1. Home
  2. Anleitungen
  3. Sophos XGS
  4. Sophos Firewall: Flood Protection einrichten

Sophos Firewall: Flood Protection einrichten

erstellt am:

für Versionen:

  • 19.5
  • 20.0

In dieser Anleitungen zeigen wir Ihnen, wie Sie die Flood Protection Ihrer Sophos XGS einrichten.

1. Öffnen Sie den WebAdmin der Sophos XGS 

2. Navigieren Sie zu „Intrusion Prevention --> DoS & spoof protection“ 

3. Scrollen Sie herunter zu „DoS settings“ 

4. Dort werden folgende Angriffsvektoren aufgeführt: 

  • ICMP flood: Der Angreifer sendet eine große Anzahl an IP-Paketen, um die Bandbreite zu blockieren. 
  • SYN/TCP flood: Ein Gerät mit einer erfundenen IP-Adresse sendet eine große Anzahl an TCP/SYN Paketen. Dieses werden als Verbindungsanfrage verwertet und es wird ein TCP/SYN-ACK Paket geantwortet und eine halb geöffnete Verbindung geöffnet. Diese belegen die verfügbaren Verbindungen eines Servers. 
  • UDP flood: Hier werden viele UDP-Pakete an zufällige Ports eines Ziel-Servers gesendet. Das Ziel muss auf die Anfragen reagieren, was wiederum dazu führt, dass das Ziel nicht erreichbar ist. 

5. Unter „DoS settings“ legen Sie fest, wie viele Pakete gesendet und empfangen werden sollen. 

  • Packet rate: Die Anzahl der Pakete, welche jeder Host pro Minute senden und empfangen kann. 
  • Burst rate: Wie viele Pakete pro Sekunde über der „Packet rate“ ankommen können, um gelegentlich auftretende Netzwerk-Spikes erlauben zu können. 
  • Dropped source routed packets: Mit dieser Option können Sie Netzwerk-Verkehr verweigern, bei dem die Quelle die Paket-Route bestimmt. Dies verhindert eine Manipulation der Route-Tabellen.
  • Disable ICMP/ICMPv6 redirect packet: Mit dieser Option können Sie ICMP und ICMPv6 Redirect Pakete verweigern. Diese werden von Downstream Routern gesendet und dienen dazu, eine optimale oder aktive Route zu finden. Sie können von Angreifern genutzt werden, um ihre Route-Tabelle zu manipulieren. 
  • ARP hardening: Mit dieser Option erlauben Sie ARP-Replies nur, wenn die Quell- und Ziel IP Adresse im selben Subnet liegen. Damit verhindern Sie ARP-Floods und ARP poisening. 
  • Apply flag: Wenn Sie diesen Haken setzen, werden die Limitierung für das entsprechende Protokoll angewendet 
  • Traffic dropped: Dies ist eine Statistik-Anzeige. 
  • DoS bypass rule: Hier können Sie bestimmte Hosts und bestimmte Ports oder Protokolle Ausnahmen definieren, damit diese nicht von der DoS Protection geblockt werden. Dies ist zum Beispiel bei MS Teams und aktivierter UDP flood Traffic Limitierung möglichicherweise notwendig. 

Dos Settings

   

Dos Setting IP