¶ Configuração de Thresholds
¶ Descrição:
¶ O que ela representa no sistema?
A principal função de uma Threshold é identificar possíveis anomalias, sendo uma característica essencial para o funcionamento do sistema Anti-DDoS.
Ela define os limites de tráfego com base no endereço de IP ou Subnet, ajudando o sistema a detectar se o tráfego de um determinado IP ou Subnet está apresentando comportamentos típicos de um ataque.
A Threshold é associada aos prefixos de IP, determinando o limite máximo de tráfego que um IP ou Subnet pode gerar, tanto em Mbps quanto em PPS (pacotes por segundo). Esses limites são definidos através dos decodificadores
configurados na Threshold, bem como para tráfego de protocolos específicos, como TCP, UDP, HTTPS, QUIC, ICMP, DNS, entre outros.
Quando o tráfego de um IP ou Subnet ultrapassa um desses limites definidos, o sistema o identifica como uma possível anomalia e inicia uma análise detalhada desse tráfego.
¶ Criação:
Para cadastrar uma nova Threshold, clique no menu lateral esquerdo, em Anti-DDoS:
Em seguida em Parâmetros e Ações, clique em Thresholds:
Agora, na tela central, clique em Nova Threshold para criar:
Seguem as definições dos campos:
Nome: No campo "Nome", defina um nome para a Threshold, como, por exemplo, CGNAT.
Tempo de Anomalia: Será o tempo que a anomalia ficará ativa no sistema, independente do tempo definido nas ações e respostas.
Damper: O campo Damper é muito importante, pois define o número de vezes e o intervalo de tempo em que o alerta precisa ser acionado para ser classificado como uma anomalia.
Após preencher esses campos, clique em Salvar e Continuar para finalizar a criação.
Clique no menu no lado esquerdo novamente em Threshold, e clique em Editar na nova Threshold que foi criada.
¶ Configuração:
Para determinar as regras é recomendado iniciar a partir do Total de Megabits por segundo que os IPs associados podem alcançar e a partir desse valor converter o Total de Pacotes por segundo e tráfego por protocolo.
Segue abaixo um exemplo de Threshold configurada para IPs que alcançam no máximo 1000 Mbps:
Para iniciar as definições dos valores dos decodificadores, vamos usar um exemplo de uma Threshold com prefixos de CGNAT, onde temos somente clientes residenciais, com no máximo 1 GB de velocidade. Sabendo disso, vamos limitar o valor total da Threshold para 1 GB e diminuir os valores dos demais protocolos.
Para lhe auxiliar, vou deixar a porcentagem de quanto diminuímos para os principais protocolos:
HTTPS: 20%
TCP: 20%
UDP: 30%
TCP (portas altas): 20%
UDP (portas altas): 20%
HTTP: 20%
QUIC: 20%
Quanto ao PPS, definimos aproximadamente 100.000 PPS para cada 1 GB.
Para TCP-SYN, iniciamos com 30 Mbps e 3000 PPS. Para os demais protocolos, aplicamos 5 Mbps com 500 PPS.
Obs: Isso é um padrão que utilizamos para iniciar a análise, porém, o ideal é definir os valores de acordo com o tráfego da sua rede/prefixo e ir ajustando os falsos positivos.
Vamos dar continuidade às configurações. Agora, vamos definir os valores dos decodificadores, que são responsáveis por fazer a limitação do tráfego de acordo com os valores e protocolos definidos.
1-IP único: A identificação será realizada quando os valores dos decodificadores forem excedidos por IP;
2-Subnet: A identificação será realizada quando os valores dos decodificadores forem excedidos por Subnet.
3-Ou clicando em Preencher com decodificadores padrão, nesse caso o sistema irá definir valores padrão (o sistema não faz análise do tráfego),
criando automaticamente os decodificadores com valores padrões para IP único e Subnet.
Por último, temos a opção de Importar um Template pronto, já com os valores definidos:
Para adicionar um decodificado para IP único ou Subnet, clique sobre a opção desejada em + Novo decodificador 0/35:
Após selecionar clica sobre + Novo decodificador, preencha os campos:
Definição dos campos:
Decoder: Irá selecionar o protocolo/decodificador que será criado;
Valor: É o valor que vamos definir para o decodificador;
Unidade: Se será PPS ou Mbps;
Escolha a resposta personalizada: Se você escolher uma ação customizada, somente esta ação será executada,
e as padrões da threshold serão ignoradas;
Recomendamos manter as opções como estão, e ir clicando em adicionar e ir definindo os valores, desta forma para todos os 35 decodificadores,
tanto para PPS quanto para Mbps, irão aparecer para ser adicionados automaticamente.
Após definir o valor, clique em Adicionar, segue adicionando para todos decodificadores que for utilizar.
Recomendamos adicionar todos decodificadores.
Após adicionar os decodificadores, clique em Salvar e Ver alterações:
Em seguida Aplicar alterações:
Após todos decodificadores adicionados, agora precisamos associar os prefixos a threshold, para isso, no menu no lado esquerdo clique em Prefixos:
Na tela central clique em Adicionar Prefixo:
Preencha as informações do campo prefixo, descrição, e em threshold, selecione a que criamos, depois clique em salvar:
No menu lateral, clique em Threshold, na tela central, podemos observar que o prefixo já está associado a threshold que foi criada. Agora para finalizar, precisamos Ativar a Threshold de que criamos, clique para Ativar:
Após ativado, precisamos clicar em em Ver alterações, em seguida, Aplicar alterações:
¶ Considerações finais:
Com essas configurações, criamos e configuramos nossa threshold, já está ativa, e pronta para identificar alerta.