O VMware SD-WAN fornece deteção e proteção contra vários ataques para combater vulnerabilidades em todas as fases da sua execução.
- Ataque de negação de serviço (DoS)
- Ataques baseados em TCP – Flags TCP inválidas, Land TCP e Fragmento SYN TCP
- Ataques baseados em ICMP – Ping of Death ICMP e Fragmento ICMP
- Ataques baseados em IP – Protocolo IP desconhecido, Opções IP, Protocolo desconhecido IPv6 e Cabeçalho da extensão IPv6
Um ataque de negação de serviço (DoS) é um tipo de ataque de segurança de rede que sobrecarrega o dispositivo alvo com uma quantidade enorme de tráfego falso para que o alvo fique tão concentrado a processar o tráfego falso que o tráfego legítimo não pode ser processado. O alvo pode ser uma firewall, os recursos de rede cuja acesso é controlado pela firewall, ou uma plataforma de hardware específica ou sistema operativo de um anfitrião individual. O ataque DoS tenta esgotar os recursos do dispositivo alvo, tornando o dispositivo alvo indisponível para utilizadores legítimos.
Existem dois métodos gerais de ataques DoS: sobrecarregar os serviços ou levar à falha dos serviços. Os ataques de flood ocorrem quando o sistema recebe demasiado tráfego para o servidor colocar na memória intermédia, fazendo com que este abrande e, eventualmente, pare. Outros ataques DoS simplesmente exploram vulnerabilidades que levam à falha do sistema ou serviço alvo. Nestes ataques, é enviada uma entrada que tira partido de erros no alvo que posteriormente falha ou desestabiliza gravemente o sistema.
- Pacote que não têm sinalizações definidas no respetivo cabeçalho TCP, como SYN, FIN, ACK, etc.,
- Cabeçalho TCP com sinalizações SYN e FIN combinadas, que na verdade são sinalizações mutuamente exclusivas
Um ataque Land é um ataque DoS de camada 4 onde é criado um pacote SYN TCP no qual a porta e o endereço IP de origem são configurados para serem iguais ao endereço IP e à porta de destino, que, por sua vez, são configurados para apontar para uma porta aberta num dispositivo alvo. Um dispositivo alvo vulnerável receberia essa mensagem e responderia ao endereço de destino enviando, efetivamente, o pacote para reprocessamento num ciclo infinito. Assim, a CPU do dispositivo é consumida indefinidamente fazendo com que o dispositivo alvo vulnerável falhe ou bloqueie.
O protocolo de Internet (IP) engloba um segmento SYN do protocolo de controlo de transmissão (TCP) no pacote IP para iniciar uma ligação TCP e invocar um segmento SYN/ACK em resposta. Como o pacote IP é pequeno, não há razão legítima para que seja fragmentado. Um pacote SYN fragmentado é anómalo e, como tal, suspeito. Num ataque de fragmento SYN TCP, um servidor ou anfitrião alvo é inundado com fragmentos de pacote SYN TCP. O anfitrião recebe os fragmentos e aguarda a chegada dos restantes pacotes para que os possa voltar a montar. Ao sobrecarregar um servidor ou anfitrião com ligações que não possam ser concluídas, a memória intermédia do anfitrião excede a sua capacidade e, portanto, não consegue processar mais ligações legítimas, causando danos no sistema operativo do anfitrião alvo.
Um ataque Ping of Death (ICMP) do Protocolo de mensagens de controlo da Internet (ICMP) consiste no intruso a enviar vários pings malformados ou maliciosos para um dispositivo alvo. Embora os pacotes ping sejam geralmente pouco utilizados para verificar a capacidade de alcance dos anfitriões da rede, estes poderiam ser criados com um tamanho superior ao tamanho máximo de 65 535 bytes pelos atacantes.
Quando um pacote maliciosamente grande é transmitido do anfitrião malicioso, o pacote é fragmentado em trânsito e quando o dispositivo alvo tenta voltar a montar os fragmentos do IP num pacote completo, o total excede o limite máximo de tamanho. Isto poderia exceder a capacidade das memórias intermédias inicialmente atribuídas para o pacote, causando a falha, o bloqueio ou a reinicialização do sistema, uma vez que não conseguem lidar com pacotes tão grandes.
Um ataque de fragmentação do ICMP é um ataque DoS comum que implica uma sobrecarga de fragmentos ICMP fraudulentos que não podem ser desfragmentados no servidor alvo. Como a desfragmentação apenas pode ocorrer quando todos os fragmentos são recebidos, o armazenamento temporário de tais fragmentos falsos ocupa a memória e pode esgotar os recursos de memória disponíveis do servidor alvo vulnerável, resultando na indisponibilidade do servidor.
Ativar a proteção de protocolo desconhecido IP bloqueia pacotes IP com o campo de protocolo com um número de ID de protocolo 143 ou superior, uma vez que tal pode levar a uma falha se não forem devidamente tratados no dispositivo final. Uma posição cautelosa seria bloquear esses pacotes IP de entrar na rede protegida.
Por vezes, os atacantes configuram os campos de opções IP num pacote IP incorretamente, produzindo campos incompletos ou malformados. Os atacantes utilizam estes pacotes malformados para comprometer anfitriões vulneráveis na rede. A exploração da vulnerabilidade pode potencialmente permitir a execução arbitrária de código. A vulnerabilidade pode ser explorada após o processamento de um pacote contendo uma opção IP criada específica no cabeçalho IP do pacote. Ativar a proteção de opções de IP inseguro bloqueia pacotes IP de trânsito com um campo de opção IP incorretamente formatado no cabeçalho do pacote IP.
Ativar a proteção de Protocolo desconhecido IPv6 bloqueia os pacotes IPv6 com o campo de protocolo com um número de ID de protocolo 143 ou superior, uma vez que tal pode levar a uma falha se não forem devidamente tratados no dispositivo final. Uma posição cautelosa seria bloquear a entrada desses pacotes IPv6 na rede protegida.
O ataque do Cabeçalho da extensão IPv6 é um ataque DoS que ocorre devido ao processamento incorreto de cabeçalhos de extensão num pacote IPv6. O processamento incorreto de cabeçalhos da extensão IPv6 cria novos vetores de ataque que podem levar ao DoS e que podem ser explorados para diferentes fins, como a criação de canais secretos e o routing de ataques de cabeçalho 0. Ativar esta opção permitirá ignorar o pacote IPv6 com qualquer cabeçalho de extensão, exceto cabeçalhos de fragmentação.
Para configurar as definições de proteção de rede e flood ao nível do perfil, execute os seguintes passos.
Procedimento
- Na área Definições de proteção de rede e flood (Network & Flood Protection Settings), configure as seguintes definições:
Por predefinição, as definições de proteção de rede e flood são aplicadas a endereços IPv4.Nota: Se pretender configurar as definições de proteção de rede e flood para endereços IPv6, tem de utilizar a nova IU do Orchestrator. Para obter mais informações, consulte Configurar uma firewall com a nova IU do Orchestrator.Campo Descrição Novo limiar de ligação (ligações por segundo) [New Connection Threshold (connections per second)] O número máximo de novas ligações permitido a partir de um único IP de origem por segundo. O valor permitido varia entre 10 por cento até 100 por cento. O valor predefinido é 25 por cento. Lista de negações (Denylist) Ative a caixa de verificação para bloquear um endereço IP de origem que esteja a violar o novo limiar de ligação ao enviar tráfego de sobrecarga devido à configuração errada da rede ou a ataques de utilizadores maliciosos. Nota: As definições Novo limiar de ligações (ligações por segundo) [New Connection Threshold (connections per second)] não funcionarão exceto se a Lista de negações (Denylist) estiver ativada.Duração de deteção (segundos) [Detect Duration (seconds)] Esta é a duração do tempo de tolerância durante o qual o IP de origem em violação tem permissão para enviar fluxos de tráfego, antes de um endereço IP de origem ser bloqueado. Se um anfitrião enviar tráfego de flood de novos pedidos de ligação (leitura de porta, flood SYN TCP, etc.) excedendo o máximo de ligações permitidas por segundo (CPS) para esta duração, será considerado como elegível para a lista de negações ao invés de passar imediatamente para a lista de negações assim que exceder o CPS por origem uma vez. Por exemplo, considere que o CPS máximo permitido é 10, com uma duração de deteção de 10 segundos, se o anfitrião for sobrecarregado com um número de novos pedidos de ligação superior a 100 por 10 segundos, o anfitrião será colocado na lista de negações.
O valor permitido varia entre 10 segundos e 100 segundos. O valor predefinido é 10 segundos.Duração da lista de negações (segundos) [Denylist Duration (seconds)] A duração de tempo durante o qual o IP de origem violado está bloqueado e não pode enviar quaisquer pacotes. O valor permitido varia entre 10 segundos e 86400 segundos. O valor predefinido é 10 segundos. Ataques baseados em TCP (TCP Based Attacks) Suporta a proteção contra os seguintes ataques baseados em TCP, permitindo as respetivas caixas de verificação: - Flags TCP inválidas (Invalid TCP Flags)
- Land TCP (TCP Land)
- Fragmento SYN TCP (TCP SYN Fragment)
Ataques baseados em ICMP (ICMP Based Attacks) Suporta a proteção contra os seguintes ataques baseados em ICMP, permitindo as respetivas caixas de verificação: - Ping of Death ICMP (ICMP Ping of Death)
- Fragmento ICMP (ICMP Fragment)
Ataques baseados em IP (IP Based Attacks) Suporta a proteção contra os seguintes ataques baseados em IP, permitindo as respetivas caixas de verificação: - Protocolo desconhecido IP (IP Unknown Protocol)
- Opções de IP inseguro (IP Insecure Options)
- Protocolo desconhecido IPv6 (IPv6 Unknown Protoco)
- Cabeçalho da extensão IPv6 (IPv6 Extension Header)
Opcionalmente, também pode anular as definições de proteção de rede e flood ao nível do Edge. Para obter mais informações, consulte Configurar as definições Netflow para os Edges.
