Маршрутизация в WAN и LAN статическая, адресация IPv4;
1.1 Для USG5150 Ethernet порт в режиме Access (untagged): адресация на линке /30, маршрут по умолчанию в сторону PE.
Конфигурация LAN-интерфейсов:
2.1 физический интерфейс Ethernet #1 (сеть ПД) в режиме access (untagged) с адресацией /24;
2.2 физический интерфейс Ethernet #2 в режиме транк 802.1Q (tagged), с двумя виртуальными интерфейсами: VLAN id #4094 (сеть управления) с адресацией /24 и VLAN id #11 (зарезервировано) с адресацией /24.
Антиспуфинг на всех интерфейсах.
Противодействие DoS и DDoS атакам (Anti-DDoS).
Прозрачное пропускание экраном пакетов протоколов сети MS Windows/Remote Desktop, основных сетевых протоколов, включая H.323/SIP, RTP/RTCP, а также туннельных соединений (PPTP, L2TP, GRE, IPSec). Трансляция NAT/PAT не должна применяться.
ПРИЛОЖЕНИЕ №1. IP-адресация сетей:
Сайт №1 (USG5150).
WAN-интерфейс: Ethernet
172.16.2.0/30
LAN:
сеть ПД (Ethernet #1): 10.0.2.1/24
сеть управления (Ethernet #2 VLAN id #4094): 10.10.2.1/24
зарезервированный интерфейс (Ethernet #2 VLAN id #11): 10.20.2.1/24
Схема.
Порядок тестирования
В рамках тестирования была проведена проверка фильтров, отбрасывающих трафик на основании информации из заголовка L2 или L3+, минимально загружая ресурсы оборудования, а так же проверка сетевого экранирования, позволяющего проводить мониторинг соединения по признакам вредоносного трафика и превышениям предустановленных пределов потока трафика.
SYN flood
Цель тестирования: убедиться в корректной отработке фаерволом реакции на сетевую атаку SYN-Flood .
Информация для тестирования:
SYN-флуд — одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок (RFC 4987).
Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет на сервере (цели атаки) очередь на подключения. При этом он игнорирует SYN+ACK пакеты цели, не высылая ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный SYN+ACK отправляется на несуществующий адрес. В очереди подключений появляются так называемые полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения от клиента. По истечении определенного тайм-аута эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого легитимные клиенты не могут установить связь, либо устанавливают её с существенными задержками.
Необходимые действия:
Тестирование проводилось с использованием специализированного ПО для ОС Linux под названием hping3 (http://www.hping.org/)
С PC1 выполнить отправку SYN запросов, установив SYN флаг, на TCP-порт 80 (протокол HTTP) с максимально возможной скоростью на адрес 10.0.2.3 командой:
hping3 -S -p 80 --flood 10.0.2.3
Ожидаемый результат:
В интерфейсе командной строки (CLI) фаервола при обнаружении атаки появится сообщение:
[bgdpl-ceO]
2013-02-20 18:43:22 bgdpl-ceO %%0lSEC/4/ATCKDF(l): AttackType="SYN flood attack", slot="0", receive interface="Ethernet0/0/0 " ="172.16.38.2:80 ", begin time="2013-02-20 18:42:51", end time="2013-02-20 18:43:21", total packets="617665", max speed="21341"
В графическом Web-интерфейсе можно будет наблюдать статистику SYN Flood атаки в окне Attack Events, и достаточно большое значение HTTP-сессий в окне Top Sessions.
UDP flood
UDP flood - одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества UDP пакетов в достаточно короткий срок. Принцип атаки заключается в том, что злоумышленник, посылая UDP пакеты, переполняет на сервере (цели атаки) очередь траффика. Из-за этого легитимные клиенты функционируют с существенными задержками.
Цель тестирования: убедиться в корректной отработке фаерволом реакции на сетевую атаку UDP flood.
Необходимые действия:
Тестирование проводилось с использованием специализированного ПО для ОС Linux под названием hping3 (http://www.hping.org/)
С PC1 выполнить отправку UDP пакетов, установив адрес источника 10.0.0.1 и порт источника 53, напорт 68 (протокол DHCP) с максимально возможной скоростью на адрес 10.0.2.3 командой:
hping3 -q -n -a 10.0.0.1 --udp -s 53 --keep -p 68 --flood 10.0.2.3
Ожидаемый результат:
В интерфейсе командной строки (CLI) фаервола при обнаружении атаки появится сообщение вида:
[bgdpl-ceO]
2013-02-20 18:56:31 bgdpl-ceO %&0lSEC/4/ATCKDF(1): AttackType="UDP flood attack", slot="0", receive interface="Ethernet0/0/0 ", proto="UDP", src="10.0.0.1:53 169.254.1 73.25:137 ", dst="10.0.2.3:68 169.254.255.255:137 ", begin time="2013-02-20 18:56:00", end time="2013-02-20 18:56:30", total packets="627891", max speed=”22101”.
В графическом Web-интерфейсе можно будет наблюдать статистику UDP Flood атаки в окне Attack Events, и достаточно большое значение HTTP-сессий в окне Top Sessions.
ARP Flood
ARP flood - одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества ARP запросов в достаточно короткий срок. Принцип атаки заключается в том, что злоумышленник, посылая ARP запросы, переполняет на сервере (цели атаки) ARP таблицу. Из-за этого легитимные клиенты функционируют с существенными задержками.
Цель тестирования: убедиться в корректной отработке фаерволом реакции на сетевую атаку ARP flood
Необходимые действия:
Тестирование проводилось с использованием специализированного ПО для ОС Windows под названием Cain (http://www.oxid.it/cain.html )
С PC1 в ПО Cain выполнить отправку большого количества ARP запросов Cain в разделе Sniffer инициировать сканер нажав занчок “+” и далее выбрать All tests:
Ожидаемый результат:
В интерфейсе командной строки (CLI) фаервола при обнаружении атаки появится сообщение вида:
[bgdpl-ceO]
2013-02-20 19:08:02 bgdpl-ceO %%0lSEC/4/ATCKDF(l): AttackType="ARP flood attack", slot="0", receive interface="Ethernet0/0/0 ", proto="ARP", src="255.255.255.255:0 dst="0. 0.0. 254:0 0.0.0.255:0 0.0.1.0:0 0.0.1.1:0 0.0.1.2:0 0.0.1.3:0 0.0.1.4:0 0.0.1.5:0 0.0.1.6:0 0.0.1.7:0 0.0.1.8:0 0.0.1.9:0 ", begin time="2013-02-20 19:07:32", end time="2013-02-20 19:07:53", total packets="20479", max speed="1008".
В графическом Web-интерфейсе можно будет наблюдать статистику ARP Flood атаки в окне Attack Events.