Configurações do Security Suite em switches gerenciados 300 Series

Objetivo

O Security Suite nos Cisco 300 Series Managed Switches oferece proteção contra ataques de negação de serviço (DoS). Os ataques de DoS inundam as redes com tráfego falso, o que torna os recursos do servidor de rede indisponíveis ou sem resposta para usuários legítimos. Geralmente, há dois tipos de ataques DoS. Os ataques de força bruta do DoS inundam o servidor e consomem a largura de banda do servidor e da rede. Ataques sistemáticos manipulam vulnerabilidades de protocolos, como mensagens TCP SYN, para travar sistemas. Este artigo explica as configurações disponíveis no Security Suite nos 300 Series Managed Switches.

Note: As Access Control Lists (ACLs) e as políticas avançadas de QoS não estão ativas em uma porta quando a proteção contra ataques de DoS está ativada.

Dispositivos aplicáveis

Switches gerenciados SF/SG 300 Series

Versão de software

•1.3.0.62

Configuração das configurações do Security Suite

Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > Denial of Service Prevention > Security Suite Settings. A página Configurações do Security Suite é aberta:

Note: O mecanismo de proteção da CPU é ativado por padrão em 300 Series Managed Switches e não pode ser desativado. O switch usa a Secure Core Technology (SCT), que permite que o switch manipule o gerenciamento e o tráfego de protocolo, independentemente do volume de tráfego total recebido. 

Etapa 2. (Opcional) Clique em Detalhes no campo Utilização da CPU para visualizar a utilização da CPU. Consulte o artigo Utilização da CPU em Switches Gerenciados 200/300 Series para obter mais informações.

Etapa 3. (Opcional) Clique em Editar no campo TCP SYN Protection para editar as configurações TCP SYN Protection. Consulte o artigo Synchronize (SYN) Filtering Configuration on the 300 Series Managed Switches para obter mais informações.

Etapa 4. No campo Prevenção de DoS, clique no botão de opção que corresponde ao método de prevenção de DoS que você gostaria de empregar. As opções disponíveis são:

Desabilitar — Desabilitar o recurso de proteção DoS. Se Disable (Desabilitar) for selecionado, vá para a Etapa 13.

System - Level-Prevention — Ativa recursos de proteção DoS que protegem de Cavalo de Troia Invasor, Distribuição de Stacheldraht, Cavalo de Troia Back Orifice e Endereços Martian.

System - Level-Prevention and Interface-Level Protection (Sistema - Prevenção de nível e proteção de nível de interface) — Habilita todas as medidas de segurança definidas na área de Negação de serviço.

Etapa 5. Marque a caixa de seleção Enable no campo Stacheldraht Distribution para descartar pacotes TCP com um número de porta TCP de origem 16660.

Etapa 6. Marque a caixa de seleção Enable no campo Invasor Trojan para descartar pacotes TCP com uma porta TCP destino 2140 e uma porta TCP origem 1024.

Passo 7. Marque a caixa de seleção Enable no campo Back Orifice Trojan para descartar pacotes UDP com uma porta UDP de destino igual a 31337 e uma porta UDP de origem igual a 1024.

Note: Embora haja centenas de ataques de DoS, as portas mencionadas acima são normalmente exploradas para atividades mal-intencionadas. No entanto, eles também são usados para tráfego legítimo.  Se você tiver um dispositivo que usa qualquer uma das portas acima, essas informações serão bloqueadas.

Etapa 8. Clique em Editar no campo Endereços marcianos para editar a Tabela de Endereços marcianos. A Tabela de Endereços Marcianos descarta pacotes de endereços IP selecionados. Para editar a lista de endereços marcianos, consulte o artigo Negação de Serviço (DoS - Denial of Service) Martian Address Configuration on 300 Series Managed Switches.

Note: As Etapas 9 a 12 exigem que o nível do sistema e a Prevenção no nível da interface sejam escolhidos na Etapa 4. Vá para a etapa 13 se você tiver escolhido outro tipo de prevenção do DoS.

Etapa 9. Clique em Edit no campo SYN Filtering (Filtragem SYN) para permitir que o administrador bloqueie determinadas portas TCP. Para configurar a filtragem SYN, consulte o artigo Configuração de filtragem SYN de negação de serviço (DoS) em Switches gerenciados 300 Series.

Etapa 10. Clique em Edit no campo SYN Rate Protection para limitar o número de pacotes SYN recebidos. Para configurar a Proteção de Taxa SYN, consulte o artigo Proteção de Taxa SYN em Switches Gerenciados Série 300.

Etapa 11. Clique em Editar no campo Filtragem ICMP para permitir que os pacotes ICMP de determinadas fontes sejam bloqueados. Para configurar a filtragem ICMP, consulte o artigo Internet Control Message Protocol (ICMP) Filtering Configuration on the 300 Series Managed Switches.

Etapa 12. Clique em Editar no campo IP Fragmentado para bloquear pacotes IP fragmentados. Para configurar a Filtragem de Fragmentos IP, consulte o artigo Configuração de Filtragem de Fragmentos IP de Negação de Serviço (DoS - Denial of Service) em Switches Gerenciados Série 300.

Etapa 13. Clique em Aplicar para salvar as alterações ou clique em Cancelar para cancelá-las.