Comment pourrait-on atténuer SYN FLOOD DOS sur Catalyst 3750/3560 car il n'a pas de protection de plan de contrôle?
Comment pourrait-on atténuer SYN FLOOD DOS sur Catalyst 3750/3560 car il n'a pas de protection de plan de contrôle?
Réponses:
Le 3750 a une priorité interne sur ce qu'il préfère punt lorsqu'il est encombré, mais ce n'est pas configurable.
Vous devez donc vous baser sur les meilleures pratiques courantes, c'est-à-dire que sur tous les bords de votre réseau, vous devez disposer d'iACL (infrastructure ACL). Dans iACL, vous autorisez les ports UDP, ICMP à l'infrastructure des adresses réseau et le repos. De cette façon, le ping et le traceroute fonctionnent, mais l'infrastructure ne peut pas être attaquée.
iACL devrait être complété par la régulation du trafic autorisé à des tarifs acceptables.
De cette façon, lorsqu'un tiers externe attaque des adresses sur votre 3750, il est supprimé par la bordure du réseau.
iACL est généralement 100% statique, donc il nécessite peu de maintenance, car il n'inclura que les adresses d'infrastructure (bouclage, liens principaux).
Cela laissera toujours des cas ouverts où votre routeur fait face directement au LAN du client, comme lorsque le LAN est 192.0.2.0/24 et 3750 a 192.0.2.1, alors généralement 192.0.2.1 ne serait pas couvert par iACL et peut être attaqué.
La solution pour ces appareils consiste à investir dans un appareil doté de capacités CoPP appropriées ou à maintenir un iACL dynamique en y ajoutant toujours l'adresse du client du routeur.
Si vous ne rencontrez des clients que via des réseaux de liaison (/ 30 ou / 31), la solution est beaucoup plus propre, vous omettez simplement de faire la publicité du réseau de liaison et ajoutez une route statique / 32 pour le côté CPE, de cette façon externe à ce routeur, les parties ne peuvent pas attaquer le routeur, car ils n'auront pas d'itinéraire.
Une solution alternative au même problème consiste à utiliser une entrée ACL non continue dans iACL, si votre réseau de liaison CPE est 198.51.100.0/24 dans iACL, vous pouvez faire 'refuser ip n'importe quel 198.51.100.0 0.0.0.254', alors toutes les adresses paires le seraient être autorisé et les adresses impaires refusées, donc si CPE est pair et 3750 est impair, tous les liens actuels et futurs sont protégés sans mettre à jour iACL.