Cisco Small Business 300 Serie Administratorhandbuch Seite 394

18
SCHRITT 5
SCHRITT 6
385 Administratorhandbuch für Managed Switches der Serien 200, 300 und 500 von Cisco Small Business (Interne Version)
Wenn Prävention auf Systemebene oder Prävention auf System- und
Schnittstellenebene ausgewählt ist, können Sie eine oder mehrere der folgenden
Optionen für die DoS-Sicherung aktivieren:
• Stacheldraht-Distribution: TCP-Pakete, deren Quell-TCP-Port gleich 16660
ist, werden verworfen.
• Invasor-Trojaner: TCP-Pakete, deren Ziel-TCP-Port gleich 2140 und deren
Quell-TCP-Port gleich 1024 ist, werden verworfen.
• Back Orifice-Trojaner: UCP-Pakete, deren Ziel-UCP-Port gleich 31337 und
deren Quell-UCP-Port gleich 1024 ist, werden verworfen.
Klicken Sie auf Übernehmen. Die Security Suite-Einstellungen für die Denial of
Service-Sicherung werden in die aktuelle Konfigurationsdatei geschrieben.
• Wenn „Prävention auf Schnittstellenebene" ausgewählt ist, klicken Sie auf
die entsprechende Schaltfläche Bearbeiten, und konfigurieren Sie die
gewünschte Sicherung.
SYN-Schutz
Die Netzwerkports können von Hackern für SYN-Angriffe auf das Gerät genutzt
werden, bei denen TCP-Ressourcen (Puffer) und CPU-Leistung verbraucht
werden.
Da die CPU mit SCT geschützt ist, wird der TCP-Verkehr an die CPU begrenzt.
Wenn jedoch ein Angriff mit einer großen Anzahl von SYN-Paketen auf einen oder
mehrere Ports stattfindet, empfängt die CPU nur die Pakete des Angreifers,
wodurch ein Denial of Service entsteht.
Bei aktivierter SYN-Schutzfunktion werden die von jedem Netzwerkport pro
Sekunde bei der CPU eingehenden SYN-Pakete gezählt.
Wenn die Anzahl größer als der benutzerdefinierte Schwellenwert ist, wird für den
Port eine Regel zur Ablehnung aller SYN-Pakete mit dieser MAC-Adresse
angewendet. Die Bindung dieser Regel an den Port wird jeweils nach Ablauf des
benutzerdefinierten Intervalls (Zeitspanne für SYN-Schutz) aufgehoben.
Sicherheit
Denial of Service-Sicherung