Protección DDoS
Los equipos A10 proveen protección ante ataques de Denegación de servicio Distribuido (DDoS). Tenemos los siguientes filtros básicos para poder aplicar:
Para configurar este filtro en GUI, vamos a Security-DDoS. Para hacer en CLI:
- (config)#ip anormaly-drop
Para hacer un filtrado avanzado se tiene que hacer con PBSLB para HTTP y HTTPS. Están deshabilitados por defecto y una vez que habilitamos PBSLB se habilitan automáticamente, pero se pueden configurar individualmente:
- Invalid HTTP or SSL payload
- Zero-Length TCP Window
- Out-of-Packet Sequence
Nota: PBSLB no soporta IPv6
PBSLB usa listas de Black/White, es decir, filtra usuarios en base a una lista para bloquearles o dejarleces acceder a los Grupos de Servicio:
Las listas Black/White se pueden aplicar al sistema entero o simplemente a Virtual Ports individuales. Están almacenadas en tablas eficientes para procesarlas con rapidez. Soportan hasta 8 millones de direcciones ip, 64.000 redes y hasta 32 Grupos de Servicio.
Se crean en GUI o en CLI importando un archivo txt. Si tenemos un servidor TFTP, podemos decirle al equipo que vaya actualizando el fichero a intervalos descargándoselo desde el servidor TFTP.
Nota: a nivel de todo el sistema (no en Virtual Port), podemos configurar "wildcards" para tirar, resetear o buscar a clientes que no tengan una entrada en la lista estática.
El formato de las listas Black/White es:
- ip [/mácara] [ID de grupo] [#límite conexiones] [comentarios]
Ejemplo del archivo txt:
10.10.1.2 6; bloqueamos una
ip. El 6 es el Id de grupo
10.10.25.0 /24 3; bloqueamos
una red entera. El 3 es el Id de grupo
172.16.30.0 /25 #50 ; 50 conexiones máximas. No tiene Id de grupo
192.168.10.25 4 10; permite 10
conexiones máximas al grupo 4
|
Nota: el símbolo # solo hace falta si no se especifica grupo
Nota2: se pueden configurar grupos del 1 al 31. El grupo por defecto es el 0 y significa que hay grupo asignado
Limitación de conexiones y ancho de banda con Class List
En una Class List configuramos una dirección ip o una subred que mapeamos a una serie de reglas a través de LIDs (Limit IDs) y se aplican a un Virtual Port en una plantilla.
Se soportan hasta 255 Class List que contengan 8 millones de ip o 64000 subredes.
Solo pueden ser configuradas en la "shared partition" pero pueden ser usadas en las "private partitions" a través de plantillas. Estas sí soportan también IPv6.
Cuando las conexiones o los míties de ancho de banda son superados se puede tirar, resetear o procesar el tráfico y registrar el evento. Los periodos de bloqueo pueden ser desde 1 hasta 1023 minutos.
Por defecto, la coincidencia para aplicar la Class List es a través de la dirección IP de origen, pero también podemos configurarlo para que sea la dirección ip de destino o la cabecera HTTP de destino.
Para crear una Class List y asociarla a un LID. Primero creamos la Class List y luego la asociamos a una plantilla SLB
- class-list NOMBRE-CLASS
- 10.0.0.0/24 lid 1
- 20.0.0.0/24 lid 1
- slb template policy NOMBRE-POLICY
- class-list NOMBRE-CLASS
- lid 1
- conn-limit 50
- over-limit-action drop log
Access List
El sistema operativo ACOS también soporta access-list estándar y avanzadas. Se pueden aplicar a Interfaces, a Interfaces de gestión y a Virtual Ports.
 |
| Componentes de ACL |
Se puede hacer un remark, secuenciar y hacer log, igual que las de Cisco.
No hay comentarios:
Publicar un comentario