Comment faire pour configurer la Protection DoS

À l’aide d’un modules de protection de DoS, les administrateurs peuvent configurer les politiques pour se protéger contre les attaques DoS.  Les modules de configurer cela se trouve sous stratégies > Protection DoS. Ces stratégies peuvent être configurées pour correspondre à zone, interface, informations utilisateur ou l’adresse IP comme conditions de match.

À l’aide de profils de protection de DoS, vous pouvez créer des règles de DoS comme les stratégies de sécurité, permettant le trafic basée sur les critères configurés. Ces profils sont configurés sous l’onglet objets > profils de sécurité > Protection DoS.

Tout d’abord, vous devrez spécifier le type de profil. Vous pouvez choisir entre agrégat ou classifié.

• Agrégat: appliquez les seuils de dos configurés dans le profil à tous les paquets qui correspondent aux critères de règle sur lesquels ce profil est appliqué. Par exemple, une règle globale avec un seuil d’inondation SYN de 10000 paquets par seconde (pps) compte tous les paquets qui ont frappé cette règle particulière de DoS.
• Classifié: appliquer les seuils de dos configurés dans le profil à tous les paquets satisfaisant le critère de classification (IP source, adresse IP de destination ou IP source et destination).

Les profils de protection DoS peuvent servir à atténuer plusieurs types d’attaques DoS.

Protection contre les inondations est similaire à celle utilisée dans les profils de protection de zone. Pour les inondations syn, nous avons des cookies syn et aléatoires au début de la chute (rouge) comme options disponibles. Pour les autres types d’inondation, le rouge est utilisé. Vous remarquerez les mêmes options de configuration comme dans les profils de protection zone. En outre, il ya aussi la durée du bloc, qui est le temps en secondes que l'adresse IP incriminée sera refusée.

En plus de la protection contre les inondations, nous offrons également la protection des ressources. Ce type de protection impose un quota pour vos hôtes. Il limite le nombre maximal de sessions autorisées pour une adresse IP source donnée, l’adresse IP de destination ou la paire source-destination IP.

Ensuite, nous irons aux politiques > Protection DoS pour créer une stratégie de DoS semblable à la façon dont nous créons une règle de sécurité.

Comme vous pouvez le voir, la plupart des paramètres sont similaires aux règles de sécurité. 

Après avoir donné à la règle un nom, en configurant la source, la destination et les services, vous pouvez joindre le profil à votre règle à l'aide de la liste déroulante agrégat ou vous pouvez cliquer sur nouvelle protection dos pour en créer un nouveau.

Les différentes actions sont refuser/autoriser/protéger.

Refuser -Drop tout le trafic

Autoriser -autoriser tout le trafic

Protéger -appliquer les protections fournies dans les seuils configurés dans le cadre du profil dos appliqué à cette règle.

À l'aide de la liste déroulante planification , vous pouvez affecter une planification pour appliquer la règle dos à une date/heure spécifique.  

À l'aide de la liste déroulante transfert de journal , vous pouvez configurer l'acheminement des journaux pour transférer vos entrées de journal des menaces vers un service externe tel qu'un serveur Syslog ou un panorama.

Pour des raisons de ce tutoriel, j’ai déjà créé un type de profil de protection DoS classifié. Si vous activez la case à cocher, vous pouvez sélectionner le type de profil classifié à l'aide du menu déroulant profil.  Ci-dessous, dans la liste déroulante adresse , vous pouvez sélectionner les critères de classification que j'ai mentionnés précédemment (source-IP-only/destination-IP-seulement/SRC-dest-IP-les deux).

Dans l’exemple, vous pouvez avoir aussi bien un agrégat et un profil de protection DoS classifié configuré de la même règle de DoS.

Cliquez sur OK et valider pour enregistrer votre configuration.

À l’aide de l’interface CLI, vérifiez vos paramètres de règles de DoS à l’aide de la commande suivante :

> afficher les <name>paramètres</name> de règle de protection dos

Comme vu dans l’exemple, nous avons une règle DoS avec

• nom = DosRule
• agréger profil = DosProtection
• classé profil = Dos_classified
• critères de classification = source uniquement
• action = Protect

Dans la sortie, vous verrez également tous les seuils que vous avez configurés dans les profils.

Ceci conclut la vidéo sur la protection du DoS.  N’hésitez pas à laisser des commentaires dans la section commentaires ci-dessous.

Merci,

-Kim

Voici les liens vers d’autres documents utiles avec des exemples et des sujets, que nous avons discuté dans la vidéo :

• Protection de DoS de compréhension
• Comment faire pour configurer une stratégie de protection de DoS pour protéger les services hébergés 
• Différences entre protection de DoS et de la protection de la zone
• Tutoriel vidéo – profils de protection de Zone
• Comprendre les compteurs et les journaux de DoS