[mnemonic]

В функционале SCE заложена замечательная возможность бо борьбе с вирусами, DOS атаками и прочей нечистью.

В документе "Service Security Using the Cisco SCE Platform" дано описание что из себя представляет механизм борьбы SCE со зловредным трафиком.

В конфиге есть параметры по умолчанию которые представляют собой кол-во соединений в секунду выставленные для разных протоколов.

 

Но так-как опыта в борьбе с данной проблемой нету то появляются вопросы.

 

1. Те параметры которые выставлены по умолчанию являются оптимальными или их надо подбирать опытным путем?

2. ДОстаточно ли того функционала SCE для борьбы с угрозами или надо использовать доп. инструменты которые пользуются статистикой накопленной SCE

 

Поделитесь инфой кто-как бореться с вирусами, DOS и т.д. на SCE. Какие параметры выставляете. Кол-во сессий.

[ivanm38]

очень актуально тоже, так же может кто подскажет как делает при обнаружении завирусованного трафика переадресацию абонента на страницу с предупреждением?

[mnemonic]

очень актуально тоже, так же может кто подскажет как делает при обнаружении завирусованного трафика переадресацию абонента на страницу с предупреждением?

по идее URL для редиректа делается через SCA BB Console здесь:

Configuration->Policies->SubscriberRedirection->Network Attack Notification

там просто добавляется URL на страницу с алармом. Можно добавить URL на которых не будет срабатывать редирект Allowed URLs. Ну типа оставить доступ на антивирусные сайты или сайт провайдера.

 

Для включения блокировки и редиректа настраивается здесь:

Service Security -> Anomaly Based Detection of Malicious Traffic -> Configure

там выбираете тип детектора (создаете свой или выбираете по умолчанию. там 3 штуки)

там уже конкретно для каждого протокола есть 3 варианта действий которые по умолчанию выключены (Disable)

1. Alert User - при срабатывании отправляется SNMP trap

2. Notify Subscriber - редиректит на URL который настроили

3. Block Attack - блокирует абонента или атаку (тут я не уверен)

Edited January 9, 2014 by mnemonic

[skinner]

вот только вопросы с редиректом по прежнему есть.. и ответа найти не удалось нигде. Делали разовую нотификацию абонента за спам, но абонент блокируется навсегда и видит нотификацию тоже всегда. делали нотификацию с выключением по переходу на заданный урл - и вот это работало. В доках писалось, что также при снижении порога срабатывания трешхолда за спам абонент разблокируется, но и этого не происходило. так и не разобрались как это заставить работать удовлетворительно

[mnemonic]

Начали пробовать включать блокировки атак с уведомлением и редиректом.

Блочит на ура.

Одно неудобство это неизвестно какие таймауты. Нельзя посмотреть кто заблокирован и сколько ещё будет длиться блокировка. Логи и SNMP трапы дают только информацию о начале и конце атаки.

Проводил эксперимент. Эмулировал DoS атаку. После сообщения о конце атаки и восстановлением доступа в Интернет проходит примерно 10 минут. Проверял три раза. Иногда звонят абоненты и жалуются что вылечили вирусы но прошел уже час а доступа нет и нет. По логам и атака давно закончилась давно. И посмотреть состояние то негде.

 

Нашел в одной доке что можно так менять и смотреть таймауты:

Configuration:
configure
interface LineCard 0
sanity-checks attack-filter times filtering-cycle <seconds> max-attack-time <Seconds>

To verify:
sh interface LineCard 0 attack-filter current-attacks

Example:

SCE#>show interface LineCard 0 sanity-checks attack-filter times
Filtering cycle: 3600 seconds.
Max attack time: 86400 seconds.

 

Но у меня такого нет.

Версия ПО 3.8.5-classic Build 967.

Edited January 23, 2014 by mnemonic

[zhenya`]

это глобальные атаки.. когда оно отключает процессинг удп (допустим)..

 

у нас на 3.8.5 что на 4.0.0

sanity-checks attack-filter times filtering-cycle 900 max-attack-time 86400 есть.. на int line card0

Edited January 24, 2014 by zhenya`

[mnemonic]

это глобальные атаки.. когда оно отключает процессинг удп (допустим)..

 

у нас на 3.8.5 что на 4.0.0

sanity-checks attack-filter times filtering-cycle 900 max-attack-time 86400 есть.. на int line card0

Все настройки для интерфейса какие есть

SCE2020#conf t
SCE2020(config)#interface LineCard 0
SCE2020(config if)#?
 accelerate-packet-drops  Enable drop packets by hardware functionality
 asymmetric-L2-support    Enables Asymmetric layer 2 support
 attack-detector          Configure attack detectors
 attack-filter            Configure attack filter
 connection-mode          Set the connection mode (topology configurations)
 cpa-client               Enable and configure the CPA client
 default                  Restore default configuration
 do                       Execute 'exec' mode commands
 end                      Exit configure mode
 exit                     Exit line card interface mode
 flow-capture             Configure flow capture limits
 force
 interface                Select an interface to configure
 IP-tunnel                IP-tunnel support configuration
 L2TP                     Set L2TP support parameters
 link                     Configure line card link
 mac-resolver             Configure mac-resolver settings
 MPLS                     Set MPLS support parameters
 no                       No commands
 os-fingerprinting        Enable os-finger-printing
 periodic-records         Periodic records configuration
 pqi                      PQI operations (Install/Un-install/Upgrade/Rollback)
 replace                  Configure application replace
 salt                     Salt for hashing
 sce-url-database
 silent                   Disable events
 subscriber               Subscriber related stuff
 traffic-counter          Define a traffic counter
 traffic-rule             Define a traffic rule
 VAS-traffic-forwarding   VAS traffic forwarding configuration
 VLAN                     Set VLAN support parameters
 WAP                      Enable WAP handling
SCE2020(config if)#

 

Сегодня вылез ещё один непонятный момент

Зафиксирована атака из Интернета на IP абонента.

После блокировки атаки у абонента вылезла страница уведомления.

Начали разбираться. Проверили комп абонента на вирусы. Оказалось заражен вирусом tool.skymonk.14

Значит просто так атак не бывает. Что-то на компе у убонента должно быть.

 

UPD: Провел тест. Сэмулировал DoS атаку снаружи сети. Если стоит Notify то внутреннему абоненту постоянно выдаётся редирект на страницу. Если только Block attack то атака блокируется и абонент нормально работает.

Edited January 24, 2014 by mnemonic

[mnemonic]

Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку.

Куча жалоб. Поведение у программы как у вируса.

Как быть?

 

Пока что attack-filter отключил:(

[digsi]

Агент Mail.ru и есть вирус.

[DimaM]

Начали разбираться. Проверили комп абонента на вирусы. Оказалось заражен вирусом tool.skymonk.14

 

знакомый студент подрабатывает в "компьютерной помощи", говорит что, первым делом они проверяют на вирусы и

компьютеров хомяков без какого-нибудь вируса ему еще не попадалось, даже на "только что из магазина",

там счасливому покупателю поставили по отдельной услуге какой-то софт, а заодно и вирус :)

 

Поведение у программы как у вируса.

 

Welcome to the real world. Нередко подобная функциональность у больших вендоров существует для галочки,

т.е. когда ее делали, она возможно даже работала для какого-то конкретного случая, но дальше уже

продолжает существование как legacy и в реальной жизни мало применима.

[mcdemon]

Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку.

Куча жалоб. Поведение у программы как у вируса.

Как быть?

 

Пока что attack-filter отключил:(

а протокол пак у вас последний? там MRA (мэйл агент) недавно только добавили

[xcme]

знакомый студент подрабатывает в "компьютерной помощи", говорит что, первым делом они проверяют на вирусы и

компьютеров хомяков без какого-нибудь вируса ему еще не попадалось

Офф: Есть еще такая штука как "false positive". У меня есть несколько софтин (в том числе самописная), которые определяются как разная бяка, но на деле это просто специфические тулзы. Так что мочить без разбора я бы не стал.

[mnemonic]

Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку.

Куча жалоб. Поведение у программы как у вируса.

Как быть?

 

Пока что attack-filter отключил:(

а протокол пак у вас последний? там MRA (мэйл агент) недавно только добавили

у меня стоит 32. А mailru судя по инфе с сайта циско появился в 37

не подскажете где взять последний протокол пак?

[mcdemon]

у меня стоит 32. А mailru судя по инфе с сайта циско появился в 37

не подскажете где взять последний протокол пак?

У меня есть 37 и 38 но только для 3.7.2