Несмотря на то, что ресурсы ДМЗ доступны из внешней сети, они тоже нуждаются в защите. Распространенный тип атаки на сервера – это лавинные атаки SYN.
Для защиты от таких атак, на маршрутизаторе периметра необходимо установить средства ТСР -перехвата. Это позволяет фиксировать запросы ТСР -соединений от ТСР -клиентов к TCP -серверам и перехватывать, подтверждать или запрещать их.
Система TCP-перехвата работает в режиме перехвата и режиме мониторинга.
В режиме перехвата (по умолчанию) выполняется перехват пакетов синхронизации (SYN) от клиентов к серверам и проверка их по расширенному списку доступа. Средства ТСР-перехвата отвечают клиенту вместо сервера и проверяют его право на установку связи с сервером. Если запрос разрешается, система устанавливает соединение с сервером от имени клиента, установив два "полусоединения". Перехват и переправление пакетов выполняется в течение всего времени существования соединения.
В режиме мониторинга система ТСР -перехвата наблюдает за запросами на установку соединений. Если соединение не устанавливается в течение заданного времени, то система прерывает попытку установки соединения.
Если число наполовину открытых соединений превышает заданное пороговое значение, это является признаком лавинной атаки SYN. Система ТСР -перехвата переходит в агрессивный режим. Полуоткрытые соединения, превысившие порог сбрасываются, а уже установленные соединения остаются открытыми.
Настройка защиты от синхронных атак
С помощью средства ТСР -перехвата можно задерживать все запросы или только те, которые прибыли из определенных сетей или адресованы определенным серверам. Можно также настроить скорость соединения и установить предел времени для соединений, ожидающих обработки.
Рассмотрим процесс настройки системы ТСР -перехвата.
1. Сформируйте расширенный список доступа для защиты серверов назначения.
Router(config)# access-list ACL-number { deny | permit } tcp any dest_address mask
dest_address – ip –адрес сервера.
2. Включите систему ТСР -перехвата с помощью команды ip tcp intercept.
Router(config)# ip tcp intercept list ACL-number
3. Установите режим работы перехвата с помощью комнды ip tcp intercept mode.
Router(config)# ip tcp intercept mode (intercept | watch }.
4. Установите время ожидания ответа с помощью команды ip tcp intercept connection-timeout.
Router(config)# ip tcp intercept connection-timeout seconds
5. Установите пороговые значения перехода в агрессивный режим и выхода из него.
Router(config)# ip tcp intercept max-incomplete high number – количество незакрытых соединений превышение которого включит агрессивный режим (по умолчанию 1100).
Router(config)# ip tcp intercept max-incomplete low - количество незакрытых соединений при которых выключится агрессивный режим (по умолчанию 900).
Router(config)# ip tcp intercept one-minute high number – количество незакрытых соединений, установленных в течении минуты, превышение которого включит агрессивный режим (по умолчанию 1100).
Router(config)# ip tcp intercept one-minute low - количество незакрытых соединений, установленных в течении минуты, при которых выключится агрессивный режим (по умолчанию 900).
После выполнения этих действий можно проверить работусистемы ТСР -перехвата.
Проверить информацию о наполовину установленных и установленных соединениях можно с помощью команды show tcp intercept connections.
Замечание. При использовании СВАС применять TCP -перехват нельзя.