Управление логированием и защитой от сетевых атак

Управление защитой от сетевых атак

ip firewall screen dos-defense icmp-threshold

Данная команда включает защиту от ICMP flood атак. При включенной защите ограничивается количество icmp-пакетов всех типов в секунду для одного адреса назначения.

Использование отрицательной формы команды (no) отключает защиту от ICMP flood атак.

Синтаксис

ip firewall screen dos-defense icmp-threshold { <NUM> }

no ip firewall screen dos-defense icmp-threshold

Параметры

<NUM> – количество icmp-пакетов в секунду задается в диапазоне [1..10000]

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen dos-defense icmp-threshold 2000

CODE

ip firewall screen dos-defense land

Данная команда включает защиту от land-атак. При включенной защите блокируются пакеты с одинаковыми source и destination ip, и флагом SYN в заголовке TCP.

Использование отрицательной формы команды (no) отключает защиту от land-атак.

Синтаксис

[no] ip firewall screen dos-defense land

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen dos-defense land

CODE

ip firewall screen dos-defense limit-session-destination

Когда таблица IP-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы (такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение числа пакетов, передаваемых за секунду на один адреса назначения, которое смягчает DoS-атаки.

Использование отрицательной формы команды (no) снимает это ограничение.

Синтаксис

ip firewall screen dos-defense limit-session-destination { <NUM> }

no ip firewall screen dos-defense limit-session-destination

Параметры

<NUM> – ограничение количества ip-пакетов в секунду задается в диапазоне [1..10000].

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen dos-defense limit-session-destination 1000

CODE

ip firewall screen dos-defense limit-session-source

Когда таблица IP-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы (такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение числа пакетов, передаваемых за секунду с одного адреса источника, которое смягчает DoS-атаки.

Использование отрицательной формы команды (no) снимает это ограничение.

Синтаксис

ip firewall screen dos-defense limit-session-source { <NUM> }

no ip firewall screen dos-defense limit-session-source

Параметры

<NUM> – ограничение количества ip-пакетов в секунду задается в диапазоне [1..10000].

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen dos-defense limit-session-source 1000

CODE

ip firewall screen dos-defense syn-flood

Данная команда включает защиту от SYN flood атак. При включенной защите ограничивается количество TCP пакетов с установленным флагом SYN в секунду для одного адреса назначения.

Использование отрицательной формы команды (no) отключает защиту от SYN flood атак.

Синтаксис

ip firewall screen dos-defense syn-flood { <NUM> } [src-dst]

no ip firewall screen dos-defense syn-flood

Параметры

<NUM> – максимальное количество TCP-пакетов с установленным флагом SYN в секунду задается в диапазоне [1..10000].

src-dst – ограничение количества TCP-пакетов с установленным флагом SYN на основании адреса источника и адреса назначения.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen dos-defense syn-flood 100 src-dsr

CODE

ip firewall screen dos-defense udp-threshold

Данная команда включает защиту от UDP flood атак. При включенной защите ограничивается количество UDP пакетов в секунду для одного адреса назначения.

Использование отрицательной формы команды (no) отключает защиту от UDP flood.

Синтаксис

ip firewall screen dos-defense udp-threshold { <NUM> }

no ip firewall screen dos-defense udp-threshold

Параметры

<NUM> – максимальное количество UDP-пакетов в секунду задается в диапазоне [1..10000].

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen dos-defense udp-threshold

CODE

ip firewall screen dos-defense winnuke

Данная команда включает защиту от winnuke-атак. При включенной защите блокируются TCP-пакеты с установленным флагом URG и 139 портом назначения.

Использование отрицательной формы команды (no) отключает защиту от winnuke-атак.

Синтаксис

[no] ip firewall screen dos-defense winnuke

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen dos-defense winnuke

CODE

ip firewall screen spy-blocking fin-no-ack

Данная команда включает блокировку TCP-пакетов с установленным флагом FIN и не установленным флагом ACK.

Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов с установленным флагом FIN и не установленным флагом ACK.

Синтаксис

[no] ip firewall screen spy-blocking fin-no-ack

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking fin-no-ack

CODE

ip firewall screen spy-blocking icmp-type destination-unreachable

Данная команда включает блокировку всех ICMP-пакетов 3 типа (destination-unreachable), включая пакеты, сгенерированные самим маршрутизатором.

Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 3 типа.

Синтаксис

[no] ip firewall screen spy-blocking icmp-type destination-unreachable

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking icmp-type destination-unreachable

CODE

ip firewall screen spy-blocking icmp-type echo-request

Данная команда включает блокировку всех ICMP пакетов 8 типа (echo-request), включая пакеты, сгенерированные самим маршрутизатором.

Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 8 типа.

Синтаксис

[no] ip firewall screen spy-blocking icmp-type echo-request

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking icmp-type echo-request

CODE

ip firewall screen spy-blocking icmp-type reserved

Данная команда включает блокировку всех ICMP-пакетов 2 и 7 типов (reserved), включая пакеты, сгенерированные самим маршрутизатором.

Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 2 и 7 типов.

Синтаксис

[no] ip firewall screen spy-blocking icmp-type reserved

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking icmp-type reserved

CODE

ip firewall screen spy-blocking icmp-type source-quench

Данная команда включает блокировку всех ICMP-пакетов 4 типа (source quench), включая пакеты, сгенерированные самим маршрутизатором.

Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 4 типа.

Синтаксис

[no] ip firewall screen spy-blocking icmp-type source-quench

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking icmp-type source-quench

CODE

ip firewall screen spy-blocking icmp-type time-exceeded

Данная команда включает блокировку всех ICMP-пакетов 11 типа (time exceeded), включая пакеты, сгенерированные самим маршрутизатором.

Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 11 типа.

Синтаксис

[no] ip firewall screen spy-blocking icmp-type time-exceeded

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking icmp-type time-exceeded

CODE

ip firewall screen spy-blocking ip-sweep

Данная команда включает защиту от IP-sweep атак. При включенной защите, если в течение заданного в параметрах интервала приходит более 10 ICMP-запросов от одного источника, первые 10 запросов пропускаются маршрутизатором, а 11 и последующие отбрасываются на оставшееся время интервала.

Использование отрицательной формы команды (no) отключает защиту от ip-sweep атак.

Синтаксис

ip firewall screen spy-blocking ip-sweep <THRESHOLD> [ <TIME> ]

no ip firewall screen spy-blocking ip-sweep

Параметры

<THRESHOLD> – количество пакетов ip sweep атаки в секунду, задается в диапазоне [1..10000].

<TIME> – время блокировки в миллисекундах [1..1000000].

Значение по умолчанию

Отключено.

Без указания времени блокировки при включении, устанавливается значение 10000.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking ip-sweep 1000

CODE

ip firewall screen spy-blocking port-scan

Данная команда включает защиту от port scan атак. Если в течение первого заданного интервала времени (<threshold>) на один источник приходит более 10 TCP-пакетов с флагом SYN на разные TCP-порты или более 10 UDP-пакетов на разные UDP-порты, то такое поведение фиксируется как port scan атака и все последующие пакеты такого рода от источника блокируются на второй заданный интервал времени (<TIME>).

Использование отрицательной формы команды (no) отключает защиту от port scan атак.

Синтаксис

ip firewall screen spy-blocking port-scan <THRESHOLD> [ <TIME> ]

no ip firewall screen spy-blocking port-scan

Параметры

<THRESHOLD> – количество пакетов port scan атаки в секунду, указывается в диапазоне [1..10000].

<TIME> – время блокировки в миллисекундах [1..1000000].

Значение по умолчанию

Отключено.

Без указания времени блокировки при включении, устанавливается значение 10000.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking port-scan 100 1000

CODE

ip firewall screen spy-blocking spoofing

Данная команда включает защиту от IP spoofing атак. При включенной защите маршрутизатор проверяет пакеты на соответствие адреса источника и записей в таблице маршрутизации и в случае несоответствия пакет отбрасывается. Например, если пакет с адресом источника 10.0.0.1/24 приходит на интерфейс Gi1/0/1, а в таблице маршрутизации данная подсеть располагается за интерфейсом Gi1/0/2, то считается, что адрес источника был подменен.

Использование отрицательной формы команды (no) отключает защиту от ip spoofing атак.

Синтаксис

[no] ip firewall screen spy-blocking spoofing

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking spoofing

CODE

ip firewall screen spy-blocking syn-fin

Данная команда включает блокировку TCP-пакетов, с установленными флагами SYN и FIN.

Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, с установленными флагами SYN и FIN.

Синтаксис

[no] ip firewall screen spy-blocking syn-fin

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking syn-fin

CODE

ip firewall screen spy-blocking tcp-all-flags

Данная команда включает блокировку TCP-пакетов, со всеми флагами или с набором флагов: FIN, PSH, URG. Обеспечивается защита от атаки XMAS.

Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, со всеми флагами или с набором флагов: FIN,PSH,URG.

Синтаксис

[no] ip firewall screen spy-blocking tcp-all-flag

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking tcp-all-flag

CODE

ip firewall screen spy-blocking tcp-no-flag

Данная команда включает блокировку TCP-пакетов, с нулевым полем flags.

Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, с нулевым полем flags.

Синтаксис

[no] ip firewall screen spy-blocking tcp-no-flag

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen spy-blocking tcp-no-flag

CODE

ip firewall screen suspicious-packets icmp-fragment

Данная команда включает блокировку фрагментированных ICMP-пакетов.

Использование отрицательной формы команды (no) отключает блокировку фрагментированных ICMP-пакетов.

Синтаксис

[no] ip firewall screen suspicious-packets icmp-fragment

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen suspicious-packets icmp-fragment

CODE

ip firewall screen suspicious-packets ip-fragment

Данная команда включает блокировку фрагментированных IP-пакетов.

Использование отрицательной формы команды (no) отключает блокировку фрагментированных пакетов.

Синтаксис

[no] ip firewall screen suspicious-packets ip-fragment

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen suspicious-packets ip-fragment

CODE

ip firewall screen suspicious-packets large-icmp

Данная команда включает блокировку ICMP-пакетов длиной более 1024 байт.

Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов длиной более 1024 байт.

Синтаксис

[no] ip firewall screen suspicious-packets large-icmp

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen suspicious-packets large-icmp

CODE

ip firewall screen suspicious-packets syn-fragment

Данная команда включает блокировку фрагментированных TCP-пакетов, с флагом SYN.

Использование отрицательной формы команды (no) отключает блокировку фрагментированных TCP- пакетов, с флагом SYN.

Синтаксис

[no] ip firewall screen suspicious-packets syn-fragment

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen suspicious-packets syn-fragment

CODE

ip firewall screen suspicious-packets udp-fragment

Данная команда включает блокировку фрагментированных UDP-пакетов.

Использование отрицательной формы команды (no) отключает блокировку фрагментированных UDP-пакетов.

Синтаксис

[no] ip firewall screen suspicious-packets udp-fragment

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen suspicious-packets udp-fragment

CODE

ip firewall screen suspicious-packets unknown-protocols

Данная команда включает блокировку пакетов, с ID протокола в заголовке IP равном 137 и более.

Использование отрицательной формы команды (no) отключает блокировку пакетов, с ID протокола в заголовке IP равном 137 и более.

Синтаксис

[no] ip firewall screen suspicious-packets unknown-protocols

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall screen suspicious-packets unknown-protocols

CODE

Управление оповещением о сетевых атаках

ip firewall logging interval

Данной командой устанавливается частота оповещения (по SNMP, syslog и в CLI) об обнаруженных и отраженных сетевых атаках. При детектировании атаки сообщение логируется мгновенно, но следующие оповещения о данной конкретной атаке будут логироваться через заданный интервал времени, если атака будет носить продолжительный характер.

Использование отрицательной формы команды (no) возвращает таймер к значению по умолчанию.

Синтаксис

ip firewall logging interval <NUM>

no ip firewall logging interval

Параметры

<NUM> – интервал времени в секундах [30 .. 2147483647]

Значение по умолчанию

30

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip firewall logging interval 60

CODE

logging firewall screen detailed

Данной командой включается более детальный вывод сообщений по обнаруженным и отраженным сетевым атакам в CLI.

В детальном выводе, кроме имени интерфейса, с которого пришёл пакет, отображается IP-адрес источника и IP-адрес назначения этого пакета, а также MAC-адрес источника, отправившего этот пакет.

Использование отрицательной формы команды (no) отключает детальный вывод сообщений.

Синтаксис

[no] logging firewall screen detailed

Параметры

Отсутствуют.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# logging firewall screen detailed

CODE

logging firewall screen dos-defense

Данной командой включается механизм обнаружения и логирования DoS-атак через CLI, syslog и по SNMP. В связке с включенной защитой от атак будет производиться оповещение об отраженных DoS атаках.

Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженных и отраженных DoS-атак.

Синтаксис

[no] logging firewall screen dos-defense <ATACK_TYPE>

Параметры

<ATACK_TYPE> – тип DoS-атаки, принимает значения:

icmp-threshold;
land;
limit-session-destination;
limit-session-source;
syn-flood;
udp-threshold;
winnuke.

Подробное описание DoS-атак приведено в разделе Управление защитой от сетевых атак.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# logging firewall screen dos-defense land

CODE

logging firewall screen spy-blocking

Данной командой включается механизм обнаружения и логирования шпионской активности через CLI, syslog и по SNMP. В связке с включенной защитой от шпионской активности будет производиться оповещение о блокированной шпионской активности.

Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженной и блокированной шпионской активности.

Синтаксис

[no] logging firewall screen spy-blocking { <ATACK_TYPE> | icmp-type <ICMP_TYPE> }

Параметры

<ATACK_TYPE> – тип шпионской активности, принимает значения:

fin-no-ack;
ip-sweep;
port-scan;
spoofing;
syn-fin;
tcp-all-flag;
tcp-no-flag.

<ICMP_TYPE> – тип icmp, принимает значения:

destination-unreachable;
echo-request;
reserved;
source-quench;
time-exceeded.

Подробное описание шпионских активностей приведено в разделе Управление защитой от сетевых атак.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# logging firewall screen spy-blocking icmp-type echo-request

CODE

logging firewall screen suspicious-packets

Данной командой включается механизм обнаружения нестандартных пакетов и логирования через CLI, syslog и по SNMP. В связке с включенной защитой от нестандартных пакетов будет производиться также оповещение о блокировке нестандартных пакетов.

Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженных и блокированных нестандартных пакетов.

Синтаксис

[no] logging firewall screen suspicious-packets <PACKET_TYPE>

Параметры

< PACKET_TYPE> – тип нестандартных пакетов, принимает значения:

icmp-fragment;
ip-fragment;
large-icmp;
syn-fragment;
udp-fragment;
unknown-protocols.

Подробное описание защиты от нестандартных пакетов приведено в разделе Управление защитой от сетевых атак.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# logging firewall screen suspicious-packets icmp-fragment

CODE

show ip firewall screens counters

Данная команда позволяет просматривать статистику по обнаруженным сетевым атакам.

Синтаксис

show ip firewall screens counters

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show ip firewall screens counters 
DDoS:
    Destination limit screen:  --
    Source limit screen:       --
    ICMP threshold screen:     1
    UDP threshold screen:      --
    SYN flood screen:          0
    Land attack screen:        1
    Winnuke attack screen:     --
Suspicious packets:
    ICMP fragmented screen:    --
    UDP fragmented screen:     --
    Large ICMP screen:         4
    Fragmented SYN screen:     --
    Unknown protocol screen:   --
    Fragmented IP screen:      --
Spying:
    Port scanning screen:      --
    IP sweep secreen:          --
    SYN-FIN screen:            --
    TCP all flags screen:      --
    FIN no ACK screen:         --
    TCP no flags screen:       --
    Spoofing screen:           --
ICMP types:
    ICMP reserved screen:      --
    ICMP quench screen:        --
    ICMP echo request screen:  --
    ICMP time exceeded screen: --
    ICMP unreachable screen:   --

CODE