¿Cómo se puede mitigar SYN FLOOD DOS en Catalyst 3750/3560 ya que no tiene protección de plano de control?
¿Cómo se puede mitigar SYN FLOOD DOS en Catalyst 3750/3560 ya que no tiene protección de plano de control?
Respuestas:
3750 tiene alguna prioridad interna sobre lo que prefiere despejar cuando está congestionado, pero no es configurable.
Por lo tanto, debe confiar en las mejores prácticas comunes, es decir, en todos los bordes de su red, debe tener iACL (infraestructura ACL). En iACL permitiría puertos UDP altos, ICMP a direcciones de red de infraestructura y descartaría el resto. De esta manera, el ping y el traceroute funcionan, pero la infraestructura no puede ser atacada.
La iACL debe complementarse vigilando el tráfico permitido a pequeñas tasas aceptables.
De esta manera, cuando una parte externa está atacando direcciones en su 3750, se caerá por el borde de la red en el borde.
iACL generalmente es 100% estático, por lo que requiere poco mantenimiento, ya que solo incluirá direcciones de infraestructura (loopback, enlaces principales).
Esto seguirá dejando casos abiertos donde su enrutador se enfrenta directamente a la LAN del cliente, como cuando LAN es 192.0.2.0/24 y 3750 tiene 192.0.2.1, por lo general, 192.0.2.1 no estaría cubierto por iACL y puede ser atacado.
La solución para esos dispositivos es invertir en un dispositivo con capacidades CoPP adecuadas o mantener una iACL dinámica siempre agregando allí la dirección del cliente del enrutador.
Si solo se enfrenta a clientes a través de redes de enlace (/ 30 o / 31), la solución es mucho más limpia, simplemente omita la publicidad de la red de enlace y agregue la ruta estática / 32 para el lado CPE, de esta manera las partes externas a este enrutador no pueden atacar enrutador, ya que no tendrán ruta.
La solución alternativa al mismo problema es usar una entrada de ACL no continua en iACL, si su red de enlace CPE es 198.51.100.0/24 en iACL, podría hacer 'denegar ip cualquier 198.51.100.0 0.0.0.254', entonces todas las direcciones pares se permita y se denegarán las direcciones impares, por lo que si CPE es par y 3750 es impar, todos los enlaces actuales y futuros están protegidos sin actualizar iACL.