Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA, max. Verbindungen je Client limitieren

Frage Sicherheit Firewall

Mitglied: lumitro

lumitro (Level 1) - Jetzt verbinden

14.06.2008, aktualisiert 07.11.2008, 5711 Aufrufe, 1 Kommentar

Ich möchte (um eine DoS-Attacke zu vermeiden) auf meiner ASA die eingehenden Verbindungen pro Client (Websitebesucher) auf z.B. 3 beschränken. Sodass nicht ein User mit einem kleinen Tool viele Anfragen bzw. Clicks pro Sekunde an meinen Webserver schicken kann.

Am schönsten wäre das natürlich, wenn das zeitlich variable wäre.. also z.B. max. 30 Anfragen pro Minute oder sowas.
Mitglied: SchmuFoo
07.11.2008 um 14:05 Uhr
Hallo zusammen,

auch wenn der Thread schon was älter ist möchte ich als neues Mitglied hier meinen Einstand geben

Das geht bei der 5500 Cisco ASA Serie über das MPF (Modular Policy Framwork) bei dem z.B. die von Dir angefragten Connection Limits dann über sogenannte Service Policies abgewickelt werden.

Beachten sollte man bei solchen Limitierung jedoch dass dadurch z.B. auch Firmen-Proxy's etc bei denen halt sehr viele Connections von einer IP kommen beeinträchtigt werden könnten.

Zunächst aber mal eine Übersicht über das Feature:

Applying Connection Limits and TCP Normalization

„You can limit TCP and UDP connections and embryonic connections. Limiting the number of connections and embryonic connections protects you from a DoS attack. The security appliance uses the embryonic limit to trigger TCP Intercept, which protects inside systems from a DoS attack perpetrated by flooding an interface with TCP SYN packets. An embryonic connection is a connection request that has not finished the necessary handshake between source and destination.“

Die bei Cisco Embryonic Connection genannte Option ist jeh nach Linux Distribution übrigens auch auf Servern einstellbar und wird dort als SYN-Cookie bezeichnet.

Detailierte Beschreibung der Optionen im ASDM: http://www.cisco.com/en/US/docs/security/asa/asa72/asdm52/user/guide/sv ...

Anlegung via SSH http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...


Beispiel einer globalen Limitierung der TCP and UDP connections

access-list outside_mpc line 1 extended permit tcp 0.0.0.0 0.0.0.0 host IP.IP.IP.IP eq http
class-map outside-class
match access-list outside_mpc
policy-map outside-policy
class outside-class
set connection conn-max *GewünschteAnzahl* embryonic-conn-max 0 random-sequence-number enable
service-policy outside-policy interface outside


Beispiel Pro-Client Connection Limit (Kann jedoch NICHT via ASDM sondern nur via SSH eingestellt und eingesehen werden, funktioniert aber..)

access-list outside_mpc line 1 extended permit tcp 0.0.0.0 0.0.0.0 host IP.IP.IP.IP eq http
class-map outside-class
match access-list outside_mpc
policy-map outside-policy
class outside-class
set connection conn-max 0 connection per-client-max *GewünschteAnzahl*
service-policy outside-policy interface outside


Beispiel Service-Policy um nur eingehende TCP-Verbindungen auf Port 80 zu limitieren:

class-map inside-class
match port tcp eq http
policy-map inside-policy
class inside-class
inspect http
set connection conn-max *GewünschteAnzahl* embryonic-conn-max 0 random-sequence-number enable
service-policy inside-policy interface inside


Sollte es zu geziehlten Layer7 Service Attacks kommen kann eine Limietierung auch auf ACL Basis geconft werden:

access-list dos-limit extended permit tcp any host IP.IP.IP.IP eq www

class-map dos-limit
match access-list dos-limit
policy-map dos-limit
class dos-limit
set connection per-client-max 25
service-policy dos-limit interface outside


Entweder man klickt sich das oben dargestellte im „Service Policy Rules“ Bereich zusammen oder fügt es via „Tools → Command Line Interface“ (oder per SSH im exec mode) direkt ein.

Das „inspect http“ kann auch weggelassen werden, jeh nachdem wieviele http Requests/s auf dem Interface eingehen kann das einiges an Ressourcen brauchen.


Zusammengefasst gesagt kann die ASA auf Layer 3-4 die Connections Limitieren, dies aber nur in Abhängigkeit von Layer 3-4 Adressen (IP/Port) und auch nicht über einen Counter a la "Gab es von der Source schonmal eine Anfrage innerhalb von x Stunden".

Auf Layer 7 Basis kann desweiteren untersucht/limitiert werden, z.B. über eine URI Liste wo eine RegEx a la /uri-foo/ gematched wird, aber das kann wiederum nicht mit einen Counter auf Layer 3 (Source) Basis kombiniert werden.


Cheers
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Cisco ASA Passwort Reset (2)

Anleitung von Yannosch zum Thema LAN, WAN, Wireless ...

Switche und Hubs
Firmware Update Cisco ASA 5505 (3)

Frage von JoeJoe zum Thema Switche und Hubs ...

Sonstige Systeme
gelöst Cisco 1841, dhcp Client keine Adresse (31)

Frage von rudeboy zum Thema Sonstige Systeme ...

Netzwerkmanagement
gelöst Cisco 300 Switch upgraden via Consolen Cable. Putty: Kann tftp client nicht öffnen (25)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(2)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

LAN, WAN, Wireless
gelöst Statische Routen mit ISC-DHCP Server für Android Devices (22)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

Exchange Server
gelöst Migration Exchange 2007 zu 2013 - Public Folder teilweise weg (16)

Frage von Andy1987 zum Thema Exchange Server ...