Como se pode mitigar o SYN FLOOD DOS no Catalyst 3750/3560, pois não possui proteção no plano de controle?
Como se pode mitigar o SYN FLOOD DOS no Catalyst 3750/3560, pois não possui proteção no plano de controle?
Respostas:
O 3750 tem alguma prioridade interna sobre o que prefere usar quando está congestionado, mas não é configurável.
Portanto, você deve confiar nas melhores práticas comuns, ou seja, em todas as suas bordas da rede, você deve ter o iACL (infraestrutura ACL). No iACL, você permitiria conexões UDP, ICMP para endereços de rede de infraestrutura e descanso. Dessa forma, o ping e o traceroute funcionam, mas a infraestrutura não pode ser atacada.
A iACL deve ser complementada pelo policiamento do tráfego permitido para pequenas taxas aceitáveis.
Dessa forma, quando uma parte externa estiver atacando endereços no seu 3750, ele será descartado pela borda da rede na borda.
O iACL geralmente é 100% estático, por isso é de baixa manutenção, pois inclui apenas endereços de infraestrutura (loopback, links principais).
Isso ainda deixará casos abertos em que o roteador está enfrentando a LAN do cliente diretamente, como quando a LAN é 192.0.2.0/24 e o 3750 possui 192.0.2.1, em geral o 192.0.2.1 não seria coberto pelo iACL e pode ser atacado.
A solução para esses dispositivos é investir em dispositivos com recursos CoPP adequados ou manter o iACL dinâmico, sempre adicionando o endereço do cliente do roteador lá.
Se você enfrentar apenas clientes por meio de redes de link (/ 30 ou / 31), a solução é muito mais limpa, você simplesmente omite a publicidade da rede de link e adiciona a rota estática / 32 para o lado do CPE, desta forma, o externo a esses roteadores não pode atacar. roteador, pois eles não terão rota.
A solução alternativa para o mesmo problema é usar a entrada ACL não contínua no iACL, se sua rede de links CPE for 198.51.100.0/24 no iACL, você poderá negar o IP 198.51.100.0 0.0.0.254 '', todos os endereços pares seja permitido e endereços ímpares sejam negados; portanto, se o CPE for par e o 3750 for ímpar, todos os links atuais e futuros serão protegidos sem atualizar o iACL.