Pular para o conteúdo
Clique aqui para abrir a documentação de switches gerenciados localmente, incluindo os guias CLI e API.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=switch-management-security

Segurança

Você pode definir as configurações de segurança para o Sophos Switch.

DoS

O Sophos Switch pode monitorar e bloquear ataques de negação de serviço (DoS). Um ataque DoS é o tráfego de rede destinado a sobrecarregar um host e interromper sua conexão com a rede.

Selecione Ligar ou Desligar para ativar ou desativar a proteção contra DoS. Escolha Não configurado para usar as definições configuradas localmente no switch.

Depois de ativar ou desativar o DoS, clique em Atualizar para salvar as alterações.

Quando você ativa o DoS, o switch descarta pacotes que correspondem aos seguintes tipos de ataques DoS:

  • MAC de destino igual ao MAC de origem: Derruba o tráfego onde os endereços MAC de origem e destino são os mesmos.
  • Ataques LAND de IP de destino igual a IP de origem (IPv4/IPv6): Derruba pacotes onde os endereços IP de origem e destino são os mesmos.

  • Blat TCP (Porta TCP de destino igual à porta TCP de origem): Derruba pacotes TCP onde as portas TCP de origem e TCP de destino são as mesmas.

    Nota

    O cliente NTP (Network Time Protocol) às vezes usa a mesma porta de origem e destino. Quando você ativa a proteção contra DoS, o Sophos Switch a detecta como um ataque de Blat TCP e derruba os pacotes. Recomendamos desativar a proteção contra DoS se você estiver executando clientes NTP mais antigos que usam as mesmas portas de origem e destino.

  • Blat UDP (Porta UDP de destino igual à porta UDP de origem): Derruba pacotes UDP onde as portas UDP de origem e UDP de destino são as mesmas.

  • Ping of Death (IPv4/IPv6): Derruba pacotes com um comprimento maior que 64 Kbytes através de fragmentos.
  • Fragmento mínimo de IPv6 (bytes): Limita o tamanho mínimo de fragmentos de IPv6 a 1240 bytes.
  • Fragmentos de ICMP (IPv4/IPv6): Derruba pacotes ICMP fragmentados.
  • Tamanho máximo do ping IPv4: Limita o comprimento máximo de um pacote de ping IPv4 a 512 bytes.
  • Tamanho máximo do ping IPv6: Limita o comprimento máximo de um pacote de ping IPv6 a 512 bytes.
  • Ataque Smurf (comprimento da máscara de rede): Limita o comprimento da máscara de rede dos pacotes ICMP transmitidos a 24 (x.x.x.255).
  • Tamanho mínimo do cabeçalho TCP (bytes): Limita o tamanho mínimo do cabeçalho TCP a 20 bytes.
  • TCP-SYN: Derruba pacotes TCP onde o sinalizador SYN está definido, o sinalizador ACK não está definido e a porta de origem é menor que 1024.
  • Varredura nula: Derruba pacotes TCP onde não são definidos sinalizadores e o número da sequência é zero.
  • Xmas: Derruba pacotes TCP com o número de sequência zero e os sinalizadores FIN, URG e PSH definidos.
  • TCP SYN-FIN: Derruba pacotes TCP com os sinalizadores SYN e FIN definidos.
  • TCP SYN-RST: Derruba pacotes TCP com os sinalizadores SYN e RST definidos.