Sicherheit
Denial of Service-Sicherung
Schutz vor DoS-Angriffen
Mithilfe der Funktion DoS-Prävention kann der Systemadministrator solche Angriffe wie folgt abwehren:
•
TCP-SYN-Schutz aktivieren. Wenn diese Funktion aktiviert ist, wird jeder ermittelte SYN-Paketangriff
gemeldet und der angegriffene Port kann vorübergehend heruntergefahren werden. Ein SYN-Angriff
wird ermittelt, wenn die Anzahl der SYN-Pakete pro Sekunde einen vom Benutzer konfigurierten
Schwellenwert überschreitet.
•
SYN-FIN-Pakete blockieren.
•
Pakete mit reservierten ungültigen Adressen blockieren (Seite „Ungültige Adressen").
•
TCP-Verbindungen von bestimmten Schnittstellen aus verhindern (Seite „SYN-Filterung") und
Ratenbegrenzungen für Pakete festlegen (Seite „SYN-Ratenschutz").
•
Blockierung bestimmter ICMP-Pakete konfigurieren (Seite „ICMP-Filterung").
•
Fragmentierte IP-Pakete von einer bestimmten Schnittstelle verwerfen (Seite „IP-Fragmentfilterung").
•
Angriffe durch Stacheldraht-Distribution, Invasor-Trojaner und Back Orifice-Trojaner abwehren (Seite
„Security Suite-Einstellungen").
Abhängigkeiten zwischen Funktionen
Zugriffssteuerungslisten (ACLs) und erweiterte QoS-Richtlinien sind nicht aktiv, wenn für einen Port der
DoS-Schutz aktiviert ist. Wenn Sie entweder versuchen, die DoS-Prävention für eine Schnittstelle zu
aktivieren, für die eine ACL definiert ist, oder eine ACL für eine Schnittstelle zu definieren, für die die DoS-
Prävention aktiviert ist, wird jeweils eine Fehlermeldung angezeigt.
Ein SYN-Angriff kann nicht blockiert werden, wenn eine ACL für eine Schnittstelle aktiv ist.
Standardkonfiguration
Für die Funktion „DoS-Prävention" gilt die folgende Standardkonfiguration:
•
Die Funktion „DoS-Prävention" ist standardmäßig deaktiviert.
•
Der SYN-FIN-Schutz ist standardmäßig aktiviert (auch wenn die DoS-Prävention deaktiviert ist).
•
Wenn der SYN-Schutz aktiviert ist, lautet der Standardschutzmodus Blockieren und melden. Der
Schwellenwert beträgt standardmäßig 30 SYN-Pakete pro Sekunde.
•
Alle anderen Funktionen zur DoS-Prävention sind standardmäßig deaktiviert.
Administratorhandbuch für Managed Switches der Serie 300 von Cisco Small Business
19
359