Инструкция по сохранению функционала для оборудования Cisco

Блокировка связности с Cisco Smart Account необходима для того, чтобы устройства, требующие лицензирования и/или подписки, не перестали функционировать. Это касается:

  1. Всех решений безопасности (Cisco ISE, Cisco ASA);
  2. Телефонии и унифицированных коммуникаций (UC);
  3. Всех решений Software-defined;
  4. Всех коммутаторов серии Catalyst 9000;
  5. Всех маршрутизаторов серий ISR 1100, ISR 4000, ASR 1000, CSRv, ISRv.

Если выполнить описанное ниже, вы получите отложенный период от 30 до 90 дней, когда функционал оборудования сохранится.

Для Cisco ASA (блокировка проходящих через МСЭ запросов):

dns domain-lookup inside 
dns server-group DefaultDNS 
 name-server <IP-адрес DNS сервера> 
 domain-name company.com
!
object network tools.cisco.com
  fqdn tools.cisco.com
!
access-list outside_out deny ip any object tools.cisco.com
access-list outside_out permit ip any any
!
access-group outside_out out interface <Имя интерфейса>

 

Для Cisco ASA (на шасси Firepower) и vASA:

 

call-home
 profile License
  no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService

 

Для Cisco Switches and Routers (IOS-XE):

 

call-home
no contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
 active
 destination transport-method http
 no destination transport-method email
 no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService

 

Защита от DDoS-атак с помощью оборудования Cisco

Поскольку в настоящее время наблюдается повышенная вероятность подвергнуться целенаправленным сетевым атакам на ИТ-ресурсы, мы также подготовили инструкцию, как защитить корпоративные сервисы от DDoS-атак с использованием оборудования Cisco.

Важно отметить, что указанные ниже числовые значения взяты из документации Cisco и являются средними. Для реального защищаемого сервера эти значения могут быть ниже или выше необходимого уровня. Поэтому все пороги настраиваются по результатам наблюдений за защищаемым ресурсом.

При появлении деградаций защищаемых сервисов в отсутствии DDoS-атак необходимо увеличивать значения параметров. Уменьшать значения можно в том случае, если они выше значений при обычной эксплуатации защищаемого ресурса. Например, если в обычный день количество запросов к серверу 100/сек с пиками до 150/сек, а значения DDoS-защиты установлены в 5000/сек, то установленные пороги можно снизить до 200/сек.

Инструкция на базе средних значений, с которой можно начать защиту, а после корректировать в соответствии с вашими показателями:

Для Cisco ASA:

 

cisco-asa(config)# access-list mpf-policy-acl extended permit any <IP-адрес защищаемого сервера или слово «any»>
!

cisco-asa(config)# class-map mpf-policy
cisco-asa(config-cmap)# match access-list mpf-policy-acl
cisco-asa(config-cmap)# exit
!
cisco-asa(config)# policy-map mpf-policy-map
cisco-asa(config-pmap)#
class mpf-policy
cisco-asa(config-pmap-c)# set connection conn-max 9500
cisco-asa(config-pmap-c)#
set connection embryonic-conn-max 5000
cisco-asa(config-pmap-c)# set connection per-client-embryonic-max 100
cisco-asa(config-pmap-c)#
set connection per-client-max 75
cisco-asa(config-pmap-c)# exit
cisco-asa(config-pmap)#
exit
!
cisco-asa(config)# service-policy mpf-policy-map interface outside

Для Cisco routers (IOS):

Router(config)# access-list 101 permit <Указать IP-адрес защищаемого сервера или слово «any»> 
Router(config)# ip tcp intercept list 101 
Router(config)# ip tcp intercept mode intercept 
Router(config)# ip tcp intercept drop-mode random 
Router(config)# ip tcp intercept watch-timeout 200 
Router(config)# ip tcp intercept finrst-timeout 220 
Router(config)# ip tcp intercept connection-timeout 180 
Router(config)# ip tcp intercept max-incomplete low 3220 high 4550 
Router(config)# ip tcp intercept one-minute low 234 high 456

Для Cisco routers (IOS-XE):

Router(config)# class-map type inspect match-any ddos-class
Router(config-cmap)# match 
protocol tcp
Router(config-cmap-c)# exit
Router(config)# 
parameter-map type inspect global
Router(config-profile)# redundancy

Router(config-profile)# per-box tcp syn-flood limit 500
Router(config-profile)# 
per-box max-incomplete 2000 aggressive-aging 1500 low 1200
Router(config-profile)# 
per-box aggressive-aging high 1700 low 1300
Router(config-profile)# tcp idle-time 3000 ageout-time 100
Router(config-profile)# tcp synwait-time 30 ageout-time 10
Router(config-profile)# 
exit
Router(config)# policy-map type inspect ddos-fw
Router(config-pmap)#
 class type inspect ddos-class
Router(config-pmap-c)# inspect
Router(config-pmap-c)# 
 exit
Router(config-pmap)# class class-default
Router(config-pmap-c)# drop
 
Router(config-pmap-c)# exit
Router(config-pmap)# exit
Router(config)# 
 zone security private
Router(config-sec-zone)# exit
Router(config)# zone security public
 
Router(config-sec-zone)# exit
Router(config)# zone-pair security private2public source private destination public
 
Router((config-sec-zone-pair)# service-policy type inspect ddos-fw
Router((config-sec-zone-pair)# exit
 
Router(config)# interface gigabitethernet 0/1/0
Router(config-subif)# zone-member security private
Router(config-subif)# exit
Router(config)# interface gigabitethernet 1/1/0
Router(config-subif)#
 zone-member security public
Router(config-subif)# end

Следование указанным рекомендациям позволит сохранить работоспособность ИТ-инфраструктуры и защитить корпоративные сервисы от целенаправленных атак.

04.03.2022 13:44:00

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах