DoS- & Täuschungsprävention
Die Appliance stellt verschiedene Sicherheitsoptionen bereit, die nicht über Sicherheitsrichtlinien festgelegt werden können. Dazu gehört der Schutz vor sogenannten „Denial-of-Service“-Angriffen. Durch diese Angriffe werden Computer lahmgelegt und die Sicherheit wird umgangen.
Mit einem Denial-of-Service (DoS)-Angriff verhindern Hacker, dass berechtigte Benutzer auf einen Dienst zugreifen können.
DoS-Angriffe werden typischerweise ausgeführt, indem eine große Menge Anfragepakete an einen Zielserver (in der Regel Web-, FTP- oder E-Mail-Server) gesendet werden, was zu einer Überlastung der Servers führt – mit der Konsequenz, dass das System nicht mehr genutzt werden kann. Die Angreifer bezwecken nicht den Diebstahl von Informationen, vielmehr wollen sie Geräte oder Netzwerke lahmlegen, damit die Benutzer keinen Zugriff mehr auf die Netzwerkdienste/-ressourcen haben.
Alle Server können nur bis zu einem bestimmten Volumen Datenverkehr bewältigen. Daher senden die Angreifer eine sehr große Menge an Datenverkehr an ein System, so dass dieses den zulässigen Netzwerkverkehr nicht mehr verarbeiten kann. Die beste Möglichkeit, sich vor einem DoS-Angriff zu schützen, besteht darin, solchen redundanten Datenverkehr zu erkennen und zu blockieren. Im Folgenden werden DoS-Einstellungen vorgestellt, die der Erkennung eines DoS-Angriffs dienen:
Paketrate je Quelle
Gesamtzahl der Verbindungen oder Pakete, die an einen bestimmten Benutzer erlaubt sind.
Max. Datendurchsatz je Quelle
Maximale Anzahl an Paketen, die an einen bestimmten Benutzer zu einem gegebenen Zeitpunkt erlaubt sind.
Paketrate je Ziel
Gesamtzahl der Verbindungen oder Pakete, die von einem bestimmten Benutzer erlaubt sind.
Max. Datendurchsatz je Ziel
Maximale Anzahl an Paketen, die von einem bestimmten Benutzer zu einem gegebenen Zeitpunkt erlaubt sind.
Funktionsweise
Wird der maximale Datendurchsatz überschritten, geht die Appliance von einem Angriff aus. Die Appliance schützt vor DoS-Angriffen, indem alle über die maximale Anzahl hinausgehenden Pakete von der betreffenden Quelle/dem betreffenden Ziel verworfen werden. Die Appliance verwirft so lange Pakete, wie der Angriff dauert. Da die Appliance den Höchstwert anhand der IP-Adresse anwendet, wird nur der Datenverkehr von der betreffenden Quelle/dem betreffenden Ziel verworfen und der übrige Netzwerkverkehr überhaupt nicht.
Zeit, um Datenverkehr von der blockierten Quelle/dem blockierten Ziel erneut zuzulassen = Zeit zum Überstehen des Angriffs + 30 Sekunden
Zum Beispiel:
Paketrate je Quelle: 100 Pakete je Sekunde
Max. Datendurchsatz je Quelle: 200 Pakete je Sekunde
Wenn der Benutzer beginnt, Anfragen zu senden, kann er zunächst 200 Pakete je Sekunde senden. Sobald diese 200 Pakete empfangen wurden, kann der Benutzer in der nächsten Phase nur 100 Pakete je Sekunde senden. Sendet der Benutzer nun in der nächsten Phase 150 Pakete je Sekunde, geht die Appliance von einem Angriff aus und verwirft 50 (150-100) Pakete. Die Appliance nimmt dann erst wieder 30 Sekunden nach Verwerfen der Pakete Datenverkehr an.
Schwellenwerte
Die Appliance verwendet die Paketrate und den maximalen Datendurchsatz als Schwellenwerte zur Erkennung von DoS-Angriffen. Diese Werte hängen von verschiedenen Faktoren ab, wie zum Beispiel:
• Netzwerkbandbreite
• Art des Datenverkehrs
• Kapazität der Server im Netzwerk
Diese Werte werden auf die einzelnen Quell- oder Zielanfragen je Benutzer/IP-Adresse und nicht global auf den gesamten Netzwerkverkehr angewendet. Beispiel: Beträgt die Quellrate 2500 Pakete/Minute und besteht das Netzwerk aus 100 Benutzern, ist für jeden Benutzer eine Paketrate von 2500 Paketen je Minute zulässig.
Werden hohe Werte eingestellt, verschlechtert sich die Leistung, wohingegen zu niedrige Werte die regulären Anfragen blockieren. Es ist daher sehr wichtig, angemessene Werte für Quell- und Ziel-IP-Adresse festzulegen.
Täuschungsschutz – Allgemeine Einstellungen
Sie können einen MAC-IP-Paar-Eintrag in die Liste mit vertrauenswürdigen IP- und MAC-Adressen eintragen, um die Sicherheit Ihres Netzwerks zu erhöhen. Durch den MAC-Filter kann ein Angreifer nicht mehr so leicht eine MAC-Adresse erraten oder eine MAC-Adresse manipulieren, um sich den Zugang zu Ihrem Netzwerk zu erschleichen, weil der Datenverkehr nicht bis zu Ihrer Firewall kommt.
In ähnlicher Weise können auch Pakete anhand des IP-MAC-Paars gefiltert werden. Dadurch wird verhindert, dass Hosts vertrauenswürdige IP-MAC-Adressen manipulieren. Für eine noch stärkere Kontrolle können Sie Beschränkungen für die Zonen aktivieren.
Täuschungsschutz aktivieren
Ist diese Option aktiviert, stellt die Appliance drei Möglichkeiten für den Täuschungsschutz anhand einer Liste mit vertrauenswürdigen IP-MAC-Adressen bereit:
◦ IP Spoofing – Pakete werden verworfen, wenn kein passender Routeneintrag verfügbar ist.
◦ MAC-Filter – Pakete werden verworfen, wenn die MAC-Adressen nicht als vertrauenswürdige MACs konfiguriert sind.
◦ Filter f. IP-MAC-Paar – Pakete werden verworfen, wenn entweder die IP- oder die MAC-Adresse nicht mit einem Eintrag in der Liste der vertrauenswürdigen IP-MAC-Adressen übereinstimmt. Pakete werden zugelassen, wenn IP- und MAC-Adresse nicht als Eintrag in der Liste der vertrauenswürdigen IP-MAC-Adressen definiert sind.
Unbekannte IP auf vertrauenswürdige MAC beschränken (nur verfügbar, wenn Täuschungsschutz aktiviert ist)
Aktivieren Sie diese Option, wenn Datenverkehr von einer beliebigen IP-Adresse, die nicht in der Liste der vertrauenswürdigen Adressen für die vertrauenswürdige MAC-Adresse steht, verworfen werden soll.
Standardmäßig ist diese Option deaktiviert. Ist die Option deaktiviert, wird Datenverkehr von jeder IP-Adresse, die nicht in der Liste der vertrauenswürdigen Adressen steht, zugelassen, wenn auch dieser für die vertrauenswürdige MAC-Adresse eingeht.
Zone | LAN | WAN | DMZ | WLAN |
| IP-Spoofing Aktivieren Sie diese Option mindestens für eine Zone. Die Appliance verwendet die Rückwärtssuche nach der Route des Quellnetzwerks, und Pakete werden bei Nichtauffinden verworfen, wobei dies protokolliert wird. Standard: für alle Zonen deaktiviert | Ja | Nein | Ja | Ja |
| MAC-Filter Hier wird der Zugriff auf Ihr Netzwerk für externe Hosts beschränkt. Da die Appliance alle Anfragen von MAC-Adressen, die nicht in der Liste der vertrauenswürdigen Adressen stehen, verwirft, sollten Sie darauf achten, dass die MAC-Adressen aller Ihrer internen Appliances in die Liste aufgenommen werden. Diese Option ist für mindestens eine Zone zu aktivieren. Standard: für alle Zonen deaktiviert  Um den MAC-Filter zu aktivieren, müssen Sie eine vertrauenswürdige MAC-Adresse hinzufügen. | Ja | Ja | Ja | Ja |
| Filter f. IP-MAC-Paar Die Appliance verwirft die Anfrage, die sie als manipuliert einstuft, wenn: ◦ die MAC-Adresse nicht zu der vertrauenswürdigen IP-Adresse passt und ◦ die IP-Adresse nicht zu der vertrauenswürdigen MAC-Adresse passt. Die Anfrage wird jedoch zugelassen, wenn die IP- oder die MAC-Adresse überhaupt nicht in der Liste steht. Die Anfrage wird verworfen, wenn das IP-MAC-Paar nicht in der Liste der vertrauenswürdigen Adressen vorhanden ist. Diese Option ist für mindestens eine Zone zu aktivieren. Standard: für alle Zonen deaktiviert | Ja | Nein | Ja | Ja |
Täuschungsschutz – Vertrauenswürdige MAC
Sie können den MAC- und/oder IP-Paar-Filter aktivieren, um die Sicherheit zu erhöhen. Mit dem Aktivieren des Filters legen Sie fest, welche Geräte auf Ihr Netzwerk zugreifen dürfen. Sie können auch die Liste der vertrauenswürdigen MAC-Adresse mit einer CSV (Comma Separated Value)-Datei importieren. Wenn ein Benutzer versucht, auf das Netzwerk zuzugreifen, überprüft die Appliance die MAC- und/oder IP-Adresse aus der Liste. Der Benutzer erhält nur dann Zugriff auf das Netzwerk, wenn die MAC- und/oder IP-Adresse in der Liste der vertrauenswürdigen MAC-Adressen steht, andernfalls wird die Anfrage abgewiesen.
Unter
Täuschungsschutz – Vertrauenswürdige MAC wird eine Liste aller als vertrauenswürdige MACs konfigurierten MAC-Adressen angezeigt. Auf dieser Seite haben Sie zudem die Möglichkeit, eine neue MAC-Adresse
hinzuzufügen, bestehende Adressen zu aktualisieren und die Liste der Adressen zu
importieren.
DoS-Einstellungen
Die Angriffsdefinition kann für Quelle und Ziel festgelegt werden.
SYN-Flood
SYN-Flood ist ein Angriff, bei dem eine große Anzahl an Verbindungen gesendet wird, so dass die Backlog Queue blockiert wird. Die Verbindung wird aufgebaut, wenn der angegriffene Host eine Verbindungsanfrage erhält und dafür Speicherressourcen zuweist. Bei einem SYN-Flood-Angriff werden so viele halboffene Verbindungen aufgebaut, dass das System blockiert wird und die eingehenden Anfragen nicht mehr bewältigen kann.
Konfigurieren Sie die Paketrate (Pakete/Minute) und den maximalen Datendurchsatz (Pakete/Sekunde) für Quelle und Ziel.
Aktivieren Sie das Auswahlkästchen Flag anwenden, um die SYN-Flood-Definition anzuwenden und die erlaubte Anzahl von Paketen zu kontrollieren.
Unter Verworfener Quelldatenverkehr wird die Anzahl der verworfenen Quellpakete bei Steuerung der Quell-Paketrate angezeigt.
Unter Verworfener Zieldatenverkehr wird die Anzahl der verworfenen Pakete bei Steuerung der Ziel-Paketrate angezeigt.
Klicken Sie auf den Link Hier klicken, um den Status von DoS-Angriffen anzuzeigen. Sie werden zu > > umgeleitet. Klicken Sie dann auf SYN-Flood, um die Echtzeit-Informationen zu Flooding zu sehen. Angezeigt werden die Quell-IP-Adresse, die für das Flooding verwendet wurde, und die IP-Adresse, die Ziel des Angriffs war.
UDP-Flood
Bei User Datagram Protocol (UDP)-Flood werden zwei Systeme miteinander verbunden. Dabei wird der Zeichen generierende UDP-Dienst eines Systems mit dem UDP-Echo-Dienst eines anderen Systems verknüpft. Sobald die Verbindung besteht, sind die beiden Systeme damit beschäftigt, eine Flut bedeutungsloser Daten auszutauschen.
Konfigurieren Sie die Paketrate (Pakete/Minute) und den maximalen Datendurchsatz (Pakete/Sekunde) für Quelle und Ziel.
Aktivieren Sie das Auswahlkästchen Flag anwenden, um die UDP-Flood-Definition anzuwenden und die erlaubte Anzahl von Paketen zu steuern.
Unter Verworfener Quelldatenverkehr wird die Anzahl der verworfenen Quellpakete bei Steuerung der Quell-Paketrate angezeigt.
Unter Verworfener Zieldatenverkehr wird die Anzahl der verworfenen Pakete bei Steuerung der Ziel-Paketrate angezeigt.
Klicken Sie auf den Link Hier klicken, um den Status von DoS-Angriffen anzuzeigen. Sie werden zu > > umgeleitet. Klicken Sie auf UDP-Flood, um Echtzeit-Updates zu Flooding anzuzeigen. Angezeigt werden die Quell-IP-Adresse, die für das Flooding verwendet wurde, und die IP-Adresse, die Ziel des Angriffs war.
TCP-Flood
Bei einem TCP-Angriff werden riesige Mengen an TCP-Paketen gesendet, so dass der Host bzw. der angegriffene Computer überfordert ist und berechtigten TCP-Benutzern die Nutzung des Diensts verweigert.
Konfigurieren Sie die Paketrate (Pakete/Minute) und den maximalen Datendurchsatz (Pakete/Sekunde) für Quelle und Ziel.
Aktivieren Sie das Auswahlkästchen Flag anwenden, um die TCP-Flood-Definition anzuwenden und die erlaubte Anzahl von Paketen zu kontrollieren.
Unter Verworfener Quelldatenverkehr wird die Anzahl der verworfenen Quellpakete bei Steuerung der Quell-Paketrate angezeigt.
Unter Verworfener Zieldatenverkehr wird die Anzahl der verworfenen Pakete bei Steuerung der Ziel-Paketrate angezeigt.
ISMP/ICMPv6-Flood
Bei einem ICMP/ICMPv6-Angriff werden riesige Mengen an Paketen/Datenverkehr gesendet, so dass die Protokollimplementierung des Hosts bzw. des angegriffenen Computers überfordert ist und legitime Pakete nicht zu ihrem Ziel gelangen.
Konfigurieren Sie die Paketrate (Pakete/Minute) und den maximalen Datendurchsatz (Pakete/Sekunde) für Quelle und Ziel.
Aktivieren Sie das Auswahlkästchen Flag anwenden, um die ICMP-Flood-Definition anzuwenden und die erlaubte Anzahl von Paketen zu kontrollieren.
Unter Verworfener Quelldatenverkehr wird die Anzahl der verworfenen Quellpakete bei Steuerung der Quell-Paketrate angezeigt.
Unter Verworfener Zieldatenverkehr wird die Anzahl der verworfenen Pakete bei Steuerung der Ziel-Paketrate angezeigt.
Klicken Sie auf den Link Hier klicken, um den Status von DoS-Angriffen anzuzeigen. Sie werden zu > > umgeleitet. Klicken Sie auf ICMP/ICMPv6 -Flood, um Echtzeit-Updates zu Flooding anzuzeigen. Angezeigt werden die Quell-IP-Adresse, die für das Flooding verwendet wurde, und die IP-Adresse, die Ziel des Angriffs war.
Verworfene Pakete von der Quelle
Setzen Sie zum Aktivieren ein Häkchen in das Auswahlkästchen Flag anwenden. Dadurch werden alle von der Quelle gerouteten Verbindungen blockiert und es wird verhindert, dass Pakete mit einer internen Adresse in Ihr Netzwerk gelangen.
ICMP/ICMPv6-Paketumleitung deaktivieren
Eine ICMP-Paketumleitung wird von Routern genutzt, um den Hosts mitzuteilen, welche Route die richtige ist. Wenn ein Angreifer in der Lage ist, ICMP-Paketumleitungen zu fälschen, kann er die Routing-Tabellen auf dem Host verändern und die Sicherheit des Hosts gefährden, indem Datenverkehr über einen anderen Pfad geleitet wird.
Deaktivieren Sie die Option, um zu verhindern, dass der Angreifer ICMP-Paketumleitungen fälscht.
Standard: aktiviert
ARP-Hardening
Ist diese Option aktiviert, sendet die Appliance nur dann eine ARP-Antwort, wenn es sich bei der Ziel-IP-Adresse um eine lokale Adresse handelt, die an der Eingangsschnittstelle konfiguriert ist und sich sowohl Absender- als auch Ziel-IP-Adresse im selben Subnetz befinden.
DoS-Umgehungsregel
Die Appliance ermöglicht die Umgehung der DoS-Regel für den Fall, dass Sie sich sicher sind, dass die angegebene Quelle nicht für Flooding genutzt wird oder die Appliance Flooding von der angegebenen Quelle ignoriert. Standardmäßig unterliegt auch der VPN-Zonen-Datenverkehr der DoS-Prüfung. Sie können auch die DoS-Prüfung des Datenverkehrs von bestimmten Hosts der VPN-Zone umgehen.
Unter DoS-Umgehungsregel wird eine Liste aller Umgehungsregeln angezeigt.
