RSS

Anti DoS - Cisco TCP Intercept Feature

lunes, 6 de junio de 2011

Cada vez es más habitual encontrar fabricantes que añaden funcionalidad para mitigar algunos ataques de denegación de servicio en sus dispositivos de seguridad. En esta ocasión nos centramos en la solución TCP Intercept de los dispositivos routers de Cisco.

Como su nombre bien indica, Cisco TCP Intercept Feature es una característica de seguridad capaz de proteger y mitigar posibles ataques DoS basados en inundaciones TCP SYN contra nuestros servidores, monitorizando para ello el número de intentos de conexión y en caso de ser necesario, reducir el número de conexiones TCP incompletas.

Cisco TCP Intercept se puede configurar en dos modos de funcionamiento, el modo intercept y el modo watch.

El modo intercept es un modo de funcionamiento proactivo, donde el dispositivo almacena en sus buffers internos los intentos de establecimiento de conexión de modo que hasta que la conexión no está totalmente establecida (3-way handshake), el dispositivo no establece la conexión contra el servidor final. Puesto que el dispositivo realiza el seguimiento y mantiene todas las conexiones, éste requiere de una gran cantidad de memoria y CPU.

Por el contrario, El modo watch es un modo reactivo, donde se monitorizan pasivamente las solicitudes de conexión de forma que, si una conexión no se establece en un intervalo concreto de tiempo (30 segundos por defecto), el dispositivo envía un paquete TCP Reset al origen finalizando el intento de conexión y elimina la conexión half-open.
La configuración de esta característica es sencilla, solo debemos seguir los siguientes pasos:

1. Definir una lista de acceso extendida
2. Habilitar la funcionalidad TCP intercept sobre dicha lista de acceso
3. Parametrizar, si es necesario, las posibles opciones de la funcionalidad (modo de funcionamiento, intervalos de tiempo, umbrales, etc.)

Una vez habilitada, podemos monitorizar su uso con los habituales comandos show y debug de Cisco. Cada vez más los dispositivos implementan mayores y mejores medidas para proteger nuestros sistemas de los posibles ataques.

En el siguiente link, podrán encontrar el paso a paso para realizar la configuración de TCP Intercept:

Espero sea material de su interés.

Welcome

Con la tecnología de Blogger.