Configurações de firewall > Proteção contra inundação

A página Configurações de firewall > Proteção contra inundação permite visualizar estatísticas em tráfego de TCP através do dispositivo de segurança e gerenciar configurações de tráfego de TCP. A página está dividida em quatro seções

• Configurações de TCP

• Métodos de proteção contra inundação SYN

• Configurar a proteção contra inundação SYN de camada 3

• Configurar a proteção contra inundação SYN/RST/FIN de camada 2 - Lista negra MAC

• Configurações UDP

• Proteção contra inundação UDP

• Proteção contra inundação ICMP

• Estatísticas de tráfego

Configurações de TCP

A seção Configurações de TCP permite:

• Impor compatibilidade de TCP estrita com RFC 793 e RFC 1122 – selecione para garantir a compatibilidade estrita com várias regras de tempo limite de TCP. Esta definição maximiza a segurança do TCP, mas poderá causar problemas com o recurso Escala de janelas para os usuários do Windows Vista.

• Habilitar imposição de handshake TCP – exige um handshake de TCP de três vias bem-sucedido para todas as conexões TCP.

• Habilitar imposição de soma de verificação de TCP – se for calculada uma soma de verificação do TCP inválida, o pacote será descartado.

• Habilitar tempo limite de handshake TCP – O período de tempo limite (em segundos) para um handshake TCP de três vias completar sua conexão. Se o handshake TCP de três vias não completá-la no período de tempo limite, ele será descartado.

• Tempo limite de conexão TCP padrão – o tempo padrão atribuído a regras de acesso para tráfego de TCP. Se uma sessão TCP estiver ativa por um período em excesso desta configuração, a conexão TCP será limpa pelo firewall. O valor padrão é de 15 minutos, o valor mínimo é de 1 minuto e o valor máximo é de 999 minutos. Nota: A definição de tempos limites muito longos tornará a reclamação de recursos obsoletos mais lenta e, em casos extremos, poderá levar à exaustão do cache de conexão.

• Vida útil máxima de segmento (segundos) – determina o número de segundos durante o qual qualquer pacote TCP é válido antes de expirar. Esta configuração também é usada para determinar a quantidade de tempo (calculada como duas vezes a Vida útil máxima de segmento ou 2MSL) que uma conexão TCP ativamente fechada permanece no estado TIME_WAIT para garantir que a troca adequada de FIN/ACK ocorreu para fechar a conexão TCP de forma limpa.

– Valor padrão: 8 segundos

– Valor mínimo: 1 segundo

– Valor máximo: 60 segundos

Métodos de proteção contra inundação SYN

A proteção contra inundação SYN/RST/FIN ajuda a proteger hosts atrás do firewall contra ataques de Negação de Serviço (DoS) ou DoS distribuídos que tentam consumir os recursos disponíveis do host ao criar um dos seguintes mecanismos de ataque:

• Enviar pacotes TCP SYN, RST ou FIN com endereços IP inválidos ou falsificados.

• Criar números em excesso de conexões TCP semiabertas.

As seções a seguir detalham alguns métodos de proteção contra inundação SYN:

• Proteção contra inundação SYN usando cookies sem estado

• Métodos de proteção contra inundação SYN específico de camada

• Compreender listas de observação SYN

• Compreender um handshake TCP

Proteção contra inundação SYN usando cookies sem estado

O método de proteção contra inundação SYN usado que começa com o SonicOS usa cookies SYN sem estado, o que aumenta a confiabilidade da detecção de inundação SYN e também melhora a utilização de recursos no firewall. Com cookies SYN sem estado, o firewall não tem de manter o estado em conexões semiabertas. Em vez disso, ele usa um cálculo criptográfico (em vez de aleatoriedade) para chegar a SEQr.

Métodos de proteção contra inundação SYN específico de camada

O SonicOS fornece várias proteções contra inundações SYN gerada a partir de dois ambientes diferentes: redes confiáveis (internas) ou não confiáveis (externas). Os ataques de redes de WAN não confiáveis ocorrem geralmente em um ou mais servidores protegidos pelo firewall. Os ataques de redes de LAN confiáveis ocorrem em resultado de uma infecção por vírus dentro de uma ou mais redes confiáveis, gerando ataques em um ou mais hosts locais ou remotos.

Para fornecer uma defesa de firewall para ambos os cenários de ataque, o SonicOS oferece dois mecanismos de proteção contra inundação SYN separados em duas camadas diferentes. Cada um reúne e exibe estatísticas de inundação SYN e gera mensagens de log para eventos de inundação SYN significativos.

• Proxy SYN (camada 3) – este mecanismo protege servidores na rede confiável de ataques de inundação SYN baseados na WAN, usando uma implementação de proxy SYN para verificar os clientes de WAN antes de enviar suas solicitações de conexão para o servidor protegido. Você pode habilitar o proxy SYN somente em interfaces de WAN.

• Lista negra SYN (camada 2) – este mecanismo bloqueia dispositivos específicos da geração ou encaminhamento de ataques de inundação SYN. Você pode habilitar a lista negra SYN em qualquer interface.

Compreender listas de observação SYN

A arquitetura interna de mecanismos de proteção contra inundação SYN baseia-se em uma única lista de endereços Ethernet que são os dispositivos mais ativos enviando pacotes SYN iniciais para o firewall. Esta lista é denominada Lista de observação SYN. Uma vez que esta lista contém endereços de Ethernet, o dispositivo rastreia todo o tráfego SYN com base no endereço do dispositivo encaminhando o pacote SYN, sem considerar o endereço IP de origem ou de destino.

Cada entrada da lista de observação contém um valor denominado contagem de ocorrências. O valor da contagem de ocorrências aumenta quando o dispositivo recebe um pacote SYN inicial de um dispositivo correspondente. A contagem de ocorrências diminui quando o handshake de três vias do TCP é concluído. A contagem de ocorrências de qualquer dispositivo específico geralmente é igual ao número de conexões semiabertas pendentes desde a última vez que o dispositivo reiniciou a contagem de ocorrências. O padrão do dispositivo para redefinir uma contagem de ocorrências é de uma vez por segundo.

Os limites de registro, proxy SYN e lista negra SYN são comparados com os valores de contagem de ocorrências ao determinar se a alteração de uma mensagem de log ou um estado é necessária. Quando um ataque de inundação SYN ocorre, o número de conexões semiabertas pendentes do dispositivo que encaminha os pacotes de ataque aumenta substancialmente devido às tentativas de conexão falsificadas. Quando você define os limites de ataque corretamente, o fluxo de tráfego normal produz alguns avisos de ataques, mas os mesmos limites detectam e desviam os ataques antes de ocorrer uma degradação grave da rede.

Compreender um handshake TCP

Um handshake TCP típico (simplificado) começa com um iniciador enviando um pacote SYN TCP com um número de sequência de 32 bits (SEQi). O respondente envia então um pacote SYN/ACK confirmando a sequência recebida enviando uma ACK igual a SEQi+1 e um número de sequência aleatório (SEQr) de 32 bits. O respondente também mantém o estado aguardando uma ACK do iniciador. O pacote de ACK do iniciador deve conter a seguinte sequência (SEQi+1), juntamente com uma confirmação da sequência que recebeu do respondente (enviando um ACK igual a SEQr+1). A troca tem o aspecto seguinte:

1. Iniciador -> SYN (SEQi=0001234567, ACKi=0) -> Respondente

2. Iniciador <- SYN/ACK (SEQr=3987654321, ACKr=0001234568) <- Respondente

3. Iniciador -> ACK (SEQi=0001234568, ACKi=3987654322) -> Respondente

Uma vez que o respondente tem de manter o estado em todas as conexões TCP semiabertas, é possível a ocorrência de depleção de memória se os SYNs surgirem mais rapidamente do que a possibilidade de processamento ou eliminação pelo respondente. Uma conexão TCP semiaberta não transitou para um estado estabelecido através da conclusão do handshake de três vias. Quando o firewall está entre o iniciador e respondente, ele se torna efetivamente o respondente, atribuindo um agente ou um proxy na conexão TCP ao respondente atual (host privado) que está protegendo.

Configurar a proteção contra inundação SYN de camada 3

Para configurar os recursos de proteção contra inundação SYN, vá para Proteção contra inundação SYN de camada 3 – Proxy SYN da janela Configurações de firewall > Proteção contra inundação que aparece conforme mostrado na figura abaixo.

Um modo de proteção contra inundação SYN é o nível de proteção que você pode selecionar para se defender contra sessões TCP semiabertas e transmissões de pacotes SYN de alta frequência. Esse recurso permite que você defina três níveis diferentes de proteção contra inundação SYN:

• Observar e reportar possíveis inundações SYN – esta opção permite que o dispositivo monitore o tráfego SYN em todas as interfaces do dispositivo e registre atividade de inundação SYN suspeita que exceda o limite de contagem de um pacote. O recurso não ativa o proxy SYN no dispositivo e, assim, o dispositivo encaminha o handshake de três vias do TCP sem modificações. Este é o nível menos invasivo de proteção contra inundação SYN. Selecione esta opção se a sua rede não estiver em um ambiente de alto risco.

• Conexões cliente de WAN proxy quando há suspeita de ataque – esta opção permite que o dispositivo habilite o recurso de proxy SYN em interfaces de WAN quando o número de tentativas de conexão incompletas por segundo vai além de um limite especificado. Esse método garante que o dispositivo continuará a processar tráfego válido durante o ataque e que o desempenho não será prejudicado. O modo Proxy permanecerá habilitado até que todos os ataques de inundação SYN da WAN parem de ocorrer ou até que o dispositivo coloque em lista negra todos eles usando o recurso de lista negra SYN. Este é nível intermediário de proteção contra inundação SYN. Selecione esta opção se a sua rede foi alvo de ataques de inundação SYN de fontes internas ou externas.

• Conexões cliente de WAN proxy sempre – esta opção define o dispositivo para sempre usar proxy SYN. Este método bloqueia todos os pacotes SYN falsificados de passar pelo dispositivo. Observe que esta é uma medida de segurança extrema e faz com que o dispositivo responder a rastreamento de portas em todas as portas TCP, pois o recurso de proxy SYN força o dispositivo a responder a todas as tentativas de conexão SYN de TCP. Isso pode prejudicar o desempenho e gerar um falso positivo. Selecione esta opção somente se a sua rede estiver em um ambiente de alto risco.

Configurar o limite de ataque SYN

As opções de configuração Limite de ataque SYN fornecem limites para a atividade de Inundação SYN antes de o dispositivo descartar pacotes. O dispositivo reúne estatísticas sobre as conexões TCP de WAN, mantendo o controle das conexões de WAN máximas e médias máximas e incompletas por segundo. Fora destas estatísticas, o dispositivo sugere um valor para o limite de inundação SYN. Observe as duas opções na seção:

Valor sugerido calculado com base nas estatísticas coletadas – o limite de ataque sugerido com base nas estatísticas de conexão de TCP da WAN.

Limite de ataque (tentativas de conexão incompletas/segundo) – permite que você defina o limite para o número de tentativas de conexão incompletas por segundo antes de o dispositivo descartar os pacotes em qualquer valor entre 5 e 999.999.

Configurar opções de proxy SYN

Quando o dispositivo aplica um proxy SYN a uma conexão TCP, ele responde ao pacote SYN inicial com uma resposta SYN/ACK produzida, esperando a ACK em resposta antes de enviar a solicitação de conexão para o servidor. Os dispositivos que atacam com pacotes de inundação SYN não respondem à resposta SYN/ACK. O firewall identifica-os pela falta deste tipo de resposta e bloqueia as suas tentativas de conexão falsificadas. O proxy SYN força o firewall a produzir uma resposta SYN/ACK sem saber como o servidor responderá às opções de TCP normalmente fornecidas em pacotes SYN/ACK.

Para fornecer mais controle sobre as opções enviadas para clientes de WAN quando no modo Proxy SYN, você pode configurar os dois objetos seguintes:

• SACK (Confirmação seletiva) – este parâmetro controla se a opção ACK seletiva está habilitada. Com SACK habilitada, um pacote ou uma série de pacote pode ser descartado(a) e o que é recebido informa o remetente que dados foram recebidos e onde poderão existir falhas nos dados.

• MSS (Tamanho mínimo de segmento) – isto define o limite do tamanho de segmentos de TCP, impedindo que um segmento que é muito grande seja enviado para o servidor de destino. Por exemplo, se o servidor é um gateway IPsec, ele poderá precisar limitar o MSS que recebeu para fornecer espaço para cabeçalhos de IPSec ao enviar tráfego por túnel. O firewall não pode prever o valor MSS enviado ao servidor quando ele responde ao pacote SYN produzido durante a sequência de proxy. Sendo possível controlar o tamanho de um segmento, permite controlar o valor de MSS fabricado enviado para os clientes de WAN.

A região de limite do proxy SYN contém as seguintes opções:

• Todos os servidores LAN/DMZ oferecem suporte à opção TCP SACK – esta caixa de seleção habilita a opção ACK seletiva quando um pacote pode ser descartado e o dispositivo de recepção indica os pacotes que recebeu. Marque esta caixa de seleção somente se souber que todos os servidores abrangidos pelo firewall acessados a partir da WAN suportam a opção SACK.

• Limitar MSS enviado aos clientes de WAN (quando as conexões têm proxy) – permite que você insira o valor de tamanho do segmento mínimo e máximo. Se você especificar um valor de substituição para o padrão de 1460, isso indica que um segmento desse tamanho ou menor será enviado para o cliente no cookie SYN/ACK. A configuração deste valor para um valor muito baixo pode diminuir o desempenho quando o Proxy SYN estiver sempre habilitado. A configuração deste valor para um valor muito elevado pode interromper as conexões se o servidor responder com um valor MSS menor.

– Máximo de MSS TCP enviado a clientes de WAN. O valor do MSS. O padrão é 1460.

Observação Ao usar conexões de cliente WAN Proxy, lembre-se de definir estas opções de forma prudente, uma vez que estas afetam somente as conexões quando ocorre uma inundação SYN. Isto garante que as conexões legítimas possam prosseguir durante um ataque.

• Registrar sempre os pacotes SYN recebidos. Registrar todos os pacotes SYN recebidos.

Configurar a proteção contra inundação SYN/RST/FIN de camada 2 -
Lista negra MAC

O recurso de lista negra SYN/RST/FIN é uma lista que contém os dispositivos que excederam o limite do ataque à lista negra SYN, RST e FIN. O dispositivo de firewall descarta os pacotes enviados a partir de dispositivos em lista negra no começo do processo de avaliação de pacotes, ativando o firewall para lidar com maiores quantidades desses pacotes, proporcionando uma defesa contra ataques com origem em redes locais, fornecendo também proteção de segundo nível para redes de WAN.

Não é possível ter dispositivos na lista negra SYN/RST/FIN e na lista de observação simultaneamente. Com a lista negra habilitada, o firewall remove da lista de observação os dispositivos que ultrapassam o limite da lista negra e coloca-os na lista negra. Da mesma forma, quando o firewall remove um dispositivo da lista de exclusão, coloca-o de volta na lista observação. Qualquer dispositivo cujo endereço MAC tenha sido colocado na lista negra será removido dela aproximadamente três segundos após a inundação proveniente do dispositivo ter terminado.

A região da lista negra SYN/RST/FIN contém as seguintes opções:

• Limite para lista negra de inundação SYN/RST/FIN (SYNs/s) – o número máximo de pacotes SYN, RST e FIN permitidos por segundo. O padrão é 1.000. Este valor deve ser superior ao valor limite do Proxy SYN, pois a lista negra tenta conter ataques locais mais vigorosos ou ataques mais graves de uma rede WAN.

• Habilitar lista negra de inundação SYN/RST/FIN em todas as interfaces – esta caixa de seleção habilita o recurso de lista negra em todas as interfaces no firewall.

– Nunca colocar computadores de WAN na lista negra – esta caixa de seleção garante que os sistemas na WAN nunca sejam adicionados à lista negra SYN. Recomenda-se que esta opção não seja selecionada, pois poderá interromper o tráfego para e das portas WAN do firewall.

– Sempre permitir o tráfego de gerenciamento do SonicWall – esta caixa de seleção faz com que o tráfego IP de um dispositivo bloqueado que tem como alvo os endereços IP de WAN do firewall não seja filtrado. Isto permite que o tráfego de gerenciamento e os protocolos de roteamento mantenham a conectividade por meio de um dispositivo bloqueado.

Proteção contra DDOS de WAN (Inundações não-TCP)

O painel Proteção contra DDOS de WAN (Inundações não-TCP) é um recurso que foi substituído por Proteção contra inundação UDP e Proteção contra inundação ICMP conforme descrito nas seções a seguir.

Dell SonicWALL recomenda que você não use o recurso Proteção contra DDOS de WAN, e sim Proteção contra inundação UDP e Proteção contra inundação ICMP.

Configurações UDP

Tempo limite da conexão UDP padrão (segundos) – insira o número de segundos de tempo ocioso que desejar permitir antes de as conexões UDP atingirem o tempo limite. Este valor é substituído pelo tempo limite de conexão UDP que você definir para regras individuais.

Proteção contra inundação UDP

Ataques de inundação UDP são um tipo de ataque de negação de serviço (DoS). Eles são iniciados enviando uma grande quantidade de pacotes UDP para portas aleatórias em um host remoto. Como resultado, os recursos do sistema atacado serão consumidos através do tratamento de pacotes de ataque, o que eventualmente faz com que o sistema fique inacessível por outros clientes.

A proteção contra inundação UDP da SonicWALL defende contra esses ataques usando um método de "ver e bloquear". O dispositivo monitora o tráfego de UDP para um destino específico. Se a taxa de pacotes UDP por segundo exceder o limite permitido de um determinado período de tempo, o dispositivo descarta pacotes UDP subsequentes para proteção contra um ataque de inundação.

A passagem de pacotes UDP que são consulta DNS ou respostas para ou de um servidor DNS configurado pelo dispositivo é permitida, independentemente do estado da proteção contra inundação UDP.

As seguintes configurações definem a proteção contra inundação UDP:

• Habilitar proteção contra inundação UDP – habilita a proteção contra inundação UDP.

• Limitar ataque de inundação UDP (pacotes UDP/s) – a taxa de pacotes UDP por segundo enviados para um host, intervalo ou sub-rede que aciona a proteção contra inundação UDP.

• Tempo de bloqueio do ataque de inundação UDP (s) – após o dispositivo detectar a taxa de pacotes UDP que ultrapassem o limite de ataque para esse período de tempo, a proteção contra inundação UDP é ativada e o dispositivo iniciará o descarte dos pacotes UDP subsequentes.

• Lista de destino protegida de ataque de inundação UDP – o objeto ou grupo de endereço de destino que será protegido de um ataque de inundação UDP.

Proteção contra inundação ICMP

A proteção contra inundação ICMP funciona de forma idêntica à proteção contra inundação UDP, com a exceção do monitoramento de ataques de inundação ICMP. A única diferença é que não há consultas DNS que têm permissão para ignorar a proteção contra inundação ICMP.

As seguintes configurações definem a proteção contra inundação ICMP:

• Habilitar proteção contra inundação ICMP – habilita a proteção contra inundação ICMP.

• Limitar ataque de inundação ICMP (pacotes ICMP/s) – a taxa de pacotes ICMP por segundo enviados para um host, intervalo ou sub-rede que aciona a proteção contra inundação ICMP.

• Tempo de bloqueio do ataque de inundação ICMP (s) – após o dispositivo detectar a taxa de pacotes ICMP que ultrapassem o limite de ataque para esse período de tempo, a proteção contra inundação ICMP é ativada e o dispositivo iniciará o descarte dos pacotes ICMP subsequentes.

• Lista de destino protegida de ataque de inundação ICMP – o objeto ou grupo de endereço de destino que será protegido de um ataque de inundação ICMP.

Estatísticas de tráfego

A página Firewall > Proteção contra inundação fornece as seguintes estatísticas de tráfego:

• Estatísticas de tráfego TCP

• Estatísticas de tráfego UDP

• Estatísticas de tráfego ICMP

Estatísticas de tráfego TCP

A tabela Estatísticas de tráfego TCP fornece estatísticas sobre o seguinte:

• Conexões abertas – incrementado quando um iniciador de conexão TCP envia um SYN ou um respondente de conexão TCP recebe um SYN.

• Conexões fechadas – incrementado quando uma conexão TCP é fechada depois de o iniciador e o respondente terem enviado um FIN e recebido uma ACK.

• Conexões recusadas – incrementado quando um RST é encontrado e o respondente está em um estado SYN_RCVD.

• Conexões anuladas – incrementado quando um RST é encontrado e o respondente está em um estado que não SYN_RCVD.

• Total de pacotes TCP – incrementado com cada pacote TCP processado.

• Pacotes validados passados – incrementado de acordo com as seguintes condições:

– Quando um pacote TCP passa na validação da soma de verificação (enquanto a validação da soma de verificação do TCP estiver habilitada).

– Quando um pacote SYN válido é encontrado (enquanto a proteção contra inundação SYN estiver habilitada).

– Quando um cookie SYN for validado com êxito em um pacote com o sinalizador ACK definido (enquanto a proteção contra inundação SYN estiver habilitada).

• Pacotes malformados descartados – incrementado de acordo com as seguintes condições:

– Quando houver falha na validação da soma de verificação do TCP (enquanto a validação da soma de verificação do TCP estiver habilitada).

– Quando a opção SACK permitida do TCP (Confirmação seletiva, consulte RFC1072) for encontrada, mas o comprimento da opção calculado for incorreto.

– Quando a opção MSS do TCP (tamanho máximo do segmento) for encontrada, mas o comprimento da opção calculado for incorreto.

– Quando os dados da opção SACK do TCP forem calculados para serem menores do que o mínimo de 6 bytes ou o módulo incongruente com o tamanho do bloco de 4 bytes.

– Quando o comprimento da opção TCP for considerado inválido.

– Quando o comprimento do cabeçalho TCP for calculado para ser menor do que o mínimo de 20 bytes.

– Quando o comprimento do cabeçalho TCP for calculado para ser maior do que o comprimento de dados do pacote.

• Pacotes de sinalizador inválidos descartados – incrementado de acordo com as seguintes condições:

– Quando é recebido um pacote que não seja SYN que possa ser localizado no cache de conexão (enquanto a proteção contra inundação SYN estiver desabilitada).

– Quando um pacote com sinalizadores que não SYN, RST+ACK ou SYN+ACK for recebido durante o estabelecimento da sessão (enquanto a proteção contra inundação SYN estiver habilitada).

: •: A varredura XMAS de TCP será registrada se o pacote tiver os sinalizadores FIN, URG e PSH definidos.