Блокировка связности с Cisco Smart Account необходима для того, чтобы устройства, требующие лицензирования и/или подписки, не перестали функционировать. Это касается:
- Всех решений безопасности (Cisco ISE, Cisco ASA);
- Телефонии и унифицированных коммуникаций (UC);
- Всех решений Software-defined;
- Всех коммутаторов серии Catalyst 9000;
- Всех маршрутизаторов серий ISR 1100, ISR 4000, ASR 1000, CSRv, ISRv.
Если выполнить описанное ниже, вы получите отложенный период от 30 до 90 дней, когда функционал оборудования сохранится.
Для Cisco ASA (блокировка проходящих через МСЭ запросов):
dns domain-lookup inside
dns server-group DefaultDNS
name-server <IP-адрес DNS сервера>
domain-name company.com
!
object network tools.cisco.com
fqdn tools.cisco.com
!
access-list outside_out deny ip any object tools.cisco.com
access-list outside_out permit ip any any
!
access-group outside_out out interface <Имя интерфейса>
Для Cisco ASA (на шасси Firepower) и vASA:
call-home
profile License
no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Для Cisco Switches and Routers (IOS-XE):
call-home
no contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Защита от DDoS-атак с помощью оборудования Cisco
Поскольку в настоящее время наблюдается повышенная вероятность подвергнуться целенаправленным сетевым атакам на ИТ-ресурсы, мы также подготовили инструкцию, как защитить корпоративные сервисы от DDoS-атак с использованием оборудования Cisco.
Важно отметить, что указанные ниже числовые значения взяты из документации Cisco и являются средними. Для реального защищаемого сервера эти значения могут быть ниже или выше необходимого уровня. Поэтому все пороги настраиваются по результатам наблюдений за защищаемым ресурсом.
При появлении деградаций защищаемых сервисов в отсутствии DDoS-атак необходимо увеличивать значения параметров. Уменьшать значения можно в том случае, если они выше значений при обычной эксплуатации защищаемого ресурса. Например, если в обычный день количество запросов к серверу 100/сек с пиками до 150/сек, а значения DDoS-защиты установлены в 5000/сек, то установленные пороги можно снизить до 200/сек.
Инструкция на базе средних значений, с которой можно начать защиту, а после корректировать в соответствии с вашими показателями:
Для Cisco ASA:
cisco-asa(config)#
access-list mpf-policy-acl extended permit any <IP-адрес защищаемого сервера или слово «any»>
!
cisco-asa(config)#
class-map mpf-policy
cisco-asa(config-cmap)#
match access-list mpf-policy-acl
cisco-asa(config-cmap)#
exit
!
cisco-asa(config)#
policy-map mpf-policy-map
cisco-asa(config-pmap)#class mpf-policy
cisco-asa(config-pmap-c)#
set connection conn-max 9500
cisco-asa(config-pmap-c)#set connection embryonic-conn-max 5000
cisco-asa(config-pmap-c)# s
et connection per-client-embryonic-max 100
cisco-asa(config-pmap-c)#set connection per-client-max 75
cisco-asa(config-pmap-c)#
exit
cisco-asa(config-pmap)#exit
!
cisco-asa(config)#
service-policy mpf-policy-map interface outside
Для Cisco routers (IOS):
Router(config)#
access-list 101 permit <Указать IP-адрес защищаемого сервера или слово «any»>
Router(config)#
ip tcp intercept list 101
Router(config)#
ip tcp intercept mode intercept
Router(config)#
ip tcp intercept drop-mode random
Router(config)#
ip tcp intercept watch-timeout 200
Router(config)#
ip tcp intercept finrst-timeout 220
Router(config)#
ip tcp intercept connection-timeout 180
Router(config)#
ip tcp intercept max-incomplete low 3220 high 4550
Router(config)#
ip tcp intercept one-minute low 234 high 456
Для Cisco routers (IOS-XE):
Router(config)#
class-map type inspect match-any ddos-class
Router(config-cmap)#
match protocol tcp
Router(config-cmap-c)#
exit
Router(config)#
parameter-map type inspect global
Router(config-profile)#
redundancy
Router(config-profile)#
per-box tcp syn-flood limit 500
Router(config-profile)#
per-box max-incomplete 2000 aggressive-aging 1500 low 1200
Router(config-profile)#
per-box aggressive-aging high 1700 low 1300
Router(config-profile)#
tcp idle-time 3000 ageout-time 100
Router(config-profile)#
tcp synwait-time 30 ageout-time 10
Router(config-profile)#
exit
Router(config)#
policy-map type inspect ddos-fw
Router(config-pmap)#
class type inspect ddos-class
Router(config-pmap-c)#
inspect
Router(config-pmap-c)#
exit
Router(config-pmap)#
class class-default
Router(config-pmap-c)#
drop
Router(config-pmap-c)#
exit
Router(config-pmap)#
exit
Router(config)#
zone security private
Router(config-sec-zone)#
exit
Router(config)#
zone security public
Router(config-sec-zone)#
exit
Router(config)#
zone-pair security private2public source private destination public
Router((config-sec-zone-pair)#
service-policy type inspect ddos-fw
Router((config-sec-zone-pair)#
exit
Router(config)#
interface gigabitethernet 0/1/0
Router(config-subif)#
zone-member security private
Router(config-subif)#
exit
Router(config)#
interface gigabitethernet 1/1/0
Router(config-subif)#
zone-member security public
Router(
config-
subif)#
end
Следование указанным рекомендациям позволит сохранить работоспособность ИТ-инфраструктуры и защитить корпоративные сервисы от целенаправленных атак.
04.03.2022 13:44:00