Инструкция по сохранению функционала для оборудования Cisco

Блокировка связности с Cisco Smart Account необходима для того, чтобы устройства, требующие лицензирования и/или подписки, не перестали функционировать. Это касается:

  1. Всех решений безопасности (Cisco ISE, Cisco ASA);
  2. Телефонии и унифицированных коммуникаций (UC);
  3. Всех решений Software-defined;
  4. Всех коммутаторов серии Catalyst 9000;
  5. Всех маршрутизаторов серий ISR 1100, ISR 4000, ASR 1000, CSRv, ISRv.

Если выполнить описанное ниже, вы получите отложенный период от 30 до 90 дней, когда функционал оборудования сохранится.

Для Cisco ASA (блокировка проходящих через МСЭ запросов):

dns domain-lookup inside 
dns server-group DefaultDNS 
 name-server <IP-адрес DNS сервера> 
 domain-name company.com
!
object network tools.cisco.com
  fqdn tools.cisco.com
!
access-list outside_out deny ip any object tools.cisco.com
access-list outside_out permit ip any any
!
access-group outside_out out interface <Имя интерфейса>

 

Для Cisco ASA (на шасси Firepower) и vASA:

 

call-home
 profile License
  no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService

 

Для Cisco Switches and Routers (IOS-XE):

 

call-home
no contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
 active
 destination transport-method http
 no destination transport-method email
 no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService

 

Защита от DDoS-атак с помощью оборудования Cisco

Поскольку в настоящее время наблюдается повышенная вероятность подвергнуться целенаправленным сетевым атакам на ИТ-ресурсы, мы также подготовили инструкцию, как защитить корпоративные сервисы от DDoS-атак с использованием оборудования Cisco.

Важно отметить, что указанные ниже числовые значения взяты из документации Cisco и являются средними. Для реального защищаемого сервера эти значения могут быть ниже или выше необходимого уровня. Поэтому все пороги настраиваются по результатам наблюдений за защищаемым ресурсом.

При появлении деградаций защищаемых сервисов в отсутствии DDoS-атак необходимо увеличивать значения параметров. Уменьшать значения можно в том случае, если они выше значений при обычной эксплуатации защищаемого ресурса. Например, если в обычный день количество запросов к серверу 100/сек с пиками до 150/сек, а значения DDoS-защиты установлены в 5000/сек, то установленные пороги можно снизить до 200/сек.

Инструкция на базе средних значений, с которой можно начать защиту, а после корректировать в соответствии с вашими показателями:

Для Cisco ASA:

 

cisco-asa(config)# access-list mpf-policy-acl extended permit any <IP-адрес защищаемого сервера или слово «any»>
!

cisco-asa(config)# class-map mpf-policy
cisco-asa(config-cmap)# match access-list mpf-policy-acl
cisco-asa(config-cmap)# exit
!
cisco-asa(config)# policy-map mpf-policy-map
cisco-asa(config-pmap)#
class mpf-policy
cisco-asa(config-pmap-c)# set connection conn-max 9500
cisco-asa(config-pmap-c)#
set connection embryonic-conn-max 5000
cisco-asa(config-pmap-c)# set connection per-client-embryonic-max 100
cisco-asa(config-pmap-c)#
set connection per-client-max 75
cisco-asa(config-pmap-c)# exit
cisco-asa(config-pmap)#
exit
!
cisco-asa(config)# service-policy mpf-policy-map interface outside

Для Cisco routers (IOS):

Router(config)# access-list 101 permit <Указать IP-адрес защищаемого сервера или слово «any»> 
Router(config)# ip tcp intercept list 101 
Router(config)# ip tcp intercept mode intercept 
Router(config)# ip tcp intercept drop-mode random 
Router(config)# ip tcp intercept watch-timeout 200 
Router(config)# ip tcp intercept finrst-timeout 220 
Router(config)# ip tcp intercept connection-timeout 180 
Router(config)# ip tcp intercept max-incomplete low 3220 high 4550 
Router(config)# ip tcp intercept one-minute low 234 high 456

Для Cisco routers (IOS-XE):

Router(config)# class-map type inspect match-any ddos-class
Router(config-cmap)# match 
protocol tcp
Router(config-cmap-c)# exit
Router(config)# 
parameter-map type inspect global
Router(config-profile)# redundancy

Router(config-profile)# per-box tcp syn-flood limit 500
Router(config-profile)# 
per-box max-incomplete 2000 aggressive-aging 1500 low 1200
Router(config-profile)# 
per-box aggressive-aging high 1700 low 1300
Router(config-profile)# tcp idle-time 3000 ageout-time 100
Router(config-profile)# tcp synwait-time 30 ageout-time 10
Router(config-profile)# 
exit
Router(config)# policy-map type inspect ddos-fw
Router(config-pmap)#
 class type inspect ddos-class
Router(config-pmap-c)# inspect
Router(config-pmap-c)# 
 exit
Router(config-pmap)# class class-default
Router(config-pmap-c)# drop
 
Router(config-pmap-c)# exit
Router(config-pmap)# exit
Router(config)# 
 zone security private
Router(config-sec-zone)# exit
Router(config)# zone security public
 
Router(config-sec-zone)# exit
Router(config)# zone-pair security private2public source private destination public
 
Router((config-sec-zone-pair)# service-policy type inspect ddos-fw
Router((config-sec-zone-pair)# exit
 
Router(config)# interface gigabitethernet 0/1/0
Router(config-subif)# zone-member security private
Router(config-subif)# exit
Router(config)# interface gigabitethernet 1/1/0
Router(config-subif)#
 zone-member security public
Router(config-subif)# end

Следование указанным рекомендациям позволит сохранить работоспособность ИТ-инфраструктуры и защитить корпоративные сервисы от целенаправленных атак.

04.03.2022 13:44:00

Другие публикации

Инструменты и технологии проактивной безопасности в e-Commerce

Цифровая трансформация является неотъемлемой частью любого бизнеса в современном мире, и она требует внедрения технологий проактивной безопасности для защиты данных и предотвращения кибератак. Об использовании передовых инструментов и средств защиты данных рассказывает Денис Бандалетов, руководитель отдела сетевых технологий Angara Security.

04.11.2024

Как сохранить свои данные в безопасности?

Отвечает директор по управлению сервисами Angara Security Павел Покровский.

01.11.2024

Рынок услуг управления уязвимостями в России: контроль поверхности атак

Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций.

30.10.2024

CNEWS: В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики

В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики. Об этом CNews сообщили представители Angara Security.

актуально
рекомендации

18.10.2024

Эксперты Angara Security представили рекомендации по защите банковского сектора от DDoS-атак

В течение нескольких дней 23 и 24 июля российский банковский сектор подвергся целенаправленным DDoS-атакам из-за...

актуально
рекомендации

16.10.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах