Impostazioni anti dos ip inspect

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Buongiorno ragazzi, in teoria per configurare le regole per prevenire attacchi dos su ios occorrerebbe un lavoro un po' lungo poichè occorre calcolare i parametri in base al traffico di quel router...
A volte si fa però volevo avere dei numeri "medi" che non siano il default e che vadano bene quasi sempre...
Io di solito configuro in questo modo:

Codice: Seleziona tutto

ip icmp rate-limit unreachable 1000
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400			
ip inspect one-minute low 300			
ip inspect one-minute high 500 				
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect hashtable 2048
Voi?
Spero che questo post non rimanga senza risposte!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
TheIrish
Site Admin
Messaggi: 1840
Iscritto il: dom 14 mar , 2004 11:26 pm
Località: Udine
Contatta:
Contatta TheIrish

Questo è un ottimo argomento sul quale fare due chiacchiere.
La verità purtroppo è che non esiste una vera e propria soluzione al problema in quanto alcuni protocolli (veeeramente sporchi) possono indurre a credere i router di trovarsi sotto attacco (eDonkey network per citarne uno).
Quindi in generale, potrei dire che per un uso "quotidiano", composto di web, email e IM, direi che i valori che hai impostato sono anche un po' generosi. Se invece andiamo su altri protocolli come quelli di gaming online o, appunto vari file sharing, forse sono un po' strettini.
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

I default:

ip inspect max-incomplete high value (default 500)
ip inspect max-incomplete low value (default 400)
ip inspect one-minute high value (default 500)
ip inspect one-minute low value (default 400)
ip inspect tcp max-incomplete host value (default 50) [block-time minutes (default 0)]

Dato che in azineda i software p2p non devono andare e neppure i giochi on-line i parametri "medi" possono diventare così?

ip icmp rate-limit unreachable 1000
ip inspect max-incomplete high 300
ip inspect max-incomplete low 250
ip inspect one-minute high 400
ip inspect one-minute low 300
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect hashtable 2048
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
[Dj][DMX]
Coamministratore
Messaggi: 428
Iscritto il: mer 24 nov , 2004 12:42 am
Località: Udine

Un'ottima introduzione al problema e spiegazione su come determinare i giusti settaggi per la propria rete:

http://www.cisco.com/application/pdf/en ... 4e5098.pdf
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Top
Rispondi

Torna a “Sicurezza”