Schutz Vor Dos-Angriffen - Cisco Small Business 300 Serie Administratorhandbuch

18
383 Administratorhandbuch für Managed Switches der Serien 200, 300 und 500 von Cisco Small Business (Interne Version)

Schutz vor DoS-Angriffen

Mithilfe der Funktion DoS-Prävention kann der Systemadministrator solche
Angriffe wie folgt abwehren:
• TCP-SYN-Schutz aktivieren. Wenn diese Funktion aktiviert ist, wird jeder
ermittelte SYN-Paketangriff gemeldet und der angegriffene Port kann
vorübergehend heruntergefahren werden. Ein SYN-Angriff wird ermittelt,
wenn die Anzahl der SYN-Pakete pro Sekunde einen vom Benutzer
konfigurierten Schwellenwert überschreitet.
• SYN-FIN-Pakete blockieren.
• Pakete mit reservierten ungültigen Adressen blockieren (Seite „Ungültige
Adressen").
• TCP-Verbindungen von bestimmten Schnittstellen aus verhindern (Seite
„SYN-Filterung") und Ratenbegrenzungen für Pakete festlegen (Seite „SYN-
Ratenschutz")
• Blockierung bestimmter ICMP-Pakete konfigurieren (Seite „ICMP-Filterung")
• Fragmentierte IP-Pakete von einer bestimmten Schnittstelle verwerfen
(Seite „IP-Fragmentfilterung")
• Angriffe durch Stacheldraht-Distribution, Invasor-Trojaner und Back Orifice-
Trojaner abwehren (Seite „Security Suite-Einstellungen")
Abhängigkeiten zwischen Funktionen
Zugriffssteuerungslisten (ACLs) und erweiterte QoS-Richtlinien sind nicht aktiv,
wenn für einen Port der DoS-Schutz aktiviert ist. Wenn Sie entweder versuchen,
die DoS-Prävention für eine Schnittstelle zu aktivieren, für die eine ACL definiert
ist, oder eine ACL für eine Schnittstelle zu definieren, für die die DoS-Prävention
aktiviert ist, wird jeweils eine Fehlermeldung angezeigt.
Ein SYN-Angriff kann nicht blockiert werden, wenn eine ACL für eine Schnittstelle
aktiv ist.
Standardkonfiguration
Für die Funktion „DoS-Prävention" gilt die folgende Standardkonfiguration:
• Die Funktion „DoS-Prävention" ist standardmäßig deaktiviert.
Sicherheit
Denial of Service-Sicherung