सिस्को उत्प्रेरक 3750/3560 SYN FLOOD संरक्षण


11

उत्प्रेरक 3750/3560 पर SYN FLOOD DOS को कैसे कम किया जा सकता है क्योंकि इसका कोई नियंत्रण विमान सुरक्षा नहीं है?

जवाबों:


11

3750 में कुछ आंतरिक रूप से प्राथमिकता होती है कि यह भीड़भाड़ होने पर क्या करना चाहता है, लेकिन यह कॉन्फ़िगर करने योग्य नहीं है।

तो आपको सामान्य सर्वोत्तम प्रथाओं पर भरोसा करना चाहिए, जो आपके सभी नेटवर्क किनारों पर हैं जिनके पास आपको आईएसीएल (बुनियादी ढांचा एसीएल) होना चाहिए। IACL में आप UDP के हाईपावर, ICMP से लेकर इंफ्रास्ट्रक्चर नेटवर्क एड्रेस और बाकी को छोड़ सकते हैं। इस तरह से पिंग और ट्रेसरूट काम करते हैं, लेकिन बुनियादी ढांचे पर हमला नहीं किया जा सकता है।
iACL को स्वीकार्य स्वीकार्य छोटी दरों पर यातायात को पुलिस द्वारा पूरक किया जाना चाहिए।

इस तरह जब बाहरी पार्टी आपके 3750 पर पतों पर हमला कर रही है, तो इसे किनारे में नेटवर्क की सीमा से हटा दिया जाएगा।

iACL आमतौर पर 100% स्थिर है, इसलिए यह कम रखरखाव है, क्योंकि इसमें केवल बुनियादी ढांचे के पते (लूपबैक, कोर लिंक) शामिल होंगे।

यह अभी भी व्यापक खुले मामलों को छोड़ देगा जहां आपका राउटर सीधे ग्राहक लैन का सामना कर रहा है, जैसे जब लैन 192.0.2.0/24 और 3750 में 192.0.2.1 होता है, तो आमतौर पर 192.0.2.1 iACL द्वारा कवर नहीं किया जाएगा और हमला किया जा सकता है।
उन उपकरणों के लिए समाधान या तो उचित सीओपीपी क्षमताओं के साथ डिवाइस पर निवेश करना है या डायनेमिक आईएसीएल को बनाए रखना हमेशा राउटर के ग्राहक का सामना करने वाले पते को जोड़ना है।

यदि आप केवल लिंक-नेटवर्क (/ 30 या 31) समाधान के माध्यम से ग्राहकों का सामना करते हैं, तो आप बहुत साफ-सुथरे हैं, आप लिंक-नेटवर्क का विज्ञापन छोड़ देते हैं और CPE पक्ष के लिए स्थैतिक / 32 मार्ग जोड़ते हैं, इस तरह इस राउटर पार्टियों पर बाहरी हमला नहीं कर सकते हैं। राउटर, क्योंकि उनके पास मार्ग नहीं होगा।
एक ही मुद्दे का वैकल्पिक समाधान iACL में गैर-निरंतर ACL प्रविष्टि का उपयोग करना है, यदि आपका CPE लिंक-नेटवर्क 198.51.100.0/24 iACL में है तो आप 'IP को किसी भी 198.51.100.0 0.0.2.254 से वंचित कर सकते हैं' तो सभी पते भी अनुमति दी जानी चाहिए और विषम पते से इनकार किया जाता है, इसलिए यदि CPE सम और 3750 विषम है, तो सभी वर्तमान और भविष्य के लिंक iACL को अपडेट किए बिना सुरक्षित हैं।


1
बहुत यकीन है कि आप 198.51.100.0 0.0.0.254 मतलब
Marco Marzetti
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.