Schutz Vor Dos-Angriffen - Cisco 500 Serie Handbuch

21
453 Administratorhandbuch für Managed Switches der Serien 200, 300 und 500 von Cisco Small Business (Interne Version)
Dabei werden durch automatisierte Routinen Schwachstellen in
Programmen ausgenutzt, die Remoteverbindungen auf den Remote-Hosts
zulassen, die Ziel des Angriffs sind. Jeder Handler kann bis zu eintausend
Agenten kontrollieren.
• Invasor-Trojaner: Mithilfe eines Trojaners kann der Angreifer einen Zombie-
Agent herunterladen (sofern dieser nicht bereits im Trojaner selbst
enthalten ist). Außerdem können Angreifer mithilfe automatisierter Tools in
Systeme eindringen. Dabei nutzen diese Tools Fehler in Programmen aus,
die Verbindungen von Remote-Hosts abhören. Von diesem Szenario sind in
erster Linie Geräte betroffen, die als Server im Internet fungieren.
• Back Orifice-Trojaner: Dies ist eine Variante eines Trojaners, der Systeme
über die Software „Back Orifice" infiziert.

Schutz vor DoS-Angriffen

Mithilfe der Funktion DoS-Prävention kann der Systemadministrator solche
Angriffe wie folgt abwehren:
• TCP-SYN-Schutz aktivieren. Wenn diese Funktion aktiviert ist, wird jeder
ermittelte SYN-Paketangriff gemeldet und der angegriffene Port kann
vorübergehend heruntergefahren werden. Ein SYN-Angriff wird ermittelt,
wenn die Anzahl der SYN-Pakete pro Sekunde einen vom Benutzer
konfigurierten Schwellenwert überschreitet.
• SYN-FIN-Pakete blockieren.
• Pakete mit reservierten ungültigen Adressen blockieren (Seite „Ungültige
Adressen").
• TCP-Verbindungen von bestimmten Schnittstellen aus verhindern (Seite
„SYN-Filterung") und Ratenbegrenzungen für Pakete festlegen (Seite „SYN-
Ratenschutz")
• Blockierung bestimmter ICMP-Pakete konfigurieren (Seite „ICMP-Filterung")
• Fragmentierte IP-Pakete von einer bestimmten Schnittstelle verwerfen
(Seite „IP-Fragmentfilterung")
• Angriffe durch Stacheldraht-Distribution, Invasor-Trojaner und Back Orifice-
Trojaner abwehren (Seite „Security Suite-Einstellungen")
Sicherheit
Denial of Service-Sicherung