Loading...

Perfil de denegación de servicio de Network Security Platform: modos de aprendizaje y detección
Artículos técnicos ID:   KB71628
Última modificación:  05/01/2018
Calificado:


Entorno

McAfee Network Security Platform

Resumen

En este artículo, se explican los modos de aprendizaje y detección del perfil DoS (denegación de servicio) en Network Security Platform. 

Modo de aprendizaje
El modo de aprendizaje se inicia cuando el Sensor se añade por primera vez a una red. El período estándar del modo de aprendizaje suele ser de 48 horas, tras las cuales el sensor pasará al modo de detección, pero seguirá ajustándose constantemente con el tiempo.

Durante el período del modo de aprendizaje, el sensor cataloga el tráfico en BIN. El sensor divide el tráfico en BIN por subred, hasta un total de 128 BIN por sensor. Los BIN pueden hacer referencia a un gran segmento de red, como 10.0.0.0/8 o 112.0.0.0/5, o bien hacer referencia a un segmento más específico, como 8.8.8.0/29.

Cada BIN incluirá valores que describen la cantidad de tráfico del protocolo específico.

Para ver los BIN, haga lo siguiente:

  1. Abra a una sesión de línea de comandos en el sensor.
  2. Escriba el siguiente comando y pulse INTRO:

    show dospreventionprofile <tipo-de-paquete> <dirección>

    Por ejemplo:

    show dospreventionprofile tcp-syn inbound 

      0: 0.0.0.0/2 AS=25.000% LT=1.568% ST=0.00% ltR=0.001 stR=0.000
      1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
      2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
      3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
      4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
      5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
      6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
  • AS (%): porcentaje del espacio de la dirección IP que ocupa este BIN
  • LT (%): porcentaje del tráfico a largo plazo que incluye este BIN
  • ST (%): porcentaje del tráfico a corto plazo que incluye este BIN
  • ltRate: tasa del promedio de tráfico a largo plazo (en paquetes por segundo) de este BIN
  • stRate: tasa del tráfico a corto plazo (en paquetes por segundo) de este BIN

Modo de detección
Una vez transcurrido el período de 48 horas del modo de aprendizaje, el sensor entrará automáticamente en el modo de detección. No hay bloqueo predeterminado de DoS. Puede activar el bloqueo después de que el sensor haya establecido un perfil de red aceptable.

Para activar el bloqueo de DoS en Network Security Manager, haga lo siguiente:
  1. Inicie sesión en Network Security Manager.
  2. Seleccione IPS Settings (Configuración de IPS) en el panel de la izquierda.
  3. Haga clic en la pestaña Advanced Policies (Directivas avanzadas).
  4. Seleccione Default IPS Attack Settings (Configuración predeterminada de ataque del IPS).
  5. Busque el tipo de ataque que desea y establézcalo en Block (Bloqueo).

Cuando el sensor se encuentra en el modo de detección y localiza un posible ataque DoS, los BIN que contienen la posible detección del tráfico problemático cambiarán y se mostrarán con una almohadilla #. El sensor actuará sobre el tráfico según la configuración establecida para el ataque específico (bloqueo y alerta, o solo alerta).

Gravedad y umbral de prevención de DoS
El sensor ajusta constantemente el perfil para evitar la detección de falsos positivos en pequeños cambios y eventos de tráfico de red que puedan interpretarse como un ataque DoS. Puede personalizar este comportamiento en función de la gravedad de un ataque detectado y ajustar el umbral según sea preciso.

Para ver la gravedad, haga lo siguiente: 

  1. Abra a una sesión de línea de comandos en el sensor.
  2. Escriba el siguiente comando y pulse INTRO:

    show dospreventionseverity <tipo-de-paquete> <dirección>

    NOTA: El soporte técnico recomienda no cambiar los niveles de gravedad predeterminados a no ser que tenga conocimientos exhaustivos de su red y pueda garantizar que el cambio no supondrá la falsa detección de un ataque DoS.
Para modificar el umbral de un ataque específico, haga lo siguiente:
  1. Inicie sesión en Network Security Manager.
  2. Seleccione IPS Settings (Configuración de IPS). 
  3. Seleccione Advanced Policies (Directivas avanzadas). 
  4. Seleccione Default IPS Attack Settings (Configuración predeterminada de ataque del IPS).
  5. Seleccione la pestaña Threshold (Umbral) y edite el ataque concreto que desee modificar.

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Calificar este documento

Beta Translate with

Select a desired language below to translate this page.

Idiomas: