alvo indisponível para utilizadores legítimos.

Existem dois métodos gerais de ataques DoS: sobrecarregar os serviços ou levar à falha dos serviços. Os ataques de flood ocorrem quando o sistema recebe demasiado tráfego para o servidor colocar na memória intermédia, fazendo com que este abrande e, eventualmente, pare. Outros ataques DoS simplesmente exploram vulnerabilidades que levam à falha do sistema ou serviço alvo. Nestes ataques, é enviada uma entrada que tira partido de erros no alvo que posteriormente falha ou desestabiliza gravemente o sistema.

Sinalizações TCP inválidas
O ataque de sinalizações TCP inválidas ocorre quando um pacote TCP tem uma combinação de sinalizações incorretas ou inválidas. Um dispositivo alvo vulnerável irá falhar devido às combinações de sinalizações TCP inválidas e, por isso, é recomendado filtrá-las. As sinalizações TCP inválidas protegem contra:
  • Pacote que não têm sinalizações definidas no respetivo cabeçalho TCP, como SYN, FIN, ACK, etc.,
  • Cabeçalho TCP com sinalizações SYN e FIN combinadas, que na verdade são sinalizações mutuamente exclusivas
Land TCP

Um ataque Land é um ataque DoS de camada 4 onde é criado um pacote SYN TCP no qual a porta e o endereço IP de origem são configurados para serem iguais ao endereço IP e à porta de destino, que, por sua vez, são configurados para apontar para uma porta aberta num dispositivo alvo. Um dispositivo alvo vulnerável receberia essa mensagem e responderia ao endereço de destino enviando, efetivamente, o pacote para reprocessamento num ciclo infinito. Assim, a CPU do dispositivo é consumida indefinidamente fazendo com que o dispositivo alvo vulnerável falhe ou bloqueie.

Fragmento SYN TCP

O protocolo de Internet (IP) engloba um segmento SYN do protocolo de controlo de transmissão (TCP) no pacote IP para iniciar uma ligação TCP e invocar um segmento SYN/ACK em resposta. Como o pacote IP é pequeno, não há razão legítima para que seja fragmentado. Um pacote SYN fragmentado é anómalo e, como tal, suspeito. Num ataque de fragmento SYN TCP, um servidor ou anfitrião alvo é inundado com fragmentos de pacote SYN TCP. O anfitrião recebe os fragmentos e aguarda a chegada dos restantes pacotes para que os possa voltar a montar. Ao sobrecarregar um servidor ou anfitrião com ligações que não possam ser concluídas, a memória intermédia do anfitrião excede a sua capacidade e, portanto, não consegue processar mais ligações legítimas, causando danos no sistema operativo do anfitrião alvo.

Ping of Death ICMP

Um ataque Ping of Death (ICMP) do Protocolo de mensagens de controlo da Internet (ICMP) consiste no intruso a enviar vários pings malformados ou maliciosos para um dispositivo alvo. Embora os pacotes ping sejam geralmente pouco utilizados para verificar a capacidade de alcance dos anfitriões da rede, estes poderiam ser criados com um tamanho superior ao tamanho máximo de 65 535 bytes pelos atacantes.

Quando um pacote maliciosamente grande é transmitido do anfitrião malicioso, o pacote é fragmentado em trânsito e quando o dispositivo alvo tenta voltar a montar os fragmentos do IP num pacote completo, o total excede o limite máximo de tamanho. Isto poderia exceder a capacidade das memórias intermédias inicialmente atribuídas para o pacote, causando a falha, o bloqueio ou a reinicialização do sistema, uma vez que não conseguem lidar com pacotes tão grandes.

Fragmento ICMP

Um ataque de fragmentação do ICMP é um ataque DoS comum que implica uma sobrecarga de fragmentos ICMP fraudulentos que não podem ser desfragmentados no servidor alvo. Como a desfragmentação apenas pode ocorrer quando todos os fragmentos são recebidos, o armazenamento temporário de tais fragmentos falsos ocupa a memória e pode esgotar os recursos de memória disponíveis do servidor alvo vulnerável, resultando na indisponibilidade do servidor.

Protocolo desconhecido IP

Ativar a proteção de protocolo desconhecido IP bloqueia pacotes IP com o campo de protocolo com um número de ID de protocolo 143 ou superior, uma vez que tal pode levar a uma falha se não forem devidamente tratados no dispositivo final. Uma posição cautelosa seria bloquear esses pacotes IP de entrar na rede protegida.

Opções de IP inseguro

Por vezes, os atacantes configuram os campos de opções IP num pacote IP incorretamente, produzindo campos incompletos ou malformados. Os atacantes utilizam estes pacotes malformados para comprometer anfitriões vulneráveis na rede. A exploração da vulnerabilidade pode potencialmente permitir a execução arbitrária de código. A vulnerabilidade pode ser explorada após o processamento de um pacote contendo uma opção IP criada específica no cabeçalho IP do pacote. Ativar a proteção de opções de IP inseguro bloqueia pacotes IP de trânsito com um campo de opção IP incorretamente formatado no cabeçalho do pacote IP.

Configurar as definições de proteção de rede e flood

Para configurar as definições de proteção de rede e flood ao nível do perfil, execute os seguintes passos.

Procedimento

  1. No SD-WAN Orchestrator, aceda a Configurar > Perfis > Firewall (Configure > Profiles > Firewall).
  2. Ative Firewall com estado (Stateful Firewall) para o perfil selecionado.
  3. Na área Definições de proteção de rede e flood (Network & Flood Protection Settings), configure as seguintes definições:
    Campo Descrição
    Novo limiar de ligação (ligações por segundo) [New Connection Threshold (connections per second)] O número máximo de novas ligações permitido a partir de um único IP de origem por segundo. O valor permitido varia entre 10 por cento até 100 por cento. O valor predefinido é 25 por cento.
    Lista de negações (Denylist) Ative a caixa de verificação para bloquear um endereço IP de origem que esteja a violar o novo limiar de ligação ao enviar tráfego de sobrecarga devido à configuração errada da rede ou a ataques de utilizadores maliciosos.
    Nota: As definições Novo limiar de ligações (ligações por segundo) [New Connection Threshold (connections per second)] não funcionarão exceto se a Lista de negações (Denylist) estiver ativada.
    Duração de deteção (segundos) [Detect Duration (seconds)] Esta é a duração do tempo de tolerância durante o qual o IP de origem em violação tem permissão para enviar fluxos de tráfego, antes de um endereço IP de origem ser bloqueado.

    Se um anfitrião enviar tráfego de flood de novos pedidos de ligação (leitura de porta, flood SYN TCP, etc.) excedendo o máximo de ligações permitidas por segundo (CPS) para esta duração, será considerado como elegível para a lista de negações ao invés de passar imediatamente para a lista de negações assim que exceder o CPS por origem uma vez. Por exemplo, considere que o CPS máximo permitido é 10, com uma duração de deteção de 10 segundos, se o anfitrião for sobrecarregado com um número de novos pedidos de ligação superior a 100 por 10 segundos, o anfitrião será colocado na lista de negações.

    O valor permitido varia entre 10 segundos e 100 segundos. O valor predefinido é 10 segundos.
    Duração da lista de negações (segundos) [Denylist Duration (seconds)] A duração de tempo durante o qual o IP de origem violado está bloqueado e não pode enviar quaisquer pacotes. O valor permitido varia entre 10 segundos e 86400 segundos. O valor predefinido é 10 segundos.
    Ataques baseados em TCP (TCP Based Attacks) Suporta a proteção contra os seguintes ataques baseados em TCP, permitindo as respetivas caixas de verificação:
    • Sinalizações TCP inválidas (Invalid TCP Flags)
    • Land TCP (TCP Land)
    • Fragmento SYN TCP (TCP SYN Fragment)
    Ataques baseados em ICMP (ICMP Based Attacks) Suporta a proteção contra os seguintes ataques baseados em ICMP, permitindo as respetivas caixas de verificação:
    • Ping of Death ICMP (ICMP Ping of Death)
    • Fragmento ICMP (ICMP Fragment)
    Ataques baseados em IP (IP Based Attacks) Suporta a proteção contra os seguintes ataques baseados em IP, permitindo as respetivas caixas de verificação:
    • Protocolo desconhecido IP (IP Unknown Protocol)
    • Opções de IP inseguro (IP Insecure Options)
    Opcionalmente, também pode anular as definições de proteção de rede e flood ao nível do Edge. Para obter mais informações, consulte Configurar as definições Netflow para os Edges.