CE_v4_SP

NetScreen: conceptos y ejemplosreenOS

e fensa

ScreenOS 5.0.0

Ref. 093-0927-000-SP

Revisión E

Manual de referencia de Sc

Volumen 4: Mecanismos ddetección de ataques y de

se harmful interference to radio uipment in a residential area is likely to case users will be required to correct the

compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation.

interference to radio or television y turning the equipment off and on, the e interference by one or more of the

ing antenna.

en the equipment and receiver.

ienced radio/TV technician for help.

utlet on a circuit different from that to d.

o this product could void the user's device.

ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE

WARRANTY, CONTACT YOUR OR A COPY.

Copyright NoticeCopyright © 2004 NetScreen Technologies, Inc. All rights reserved.NetScreen, NetScreen Technologies, GigaScreen, NetScreen-Global PRO, ScreenOS and the NetScreen logo are registered trademarks of NetScreen Technologies, Inc. in the United States and certain other countries. NetScreen-5GT, NetScreen-5GT Extended, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-500 GPRS, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-IDP 1000, NetScreen-SA 1000, NetScreen-SA 3000, NetScreen-SA 5000, NetScreen-SA Central Manager, NetScreen-SM 3000, NetScreen-Security Manager, NetScreen-Security Manager 2004, NetScreen-Hardware Security Client, NetScreen ScreenOS, NetScreen Secure Access Series, NetScreen Secure Access Series FIPS, NetScreen-IDP Manager, GigaScreen ASIC, GigaScreen-II ASIC, Neoteris, Neoteris Secure Access Series, Neoteris Secure Meeting Series, Instant Virtual Extranet, and Deep Inspection are trademarks of NetScreen Technologies, Inc. All other trademarks and registered trademarks are the property of their respective companies.Information in this document is subject to change without notice.No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: NetScreen Technologies, Inc.Building #3805 11th AvenueSunnyvale, CA 94089www.netscreen.com

FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance

with the instruction manual, may caucommunications. Operation of this eqcause harmful interference, in which interference at their own expense.

The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a pa

If this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:

• Reorient or relocate the receiv

• Increase the separation betwe

• Consult the dealer or an exper

• Connect the equipment to an owhich the receiver is connecte

Caution: Changes or modifications twarranty and authority to operate this

DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F

http:\\www.netscreen.com

http://www.netscreen.com

Contenido

i

................................................... 28ión contra suplantación 3............................................... 32ión contra suplantación 2............................................... 37

de origen................................... 39

a los ataques .........................................45

a el cortafuegos ....................46bla de sesiones .......................... 46es según sus orígenes ................................................... 46ión de sesiones según ................................................... 49ión de sesiones según ................................................... 50gresivo...................................... 50l envejecimiento agresivo

................................................... 53

N-ACK-ACK................................. 54

red .......................................56................................................... 56ión contra inundaciones SYN.... 65

................................................... 73

................................................... 75

nd Attack”)................................. 77

íficos de cada ..............................................79................................................... 79

NetScreen: conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y defensa

ContenidoPrefacio ......................................................................... v

Convenciones ...........................................................viiConvenciones de la interfaz de línea de comandos (CLI) ......................................................vii

Convenciones de la interfaz gráfica (WebUI) .............viii

Convenciones para las ilustraciones............................ x

Convenciones de nomenclatura y conjuntos de caracteres.............................................................. xi

Documentación de NetScreen .................................xii

Capítulo 1 Protección de una red................................1

Etapas de un ataque .................................................2

Mecanismos de detección y defensa .......................3

Supervisión de exploits ...............................................6Ejemplo: Supervisión de ataques desde la zona Untrust ........................................................7

Capítulo 2 Bloqueo de reconocimiento .......................9

Limpieza de direcciones IP ......................................10

Análisis de puertos....................................................12

Reconocimiento de red mediante opciones IP .......14

Rastreo del sistema operativo ..................................18Flags SYN y FIN activados ...........................................18

Flag FIN sin flag ACK...................................................20

Encabezado TCP sin flags activados..........................22

Técnicas de evasión ................................................24Análisis FIN ..................................................................24

Flags no SYN ...............................................................25

Suplantación de IP ..Ejemplo: Proteccde IP en la capaEjemplo: Proteccde IP en la capa

Opciones IP de ruta

Capítulo 3 Defensas contrde denegación de servicio

Ataques de DoS contrInundación de la ta

Límites de sesiony destinos ..........Ejemplo: Limitacsu origen ...........Ejemplo: Limitacsu destino..........Envejecimiento aEjemplo: Forzar ede sesiones .......

Inundación proxy SY

Ataques DoS contra laInundación SYN.......

Ejemplo: Protecc

Inundación ICMP ....

Inundación UDP.......

Ataque terrestre (“La

Ataques de DoS especsistema operativo .......

“Ping of Death”........

Contenido

ii

.....................................141

ction................................142

atos de objetos .........................................147 inmediatamente................. 148iones automáticas.............. 150

ón automática ediata................................. 152ión manual ......................... 154

pos..................................156............................................. 158

CP........................................ 159

olo....................................... 160

taque ................................. 160les de gravedad................. 161

.........................................163de ataque – , Close Client....................... 164

ersonalizados .........................................174a aplicación

nalizado............................... 175

pos personalizados.........178firma completa ............................................ 178............................................. 178............................................. 179e ataque de firma s por el usuario..................... 182

la firma ............................................. 186 ataque de firma de secuencia

ario....................................... 186


Ataque “Teardrop”......................................................81

WinNuke......................................................................83

Capítulo 4 Supervisión y filtrado de contenidos .........85

Reensamblaje de fragmentos..................................86Protección contra URL maliciosas...............................86

Puerta de enlace en la capa de aplicación.............87Ejemplo: Bloqueo de URL maliciosas fragmentadas ......................................................89

Análisis antivirus ........................................................91Análisis AV interno .......................................................92

Habilitación del análisis AV interno ......................97Actualización automática o semiautomática del archivo de firmas ................99Ejemplo: Actualización automática .....................99Ejemplo: Actualización semiautomática............100Configuración del procesamiento de contenidos ....................................................100Ejemplo: Análisis AV interno para SMTP ..............101Ejemplo: Análisis AV interno para SMTP y HTTP ....102Configuración de la descompresión y el tamaño máximo de los contenidos ...............102Ejemplo: Eliminación de archivos de gran tamaño.................................................103Aplicación del análisis AV interno ......................104Ejemplo: Análisis AV interno (POP3).....................104

Análisis AV externo ....................................................107Definición de objetos AV ....................................110Ejemplo: Definición de tres objetos AV...............116Aplicación del análisis AV externo .....................120Ejemplo: Antivirus con un objeto AV ...................121Ejemplo: Antivirus con dos objetos AV ................124

Filtrado de URL........................................................131Ejemplo: Configuración del filtrado de URL .......137

Capítulo 5 Deep Inspection

Resumen de Deep Inspe

Servidor de la base de dde ataque.....................

Ejemplo: ActualizarEjemplo: ActualizacEjemplo: Notificaciy actualización inmEjemplo: Actualizac

Objetos de ataque y gruFirmas completas ........

Firmas de secuencias T

Anomalías en el protoc

Grupos de objetos de aCambio de los nive

Acciones de ataque .....Ejemplo: Acciones Close Server, Close

Asignación de servicios pa aplicaciones ..............

Ejemplo: Asignar una un servicio perso

Objetos de ataque y gruObjetos de ataque de definidos por el usuario

Contextos..............Firmas....................Ejemplo: Objetos dcompleta definido

Objetos de ataque de de la secuencia TCP ...

Ejemplo: Objeto dedefinido por el usu

Contenido

iii

............................................194

es.........................................196

s .........................................198

os .......................................200

tes IP ...................................202

............................................204

........................................ IX--I


Bloqueo granular de los componentes de HTTP.....189Controles ActiveX......................................................189

Applets de Java .......................................................190

Archivos EXE..............................................................190

Archivos ZIP ...............................................................190Ejemplo: Bloquear applets de Java y archivos “.exe” ...................................................191

Capítulo 6 Atributos de los paquetes sospechosos ..193

Fragmentos ICMP .......

Paquetes ICMP grand

Opciones IP incorrecta

Protocolos desconocid

Fragmentos de paque

Fragmentos SYN..........

Índice ................................

Contenido

iv

v

opciones de seguridad de red ctivar en el nivel de zona de reen a través de cualquier ciones SCREEN ofrecen rvicio (DoS) y cualquier otro omo el filtrado de URL, la irectivas. Estas opciones sólo se activan.

un ataque y las opciones de

sponibles para bloquear la r el tipo de sistema operativo

se explican los ataques DoS aques.

oteger a los usuarios del ncia de archivos (FTP) frente a el dispositivo NetScreen para r análisis antivirus y filtrado de

ica, tal como se aplica a las minar las directivas de forma


Prefacio

En el Volumen 4, “Mecanismos de detección de ataques y defensa” se describen lasdisponibles en ScreenOS. Muchas de ellas son opciones SCREEN que se pueden aseguridad. Las opciones SCREEN se aplican al tráfico que llega al dispositivo NetScinterfaz asociada a una zona para la que se hayan activado dichas opciones. Las opprotección contra análisis de puertos y direcciones IP, ataques de denegación de setipo de actividad maliciosa. Es posible aplicar otras opciones de seguridad de red, ccomprobación antivirus y la detección y prevención de intrusiones (IDP), a nivel de dse aplican al tráfico que se encuentre bajo la jurisdicción de las directivas en las que

El material incluido en este volumen está organizado del siguiente modo:

• En el Capítulo 1, “Protección de una red”, se resumen las etapas básicas decortafuegos disponibles para combatir al atacante en cada etapa.

• En el Capítulo 2, “Bloqueo de reconocimiento”, se describen las opciones dilimpieza de direcciones IP, los análisis de puertos y los intentos de descubri(OS) del sistema objetivo del ataque.

• En el Capítulo 3, “Defensas contra los ataques de denegación de servicio”, específicos de OS, red y cortafuegos, y cómo NetScreen amortigua estos at

• En el Capítulo 4, “Supervisión y filtrado de contenidos”, se describe cómo prprotocolo de transferencia de hipertexto (HTTP) y del protocolo de transferelos localizadores de recursos uniformes (URL) maliciosos y cómo configurarel trabajo con productos de otros fabricantes con la finalidad de proporcionaURL.

Nota: El objeto de las directivas sólo se presenta en este volumen de forma periféropciones de seguridad de red que se pueden activar a nivel de directivas. Para exacompleta, consulte “Directivas” en la página 2 -219.

vi

NetScreen para obtener pos de objetos de ataque

pciones SCREEN que tos de paquete IP e ICMP


• En el Capítulo 5, “Deep Inspection”, se describe cómo configurar el dispositivoactualizaciones de objetos de ataque IDP, cómo crear objetos de ataque y grudefinidos por el usuario, y cómo aplicar IDP a nivel de directivas.

• En el Capítulo 6, “Atributos de los paquetes sospechosos”, se indican varias oprotegen los recursos de red frente a potenciales ataques indicados por atribuinusuales.

Convenciones

vii

ntes secciones:

e la interfaz de línea de

barras verticales ( | ).

nage

hernet2 o ethernet3”.

en el caso de las variables, isualizar el número de serie

rmitan al sistema reconocer scribir set adm u joe unque este método se representan con sus


CONVENCIONES

Este documento contiene distintos tipos de convenciones, que se explican en las siguie

• “Convenciones de la interfaz de línea de comandos (CLI)”

• “Convenciones de la interfaz gráfica (WebUI)” en la página viii

• “Convenciones para las ilustraciones” en la página x

• “Convenciones de nomenclatura y conjuntos de caracteres” en la página xi

Convenciones de la interfaz de línea de comandos (CLI)Las siguientes convenciones se utilizan para representar la sintaxis de los comandos dcomandos (CLI):

• Los comandos entre corchetes [ ] son opcionales.

• Los elementos entre llaves { } son obligatorios.

• Si existen dos o más opciones alternativas, aparecerán separadas entre sí porPor ejemplo,

set interface { ethernet1 | ethernet2 | ethernet3 } ma

significa “establecer las opciones de administración de la interfaz ethernet1, et

• Las variables aparecen en cursiva. Por ejemplo:

set admin user name password

Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo que siempre aparecen en cursiva). Por ejemplo: “Utilice el comando get system para vde un dispositivo NetScreen”.

Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que pede forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficiente ej12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54. Apuede utilizar para introducir comandos, en la presente documentación todos ellos se palabras completas.

Convenciones

viii

e la WebUI por las que se adro de diálogo de > New. A continuación se

bretas de direcciones.

New. diálogo de s direcciones.

4


Convenciones de la interfaz gráfica (WebUI)En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación dpasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cuconfiguración de direcciones se representa como sigue: Objects > Addresses > List muestra la secuencia de navegación.

1. Haga clic en Objects en la columna de menú.La opción de menú Objects se desplegará para mostrar las opciones subordinadas que contiene.

2. (Menú Applet) Sitúe el mouse sobre Addresses.(Menú DHTML) Haga clic en Addresses.La opción de menú Addresses se desplegará para mostrar las opciones subordinadas que contiene.

3. Haga clic en List .Aparecerá la tabla de li

4. Haga clic en el vínculo Aparecerá el cuadro deconfiguración de nueva

1

2

3

Convenciones

ix

e diálogo apropiado, donde de cada tarea se divide en dos conjunto de instrucciones configuración que se deben

inuación, haga clic en OK:

Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.


Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro dpodrá definir objetos y establecer parámetros de ajuste. El conjunto de instruccionespartes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguienteincluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes derealizar.

Objects > Addresses > List > New: Introduzca los siguientes datos y, a contAddress Name: addr_1IP Address/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32Zone: Untrust

Zone: Untrust

Haga clic en OK .

Address Name: addr_1

IP Address Name/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32

Convenciones

x

ustraciones de este manual:

ed de área local (LAN) con na única subredejemplo: 10.1.1.0/24)

nternet

quipo de escritorio

ervidor

ispositivo de red genéricoejemplos: servidor NAT, oncentrador de acceso)

quipo portátil

ango de direcciones IP inámicas (DIP)


Convenciones para las ilustracionesLos siguientes gráficos conforman el conjunto básico de imágenes utilizado en las il

Dispositivo NetScreen genérico

Zona de seguridad

Interfaces de la zona de seguridadBlanca = interfaz de zona protegida (ejemplo: zona Trust)Negra = interfaz de zona externa(ejemplo: zona Untrust)

Icono de enrutador (router)

Icono de conmutador (switch)

Dominio de enrutamiento virtual

Túnel de VPN

Ru(

I

E

S

D(c

Interfaz de túnel

E

Rd

Convenciones

xi

rescomo direcciones, usuarios ales, túneles de VPN y zonas)

n espacio, la cadena completa ress trust “local LAN”

entrecomillada; por ejemplo,

or el contrario, en muchas ndistintamente. Por ejemplo,

últiples bytes (MBCS). Algunos ntre los conjuntos MBCS,

encuentran el chino, el coreano

ión de las comillas dobles ( “ ), res que contengan espacios.

mite tanto SBCS como MBCS,


Convenciones de nomenclatura y conjuntos de caracteScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtudefinidas en las configuraciones de ScreenOS.

• Si la secuencia de caracteres que conforma un nombre contiene al menos udeberá entrecomillarse mediante comillas dobles ( “ ); por ejemplo, set add10.1.1.0/24.

• NetScreen eliminará cualquier espacio al comienzo o al final de una cadena“ local LAN ” se transformará en “local LAN”.

• NetScreen tratará varios espacios consecutivos como uno solo.

• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; ppalabras clave de la interfaz de línea de comandos (CLI) pueden utilizarse i“local LAN” es distinto de “local lan”.

ScreenOS admite los siguientes conjuntos de caracteres:

• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Etambién conocidos como conjuntos de caracteres de doble byte (DBCS), se y el japonés.

• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcque tienen un significado especial como delimitadores de cadenas de nomb

Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI adsegún el conjunto de caracteres que admita el explorador web.

Documentación de NetScreen

xii

. Para poder realizar una

n nosotros a través de la


DOCUMENTACIÓN DE NETSCREEN

Para obtener la documentación técnica de cualquier producto de NetScreen, visite www.netscreen.com/resources/manuals/.

Para obtener la última versión del software de NetScreen, visite www.netscreen.comdescarga, deberá registrarse como usuario autorizado.

Si encuentra algún error u omisión en esta documentación, póngase en contacto cosiguiente dirección de correo electrónico:

[email protected]

http://www.netscreen.com/resources/manuals/

http://www.netscreen.com

mailto:[email protected]

1

1

Capítulo 1

ta contiene algunos objetivos

denegación de servicio (DoS)

la red

la que protege

ge

trar los esfuerzos de los r una red protegida por un

e un ataque y de los diversos etapa:


Protección de una red

Puede haber numerosos motivos para penetrar en una red protegida. La siguiente liscomunes:

• Obtener el siguiente tipo de información sobre la red protegida:

– Topología de la red

– Direcciones IP de los hosts activos

– Números de los puertos activos de los hosts activos

– Sistema operativo de los hosts activos

• Colapsar un host de una red protegida con tráfico fantasma para inducir una

• Colapsar una red protegida con tráfico fantasma para inducir un DoS en toda

• Colapsar un cortafuegos con tráfico fantasma e inducir un DoS para la red a

• Provocar daños y robar datos de un host de la red protegida

• Conseguir acceso a un host de la red protegida para obtener información

• Lograr el control de un host para lanzar otros exploits

• Apoderarse de un cortafuegos para controlar el acceso a la red a la que prote

ScreenOS ofrece herramientas de detección y defensa que permiten descubrir y frushackers por alcanzar los objetivos mencionados anteriormente cuando intentan atacadispositivo NetScreen.

Este capítulo proporciona en primer lugar una vista general de las principales etapas dmecanismos de defensa que se pueden emplear para frustrar un ataque en cualquier

• “Etapas de un ataque” en la página 2

• “Mecanismos de detección y defensa” en la página 3

• “Supervisión de exploits” en la página 6

Capítulo 1 Protección de una red Etapas de un ataque

2

tapa, el atacante recopila

nes IP).

tectados mediante la limpieza

ebilidad del OS o un tipo de


ETAPAS DE UN ATAQUENormalmente, los ataques se desarrollan en dos etapas principales. En la primera einformación; en la segunda etapa, lanza el ataque propiamente dicho.

1. Realizar el reconocimiento.

1. Asignar la red y determinar qué hosts están activos (limpieza de direccio

2. Averiguar qué puertos están activos (análisis de puertos) en los hosts dede direcciones IP.

3. Determinar el sistema operativo (OS), con lo que se puede revelar una dataque al que sea susceptible ese OS en particular.

2. Lanzar el ataque.

1. Ocultar el origen del ataque.

2. Realizar el ataque.

3. Eliminar u ocultar las pruebas.

Capítulo 1 Protección de una red Mecanismos de detección y defensa

3

ataque con el que se pretende resulta sencillo establecer una P SYN se puede utilizar como

hosts activos, o como un cto funcionamiento. Es más, zar el ataque, podemos taque inminente, e interpretar rca tanto las actividades de ra.

de directivas y de zona para

erzona. (Se entiende por zonas de seguridad).

creen utilizan un método de étodo, el dispositivo

e segmentos TCP (direcciones secuencias de paquetes) y

fuegos. (El dispositivo es, como cambios de puertos dispositivo NetScreen compara cenada en la tabla de uegos. De lo contrario, el

para ellas. La zona VLAN admite el miten una opción adicional de s opciones SCREEN no se aplican a

ión SYN-ACK-ACK del proxy, bloqueo


MECANISMOS DE DETECCIÓN Y DEFENSAUn exploit puede ser un simple rastreador para obtener información o un verdaderocomprometer, bloquear o dañar una red o un recurso de red. En algunos casos, no clara distinción entre estos dos objetivos. Por ejemplo, una barrera de segmentos TCuna limpieza de direcciones IP con el propósito de desencadenar respuestas de losataque de inundación SYN con el objetivo de colapsar una red para impedir su correcomo los hackers normalmente realizan un reconocimiento del objetivo antes de lanconsiderar las actividades de recopilación de información como precursoras de un aque constituyen la primera etapa de un ataque. Por lo tanto, el término “exploit” abareconocimiento como las de ataque; y la distinción entre ambas no siempre está cla

NetScreen ofrece diversos métodos de detección y mecanismos de defensa a nivelcombatir exploits en todas sus etapas de ejecución:

• Opciones SCREEN a nivel de zona1

• Directivas de cortafuegos a nivel de directivas de interzona, intrazona y sup“superzona” las directivas globales en las que no se incluyen referencias a

Para ofrecer protección contra todos los intentos de conexión, los dispositivos NetSfiltrado de paquetes dinámico conocido como inspección de estado. Mediante este mNetScreen detecta los diversos componentes del paquete IP y de los encabezados dIP de origen y de destino, números de puertos de origen y de destino, y números demantiene el estado de cada sesión TCP y seudo-sesión UDP que atraviese el cortaNetScreen también modifica los estados de sesión basados en elementos cambiantdinámicos o terminación de sesión). Cuando llega un paquete TCP de respuesta, el la información incluida en su encabezado con el estado de la sesión asociada almainspección. Si coinciden, se permite que el paquete de respuesta atraviese el cortafpaquete se descarta.

1. Aunque las zonas VLAN y MGT son zonas de función y no zonas de seguridad, es posible ajustar opciones SCREENmismo conjunto de opciones SCREEN que una zona de seguridad de capa 3. (Las zonas de seguridad de capa 2 adinundación SYN que las zonas de capa 3 no admiten: descartar direcciones MAC desconocidas). Como las siguientela zona MGT, no están disponibles para dicha zona: protección contra inundaciones SYN, protección contra la inundacde componentes HTTP y protección frente a ataques de WinNuke.


4

ermitiendo o rechazando, todo ispositivo NetScreen aplica o de contenidos y la detección


Las opciones SCREEN de NetScreen aseguran una zona inspeccionando, y luego pintento de conexión que necesite atravesar una interfaz asociada a dicha zona. El dentonces directivas de cortafuegos que pueden contener componentes para el filtrady prevención de intrusiones (IDP).


5

ue ofrece un cortafuegos de

es de o

tra el cortafuegos

ecíficos de cada sistema operativo

la tabla de sesiones

xy SYN-ACK-ACK

N

P

P

e (“Land Attack”)

op”

la red

onocidos

paquetes IP

N


A continuación se incluye un esquema de los conjuntos de mecanismos de defensa qNetScreen para la protección de una red:

Opciones de protección de red

Bloqueo de reconocimiento

Limpieza de direcciones IP

Análisis de puertos

Rastreo del sistema operativo

Técnicas de evasión

Supervisión y filtrado de contenidos

Reensamblaje de fragmentos

Análisis antivirus

Filtrado de URL

Deep Inspection

Firmas completas

Anomalías en el protocolo

Bloqueo granular de los componentes de HTTP

Defensas contra los ataqudenegación de servici

Ataques de DoS con

Ataques de DoS esp

Inundación de

Inundación pro

Inundación SY

Inundación ICM

Inundación UD

Ataque terrestr

“Ping of Death”

Ataque “Teardr

WinNuke

Ataques DoS contra

Fragmentos ICMP

Paquetes ICMP grandes

Opciones IP incorrectas

Protocolos desc

Fragmentos de

Fragmentos SY

Atributos de los paquetes

Capítulo 1 Protección de una red Supervisión de exploits

6

n a dos niveles: zona de S y medidas de bloqueo de contenidos, el dispositivo irus (AV) y un filtrado de creen aplica IDP a nivel de aliza a nivel de zona. Los cción de red ajustada en una

de haber ocasiones en las que ente un exploit concreto para

descuidado o poco sofisticado).

analizarlo, investigarlo y arado con anterioridad. Puede pero que, en lugar de tomar e intentar comprender el nazas que acechan la red, ción e identidad, tal vez sea el ataque. Puede que también itirá calcular su respuesta.


Como ya hemos mencionado, los ajustes de protección de red de NetScreen operaseguridad y directiva. El dispositivo NetScreen ofrece defensas frente a ataques Doreconocimiento a nivel de zona de seguridad. En el área de supervisión y filtrado deNetScreen aplica un reensamblaje de fragmentos a nivel de zona y un análisis antivlocalizadores de recursos uniformes (URL) a nivel de directivas. El dispositivo NetSdirectivas, excepto para la detección y el bloqueo de componentes HTTP, que se reajustes de cortafuegos a nivel de zona son opciones SCREEN. Una opción de protedirectiva es un componente de dicha directiva.

SUPERVISIÓN DE EXPLOITSAunque normalmente se utiliza el dispositivo NetScreen para bloquear exploits, puese desee obtener información sobre ellos. Es posible que desee estudiar detenidamdescubrir su intención, su nivel de sofisticación o incluso su origen (si el atacante es

Si desea obtener información sobre un exploit, puede dejar que actúe, supervisarlo,reaccionar tal como se haya esbozado en un plan de respuesta ante incidentes prepconfigurar el dispositivo NetScreen para que le notifique la existencia de un exploit, medidas, permita que el exploit se filtre. En tal caso, podrá estudiar qué ha ocurridométodo, la estrategia y los objetivos del atacante. Cuanto mejor comprenda las amemejor podrá fortificar sus defensas. Aunque un hacker astuto puede ocultar su ubicacapaz de averiguar la suficiente información como para determinar dónde se originósea capaz de estimar las habilidades del atacante. Este tipo de información le perm


7

trust a diario, normalmente on las direcciones IP de origen ita el paso, quizás as 8:55 de la tarde, se modifica cientes a un ataque detectado ar el sistema trampa para trabajar también en aquetes hasta su punto de

clic en Apply:

eleccione)

imientos durante un ataque.


Ejemplo: Supervisión de ataques desde la zona UntrustEn este ejemplo, se han producido ataques de suplantación de IP desde la zona Unentre las 9 de la mañana y las 12 de la noche. En lugar de descartar los paquetes csuplantadas, desea que el dispositivo NetScreen notifique su llegada pero les permconduciéndolas a un sistema trampa2 conectado en la conexión de interfaz DMZ. A lel comportamiento del cortafuegos para que notifique y acepte los paquetes perteneen lugar de notificar y rechazarlos. Cada vez que se produzca el ataque, podrá utilizsupervisar las actividades del atacante después de atravesar el cortafuegos. Puedecolaboración con el ISP de subida para comenzar a rastrear la procedencia de los porigen.

WebUI

Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga

Generate Alarms without Dropping Packet: (s

IP Address Spoof Protection: (seleccione)

CLI

set zone untrust screen alarm-without-dropset zone untrust screen ip-spoofingsave

2. Un sistema trampa es un servidor de red que se utiliza como señuelo para atraer a los atacantes y registrar sus mov


8

2

9

Capítulo 2

red objetivo del ataque (qué s de puertos están activos en

jecutando en los hosts activos). ofrece varias opciones e obtengan información valiosa


Bloqueo de reconocimiento

Los atacantes pueden planificar mejor sus ataques si antes conocen el diseño de ladirecciones IP tienen los hosts activos), los puntos de entrada posibles (qué númerolos hosts activos) y la constitución de sus víctimas (qué sistema operativo se está ePara obtener esta información, es necesario realizar un reconocimiento. NetScreenSCREEN para frustrar los intentos de reconocimiento de los atacantes e impedir qusobre la red y los recursos de red protegidos.

• “Limpieza de direcciones IP” en la página 10

• “Análisis de puertos” en la página 12

• “Reconocimiento de red mediante opciones IP” en la página 14

• “Rastreo del sistema operativo” en la página 18

– “Flags SYN y FIN activados” en la página 18

– “Flag FIN sin flag ACK” en la página 20

– “Encabezado TCP sin flags activados” en la página 22

• “Técnicas de evasión” en la página 24

– “Análisis FIN” en la página 24

– “Flags no SYN” en la página 25

– “Suplantación de IP” en la página 28

– “Opciones IP de ruta de origen” en la página 39

Capítulo 2 Bloqueo de reconocimiento Limpieza de direcciones IP

10

aquetes ICMP a distintos jetivo de este esquema es za de que al menos uno een registra de forma interna . Mediante los ajustes ndos (5000 microsegundos), s paquetes ICMP siguientes

Z

l dispositivo NetScreen realiza na entrada en su tabla de esiones para los 10 primeros aquetes ICMP procedentes de .2.2.5 y realiza una consulta de tas y una consulta de directivas

ara ellos. Si ninguna directiva ermite estos paquetes, el ispositivo NetScreen los marca omo no válidos y los elimina de la bla de sesiones en el siguiente arrido de basura”, que se realiza

ada dos segundos. A partir del écimo paquete, el dispositivo etScreen rechaza todo el tráfico MP procedente de 2.2.2.5.


LIMPIEZA DE DIRECCIONES IPSe produce una limpieza de direcciones cuando una dirección IP de origen envía 10 phosts en un intervalo definido (el valor predeterminado es 5000 microsegundos). El obenviar paquetes ICMP (normalmente peticiones de eco) a varios hosts con la esperanresponda, dejando al descubierto una dirección a la que apuntar. El dispositivo NetScrel número de paquetes ICMP enviados a diversas direcciones desde un origen remotopredeterminados, si un host remoto envía tráfico ICMP a 10 direcciones en 0,005 seguNetScreen lo marcará como un ataque de limpieza de direcciones y rechazará todos loprocedentes de dicho host hasta que transcurra el resto del segundo.

Origen: 2.2.2.5(probablemente una dirección

suplantada o un agente zombie)Untrust DM

ethernet31.1.1.1/24

ethernet21.2.2.1/24

11 paquetes ICMP en 0,005 segundos

(Recuerde que, a partir del décimo paquete ICMP, el dispositivo NetScreen registra una limpieza de direcciones IP y rechaza el paquete undécimo).

Dir. origen2.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.5

Dir. destino1.2.2.51.2.2.1601.2.2.841.2.2.2111.2.2.101.2.2.201.2.2.211.2.2.2401.2.2.171.2.2.1231.2.2.6

Paquetes ICMP

Rechazado

Eusp2ruppdcta“bcdNICNota: Un agente zombie es un host comprometido

bajo el control encubierto de un atacante.

Capítulo 2 Bloqueo de reconocimiento Limpieza de direcciones IP

11

xiste una directiva que permita . Si no existe tal directiva, se realicen una limpieza de

en concreto, utilice una de las

siguientes datos y haga clic en

la protección contra limpiezas


Estudie la activación de esta opción SCREEN para una zona de seguridad sólo si eel tráfico ICMP procedente de dicha zona. De lo contrario, no es necesario activarlarechaza todo el tráfico ICMP procedente de la zona, impidiendo a los atacantes quedirecciones IP con éxito.

Para bloquear las limpiezas de direcciones IP originadas en una zona de seguridadsiguientes soluciones:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los Apply :

IP Address Sweep Protection: (seleccione)

Threshold: (introduzca un valor que active de direcciones IP1)

CLI

set zone zone screen port-scan threshold numberset zone zone screen ip-sweep

1. El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos.

Capítulo 2 Bloqueo de reconocimiento Análisis de puertos

12

con segmentos TCP SYN a microsegundos es el valor la esperanza de que al itivo NetScreen registra de ediante los ajustes segundos), NetScreen lo

dentes del origen remoto gundo.

.5

El dispositivo NetScreen realiza una entrada en su tabla de sesiones para los 10 primeros intentos de conexión a 1.2.2.5 procedentes de 2.2.2.5 y realiza una consulta de rutas y una consulta de directivas para ellos. Si ninguna directiva permite estos intentos de conexión, el dispositivo NetScreen los marca como no válidos y los elimina de la tabla de sesiones en el siguiente “barrido de basura”, que se realiza cada dos segundos. A partir del décimo intento, el dispositivo NetScreen rechaza todos los intentos de conexión procedentes de 2.2.2.5.


ANÁLISIS DE PUERTOSUn análisis de puertos se produce cuando una dirección IP de origen envía paquetes IP10 puertos distintos en la misma dirección IP de destino en un intervalo definido (5000predeterminado). El objetivo de este esquema es analizar los servicios disponibles conmenos un puerto responda, identificando un servicio al que dirigir su ataque. El disposforma interna el número de los diversos puertos analizados desde un origen remoto. Mpredeterminados, si un host remoto analiza 10 puertos en 0,005 segundos (5000 micromarcará como un ataque de análisis de puertos y rechazará todos los paquetes proce(independientemente de la dirección IP de destino) hasta que transcurra el resto del se

Origen: 2.2.2.5(probablemente una dirección

suplantada o un agente zombie)

Untrust DMZ

ethernet31.1.1.1/24

ethernet21.2.2.1/24

11 segmentos SYN en 0,005 segundos

(Recuerde que, a partir del décimo paquete IP con segmentos TCP SYN destinado a diversos puertos de la misma dirección IP de destino, el dispositivo NetScreen lo registra como análisis de puertos y rechaza todos los paquetes procedentes de la dirección de origen).

Dir. destino:puerto2.2.2.5:178202.2.2.5:422882.2.2.5:228142.2.2.5:154012.2.2.5:133732.2.2.5:338112.2.2.5:178212.2.2.5:190032.2.2.5:264502.2.2.5:380872.2.2.5:24111

Dir. destino:puerto1.2.2.5:211.2.2.5:231.2.2.5:531.2.2.5:801.2.2.5:1111.2.2.5:1131.2.2.5:1231.2.2.5:1291.2.2.5:1371.2.2.5:1381.2.2.5:139

Paquetes IP con segmentos TCP SYN

Rechazado

Destino: 1.2.2

Capítulo 2 Bloqueo de reconocimiento Análisis de puertos

13

to, utilice una de las siguientes


la protección contra análisis de


Para bloquear los análisis de puertos originados en una zona de seguridad en concresoluciones:

WebUI


Port Scan Protection: (seleccione)

Threshold: (introduzca un valor que active puertos2)

CLI

set zone zone screen port-scan threshold numberset zone zone screen port-scan

2. El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos.

Capítulo 2 Bloqueo de reconocimiento Reconocimiento de red mediante opciones IP

14

de opciones que ofrecen peciales. Estas opciones

aciones más comunes” y, en rmalmente están vinculadas a opciones IP y los atributos que

Uso perniciosoIP. Ninguno

Ninguno

n del encabezado 20 bytes

bytes)

el fragmento


RECONOCIMIENTO DE RED MEDIANTE OPCIONES IPLa norma de protocolo de Internet “RFC 791, Internet Protocol” especifica una seriecontroles de enrutamiento, herramientas de diagnóstico y medidas de seguridad esaparecen después de la dirección de destino en un encabezado de paquetes IP.

La norma RFC 791 admite que estas opciones “no son necesarias para las comunicrealidad, rara vez aparecen en encabezados de paquetes IP. Cuando aparecen, noun uso con propósitos perniciosos. A continuación se incluye una lista de todas las las acompañan:

Tipo Clase Número Tamaño Uso intencionadoEnd of Options 0* 0 0 Indica el fina de una o más opciones

No Options 0 1 0 Indica que no hay opciones IP en el encabezado.

Versión

Suma de comprobació

Dirección de destino

Opciones

Carga (datos)

Encabezado IP

Dirección de origen

Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paquete (en

0 D M Desplazamiento d

Tiempo de vida(“Time to Live” o “TTL”) Protocolo


15

,

so

os

stá

Desconocido, pero como se trata de una opción obsoleta, su presencia en un encabezado IP resulta sospechosa.

ue .

de

Evasión. El atacante puede utilizar las rutas especificadas para ocultar el verdadero origen de un paquete u obtener acceso a una red protegida. (Consulte “Opciones IP de ruta de origen” en la página 39).

o e

rar

Reconocimiento. Si el host de destino es un equipo comprometido bajo el control del atacante, éste puede obtener información sobre la topología y el esquema de direccionamiento de la red atravesada por el paquete.

el e

Desconocido, pero como se trata de una opción obsoleta, su presencia en un encabezado IP resulta sospechosa.

Uso pernicioso


Security 0 2 11 bits Ofrece un medio para que los hosts envíen seguridad, compartimentaciónparámetros TCC (grupo de usuarios cerrado) y códigos de restricción de ucompatibles con los requisitos del Ministerio de defensa (DoD) de EstadUnidos. (Esta opción, tal como se especifica en RFC 791 y RFC 1038, eobsoleta).

Loose Source Route

0 3 Variable Especifica una lista de rutas parcial qdebe tomar un paquete en su trayectodesde el punto de origen al de destinoEl paquete debe avanzar en el orden direcciones especificado, pero se le permite atravesar otros enrutadores intermedios.

Record Route 0 7 Variable Registra las direcciones IP de los dispositivos de red del itinerario que recorre el paquete IP. El equipo de destino puede extraer y procesar la información de ruta. (Debido a la limitación de espacio de 40 bytes tantpara la opción como para el espacio dalmacenamiento, sólo se puede registun máximo de 9 direcciones IP).

Stream ID 0 8 4 bits (Obsoleta) Ofrecía un medio para queidentificador de secuencia SATNET d16 bits se transportara por redes incompatibles con el concepto de secuencia.

Tipo Clase Número Tamaño Uso intencionado


16

e

Evasión. Un atacante puede utilizar las rutas especificadas para ocultar el verdadero origen de un paquete u obtener acceso a una red protegida. (Consulte “Opciones IP de ruta de origen” en la página 39).

io de

de

Reconocimiento. Si el host de destino es un equipo comprometido bajo el control del atacante, éste puede obtener información sobre la topología y el esquema de direccionamiento de la red atravesada por el paquete.

etes adicionales.

.

ste horario también se denomina “horario

Uso pernicioso


Strict Source Route

0 9 Variable Especifica la lista de la ruta completaque debe tomar un paquete en su trayecto desde el punto de origen al ddestino. La última dirección de la listasustituye a la dirección del campo de destino.

Timestamp 2† 4 Registra la hora (en formato de horaruniversal‡) en la que cada dispositivo red recibe el paquete durante su itinerario desde el punto de origen al destino. Los dispositivos de red se identifican por su número IP.Esta opción desarrolla una lista de direcciones IP de los enrutadores delitinerario del paquete y la duración detransmisión entre cada uno de ellos.

* La clase de opciones identificada como “0” estaba diseñada para proporcionar control de red o paqu† La clase de opciones identificada como “2” se diseñó para el diagnóstico, la depuración y la medición‡ La marca de hora utiliza el número de milisegundos desde la media noche en horario universal (UT). E

medio de Greenwich” (GMT) y es la base para la norma horaria internacional.

Tipo Clase Número Tamaño Uso intencionado


17

tilizar para el reconocimiento o

ión IP sea 7 (Record Route) y ada.

e opciones IP incluya la opción N para la interfaz de entrada.

sea 2 (Security) y registra el

IP sea 8 (Stream ID) y registra

siguientes métodos (la zona de


e)


Las siguientes opciones SCREEN detectan las opciones IP que un atacante puede ucualquier otro propósito desconocido, pero sospechoso:

• Record Route: el dispositivo NetScreen detecta paquetes en los que la opcregistra el evento en la lista de contadores SCREEN para la interfaz de entr

• Timestamp: el dispositivo NetScreen detecta paquetes en los que la lista d4 (Internet Timestamp) y registra el evento en la lista de contadores SCREE

• Security: el dispositivo NetScreen detecta paquetes en los que la opción IPevento en la lista de contadores SCREEN para la interfaz de entrada.

• Stream ID: el dispositivo NetScreen detecta paquetes en los que la opción el evento en la lista de contadores SCREEN para la interfaz de entrada.

Para detectar paquetes con las opciones IP anteriores ajustadas, utilice uno de los seguridad especificada es la zona en la que se originó el paquete):

WebUI


IP Record Route Option Detection: (seleccion

IP Timestamp Option Detection: (seleccione)

IP Security Option Detection: (seleccione)

IP Stream Option Detection: (seleccione)

CLI

set zone zone screen ip-record-routeset zone zone screen ip-timestamp-optset zone zone screen ip-security-optset zone zone screen ip-stream-opt

Capítulo 2 Bloqueo de reconocimiento Rastreo del sistema operativo

18

se dirige el ataque para on mejor criterio qué ataque los rastreos de reconocimiento

zado de segmento TCP. El flag IN indica el final de la xcluyen mutuamente. Un CP anómalo y puede provocar

16 bits

e 16 bits

de 16 bits

20 bytes


RASTREO DEL SISTEMA OPERATIVOAntes de lanzar un exploit, es posible que un atacante intente rastrear el host al queaveriguar qué sistema operativo (OS) utiliza. Conociendo este dato, puede decidir clanzar y qué vulnerabilidades aprovechar. Un dispositivo NetScreen puede bloquearutilizados habitualmente para obtener información sobre los tipos de OS.

Flags SYN y FIN activadosLos flags de control SYN y FIN no están activados normalmente en el mismo encabeSYN sincroniza números de secuencia para el inicio de una conexión TCP. El flag Ftransmisión de datos para la terminación de una conexión TCP. Sus propósitos se eencabezado TCP con los flags SYN y FIN activados representa un comportamiento Tvarias respuestas del destinatario en función del OS.

Número de puerto de origen de 16 bits Número de puerto de destino de

Número de secuencia de 32 bits

Número de reconocimiento de 32 bits

U R G

A C K

P S H

R S T

Suma de comprobación de TCP de 16 bits Indicador urgente d

Tamaño de ventanaTamaño de

encabezado de 4 bits

Reservado (6 bits)

Opciones (si las hay)

Datos (si los hay)

S Y N

F I N

Encabezado TCP

Los flags SYN y FIN están activados.


19

de respuesta de sistema se o. A continuación, el atacante

N y FIN están activados en l paquete.

ntes métodos (la zona de

and FIN Bits Set Protection


Un atacante puede enviar un segmento con ambos flags activados para ver qué tipodevuelve y determinar de este modo qué tipo de OS se utiliza en el punto de destinpuede emplear cualquier vulnerabilidad conocida del sistema para futuros ataques.

Al activar esta opción SCREEN, el dispositivo NetScreen comprueba si los flags SYencabezados TCP. Si descubre un encabezado de tales características, descarta e

Para bloquear paquetes con los flags SYN y FIN activados, utilice uno de los siguieseguridad especificada es la zona en la que se originó el paquete):

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYNy haga clic en Apply .

CLI

set zone zone screen syn-fin


20

sesión y terminar la conexión) . Como la existencia de un ndicio de comportamiento TCP reaccione enviando un mente. La respuesta de la

a enviar un segmento TCP con direcciones o burlar las en su lugar. Para obtener más

smisión) de diversas formas a la hora sin activar, determinadas

o de 16 bits

e 16 bits

de 16 bits

20 bytes


Flag FIN sin flag ACKLos segmentos TCP con el flag de control FIN activado (para señalar el final de unasuelen tener también activado el flag ACK (para acusar recibo del paquete anterior)encabezado TCP con el flag FIN activado y el flag ACK desactivado representa un ianómalo, no existe una respuesta uniforme ante este hecho3. Es posible que el OS segmento TCP con el flag RST activado. También es posible que lo ignore completavíctima puede proporcionar información sobre el OS al atacante. (Otros motivos parel flag FIN activado pueden ser evadir la detección durante un análisis de puertos ydefensas destinadas a prevenir inundaciones SYN provocando una inundación FIN información sobre los análisis FIN, consulte “Análisis FIN” en la página 24).

3. Los proveedores han interpretado la norma RFC 793 “Transmission Control Protocol” (protocolo de control de la trande diseñar las implementaciones TCP/IP. Cuando se recibe un segmento TCP con el flag FIN activado y el flag ACKimplementaciones envían segmentos RST. Otras descartan el paquete sin enviar ningún segmento RST.

Número de puerto de origen de 16 bits Número de puerto de destin



U R G

A C K

P S H

R S T

Suma de comprobación de TCP de 16 bits Indicador urgente d

Tamaño de ventana Tamaño de


Reservado (6 bits)


Datos (si los hay)

S Y N

F I N

Encabezado TCP

Sólo está activado el flag FIN.


21

tá activado y el flag ACK está ado, descarta el paquete.

de los siguientes métodos (la

Bit with No ACK Bit in Flags


Al activar esta opción SCREEN, el dispositivo NetScreen comprueba si el flag FIN esdesactivado en encabezados TCP. Si descubre un paquete con este tipo de encabez

Para bloquear paquetes con el flag FIN activado y el flag ACK desactivado, utilice unozona de seguridad especificada es la zona en la que se originó el paquete):

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione FIN Protection y haga clic en Apply.

CLI

set zone zone screen fin-no-ack


22

. Un segmento TCP sin flags de o reacciona de forma distinta a r indicios del tipo de OS que se

TCP sin flags activados, un campo de flags mal formado.

de 16 bits

bits

6 bits

20 bytes


Encabezado TCP sin flags activadosUn encabezado de segmento TCP normal tiene al menos un flag de control activadocontrol activados representa un evento anómalo. Puesto que cada sistema operativtal anomalía, la respuesta (o la falta de respuesta) del dispositivo objetivo puede daestá ejecutando.

Si el dispositivo NetScreen está habilitado para detectar encabezados de segmentodescartará todos los paquetes TCP que carezcan de campo de flags o que tengan

Número de puerto de origen de 16 bits Número de puerto de destino



U R G

A C K

P S H

R S T

Suma de comprobación de TCP de 16 bits Indicador urgente de 16

Tamaño de ventana de 1Tamaño de


Reservado (6 bits)


Datos (si los hay)

S Y N

F I N

Encabezado TCP

No hay ningún flag activado.


23

iguientes métodos (la zona de

P Packet without Flag


Para bloquear los paquetes que no tengan ningún flag activado, utilice uno de los sseguridad especificada es la zona en la que se originó el paquete):

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione TCProtection y haga clic en Apply.

CLI

set zone zone screen tcp-no-flag

Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión

24

sita evitar que lo detecten. etectar fácilmente, algunos

ctividad. Técnicas tales que la mayoría de en las técnicas de llevar a cabo sus acciones.

na respuesta (un segmento st. El atacante puede utilizar análisis de direcciones con dos últimos, pero no N activado se puede evadir to.

bas:

el flag FIN activado, pero

ta opción SCREEN en la Protection.

re de la zona a la que desea

los paquetes no SYN que -syn-check. (Para obtener ción, “Flags no SYN” en la

tivado para los paquetes no no SYN, tales como los


TÉCNICAS DE EVASIÓNYa sea mientras recopila información o lanza un ataque, el atacante normalmente neceAunque ciertos análisis de direcciones IP y puertos son tan descarados que se pueden datacantes con mayores recursos utilizar una gran cantidad de medios para ocultar su acomo la utilización de análisis FIN en lugar de análisis SYN —que los atacantes sabencortafuegos y programas de detección de intrusiones detectan— indican una evoluciónreconocimiento y explotación de vulnerabilidades con el objetivo de eludir la detección y

Análisis FINUn análisis FIN envía segmentos TCP con el flag FIN activado para intentar provocar uTCP con el flag RST activado) y así descubrir un host activo o un puerto activo en un hoeste método no para realizar un barrido de direcciones con peticiones de eco ICMP o unsegmentos SYN, sino porque sabe que muchos cortafuegos se defienden contra estosnecesariamente contra los segmentos FIN. Si se utilizan segmentos TCP con el flag FIla detección, permitiendo así que el atacante tenga éxito en su intento de reconocimien

Para frustrar un análisis FIN, puede ejecutar cualquiera de las siguientes acciones o am

• Habilitar la opción SCREEN que bloquea específicamente segmentos TCP conno el flag ACK, lo que no es normal en un segmento TCP.

WebUI: Screening > Screen: Seleccione la zona a la que desea aplicar eslista desplegable “Zone” y seleccione FIN Bit With No ACK Bit in Flags

CLI: Escriba set zone name screen fin-no-ack , donde name es el nombaplicar esta opción SCREEN

• Cambie el comportamiento de procesamiento de paquetes para rechazar todosno pertenezcan a una sesión existente, mediante el comando CLI: set flow tcpmás información sobre la comprobación del flag SYN, consulte la siguiente secpágina 25).

Nota: Cambiando el flujo de paquetes para comprobar que el flag SYN está acpertenecientes a sesiones existentes también se frustran otros tipos de análisisanálisis nulos (“null scan”, es decir, cuando no hay ningún flag de TCP activo).


25

quete de una sesión. ctiva que permita al tráfico orzar la comprobación del de los paquetes cuando se

CLI:

g SYN habilitada

Creación de sesión ADELANTE

ADELANTE


Flags no SYNDe forma predeterminada, el dispositivo NetScreen no busca flags SYN en el primer paPermite que segmentos TCP con flags no SYN inicien sesiones mientras haya una direatravesar el cortafuegos. Puede dejar este flujo de paquetes tal cual o cambiarlo para fflag SYN antes de crear la sesión. A continuación se muestran las secuencias de flujo inhabilita y habilita la comprobación de flag SYN:

La comprobación de SYN se puede habilitar e inhabilitar con los siguientes comandos

set flow tcp-syn-checkunset flow tcp-syn-check

Con la comprobación de flaCon la comprobación de flag SYN inhabilitada

Llega un paquete a la interfaz de

entrada

Denegar

DESCARTAR

Permitir Creación de sesión ADELANTE

Actualización de sesión ADELANTE

No en sesión

En sesión

Consulta de sesiones

Consulta de directivas

Llega un paquete a la interfaz de

entrada

Denegar

DESCARTAR

Permitir

Actualización de sesión

No en sesión

En sesión

Consulta de sesiones

Consulta de directivas

DESCARTAR

Compro-bación de flag SYN

No

Sí


26

ctiva en un entorno de l flag SYN activado a un rse al otro dispositivo oduce después de que rden. Por el contrario, si la incronizado la sesión y la ue impide establecer la sesión. SYN/ACK (aunque no

en la tabla de sesiones.

se agrega un dispositivo las sesiones existentes, que s muy largas, como las de datos. De forma similar, si se la sección central de una tentes (o las sesiones a las que das. Inhabilitar la

en seguridad:

g no SYN (como ACK, URG, , por ejemplo) responden con receptor no genera ninguna

da. Transcurridas algunas horas de SYN.

recciones de origen y de destino, uno


No comprobar el flag SYN en los primeros paquetes ofrece las siguientes ventajas:

• NSRP con enrutamiento asimétrico: En una configuración NSRP activa/aenrutamiento dinámico, un host puede enviar el segmento inicial TCP con edispositivo NetScreen (NetScreen-A), pero la señal SYN/ACK podría enrutaNetScreen del clúster (NetScreen-B). Si este enrutamiento asimétrico se prNetScreen-A haya sincronizado su sesión con NetScreen-B, todo está en orespuesta SYN/ACK llega a NetScreen-B antes de que NetScreen-A haya scomprobación de SYN está habilitada, NetScreen-B rechaza SYN/ACK, lo qCon la comprobación de SYN inhabilitada, NetScreen-B acepta la respuestapertenezca a ninguna sesión existente) y crea para ella una nueva entrada

• Sesiones no interrumpidas: Si la comprobación de SYN está habilitada yNetScreen en modo transparente a una red operativa, se interrumpen todasdeberán reiniciarse4. Esta interrupción puede ser muy molesta para sesionetransferencias de datos o las de copias de seguridad de grandes bases de restablece el dispositivo NetScreen o incluso se cambia un componente en directiva5 y la comprobación de SYN está habilitada, todas las sesiones exisafecte la modificación de la directiva) se interrumpirán y deberán ser reiniciacomprobación de SYN evita esas interrupciones al tráfico de la red.

Sin embargo, observe que las ventajas indicadas requieren los siguientes sacrificios

• Agujeros de reconocimiento: Cuando un segmento TCP inicial con un flaRST, FIN) llega a un puerto cerrado, muchos sistemas operativos (Windowsun segmento TCP cuyo flag RST está activado. Si el puerto está abierto, el respuesta.

4. Una solución a esta situación es instalar el dispositivo NetScreen con la comprobación de SYN inicialmente inhabilita(cuando las sesiones establecidas se estén ejecutando a través del dispositivo NetScreen), habilite la comprobación

5. La sección central de una directiva contiene los siguientes componentes principales: zonas de origen y de destino, dio más servicios y una acción.


27

ncia puede realizar un NetScreen. Si después envía

aso, el host de destino del ST esté activado. Tal cción específica y le indica que también averigua que la ost.

rta los segmentos TCP que no positivo no devolverá un a, sea cual sea el conjunto de

abilitada, un atacante puede dando una red protegida con s. Aunque los hosts atacados o respuesta), tal inundación sesiones llena, el dispositivo

N se puede frustrar esta clase inicial de una sesión fuerza a flag SYN activado. A mentos TCP SYN por segundo

da encarecidamente que la e SYN habilitada, el dispositivo enezcan a una sesión

nes, consulte “Inundación de la ndaciones SYN, consulte


Analizando las respuestas o la ausencia de éstas, un recopilador de inteligereconocimiento en la red protegida y también en el conjunto de directivas deun segmento TCP con un flag no SYN activado y la directiva le permite el psegmento podría descartarlo y responder con un segmento TCP cuyo flag Rrespuesta informa al intruso sobre la presencia de un host activo en una direel número de puerto de destino está cerrado. El recopilador de inteligencia directiva del cortafuegos permite acceder a ese número de puerto en ese h

Con la comprobación del flag SYN habilitada, el dispositivo NetScreen descatengan flag SYN siempre que no pertenezcan a una sesión existente. El dissegmento TCP RST. Por lo tanto, el escáner no obtendrá ninguna respuestdirectivas o tanto si el puerto está abierto o cerrado en el host de destino.

• Inundaciones de tablas de sesiones Si la comprobación de SYN está inhevitar la función de protección contra inundaciones SYN de NetScreen inununa cantidad ingente de segmentos TCP que tengan flags no SYN activadodescartarán los paquetes (y posiblemente envíen segmentos TCP RST compodría llenar la tabla de sesiones del dispositivo NetScreen. Con la tabla deNetScreen no puede procesar nuevas sesiones de tráfico legítimo.

Habilitando la comprobación de SYN y la protección contra inundaciones SYde ataques. La comprobación de si el flag SYN está activado en el paquetetodas las nuevas sesiones a comenzar con un segmento TCP que tenga el continuación, la protección contra inundaciones SYN limita el número de segpara evitar saturaciones en la tabla de sesiones.

Salvo que necesite tener la comprobación de SYN inhabilitada, NetScreen recomienhabilite con el comando siguiente: set flow tcp-syn-check . Con la comprobación dNetScreen rechaza los segmentos TCP con flags no SYN activados, salvo que pertestablecida.

Nota: Para obtener información sobre las inundaciones de la tabla de sesiotabla de sesiones” en la página 46. Para obtener más información sobre inu“Inundación SYN” en la página 56.


28

cción de origen falsa en el able. Esta técnica se conoce ne de dos métodos con el icada en el encabezado. El o en la capa 2 del modelo OSI.

de ruta o en modo NAT, el de la tabla de rutas. Si, por , pero el dispositivo NetScreen antación de IP detectará que de la tabla de rutas un paquete e ethernet3. Así, el dispositivo arta.

l dispositivo NetScreen permite o permite). Si utiliza el siguiente de proceden los paquetes),

dirección IP de origen no se


Suplantación de IPUn método para intentar acceder a un área restringida de la red es insertar una direencabezado del paquete para que parezca que procede de un lugar de origen conficomo suplantación de IP (IP Spoofing). Para detectar esta técnica, NetScreen dispomismo objetivo: determinar si el paquete procede de una ubicación distinta de la indmétodo que utilizará el dispositivo NetScreen dependerá de si funciona en la capa 3

• Capa 3: cuando las interfaces del dispositivo NetScreen funcionan en modomecanismo para detectar la suplantación de IP dependerá de las entradas ejemplo, un paquete con la dirección IP de origen 10.1.1.6 llega a ethernet3tiene una ruta a 10.1.1.0/24 a través de ethernet1, la comprobación de suplesta dirección ha llegado a una interfaz no válida, ya que según la definiciónválido procedente de 10.1.1.6 sólo puede llegar a través de ethernet1, no dconcluye que el paquete es una dirección IP de origen suplantada y la desc

Si la dirección IP de origen de un paquete no aparece en la tabla de rutas, esu paso de forma predeterminada (asumiendo que existe una directiva que lcomando CLI (donde la zona de seguridad especificada será la zona de donpuede hacer que el dispositivo NetScreen descarte cualquier paquete cuya incluya en la tabla de rutas:

set zone zone screen ip-spoofing drop-no-rpf-route


29

Interface Gateway Peth1 0.0.0.0 C

otección contra suplantación de IP a en la zona Untrust, el dispositivo

comprueba si 10.1.1.6 es una de origen válida para los paquetes

a ethernet3.

Tabla de rutas


Subred: 10.1.1.0/24

Zona Trust

Zona Untrust

ethernet1 10.1.1.1/24

ethernet3 1.1.1.1/24

Paquete IP con IP de origen 10.1.1.6

ID IP-Prefix1 10.1.10/24

X

1. Un paquete IP llega a ethernet3. Su dirección IP de origen es 10.1.1.6.

2. Como la prestá activadNetScreen dirección IPque llegan

3. Si al consultar la tabla de rutas observa que 10.1.1.6 no es una dirección IP de origen válida para un paquete que llega a ethernet3, el dispositivo NetScreen rechazará el paquete.

1

23


30

parente, el mecanismo de irecciones. Por ejemplo, ha i un paquete con la dirección IP omprobación de suplantación irección pertenece a la zona 2, que es la interfaz asociada a en suplantada y la descarta.

Address Netmask1.2.2.5 255.255.255.255

cción contra suplantación de IP en la zona V1-Untrust, el tScreen comprueba si 1.2.2.5 es IP de origen válida para los cedentes de la zona V1-Untrust.

ona de dirección: V1-DMZ


• Capa 2: si las interfaces del dispositivo NetScreen funcionan en modo transcomprobación de suplantación de IP utilizará las entradas de la libreta de ddefinido una dirección para “serv A” como 1.2.2.5/32 en la zona V1-DMZ. Sde origen 1.2.2.5 llega a una interfaz de la zona V1-Untrust (ethernet3), la cde IP detectará que esta dirección ha llegado a una interfaz incorrecta. La dV1-DMZ y no a la zona V1-Untrust, por lo que sólo se aceptaría en ethernetV1-DMZ. El dispositivo concluye que el paquete es una dirección IP de orig

Subred: 1.2.2.0/24

Zona V1-DMZ

Zona V1-Untrust

ethernet2 0.0.0.0/0

ethernet3 0.0.0.0/0

Paquete IP con IP de origen 10.2.2.5

Nameserv A

X

1. Un paquete IP llega procedente de la zona V1-Untrust. Su dirección IP de origen es 10.2.2.5.

2. Como la proteestá activadadispositivo Neuna direcciónpaquetes pro

3. Si al consultar la libreta de direcciones observa que 1.2.2.5 no es una dirección IP de origen válida para un paquete procedente de la zona V1-Untrust, el dispositivo NetScreen rechazará el paquete.

12

3

Nombre de z

serv A1.2.2.5


31

nas de seguridad. En la a zona V1-DMZ. Si configura el áfico procedente de la zona

ión de la zona V1-DMZ hacia v1-untrust any any any

ed 1.2.2.0/24, cuando el tráfico lantación de IP consultará la secuencia, el dispositivo


Tenga cuidado al definir direcciones para la subred que abarca múltiples zoilustración anterior, 1.2.2.0/24 pertenece tanto a la zona V1-Untrust como a ldispositivo NetScreen tal y como se describe a continuación, bloqueará el trV1-DMZ cuyo paso desea permitir.

– Ha definido una dirección para 1.2.2.0/24 en la zona V1-Untrust.

– Dispone de una directiva que permite el tráfico desde cualquier direcccualquier dirección de la zona V1-Untrust (set policy from v1-dmz topermit).

– Habilita la comprobación de suplantación de IP.

Como las direcciones de la zona V1-DMZ también se encuentran en la subrprocedente de esas direcciones llegue a ethernet2, la comprobación de suplibreta de direcciones y encontrará 1.2.2.0/24 en la zona V1-Untrust. En conNetScreen bloqueará el tráfico.


32

zonas Trust, DMZ y Untrust , el dispositivo NetScreen as en las direcciones IP de

cir manualmente las siguientes

pero no indica estas tres rutas, a columna “Destino” e insertará con la dirección de origen ethernet1, el dispositivo cartará.


Ejemplo: Protección contra suplantación de IP en la capa 3En este ejemplo habilitará la protección contra suplantación de direcciones IP en laspara un dispositivo NetScreen que funciona en la capa 3. De forma predeterminadarealiza entradas automáticamente en la tabla de rutas para las subredes especificadinterfaz. Además de estas entradas automáticas en la tabla de rutas, deberá introdutres rutas:

Si habilita la opción SCREEN para protección contra suplantación de direcciones IPel dispositivo NetScreen descartará todo tráfico de las direcciones que aparecen en llas alarmas correspondientes en el registro de eventos. Por ejemplo, si un paquete 10.1.2.5 llega a ethernet1 y no hay ninguna ruta a la subred 10.1.2.0/24 a través deNetScreen determinará que ese paquete ha llegado a una interfaz no válida y lo des

Destino: Interfaz de salida: Siguiente puerta de enlace:

10.1.2.0/24 ethernet1 10.1.1.250

1.2.3.0/24 ethernet2 1.2.2.250

0.0.0.0/0 ethernet3 1.1.1.250


33

miento trust-vr.

haga clic en Apply :

K:

haga clic en OK:

.0.0.0/0

t


Todas las zonas de seguridad de este ejemplo se encuentran en el dominio de enruta

WebUI

1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y

Zone Name: Trust

Static IP: (seleccione esta opción si es posible)

IP Address/Netmask: 10.1.1.1/24

Introduzca los siguientes datos y haga clic en O

Interface Mode: NAT

Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y

Zone Name: DMZ

Static IP: (seleccione esta opción si es posible)IP Address/Netmask: 1.2.2.1/24

ethernet110.1.1.1/24

ethernet21.2.2.1/24

ethernet31.1.1.1/24 Enrutador

1.1.1.250Enrutador10.1.1.250

Enrutador1.2.2.250

1.2.2.0/24

1.2.3.0/24

1.1.1.0/24 010.1.1.0/2410.1.2.0/24

Zona Trust Zona UntrusZona DMZ


34

s y haga clic en OK:

e)

es datos y haga clic en OK:




Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato

Zone Name: Untrust

Static IP: (seleccione esta opción si es posibl


2. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient

Network Address/Netmask: 10.1.2.0/24

Gateway: (seleccione)

Interface: ethernet1

Gateway IP Address: 10.1.1.250

Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient











35

n y haga clic en Apply.

n y haga clic en Apply.

tion y haga clic en Apply .


3. Protección contra suplantación de IPScreening > Screen (Zone: Trust): Seleccione IP Address Spoof Protectio

Screening > Screen (Zone: DMZ): Seleccione IP Address Spoof Protectio

Screening > Screen (Zone: Untrust): Seleccione IP Address Spoof Protec


36

t1 gateway 10.1.1.2502 gateway 1.2.2.250 gateway 1.1.1.250


CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat

set interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Rutasset vrouter trust-vr route 10.1.2.0/24 interface etherneset vrouter trust-vr route 1.2.3.0/24 interface ethernetset vrouter trust-vr route 0.0.0.0/0 interface ethernet3

3. Protección contra suplantación de IPset zone trust screen ip-spoofingset zone dmz screen ip-spoofingset zone untrust screen ip-spoofingsave


37

s IP en el tráfico originado en la tres servidores web de la zona

lquiera de las tres direcciones a con las direcciones de la e procedente de la zona

etScreen rechazará el

lic en OK:

lic en OK:


Ejemplo: Protección contra suplantación de IP en la capa 2En este ejemplo protegeremos la zona V1-DMZ contra la suplantación de direccionezona V1-Untrust. En primer lugar debemos definir las siguientes direcciones para losV1-DMZ:

• servA: 1.2.2.10

• servB: 1.2.2.20

• servC: 1.2.2.30

Ahora puede habilitar la protección en la zona V1-Untrust.

Si un atacante en la zona V1-Untrust intenta suplantar la dirección IP utilizando cuade la zona V1-DMZ, el dispositivo NetScreen comprobará la dirección comparándollibreta de direcciones. Cuando descubra que la dirección IP de origen en un paquetV1-Untrust pertenece a una dirección definida en la zona V1-Untrust. el dispositivo Npaquete.

WebUI

1. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: servA

IP Address/Domain Name:


Zone: V1-DMZ

Objects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: servB




38

lic en OK:

ction y haga clic en Apply.


Zone: V1-DMZ


Address Name: servC



Zone: V1-DMZ

2. Protección contra suplantación de IPScreening > Screen (Zone: V1-Trust): Seleccione IP Address Spoof Prote

CLI

1. Direccionesset address v1-dmz servA 1.2.2.10/32set address v1-dmz servB 1.2.2.20/32set address v1-dmz servC 1.2.2.30/32

2. Protección contra suplantación de IPset zone v1-untrust screen ip-spoofingsave


39

isión de paquetes IP, el usuario altos”) a lo largo de la ruta que ciones IP de ruta de origen era

ticos. Por ejemplo, si la irregular, puede utilizar la los enrutadores del itinerario o ta de origen estricta o de ruta irecciones averiguadas ecciones de enrutador para

ar nota de los cambios que n proceso de eliminación, es


Opciones IP de ruta de origenEl enrutamiento de origen ha sido diseñado para que, desde el origen de una transmpueda especificar las direcciones IP de los enrutadores (también conocidos como “sdesee que un paquete IP siga para llegar a su destino. La intención original de las opofrecer herramientas de control de enrutamiento como ayuda al análisis de diagnóstransmisión de un paquete a un destino en particular se realiza con un nivel de éxitoopción IP de marca de hora o de grabación de ruta para averiguar las direcciones delos itinerarios seguidos por el paquete. A continuación, puede utilizar la opción de rude origen abierta para conducir el tráfico por un itinerario específico, utilizando las dmediante la opción IP de marca de hora o de grabación de ruta. Modificando las dircambiar el itinerario y enviando diversos paquetes por distintos itinerarios puede tomcontribuyen a aumentar o reducir las posibilidades de éxito. Mediante el análisis y uposible que pueda deducir dónde reside el problema.


40

misión de A a B mediante los res 1 y 3 se realiza con éxito el

las ocasiones.

e el enrutamiento de origen IP, tráfico a través de los res 2 y 3. La transmisión de A

ealiza con éxito el 50% de las es.

e el enrutamiento de origen IP, tráfico a través de los res 1 y 4. La transmisión de A

ealiza con éxito el 100% de las es. Por lo tanto, podemos que el problema reside en el r 3.


1 3

2 4

1 3

2 4

1 3

2 4

La transenrutado50% de

A

A

A

B

B

B

Cuatro enrutadoresItinerario del

paquete

MediantA envía enrutadoa B se rocasion

MediantA envía enrutadoa B se rocasionsuponerenrutado

Opciones IP de ruta de origen para diagnóstico


41

, los hackers han aprendido a pueden emplear para ocultar la ando una ruta distinta. A oner en práctica estos engaños.

ernet1, una interfaz asociada a dores 1 y 2 no lo hacen. planta la dirección de origen y, r 2 hasta la red 2.2.2.0/24 y, sta el dispositivo NetScreen. de esa subred, aparece como abierta. En este ejemplo, ha Cuando el paquete llega a

- 10.1.1.5rom untrust to trust .5) HTTP permit

rnet11.1/24 Trust

10.1.1.0/24

Servidor HTTP 10.1.1.5

REEN para la zona Untrust ource Route Option”.

een descarta el paquete.


Aunque la aplicación de las opciones IP de ruta de origen era benigna originalmenteutilizar estas opciones con malas intenciones. Las opciones IP de ruta de origen se dirección auténtica del atacante y acceder a áreas restringidas de una red especificcontinuación se incluye un ejemplo en el que se muestra cómo un atacante puede p

El cortafuegos de NetScreen sólo permite el tráfico 2.2.2.0/24 si pasa a través de ethla zona Untrust. Los enrutadores 3 y 4 fuerzan el control de acceso, pero los enrutaAdemás, el enrutador 2 no comprueba la posible suplantación de IP. El atacante sual utilizar la opción de ruta de origen abierta, dirige el paquete a través del enrutadodesde allí, al enrutador 1. Éste reenvía el paquete al enrutador 3, que lo reenvía haComo el paquete procede de la subred 2.2.2.0/24 y contiene una dirección de origenválido. Sin embargo, hay algo clave que aún no cuadra: la opción de ruta de origen habilitado la opción SCREEN “Deny IP Source Route Option” para la zona Untrust. ethernet3, el dispositivo NetScreen lo rechaza.

Atacante

Cuatro enrutadores

Itinerario del paquete

Información del paqueteDirección de origen real: 6.6.6.5Dirección de origen simulada: 2.2.2.5Dirección de destino: 1.1.1.5IP de ruta de origen abierta: 6.6.6.250, 2.2.2.250

2.2.2.0/24

IP asignada: 1.1.1.5 Directiva: set policy f2.2.2.0/24 MIP(1.1.1

ethernet31.1.1.1/24

Zona Untrust

ethe10.1.Zona1

2

3

4

Sin comprobación de suplantación de IP

Sin control de acceso

Opción IP de ruta de origen abierta para un acceso

malicioso

Entre las opciones SCse incluye “Deny IP SEl dispositivo NetScr


42

opciones de ruta de origen lista de contadores para la

fico IP que emplee la opción de gar a permitir a un atacante

aquetes en los que la opción IP SCREEN para la interfaz de paquete en su trayecto desde ecciones especificado, pero se

quetes en los que la opción IP CREEN para la interfaz de paquete en su trayecto desde

dirección del campo de destino.

nocimiento de red mediante

a, utilice uno de los siguientes ete):

ource Route Option Filter y


El dispositivo NetScreen se puede habilitar para que bloquee cualquier paquete conabiertas o estrictas o para que los detecte y, a continuación, registre el evento en lainterfaz de entrada. A continuación se ofrecen las opciones SCREEN:

• Deny IP Source Route Option: active esta opción para bloquear todo el trárutas de origen abierta o estricta. Las opciones de ruta de origen pueden lleentrar en una red con una dirección IP falsa.

• Detect IP Loose Source Route Option: el dispositivo NetScreen detecta psea 3 (Loose Source Routing) y registra el evento en la lista de contadores entrada. Esta opción especifica una lista de rutas parcial que debe tomar unel punto de origen al de destino. El paquete debe avanzar en el orden de dirle permite atravesar otros enrutadores intermedios.

• Detect IP Strict Source Route Option: el dispositivo NetScreen detecta pasea 9 (Strict Source Routing) y registra el evento en la lista de contadores Sentrada. Esta opción especifica la lista de rutas completa que debe tomar unel punto de origen al de destino. La última dirección de la lista sustituye a la

(Para obtener más información sobre todas las opciones IP, consulte “Recoopciones IP” en la página 14).

Para bloquear paquetes con la opción IP de ruta de origen abierta o estricta ajustadmétodos (la zona de seguridad especificada es la zona en la que se originó el paqu

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione IP Shaga clic en Apply .

CLI

set zone zone screen ip-filter-src


43

igen abierta o estricta ajustada, en la que se originó el paquete):


leccione)

ccione)


Para detectar y registrar (pero no bloquear) paquetes con la opción IP de ruta de orutilice uno de los siguientes métodos (la zona de seguridad especificada es la zona

WebUI


IP Loose Source Route Option Detection: (se

IP Strict Source Route Option Detection: (sele

CLI

set zone zone screen ip-loose-src-routeset zone zone screen ip-strict-src-route


44

3

45

Capítulo 3

ación

encial con tal cantidad de cesar el tráfico legítimo. El ccesos controla el eterminado host.

ataque distribuido de cción de origen de un taque DDoS pueden ser

tidos por el atacante y que

omo a los recursos que les:


Defensas contra los ataques de denegde servicio

La intención de un ataque de denegación de servicio (DoS) es abrumar a la víctima pottráfico simulado que se sature intentando procesar el tráfico fantasma y no consiga prodestino del ataque puede ser el cortafuegos de NetScreen, los recursos de red cuyos acortafuegos o la plataforma de hardware o el sistema operativo específico (OS) de un d

Cuando un ataque DoS se origina en múltiples direcciones de origen, se conoce como denegación de servicio (“Distributed Denial-of-Service” o “DDoS”). Normalmente, la direataque DoS es una dirección suplantada (“spoofed”). Las direcciones de origen de un adirecciones suplantadas o bien las direcciones reales de hosts previamente compromeéste utiliza ahora como “agentes zombie” para ejecutar su ataque.

El dispositivo NetScreen puede defenderse de ataques DoS y DDoS tanto a sí mismo cprotege. Las siguientes secciones describen las diversas opciones de defensa disponib

• “Ataques de DoS contra el cortafuegos” en la página 46

– “Inundación de la tabla de sesiones” en la página 46

– “Inundación proxy SYN-ACK-ACK” en la página 54

• “Ataques DoS contra la red” en la página 56

– “Inundación SYN” en la página 56

– “Inundación ICMP” en la página 73

– “Inundación UDP” en la página 75

– “Ataque terrestre (“Land Attack”)” en la página 77

• “Ataques de DoS específicos de cada sistema operativo” en la página 79

– ““Ping of Death”” en la página 79

– “Ataque “Teardrop”” en la página 81

– “WinNuke” en la página 83

Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques de DoS contra el cortafuegos

46

un ataque de denegación de uentra detrás. Un ataque DoS ontra la red protegida, ción se explican dos métodos creen y, de ese modo, producir

o falso que le impide procesar formas (inundación SYN, siguen el mismo objetivo: llenar no puede crear ninguna sesión e SCREEN ayuda a atenuar

cción IP de origen, también se tino. Una ventaja de establecer del virus Nimda (que realmente ntidades masivas de tráfico. límite de sesión basado en su

xcesivas de tráfico.


ATAQUES DE DOS CONTRA EL CORTAFUEGOSSi un atacante descubre la presencia del cortafuegos de NetScreen, puede ejecutarservicio (DoS) contra ese dispositivo, en lugar de intentar atacar a la red que se encque tenga éxito contra un cortafuegos desembocará en otro ataque DoS con éxito cfrustrando los intentos del tráfico legítimo para atravesar el cortafuegos. En esta secque un atacante puede utilizar para llenar la tabla de sesiones de un dispositivo NetSuna DoS: “Inundación de la tabla de sesiones” y “Inundación proxy SYN-ACK-ACK”

Inundación de la tabla de sesionesUn ataque DoS acertado abruma a su víctima con una cantidad tan ingente de tráficlas peticiones de conexión legítimas. Los ataques de DoS pueden adoptar muchas inundación SYN-ACK-ACK, inundación UDP, inundación ICMP, etc.), pero todos perla tabla de sesiones de su víctima. Cuando la tabla de sesiones se llena, el host ya nueva y comienza a rechazar nuevas peticiones de conexión. La siguiente opción desos ataques:

• “Límites de sesiones según sus orígenes y destinos”

• “Envejecimiento agresivo”

Límites de sesiones según sus orígenes y destinosAdemás de limitar el número de sesiones simultáneas procedentes de la misma direpuede limitar el número de sesiones simultáneas hacia la misma dirección IP de desun límite de sesión basado en su origen es que permite contener un ataque como el es un virus y un gusano a la vez), que infecta un servidor y lo utiliza para generar caDado que todo el tráfico generado por un virus procede de la misma dirección IP, unorigen garantiza que el cortafuegos de NetScreen pueda retener tales cantidades e


47

intentos ilegítimos de llenar la edan de la misma dirección IP denegación de servicio

osts, conocidos como “agentes opciones de detección de de sesión basado en su destino ptable de peticiones de

úmero de sesiones del servidor infectado

ite máximo, el dispositivo omienza a bloquear todos de conexión subsiguientes dor.


Otra ventaja de limitar una sesión basándose en su origen es reducir el número de tabla de sesiones de NetScreen (siempre que todos esos intentos de conexión procde origen). Sin embargo, un atacante astuto podría ejecutar un ataque distribuido de(DDoS). En un ataque DDoS, el tráfico malévolo puede proceder de centenares de hzombie”, que están subrepticiamente bajo el control de un atacante. Además de lasinundaciones SYN, UDP e ICMP y de prevención SCREEN, estableciendo un límite se puede garantizar que el dispositivo NetScreen admita solamente un número aceconexión simultáneas (sin importar su origen) para alcanzar cualquier host.

…

Zona Untrust

Zona DMZ Servidor

infectado

Cuando el nsimultáneasalcanza el límNetScreen clos intentos de ese servi

Limitación de sesiones según su origen: Contención del tráfico del virus/gusano Nimda

Un servidor web se infecta con el híbrido del virus/gusano Nimda, que lo utiliza para generar cantidades excesivas de tráfico.


48

do de observación y análisis icos. También se debe tener en e sesiones de la plataforma

itido por su tabla de sesiones, que se indica el número de aciones de sesión infructuosas:

stino es de 128 sesiones pecíficas de su entorno de red

egún su destino: servicio distribuido

iones simultáneas al el límite máximo, el quea cualquier iguiente a esa

Atacante

Zona Untrust

Zona DMZ

Servidor web


Determinar cuál es el número aceptable de peticiones de conexión requiere un periopara establecer una base de referencia con la que determinar los flujos de tráfico típcuenta el número máximo de sesiones simultáneas requeridas para llenar la tabla dNetScreen que se esté utilizando. Para consultar el número máximo de sesiones admejecute el comando CLI get session y observe la primera línea del resultado, en lasesiones (asignadas) actuales, el número máximo de sesiones y el número de asign

alloc 420/max 128000, alloc failed 0

El máximo predeterminado para los límites de sesiones según su origen y en su desimultáneas, un valor que puede requerir ajustes para satisfacer las necesidades esy plataforma.

Limitación de sesiones según su origen:Ataque de denegación de servicio

Atacante

Host inexistenteIP origen: 6.6.6.6

Servidor web

Zona Untrust

Zona DMZ

Cuando el número de sesiones simultáneas procedentes de 6.6.6.6 sobrepasa el límite máximo, el dispositivo NetScreen bloquea cualquier conexión subsiguiente de esa dirección IP.

Limitación de sesiones sAtaque de denegación de

Cuando el número de sesservidor web sobrepasa dispositivo NetScreen blointento de conexión subsdirección IP.

Agentes zombie


49

DMZ y Trust puede iniciar. ebería iniciar tráfico, or otra parte, la zona Trust chos de los cuales inician o de 80 sesiones simultáneas.

ic en OK:

ic en OK:


Ejemplo: Limitación de sesiones según su origenEn este ejemplo limitará el número de sesiones que cualquier servidor de las zonasDado que la zona DMZ solamente contiene servidores web, ninguno de los cuales destablecerá el límite de sesiones de origen en el valor más bajo posible: 1 sesión. Pcontiene computadoras personales, servidores, impresoras y otros dispositivos, mutráfico. Para la zona Trust, establecerá el límite de sesiones de origen en un máxim

WebUI

Screening > Screen (Zone: DMZ): Introduzca los siguientes datos y haga cl

Source IP Based Session Limit: (seleccione)

Threshold: 1 Sessions

Screening > Screen (Zone: Trust): Introduzca los siguientes datos y haga cl

Source IP Based Session Limit: (seleccione)


CLI

set zone dmz screen limit-session source-ip-based 1set zone dmz screen limit-session source-ip-basedset zone trust screen limit-session source-ip-based 80set zone trust screen limit-session source-ip-basedsave


50

dirección 1.2.2.5. El servidor se st a este servidor durante un 000. De acuerdo con esta

áneas. Aunque sus ite, opta por garantizar la

clic en OK:

ne)

ed 4000ed

una sesión TCP tarda 20 sesión TCP, el valor del tiempo son de 5 minutos y 1 minuto, tualiza cada 10 segundos 10 segundos, el temporizador


Ejemplo: Limitación de sesiones según su destinoEn este ejemplo, desea limitar la cantidad de tráfico dirigido a un servidor web en la encuentra en la zona DMZ. Después de observar el flujo de tráfico de la zona Untrumes, ha determinado que el número medio de sesiones simultáneas que recibe es 2información, decide establecer el nuevo límite de sesiones en 4000 sesiones simultobservaciones muestran que durante los picos de tráfico a veces se excede ese límseguridad del cortafuegos a costa de alguna inaccesibilidad ocasional del servidor.

WebUI

Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga

Destination IP Based Session Limit: (seleccio


CLI

set zone untrust screen limit-session destination-ip-basset zone untrust screen limit-session destination-ip-bassave

Envejecimiento agresivoDe forma predeterminada, el establecimiento de comunicación inicial en 3 fases de segundos en caducar (es decir, en expirar por inactividad). Una vez establecida unade espera cambia a 30 minutos. Para sesiones HTTP y UDP, los tiempos de esperarespectivamente. El temporizador de cada sesión se inicia al comenzar ésta y se acmientras la sesión permanece activa. Si una sesión queda inactiva durante más de comienza la cuenta atrás.


51

a cuando el número de o el número de sesiones cae e a su estado normal. Mientras rimero el envejecimiento de las icada. Estas sesiones de rrido de basura”, que ocurre

s de las sesiones en la unidades, donde cada unidad ivo puede tener un valor de 20 undos. Si, por ejemplo, s de espera de sesiones HTTP

(30 minutos) a 1700 segundos . Durante ese periodo, el o valor de tiempo de espera uas.

ormales de los tiempos de espera de iones UDP). Sin embargo, cuando se nvejecimientos prematuros en lugar

��

��

15 10 5 0

00 600 300 0


NetScreen proporciona un mecanismo para acelerar el proceso del tiempo de espersesiones en la tabla de sesiones sobrepasa un umbral superior especificado. Cuandpor debajo de un umbral inferior especificado, el proceso del tiempo de espera vuelvel proceso de envejecimiento agresivo esté activo, el dispositivo NetScreen forzará psesiones más antiguas, aplicándoles la tasa de envejecimiento previamente especifenvejecimiento forzado se marcan como no válidas y se eliminan en el siguiente “bacada 2 segundos.

La opción de envejecimiento agresivo reduce los tiempos de espera predeterminadomagnitud introducida1. El valor de envejecimiento agresivo puede estar entre 2 y 10representa un intervalo de 10 segundos (es decir, el ajuste de envejecimiento agresa 100 segundos). El ajuste predeterminado es de 2 unidades, equivalentes a 20 segestablece el ajuste de envejecimiento agresivo en 100 segundos, acortará los tiempoy TCP de la siguiente manera:

• TCP: El valor del tiempo de espera de la sesión se acorta de 1800 segundos(28:20 minutos) mientras el proceso de envejecimiento agresivo está activodispositivo NetScreen elimina automáticamente todas las sesiones TCP cuyhaya superado los 1700 segundos, comenzando por las sesiones más antig

1. Al establecer y habilitar la opción de envejecimiento agresivo, en la configuración seguirán apareciendo los valores ncada tipo de sesión (1800 segundos para sesiones TCP, 300 segundos para sesiones HTTP y 60 segundos para sesactiva el periodo de envejecimiento agresivo, estas sesiones caducan antes (aplicando el tiempo especificado para ede la cuenta atrás hasta cero).

��

��

30 25 20

1800 1500 1200 9Seg

MinTiempo de espera predeterminado de la sesión TCP: 30 min (1800 seg)

Envejecimiento agresivo = 10 (predeterminado - 100 seg): 28:20 min (1700 seg)


52

s (5 minutos) a 200 segundos Durante ese periodo, el yo valor de tiempo de espera as.

de 60 segundos, definiendo un las sesiones UDP envejezcan

��

��

3 2 1 0

80 120 60 0


• HTTP: El valor del tiempo de espera de la sesión se acorta de 300 segundo(3:20 minutos) mientras el proceso de envejecimiento agresivo está activo. dispositivo NetScreen elimina automáticamente todas las sesiones HTTP cuhaya superado los 200 segundos, comenzando por las sesiones más antigu

• UDP: Dado que el tiempo de espera predeterminado de una sesión UDP esajuste de envejecimiento prematuro de 100 segundos se provoca que todasy queden marcadas para su eliminación en el siguiente “barrido de basura”.

��

��

5 4

300 240 1Seg

MinTiempo de espera predeterminado de la sesión HTTP: 5 min (300 seg)

Envejecimiento agresivo = 10 (predeterminado - 100 seg): 3:20 min (200 seg)


53

uando el tráfico supere un l 70%. Especificará 40 e llena más del 80% (el umbral das las sesiones y comienza a úmero de sesiones en la tabla

interfaz de línea de comandos

ral superior

ral inferior} Envejecimiento

agresivo(- 40 seg de

envejecimiento forzado)


Ejemplo: Forzar el envejecimiento agresivo de sesionesEn este ejemplo establecerá que el proceso de envejecimiento agresivo comience cumbral superior del 80% y finalice cuando caiga por debajo de un umbral inferior desegundos como intervalo de envejecimiento agresivo. Cuando la tabla de sesiones ssuperior), el dispositivo NetScreen reduce en 40 segundos el tiempo de espera de toforzar agresivamente el envejecimiento de las sesiones más antiguas hasta que el ncae por debajo del 70% (el umbral inferior).

WebUI

CLI

set flow aging low-watermark 70set flow aging high-watermark 80set flow aging early-ageout 4save

Nota: Para configurar los ajustes de envejecimiento agresivo debe utilizar la(“CLI”).

100%

80%

70%

0%

Umb

Umb

Sesiones

Capacidad de la tabla de sesiones Cuando el número de sesiones supera la capacidad

del 80%, se activa el mecanismo de envejecimiento agresivo.

Las sesiones envejecen forzadamente hasta que su número cae por debajo del 70%. En ese momento, el mecanismo de envejecimiento agresivo se detiene.


54

nto SYN al servidor Telnet o entrada en su tabla de onde entonces con un ión en 3 fases. El dispositivo alévolo, en lugar de iniciar la n puede llenarse hasta el

Servidor Telnet o FTP

ona Trust

e sesiones de NetScreen: recursos disponibles

de sesiones se está o.

de sesiones está llena.


Inundación proxy SYN-ACK-ACKCuando un usuario de autenticación inicia una conexión Telnet o FTP, envía un segmeFTP correspondiente. El dispositivo NetScreen intercepta el segmento SYN, crea una sesiones y envía al usuario un segmento SYN-ACK a través del proxy. El usuario respsegmento ACK. En ese momento se completa el establecimiento inicial de comunicacNetScreen envía al usuario un mensaje de petición de inicio de sesión. Si el usuario msesión, continúa iniciando sesiones SYN-ACK-ACK, la tabla de sesiones de NetScreepunto en que el dispositivo comience a rechazar peticiones de conexión legítimas.

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

SYN

ACK

Nombre: ?Contraseña: ?

SYN/ACK2. El dispositivo NetScreen

envía un segmento SYN/ACK a través del proxy.

4. El dispositivo NetScreen solicita al cliente (usuario de autenticación) que inicie una sesión.

SYN

1. El cliente envía un segmento SYN al servidor.

Cliente Telnet o FTP(usuario de

autenticación)

ZZona Untrust

3. El cliente responde con un segmento ACK.

5. El cliente ignora el mensaje de petición de inicio de sesión y sigue repitiendo los pasos 1 a 4 hasta llenar la tabla de sesiones de NetScreen).

SYN

1

3

2

4

5

Tabla dMuchos

La tablallenand

La tabla6

6. Al estar la tabla de sesiones completa, el dispositivo NetScreen debe rechazar todas las demás peticiones de conexión.

.

.

.

SYN/ACK

ACK

Nombre: ?Contraseña: ?


55

-ACK del proxy. Cuando el e SYN-ACK-ACK del proxy, el cción IP. De forma Puede cambiar este umbral (a torno de red.

cualquiera de los siguientes e:


)

r la protección contra la

nes de una determinada dirección IP.


Para frustrar tal ataque, puede habilitar la opción SCREEN de protección SYN-ACKnúmero de conexiones procedentes de una misma dirección IP alcanza el umbral ddispositivo NetScreen rechaza las peticiones de conexión subsiguientes de esa direpredeterminada, el umbral es de 512 conexiones de una determinada dirección IP. cualquier número entre 1 y 250.000) para adaptarse mejor a los requisitos de su en

Para habilitar la protección contra una inundación SYN-ACK-ACK del proxy, ejecuteprocedimientos, donde la zona especificada es aquélla en la que se origina el ataqu

WebUI


SYN-ACK-ACK Proxy Protection: (seleccione

Threshold: (introduzca un valor para activainundación SYN-ACK-ACK del proxy2)

CLI

set zone zone screen syn-ack-ack-proxy threshold numberset zone zone screen syn-ack-ack-proxy

2. La unidad de este valor se expresa en conexiones por dirección de origen. El valor predeterminado es de 512 conexio

Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red

56

inunda el destino con una ndo del objetivo del

nto, el atacante puede sts de forma aleatoria en la un solo host o a la red texto de su red.

que inician peticiones de s.

ocido como establecimiento to SYN; A responde con un contienen direcciones IP de responde enviando o los segmentos SYN/ACK aban por superar el tiempo

entrante, el dispositivo s SYN. La víctima responde la dirección IP de origen e respuesta hasta que los

LAN protegida

El búfer de memoria de la víctima comienza a llenarse.


ATAQUES DOS CONTRA LA REDUn ataque de denegación de servicio (DoS) dirigido contra unos o más recursos de redcantidad abrumadora de paquetes SYN, ICMP o UDP, o de fragmentos SYN. Dependieatacante y del nivel y éxito de los esfuerzos de prevención realizados hasta ese momeseleccionar un host específico, como un enrutador o un servidor, o bien seleccionar hored atacada. Cualquiera de las dos tácticas tiene el potencial de trastornar el servicio aentera, dependiendo de la importancia del papel desempeñado por la víctima en el con

Inundación SYNUna inundación SYN ocurre cuando un host resulta tan saturado con segmentos SYN conexión irrealizables que le resulta imposible procesar peticiones de conexión legítima

Dos hosts establecen una conexión TCP con triple intercambio de segmentos TCP, conde conexión en tres fases: A envía un segmento SYN a B; B responde con un segmensegmento ACK. Un ataque de inundación SYN inunda un sitio con segmentos SYN queorigen falsificadas (“suplantadas” o “spoofed”), es decir, inexistentes o inalcanzables. Bsegmentos SYN/ACK a estas direcciones y espera segmentos ACK de respuesta. Comse envían a direcciones IP inexistentes o inalcanzables, nunca obtienen respuesta y acde espera.

El host en 2.2.2.5 envía segmentos SYN en paquetes IP con direcciones de origen suplantadas.

Si una directiva permite el tráfico NetScreen permite los segmentoenviando segmentos SYN/ACK asimulada, quedando a la espera dintentos caducan.

Dirección IP real

2.2.2.5

Direcciones IP inexistentes o inalcanzables

SYNSYN/ACK?

?

?

?

SYN

SYN

SYN

SYN/ACK

SYN/ACK

SYN/ACK

3.3.3.5

4.4.4.20

5.5.5.10

6.6.6.3


57

enar el búfer de memoria de la de conexión TCP. La

o, el ataque inhabilita a la

a los que se permite atravesar ección de destino y el puerto, . Cuando el número de

en inicia el procesamiento de K y almacenando las

onexión incompletas caducado. En la ilustración

comenzado a procesar


Inundando un host con conexiones TCP no completables, el atacante acabará por llvíctima. Cuando este búfer se llena, el host ya no puede procesar nuevas peticionesinundación puede incluso dañar el sistema operativo de la víctima. En cualquier casvíctima y sus operaciones normales.

Protección contra inundaciones SYN

Los dispositivos NetScreen pueden imponer un límite al número de segmentos SYNel cortafuegos cada segundo. Puede definir el umbral de ataque en función de la dirsólo en función de la dirección de destino o sólo en función de la dirección de origensegmentos SYN por segundo supera uno de estos umbrales, el dispositivo NetScresegmentos SYN entrantes mediante el proxy, respondiendo con segmentos SYN/ACpeticiones de conexión incompletas en una cola de conexiones. Las peticiones de cpermanecen en la cola hasta que la conexión se haya completado o la petición hayasiguiente, se ha atravesado el umbral de ataque SYN y el dispositivo NetScreen ha segmentos SYN mediante el proxy.


58

LAN protegida

La cola de conexiones procesada por proxy del dispositivo NetScreen comienza a llenarse.

El búfer de memoria de la víctima deja de llenarse.


��

��

��

��

El host con la dirección 2.2.2.5 continúa enviando segmentos SYN en paquetes IP con direcciones de origen suplantadas.

Cuando el número de segmentos SYN procedentes de una misma dirección de origen o dirigidos a la misma dirección de destino alcanza un umbral especificado, el dispositivo NetScreen comienza a interceptar las peticiones de conexión y a procesar los segmentos SYN/ACK mediante el proxy.

Dirección IP real2.2.2.5

SYNSYN/ACK?

?

?

?

SYN/ACK

— Umbral de ataque SYN —

.

.

.

SYNSYN/ACK

SYN

SYN

SYN/ACK

Direcciones IP inexistentes o inalcanzables

7.7.7.11

8.8.8.8

9.9.9.22

2.2.2.4

3.3.3.25


59

totalmente y el dispositivo de la red protegida contra el

LAN protegida

La cola de conexiones procesada por proxy del dispositivo NetScreen está llena.

e

El búfer de memoria de la víctima recupera su estado normal.


En la siguiente ilustración, la cola de conexiones procesada por proxy se ha llenadoNetScreen rechaza nuevos segmentos SYN entrantes. Esta acción blinda los hostsbombardeo de establecimientos de conexión en tres fases incompletos.

��

��

��

��

— Umbral de ataque SYN —

��

��

��— Umbral de alarma —

El host con la dirección 2.2.2.5 continúa enviando segmentos SYN en paquetes IP con la dirección de origen suplantada 3.3.3.5.

Dirección IP real

2.2.2.5

Dirección IP 3.3.3.5

inexistente o inalcanzable

?

?

SYN/ACK

.

.

.

��

��

��

��

— Limite máximo de la cola de conexiones procesada por proxy —

SYN El dispositivo NetScreen intercepta los segmentos SYN y procesa por proxy las respuestas SYN/ACK hasta que la cola de conexiones procesada por proxy se llena.

El dispositivo NetScreen rechaza nuevos segmentos SYN de todas las direcciones de la misma zona dseguridad.

Segmento SYN de otra dirección de la misma zona de seguridad.

SYN

SYN

SYN/ACK

El dispositivo NetScreen introduce una alarma en el registro de eventos.


60

del proxy cae por debajo del

us parámetros, ejecute en la que puede originarse una


itar)

ntos SYN -es decir, de - requeridos por segundo para

de SYN por proxy3)

peticiones de conexión TCP nerar una alarma en el registro

e paquetes SYN por segundo n IP que se requiere para que azar nuevas peticiones de

encima de un umbral quier tráfico para el que no

e CLI.


El dispositivo NetScreen inicia la recepción de nuevos paquetes SYN cuando la colalímite máximo.

Para habilitar la opción SCREEN de protección contra inundaciones SYN y definir scualquiera de los siguientes procedimientos, donde la zona especificada es aquélla inundación:

WebUI


SYN Flood Protection: (seleccione para habil

Threshold: (introduzca el número de segmesegmentos TCP con el flag SYN activadoactivar el mecanismo de procesamiento

Alarm Threshold: (introduzca el número deprocesadas por proxy requeridas para gede eventos)

Source Threshold: (introduzca el número dprocedentes de una determinada direccióel dispositivo NetScreen comience a rechconexión de ese origen)

Nota: El procedimiento de procesar por proxy las conexiones SYN incompletas porestablecido afecta solamente al tráfico permitido por las directivas existentes. Cualexista una directiva se descarta automáticamente.

3. Para obtener más detalles sobre cada uno de estos parámetros, consulte las descripciones en la siguiente sección d


61

ro de paquetes SYN por cción IP que se requiere para

rechazar nuevas peticiones de

egundos que el dispositivo ión TCP incompleto en la cola

iones de conexión TCP en la cola de conexiones ositivo NetScreen comience a


Destination Threshold: (introduzca el númesegundo dirigidos a una determinada direque el dispositivo NetScreen comience aconexión hacia ese destino)

Timeout Value: (introduzca la duración en sNetScreen mantiene un intento de conexde conexiones procesada por proxy)

Queue Size: (introduzca el número de peticprocesadas por proxy que se mantienen procesada por proxy antes de que el disprechazar nuevas peticiones de conexión)


62

establecer los siguientes

P con el flag SYN activado) r segundo para activar el el umbral en cualquier número, para establecer un umbral .000 segmentos SYN por do. Si un sitio más pequeño r el umbral en 40.

er

s procesadas por proxy por el registro de eventos. El valor por segundo de peticiones de cción de destino y número de YN en 2000 segmentos SYN YN por segundo dirigidos a la e alarma en el registro. Más

do que cumplen los requisitos

n el mismo segundo.

de conexión en ese mismo

r


CLIPara habilitar la protección contra inundaciones SYN.

set zone zone screen syn-flood

Para procesar por proxy las peticiones de conexión TCP inacabadas puedeparámetros:

Attack Threshold: El número de segmentos SYN (es decir, segmentos TCdirigidos a la misma dirección de destino y número de puerto requeridos pomecanismo de procesamiento de SYN por proxy. Aunque se puede ajustar es necesario conocer los patrones de tráfico habituales en cada instalaciónadecuado. Por ejemplo, en un sitio “e-business” que normalmente recibe 20segundo, conviene establecer un umbral de, por ejemplo, 30.000 por segunrecibe habitualmente 20 segmentos SYN por segundo, plantéese establece

set zone zone screen syn-flood attack-threshold numb

Alarm Threshold: El número de peticiones de conexión TCP semicompletasegundo que el dispositivo NetScreen espera para introducir una alarma enestablecido para un umbral de alarma dispara una alarma cuando el númeroconexión semicompletadas y procesadas por proxy dirigidas a la misma direpuerto supera ese valor. Por ejemplo, si se establece el umbral de ataque Spor segundo y la alarma en 1000, se requiere un total de 3001 segmentos Smisma dirección de destino y número de puerto para generar una entrada dprecisamente:

1. El cortafuegos deja pasar los primeros 2000 segmentos SYN por segunde las directivas.

2. El cortafuegos procesa por proxy los 1000 segmentos SYN siguientes e

3. La 1001ª petición de conexión procesada por proxy (o la 3001ª petición segundo) dispara la alarma.

set zone zone screen syn-flood alarm-threshold numbe


63

e destino que sobrepase el l final del segundo, el módulo

registro que indica cuántos o llegaron después de haberse undo, el registro de eventos

s SYN que deben recibirse por dirección IP y el número de rtar peticiones de conexión de

er

s parámetros de detección que destino. Cuando se establece ismo básico de protección nes SYN basado en sus

entos SYN por segundo que sitivo NetScreen comience a jecuta múltiples servicios,

destino, sin importar el número

number

ctivan tanto el mecanismo imiento de inundaciones SYN

ros parámetros de detección to de destino. Observe el caso izar peticiones FTP (puerto 21) ra inundaciones SYN es de


Por cada segmento SYN dirigido a la misma dirección y número de puerto dumbral de alarma, el módulo de detección de ataques genera un mensaje. Ade registro comprime todos los mensajes similares en una sola entrada del segmentos SYN dirigidos a la misma dirección y número de puerto de destinrebasado el umbral de alarma. Si el ataque persiste más allá del primer segintroduce una alarma cada segundo hasta que el ataque se detenga.

Source Threshold: Esta opción permite especificar el número de segmentosegundo de una determinada dirección IP de origen (sin tener en cuenta la puerto de destino) antes de que el dispositivo NetScreen comience a descaese origen.

set zone zone screen syn-flood source-threshold numb

El seguimiento de una inundación SYN por su dirección de origen utiliza otroel seguimiento de una inundación SYN por dirección y número de puerto deun umbral de ataque SYN y un umbral de origen, se activan tanto el mecancontra inundaciones SYN como el mecanismo de seguimiento de inundacioorígenes.

Destination Threshold: Esta opción permite especificar el número de segmpuede recibir una determinada dirección IP de destino antes de que el dispodescartar peticiones de conexión a ese destino. Cuando un host protegido econviene establecer un umbral basado exclusivamente en la dirección IP dede puerto de destino.

set zone zone screen syn-flood destination-threshold

Cuando se establece un umbral de origen SYN y un umbral de destino, se abásico de protección contra inundaciones SYN como el mecanismo de segubasado en sus destinos.

El seguimiento de una inundación SYN por su dirección de destino utiliza otque el seguimiento de una inundación SYN por dirección y número de puersiguiente, donde el dispositivo NetScreen tiene directivas que permiten realy peticiones HTTP (puerto 80) al mismo servidor. Si el umbral de ataque pa


64

9 paquetes HTTP por los paquetes que comparten ocesamiento de SYN por nto de direcciones y números de 1000 paquetes por NetScreen trata los paquetes conjunto y rechaza el 1001º

scartada de la cola. El valor gundos. Intente reducir el en condiciones normales de ara una respuesta ACK a un

se pueden retener en la cola mience a rechazar nuevas dispositivo NetScreen en n procesada por proxy. Esto go, como el tiempo que debe muy superior al de cualquier irán una diferencia notable.

YN, procesa por proxy todas odo transparente no puede ino no está en su tabla de modo transparente que ha

AC desconocidas. Puede que contienen direcciones


1000 paquetes por segundo (pps) y un atacante envía 999 paquetes FTP y 99segundo, ninguno de ambos conjunto de paquetes (entendiendo por conjuntola misma dirección y número de puerto de destino) activa el mecanismo de prproxy. El mecanismo básico de ataque de inundación SYN realiza el seguimiede puerto de destino, y ninguno de los conjuntos supera el umbral de ataque segundo. Sin embargo, si el umbral de destino es de 1000 pps, el dispositivo FTP y HTTP con la misma dirección de destino que los miembros de un solo paquete —FTP o HTTP— dirigido a ese destino.

Timeout: El tiempo máximo antes de que una conexión semicompleta sea depredeterminado es de 20 segundos, pero se puede establecer entre 0 y 50 sevalor del tiempo de espera hasta que comience a ver conexiones descartadastráfico. Veinte segundos representan un tiempo de espera muy conservador pestablecimiento de comunicación de 3 fases.

set zone zone screen syn-flood timeout number

Queue size: El número de peticiones de conexión procesadas por proxy quede conexiones procesada por proxy antes de que el dispositivo NetScreen copeticiones de conexión. Cuanto mayor sea el tamaño de la cola, más tarda elanalizarla para encontrar una respuesta ACK válida a una petición de conexiópuede retardar ligeramente el establecimiento inicial de la conexión; sin embartranscurrir antes de poder comenzar la transferencia de datos es normalmenteretraso menor en la configuración inicial de la conexión, los usuarios no percib

set zone zone screen syn-flood queue-size number

Drop Unknown MAC: Cuando un dispositivo NetScreen detecta un ataque Slas peticiones de conexión TCP. Sin embargo, un dispositivo NetScreen en mprocesar por proxy una petición de conexión TCP si la dirección MAC de destaprendizaje de MAC. De forma predeterminada, un dispositivo NetScreen en detectado un ataque SYN entrega paquetes SYN que contienen direcciones Mutilizar esta opción para ordenar al dispositivo que descarte los paquetes SYNMAC de destino desconocidas en lugar de permitirles el paso.

set zone zone screen syn-flood drop-unknown-mac


65

inundación SYN originados en YN para la zona Untrust.

rporada en el dispositivo uno de los servidores web. En bién proporciona algunas de conexión y modificar el

Zona DMZ

web

.10

.20

.30

.40


Ejemplo: Protección contra inundaciones SYNEn este ejemplo protegerá cuatro servidores web en la zona DMZ contra ataques dela zona Untrust habilitando la opción SCREEN de protección contra inundaciones S

Nota: NetScreen recomienda aumentar la protección contra inundaciones SYN incoNetScreen con la protección contra inundaciones SYN a nivel de dispositivo en cadaeste ejemplo, los servidores web funcionan con el sistema operativo UNIX, que tamdefensas contra inundaciones SYN, como ajustar el tamaño de la cola de peticionestiempo de espera para las peticiones de conexión incompletas.

Zona Untrust

Internet

Dispositivo NetScreen

ethernet31.1.1.1/24

ethernet21.2.2.1/24

Servidores

1.2.2

1.2.2

1.2.2

1.2.2

HTTP

Inundación SYN

Cortafuegos


66

res apropiados para su red, na semana, ejecute un upervisar el número de nuevas n DMZ5. Su análisis de los nte:

ndo

ión contra inundaciones SYN

conectado. La mayoría de los rá visualizar y evaluar la información ivado que lleguen a ethernet3 y estén

n la hora, el día de la semana, la fase detecta cambios significativos,

valor

e nuevas peticiones de conexión te entorno de red. Cuando el lquiera de los cuatro servidores een comienza a procesar por as a ese servidor. (En otras N dirigido a la misma dirección y undo, el dispositivo NetScreen e conexión dirigidas a esa


Para configurar los parámetros de protección contra inundaciones SYN con los valoprimero debe establecer una línea de base de los flujos de tráfico típicos. Durante uprograma rastreador4 sobre ethernet3 (la interfaz asociada a la zona Untrust) para speticiones de conexión TCP que llegan cada segundo a los cuatro servidores web edatos acumulados durante una semana de supervisión produce la estadística siguie

• Promedio de nuevas peticiones de conexión por servidor: 250 por segundo

• Promedio de máximos de peticiones de conexión por servidor: 500 por segu

De acuerdo con esta información, establecerá los siguientes parámetros de proteccpara la zona Untrust:

4. Un programa rastreador es un dispositivo analizador de red que captura paquetes en el segmento de red al que estáprogramas rastreadores permiten definir filtros para recopilar solamente el tipo de tráfico que interese. Después podacumulada. En este ejemplo se desea que el programa rastreador recoja todos los paquetes TCP con el flag SYN actdestinados a uno de los cuatro servidores web en DMZ.

5. Siga ejecutando el programa rastreador a intervalos periódicos comprobando si existen patrones de tráfico basados edel mes o la estación del año. Por ejemplo, el tráfico puede aumentar espectacularmente durante las Navidades. Si probablemente esté justificado ajustar los diferentes umbrales.

Parámetros Valores Motivo para cada

Attack Threshold (Umbral de ataque)

625 paquetes por segundo (pps)

Esto supera en un 25% al promedio de picos dpor segundo por servidor, algo inusual para esnúmero de paquetes SYN por segundo de cuaweb supera este número, el dispositivo NetScrproxy las nuevas peticiones de conexión dirigidpalabras, comenzando por el 626º paquete SYnúmero de puerto de destino en un mismo segcomienza a procesar por proxy las peticiones ddirección y número de puerto).


67

ticiones de conexión do el dispositivo NetScreen nexión en un segundo, genera s. Aumentando ligeramente el que, puede evitar las entradas de mente exceden levemente el

ispositivo NetScreen rastrea la importar la dirección y el número

miento basado en orígenes es N basado en la dirección y el

l mecanismo básico de protección

e no más de una cuarta parte de los servidores procedía de algún or lo tanto, las peticiones de

abituales y son causa suficiente ecanismo de procesamiento por ue es de 625 pps.)

s SYN procedentes de la misma xto paquete rechazará los demás e ese segundo y también durante

valor


Alarm Threshold (Umbral de alarma)

250 pps 250 pps es 1/4 del tamaño de la cola (1000 pesemicompletas y procesadas por proxy*). Cuanprocesa por proxy 251 nuevas peticiones de couna entrada de alarma en el registro de eventoumbral de alarma por encima del umbral de ataalarma generadas por picos de tráfico que solaumbral de ataque.

Source Threshold (Umbral de origen)

25 pps Cuando se establece un umbral de origen, el ddirección IP de origen de los paquetes SYN, sinde puerto de destino. (Observe que este seguiindependiente del seguimiento de paquetes SYnúmero de puerto de destino, que constituye econtra inundaciones SYN).

Durante la semana de supervisión, observó qulas nuevas peticiones de conexión para todos origen dentro de un intervalo de un segundo. Pconexión que superan este umbral son poco hpara que el dispositivo NetScreen ejecute su mproxy. (25 pps es 1/25 del umbral de ataque, q

Si el dispositivo NetScreen detecta 25 paquetedirección IP de origen, a partir del vigésimo sepaquetes SYN de ese origen durante el resto del segundo siguiente.

Parámetros Valores Motivo para cada


68

haga clic en OK:

osible)

positivo NetScreen ejecuta un IP de destino, sin importar el uatro servidores web reciben no les llega ningún tráfico o, establecer un umbral de ional.

pequeño (1000 peticiones de rminado de 20 segundos es un e conexión incompletas en cola

esadas por proxy es dos veces nexión (500 pps). El dispositivo es por segundo antes de

el doble del promedio de picos “colchón” suficiente como para ítimas.

. Un establecimiento de conexión en do, una respuesta con los flag SYN y ulte “Glosario” en el volumen 1, “Vista

alor


WebUI

1. InterfacesNetwork > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y

Zone Name: DMZ

Static IP: (seleccione esta opción cuando sea p


Destination Threshold (Umbral de destino)

0 pps Cuando se establece un umbral de destino, el disseguimiento separado solamente de la direcciónnúmero de puerto de destino. Debido a que los csolamente tráfico HTTP (puerto de destino 80) y dirigido a ningún otro número de puerto de destindestino separado no aporta ninguna ventaja adic

Timeout (Tiempo de espera)

20 segundos Dado que el tamaño de la cola es relativamente conexión procesadas por proxy), el valor predetetiempo razonable para mantener las peticiones dpara esta configuración.

Queue Size (Tamaño de la cola)

1000 conexiones semicompletas procesadas por

proxy

1000 peticiones de conexión semicompletas procel promedio de picos de nuevas peticiones de coNetScreen procesa por proxy hasta 1000 peticiondescartar nuevas peticiones. Procesar por proxyde nuevas peticiones de conexión proporciona unque puedan pasar las peticiones de conexión leg

* Las peticiones de conexión semicompletas son establecimientos de conexión en tres fases incompletostres fases es la fase inicial de una conexión TCP. Consiste en un segmento TCP con el flag SYN activaACK activados y una respuesta a ésta con el flag ACK activado. Para ver una descripción completa, consgeneral”.

Parámetros Valores Motivo para cada v


69

s y haga clic en OK :

posible)

lic en OK:

lic en OK:

lic en OK:



Zone Name: Untrust

Static IP: (seleccione esta opción cuando sea



Address Name: ws1



Zone: DMZ


Address Name: ws2



Zone: DMZ


Address Name: ws3



Zone: DMZ


70

lic en OK:

iente nombre de grupo, mueva

sladar la dirección de la “Group Members”.




haga clic en OK:

vers



Address Name: ws4



Zone: DMZ

Objects > Addresses > Groups > (para Zone: DMZ) New: Introduzca el sigulas siguientes direcciones y haga clic en OK:

Group Name: web_servers

Seleccione ws1 y utilice el botón << para tracolumna “Available Members” a la columna




3. DirectivaPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:

Address Book Entry: (seleccione), Any

Destination Address:

Address Book Entry: (seleccione), web_ser

Service: HTTP

Action: Permit


71

clic en Apply:

que lo haya establecido previamente


4. SCREENScreening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga

SYN Flood Protection: (seleccione)

Threshold: 625

Alarm Threshold: 250

Source Threshold: 25

Destination Threshold: 0

Timeout Value: 206

Queue Size: 1000

6. Al ser 20 segundos el ajuste predeterminado, no es necesario establecer el tiempo de espera en 20 segundos a menosen otro valor.


72

it

que lo haya establecido previamente


CLI

1. Interfacesset interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Direccionesset address dmz ws1 1.2.2.10/32set address dmz ws2 1.2.2.20/32set address dmz ws3 1.2.2.30/32set address dmz ws4 1.2.2.40/32

set group address dmz web_servers add ws1set group address dmz web_servers add ws2set group address dmz web_servers add ws3set group address dmz web_servers add ws4

3. Directivaset policy from untrust to dmz any web_servers HTTP perm

4. SCREENset zone untrust screen syn-flood attack-threshold 625set zone untrust screen syn-flood alarm-threshold 250set zone untrust screen syn-flood source-threshold 25set zone untrust screen syn-flood timeout 207

set zone untrust screen syn-flood queue-size 1000set zone untrust screen syn-floodsave

7. Al ser 20 segundos el ajuste predeterminado, no es necesario establecer el tiempo de espera en 20 segundos a menosen otro valor.


73

a su víctima con tantas imposible procesar el tráfico de tablecer un umbral que, al ser lor predeterminado del umbral ignora otras peticiones de eco

LAN protegida

deja pasar las peticiones ctiva lo permite.


Inundación ICMPUna inundación ICMP se produce cuando las peticiones de eco ICMP sobrecargan peticiones que ésta consume todos sus recursos en responder, hasta que le resulta red válido. Al habilitar la función de protección contra inundaciones ICMP, puede esexcedido, activa la función de protección contra ataques de inundación ICMP. (El vaes 1000 paquetes por segundo). Si se excede este umbral, el dispositivo NetScreenICMP durante el resto de ese segundo y también durante el segundo siguiente.

El atacante envía peticiones de eco ICMP con direcciones de origen simuladas.

Peticiones de eco ICMP procedentes de diversas direcciones IP simuladas

? Respuesta de eco

.

.

.

��

��

��

��

��

— Límite máximo de peticiones de eco ICMP por segundo —

Petición de eco

Una vez alcanzado el umbral de ICMP, el dispositivo NetScreen rechaza las peticiones de eco ICMP subsiguientes de todas las direcciones de la misma zona de seguridad durante el resto del segundo actual y también durante el segundo siguiente.

Petición de eco ICMP legítima de una dirección en la misma zona de seguridad

Petición de eco

? Respuesta de eco

? Respuesta de eco

Petición de eco

Petición de eco

Petición de eco

El dispositivo NetScreen de eco sólo si alguna dire


74

uientes procedimientos, donde


ual debe activarse la protección

or segundo.


Para habilitar la protección contra inundaciones ICMP, ejecute cualquiera de los sigla zona especificada es aquélla en la que puede originarse una inundación:

WebUI


ICMP Flood Protection: (seleccione)

Threshold: (introduzca el valor a partir del ccontra inundaciones ICMP8)

CLI

set zone zone screen icmp-flood threshold numberset zone zone screen icmp-flood

8. La unidad de este valor se expresa en paquetes ICMP por segundo. El valor predeterminado es de 1000 paquetes p


75

cante envía paquetes IP que ulta imposible procesar las UDP, puede establecer un ión UDP. (El valor as UDP de uno o más

a los datagramas UDP te el segundo siguiente.

LAN protegida

a pasar los datagramas lo permite.

Servidor DNSIP: 1.2.2.5Puerto: 53

(UDP)


Inundación UDPDe forma parecida a una inundación ICMP, una inundación UDP ocurre cuando un atacontienen datagramas UDP con el propósito de ralentizar a la víctima hasta que le resconexiones válidas. Después de habilitar la función de protección contra inundacionesumbral que, al ser excedido, activa la función de protección contra ataques de inundacpredeterminado del umbral es 1000 paquetes por segundo). Si el número de datagramorígenes a un destino determinado supera este umbral, el dispositivo NetScreen ignorsubsiguientes dirigidos a ese destino durante el resto de ese segundo y también duran

El atacante envía datagramas UDP en paquetes IP con direcciones de origen simuladas.

Datagramas UDP dentro de los paquetes IP de una variedad de direcciones IP simuladas

.

.

.

��

��

��

��

— Límite máximo de datagramas UDP por segundo —

Datagrama UDP

Una vez alcanzado el umbral de inundación UDP, el dispositivo NetScreen rechaza los datagramas UDP subsiguientes de todas las direcciones de la misma zona de seguridad durante el resto del segundo actual y también durante el segundo siguiente.

Datagrama UDP legítimo desde una dirección de la misma zona de seguridad

Datagrama UDP

El dispositivo NetScreen dejUDP sólo si alguna directiva

Datagrama UDP

Datagrama UDP

Datagrama UDP

Los datagramas apuntan a un servidor DNS en 1.2.2.5:53.


76

entes procedimientos, donde la


ual debe activarse la protección

r segundo.


Para habilitar la protección contra inundaciones UDP, ejecute cualquiera de los siguizona especificada es aquélla en la que puede originarse una inundación:

WebUI


UDP Flood Protection: (seleccione)

Threshold: (introduzca el valor a partir del ccontra inundaciones UDP9)

CLI

set zone zone screen udp-flood threshold numberset zone zone screen udp-flood

9. La unidad de este valor se expresa en paquetes UDP por segundo. El valor predeterminado es de 1000 paquetes po


77

stre ocurre cuando un atacante dirección IP de destino y uete SYN-ACK, creando una Inundar un sistema con tales

íctima

Los recursos disponibles de la víctima

Las conexiones vacías están consumiendo los recursos de la víctima.

Todos los recursos están consumidos, lo cual impide las operaciones normales.


Ataque terrestre (“Land Attack”)Combinando un ataque SYN con la suplantación de direcciones IP, un ataque terreenvía paquetes SYN suplantados que contienen la dirección IP de la víctima como dirección IP de origen. El sistema receptor responde enviándose a sí mismo el paqconexión vacía que perdura hasta que caduca el tiempo de espera por inactividad. conexiones vacías puede saturarlo y provocar la denegación de servicio (“DoS”).

Origen

1.2.2.5 1.2.2.5

Destino

Datos

Atacante V

Origen

1.2.2.5 1.2.2.5

Destino

Datos

Origen

1.2.2.5 1.2.2.5

Destino

Datos

Tanto la dirección de origen como la de destino son las de la víctima. La dirección de origen que aparece en el encabezado IP es simulada, mientras que la dirección de origen verdadera permanece oculta.

La víctima crea conexiones vacías consigo misma.


78

vo NetScreen combina ntación de direcciones IP para

entes procedimientos, donde la

d Attack Protection y haga


Cuando se habilita la opción SCREEN para bloquear ataques terrestres, el dispositielementos de la defensa contra inundaciones SYN y de la protección contra la supladetectar y bloquear cualquier intento de esta naturaleza.

Para habilitar la protección contra ataques terrestres, ejecute cualquiera de los siguizona especificada es aquélla en la que se origina el ataque:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Lanclic en Apply.

CLI

set zone zone screen land

Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques de DoS específicos de cada sistema operativo

79

de un host activo, sino también e attacks”), puede atacar de sección pueden inutilizar un ptibles a estos ataques, puede de que alcancen su destino.

cabezado del paquete, que pseudoencabezado de 8 de eco ICMP es de 65.507

ecificar un tamaño del paquete r una variedad de reacciones bloqueos y reinicios.

echaza esos paquetes del paquete fragmentándolo

otocol”.

.org/sploits/ping-o-death.html.


ATAQUES DE DOS ESPECÍFICOS DE CADA SISTEMA OPERATIVOSi un atacante identifica no sólo la dirección IP y los números de puerto accesibles su sistema operativo (OS), en lugar de utilizar “ataques de fuerza bruta” (“brute-forcforma más sutil “liquidando” uno o dos paquetes. Los ataques presentados en esta sistema con un esfuerzo mínimo. Si su dispositivo NetScreen protege a hosts suscehabilitar el dispositivo NetScreen para detectar dichos ataques y bloquearlos antes

“Ping of Death”El tamaño máximo admisible de un paquete IP es de 65.535 bytes, incluyendo el enhabitualmente mide 20 bytes10. Una petición de eco ICMP es un paquete IP con un bytes11. Por lo tanto, el tamaño máximo admisible del área de datos de una peticiónbytes (65.535 - 20 - 8 = 65.507).

Sin embargo, muchas implementaciones del comando ping permiten al usuario espsuperior a 65.507 bytes. Un paquete ICMP sobredimensionado puede desencadenaadversas por parte del sistema, como la denegación del servicio (DoS), “cuelgues”,

Habilitando la opción SCREEN “Ping of Death”, el dispositivo NetScreen detecta y rsobredimensionados e irregulares incluso cuando el atacante oculta el tamaño totalintencionalmente.

10. Para obtener información sobre las especificaciones del protocolo IP, consulte RFC 791, “Internet Protocol”.

11. Para obtener más información sobre las especificaciones de ICMP, consulte RFC 792, “Internet Control Message Pr

Nota: Para obtener información sobre “Ping of Death”, consulte http://www.insecure

http://www.insecure.org/sploits/ping-o-death.html


80

s siguientes procedimientos,

g of Death Attack Protection

tes prescrito de en ptor puede


Para habilitar la protección contra ataques “Ping of Death”, ejecute cualquiera de lodonde la zona especificada es aquélla en la que se origina el ataque:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Piny haga clic en Apply .

CLI

set zone zone screen ping-death

Encabezado IP Encabezado ICMP Datos ICMP

20 bytes 8 bytes 65.510 bytes

El tamaño de este paquete es de 65.538 bytes. Excede el límite de 65.535 byen la RFC 791, “Internet Protocol”. Durante la transmisión, el paquete se divinumerosos fragmentos. Durante el proceso de reensamblaje, el sistema recequedarse “colgado”.

Original, paquete no fragmentado


81

ntados. En el encabezado IP, cial, o “desplazamiento”, de los original sin fragmentar.

tado” es distinta a la del ensamblarlos puede colgarse, rabilidad.

encabezado 20 bytes

es)

tScreen comprueba si existen n el campo de desplazamiento


Ataque “Teardrop”Los ataques “Teardrop” explotan la función de reensamblaje de paquetes IP fragmeuno de los campos es el de desplazamiento del fragmento, que indica la posición inidatos contenidos en un paquete fragmentado con respecto a los datos del paquete

Cuando la suma de “tamaño de desplazamiento” + “tamaño de un paquete fragmensiguiente paquete fragmentado, los paquetes se solapan y el servidor que intenta reespecialmente si está ejecutando un sistema operativo antiguo que tenga esta vulne

Versión

Suma de comprobación del



Carga (datos)

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paquete (en byt

x D M Desplazamiento del fragmento

Tiempo de vida(“Time to Live” o “TTL”) Protocolo

El dispositivo Nediscrepancias edel fragmento.


82

NetScreen detecte esta


rdrop Attack Protection y

gundo fragmento pretende nzar 20 bytes antes (en 800) del el primer fragmento (en 820). El azamiento del fragmento nº 2 no erda con la longitud del paquete

agmento nº 1. Esta discrepancia e hacer que algunos sistemas se uen al intentar el reensamblaje.


Una vez habilitada la opción SCREEN “Teardrop Attack”, siempre que el dispositivodiscrepancia en un paquete fragmentado, lo descartará.

Para habilitar la protección contra ataques “Teardrop”, ejecute cualquiera de los sigla zona especificada es aquélla en la que se origina el ataque:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Teahaga clic en Apply .

CLI

set zone zone screen tear-drop

20 bytes

El secomefinal ddesplconcudel frpuedcuelg

Paquete fragmentado nº 11 Encabezado IP Datos

800 bytes

20 bytes

Paquete fragmentado nº 2 Encabezado IP Datos

600 bytes

Desplazamiento (“offset”) = 0Longitud = 820Más fragmentos = 1

Desplazamiento (“offset”) = 800Longitud = 620Más fragmentos = 0

Discrepancia entre fragmentos


83

ipo conectado a Internet que NetBIOS con el flag “URG” nto de fragmentos NetBIOS, tacado, aparece el siguiente

ada se realizó desde almente.

guardada en los

39

a

s el 139.


WinNukeWinNuke es un ataque de denegación de servicio (“DoS”) que se dirige a cualquier equejecute Windows. El atacante envía un segmento TCP, normalmente al puerto 139 de (urgente) activado, a un host con una conexión establecida. Esto induce un solapamieque en muchos equipos Windows provoca la caída del sistema. Al reiniciar el equipo amensaje para indicar que se ha producido un ataque:

Excepción OE en 0028:[dirección] en el VxD MSTCP(01) + 000041AE. La llam0028:[dirección] en el VxD NDIS(01) + 00008660. Quizás pueda continuar norm

Presione cualquier tecla para continuar.

Presione CTRL+ALT+SUPR para reiniciar el equipo. Perderá la información noprogramas.

Presione cualquier tecla para continuar.

Número del puerto de origen Puerto de destino: 1

Número correlativo

Número de reconocimiento

U R G

A C K

P S H

R S T

Suma de comprobación de TCP Indicador “Urgente”

Tamaño de la ventanTamaño del encabezado

Reservado


Datos (si los hay)

S Y N

F I N

Encabezado TCP

El flag URG está activado.

El puerto de destino eIndicadores de un ataque WinNuke


84

o NetScreen analiza cualquier dispositivo NetScreen detecta dicador URG, reenvía el a bloqueado un intento de


Nuke Attack Protection y


Con la opción SCREEN de defensa contra ataques WinNuke habilitada, el dispositivpaquete entrante del servicio de sesiones de Microsoft NetBIOS (puerto 139). Si el que el flag URG está activado en alguno de esos paquetes, lo desactiva, borra el inpaquete modificado y genera una entrada en el registro de eventos indicando que hataque WinNuke.

Para habilitar la protección contra ataques “WinNuke”, ejecute cualquiera de los sigla zona especificada es aquélla en la que se origina el ataque:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Winhaga clic en Apply .

CLI

set zone zone screen winnuke

4

85

Capítulo 4

de funciones de ScreenOS y de

ción SCREEN de protección entos permite que el dispositivo os.

n para obtener una clave de irus interna. También puede analizadores antivirus externos trado de URL, puede configurar se.

reensamblar paquetes y otros dispositivos para realizar ones:


Supervisión y filtrado de contenidos

NetScreen proporciona amplia protección y control de la actividad de red por medio la combinación de NetScreen con productos Websense y Trend Micro.

NetScreen ofrece ciertas funciones de supervisión y filtrado de contenidos con la opcontra URL maliciosas de ScreenOS. Además, la función de reensamblaje de fragmNetScreen detecte las URL incluso entre segmentos TCP y paquetes IP fragmentad

Para la protección antivirus (AV), puede elegir algunos de los dispositivos NetScreelicencia avanzada y una clave de licencia AV, y utilizar la función de detección de vconfigurar los dispositivos NetScreen para que se combinen con un máximo de tresde Trend Micro (una vez adquiridas y cargadas las dos claves de licencia). Para el filun dispositivo NetScreen para que se combine con uno o varios servidores Websen

En este capítulo se estudia cómo se ha de configurar el dispositivo NetScreen parasegmentos, supervisar el tráfico HTTP en busca de URL maliciosas e interactuar conel análisis antivirus y el filtrado de URL. El capítulo se divide en las siguientes secci

• “Reensamblaje de fragmentos” en la página 86

– “Protección contra URL maliciosas” en la página 86

– “Puerta de enlace en la capa de aplicación” en la página 87

• “Análisis antivirus” en la página 91

– “Análisis AV interno” en la página 92

– “Análisis AV externo” en la página 107

• “Filtrado de URL” en la página 131

Capítulo 4 Supervisión y filtrado de contenidos Reensamblaje de fragmentos

86

s, no reensamblan los es responsabilidad del host de tizar un tráfico eficaz, poniendo ltan innecesarios e ineficaces. o seguro. El atacante puede ltantes crucen el cortafuegos

a, el dispositivo NetScreen jorar su capacidad de as porciones de datos de los

ulo (consulte “Filtrado de URL” por zona, cada uno con una ivel de zonas. Si la función de ga de datos de todos los a un número determinado de queará el paquete, impidiendo

ue se puede bloquear, puede able durante la inspección. Por mentar en las siguientes


REENSAMBLAJE DE FRAGMENTOSNormalmente, los dispositivos de reenvío por red, como conmutadores o enrutadorepaquetes fragmentados que reciben. El reensamblaje de los paquetes fragmentadosdestino una vez los recibe. Como el objetivo de los dispositivos de reenvío es garanen cola los paquetes fragmentados, su reensamblaje, fragmentación y reenvío resuSin embargo, el paso de paquetes fragmentados a través de un cortafuegos es pocromper intencionadamente los paquetes y hacer así que las cadenas de tráfico resusin que se las detecte y bloquee.

ScreenOS permite habilitar por zonas el reensamblaje de fragmentos. De esta formpuede ampliar su habilidad de detectar y bloquear cadenas de URL maliciosas y meproporcionar una puerta de enlace en la capa de aplicación (ALG) para comprobar lpaquetes.

Protección contra URL maliciosasAdemás de la función de filtrado de URL que se explica más adelante en este capíten la página 131), es posible definir hasta 48 patrones de cadenas URL maliciosas longitud máxima de 64 caracteres, para la protección contra URL maliciosas en el nbloqueo de URL maliciosas está habilitada, el dispositivo NetScreen examina la carpaquetes HTTP. Si localiza una URL y detecta que el comienzo de su cadena (hastcaracteres) coincide con uno de los patrones definidos, el dispositivo NetScreen bloque traspase la puerta de enlace.

Cualquier atacante con recursos, al darse cuenta de que la cadena es conocida y qfragmentar los paquetes IP o los segmentos TCP para que el patrón no sea identificejemplo, si la cadena URL maliciosa es 120.3.4.5/level/50/exec , ésta se podría fragsecciones:

• Primer paquete: 120.

• Segundo paquete: 3.4.5/level/50

• Tercer paquete: /exec


87

en sin ser detectadas, aunque eres. La cadena del primer que los 20 caracteres definidos inicio del patrón definido, por lo

na cadena que el dispositivo gmentos, el dispositivo ompleto y, finalmente, analizar

reensamblaje y la posterior

te e indica el evento en el

, hay impuesto un límite

quete reensamblado es a los fragmentos.ecesario fragmentarla, reenvía

n Layer Gateway”) para una mblaje de fragmentos puede

vicios FTP y HTTP. La como FTP-Get y FTP-Put hace carga. Por ejemplo, puede las zonas DMZ y otra que


Individualmente, las cadenas fragmentadas pueden atravesar el dispositivo NetScrese haya definido una cadena 120.3.4.5/level/50/exec con una longitud de 20 caractpaquete (“120.”) coincide con la primera parte del patrón definido, pero es más cortapara la longitud. Las cadenas del segundo y del tercer paquete no coinciden con el que también podrán pasar sin problemas.

No obstante, al reensamblar los paquetes, los fragmentos se combinan formando uNetScreen puede identificar y bloquear. Gracias a la función de reensamblaje de fraNetScreen puede colocar los fragmentos en cola, reensamblar con ellos el paquete cel paquete en busca de código malicioso. Según los resultados de este proceso de inspección, el dispositivo NetScreen lleva a cabo uno de los siguientes pasos:

• Si el dispositivo NetScreen descubre una URL maliciosa, descarta el paqueregistro.

• Si el dispositivo NetScreen no puede completar el proceso de reensamblajetemporal tras el cual los fragmentos expiran y se descartan.

• Si el dispositivo NetScreen determina que la URL no es maliciosa pero el pademasiado grande para reenviarlo, vuelve a fragmentar el paquete y reenví

• Si el dispositivo NetScreen determina que la URL no es maliciosa y no es nel paquete directamente.

Puerta de enlace en la capa de aplicaciónNetScreen ofrece una puerta de enlace en la capa de aplicación (ALG o “Applicatioserie de protocolos, como DNS, FTP, H.323 o HTTP. En estos protocolos, el reensaser un componente importante a la hora de reforzar las directivas relativas a los sercapacidad de la puerta de enlace NetScreen para analizar paquetes para protocolosnecesario examinar no sólo el encabezado del paquete sino también los datos de lahaber dos directivas, una que deniegue FTP-Put procedente de las zonas Untrust apermita FTP-Get desde las zonas Untrust a las zonas DMZ.

set policy from untrust to dmz any any ftp-put denyset policy from untrust to dmz any any ftp-get permit


88

a del paquete. Si el contenido (“RETRieve”) el archivo paquete. Si el dispositivo enar (“STORe”) el archivo

paquete FTP-put en dos paquete 1: ST ; paquete 2: OR idual, no encuentra la cadena

que el dispositivo NetScreen l dispositivo NetScreen coloca aliza el paquete en busca de la posterior inspección, el

ete e indica el evento en el

, hay impuesto un límite

reensamblado es demasiado ntos.

o fragmentarla, reenvía el


Para distinguir los dos tipos de tráfico, el cortafuegos de NetScreen examina la carges RETR filename, el cliente FTP ha enviado una petición para obtener o recuperarespecificado desde el servidor FTP y el dispositivo NetScreen permitirá el paso del NetScreen encuentra STOR filename, el cliente ha enviado una petición para almacespecificado en el servidor y el dispositivo NetScreen bloqueará el paquete.

Para burlar este tipo de defensa, un atacante puede fragmentar deliberadamente unpaquetes que contengan el siguiente texto en las cargas de datos correspondientes:filename. Cuando el dispositivo NetScreen inspecciona cada paquete de forma indivSTOR filename, por lo que permite el paso de ambos paquetes.

No obstante, al reensamblarlos, los fragmentos se combinan formando una cadenapuede identificar y bloquear. Gracias a la función de reensamblaje de fragmentos, elos fragmentos en cola, reconstruye con ellos el paquete completo y, finalmente, anpetición FTP completa. Según los resultados de este proceso de reensamblaje y la dispositivo NetScreen lleva a cabo uno de los siguientes pasos:

• Si el dispositivo NetScreen descubre una petición FTP-put, descarta el paquregistro.

• Si el dispositivo NetScreen no puede completar el proceso de reensamblajetemporal tras el cual los fragmentos caducan y se descartan.

• Si el dispositivo NetScreen descubre una petición FTP-get pero el paquete grande para reenviarlo, vuelve a fragmentar el paquete y reenvía los fragme

• Si el dispositivo NetScreen descubre una petición FTP-get y no es necesaripaquete directamente.


89

pción de bloqueo de URL

arecer en la URL, comenzando e en las URL primera y tercera,

lleguen a una interfaz de zona

ga clic en OK:


Ejemplo: Bloqueo de URL maliciosas fragmentadasEn este ejemplo, definiremos tres cadenas de URL maliciosas y habilitaremos la omaliciosa:

• Primera URL maliciosa

– ID: Perl– Patrón: scripts/perl.exe– Longitud: 14

• Segunda URL maliciosa

– ID: CMF– Patrón: cgi-bin/phf– Longitud: 11

• Tercera URL maliciosa

– ID: DLL– Patrón: 210.1.1.5/msadcs.dll– Longitud: 18

Los valores de “longitud” indican el número de caracteres del patrón que deben appor el primer carácter, para que la coincidencia se considere correcta. Observe quno es necesario que coincidan todos los caracteres.

A continuación, habilite el reensamblaje de fragmentos para detectar las URL que Untrust en el tráfico de HTTP.

WebUI

Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y ha

ID: perl

Pattern: /scripts/perl.exe

Length: 14


90

a clic en OK:

a clic en OK:

/TCP Reassembly for ALG y,

14

l” 18


Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y hag

ID: cmf

Pattern: cgi-bin/phf

Length: 11

Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y hag

ID: dll

Pattern: 210.1.1.5/msadcs.dll

Length: 18

Screening > Mal-URL (Zone: Untrust): Seleccione la casilla de verificación IPa continuación, haga clic en OK.

CLI

set zone untrust screen mal-url perl “scripts/perl.exe” set zone untrust screen mal-url cmf “cgi-bin/phf” 11set zone untrust screen mal-url dll “210.1.1.5/msadcs.dlset zone untrust screen reassembly-for-algsave

Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus

91

permite reproducirse. Algunos un problema simplemente host infectado con cantidades

os soluciones antivirus:

NetScreen como parte de implifica la distribución y la oficinas, puntos de venta función de análisis AV interno,

al dispositivo NetScreen que e admita uno o varios

zar con un analizador AV, pero un máximo de tres) para función de análisis AV externo,


ANÁLISIS ANTIVIRUSUn virus es un código ejecutable que infecta o adjunta otro código ejecutable que levirus son maliciosos, borrando archivos o bloqueando sistemas. Otros representan porque infectan otros archivos, puesto que al propagarse pueden saturar la red o elexcesivas de datos superfluos.

En combinación con la tecnología antivirus (AV) de Trend Micro, NetScreen ofrece d

• Análisis AV interno

• Análisis AV externo

En el análisis AV interno, el analizador AV se encuentra integrado en el dispositivo ScreenOS. La utilización de un dispositivo NetScreen que admita antivirus interno sgestión. Se trata de una opción muy rentable para ubicaciones remotas, pequeñas minoristas o lugares de teletrabajo. Para más información sobre cómo configurar la consulte “Análisis AV interno” en la página 92.

En el caso del análisis AV externo, el analizador AV es un dispositivo independientereenvía el tráfico que hay que analizar. La utilización de un dispositivo NetScreen quanalizadores AV externos representa una opción flexible y ampliable. Puede comensi se amplía la red que se desea proteger, puede agregar más analizadores (hasta procesar mayores cargas de tráfico. Para más información sobre cómo configurar laconsulte “Análisis AV externo” en la página 107.


92

specíficas de la capa de oder utilizar el analizador AV ncia al analizador AV interno en

distintos protocolos, incluyendo (Post Office Protocol, versión P o POP3, el analizador AV permite identificar las firmas de scarta el contenido y envía un

tecta ningún virus, el dispositivo


Análisis AV internoCiertos dispositivos NetScreen ofrecen análisis antivirus (AV) para transacciones eaplicación utilizando un analizador AV interno desarrollado por Trend Micro. Para pinterno y analizar el tráfico de red en busca de virus, es necesario incluir una referela directiva de seguridad.

Es posible configurar el analizador AV interno para examinar el tráfico de red segúnSMTP (Simple Mail Transfer Protocol), HTTP (Hypertext Transfer Protocol) y POP33). Tras comprobar que ha recibido el contenido completo del paquete SMTP, HTTexamina los datos en busca de virus. Esto lo hace según un archivo de firmas que virus. Cuando el analizador AV interno detecta un virus, el dispositivo NetScreen demensaje al cliente indicando que el contenido está infectado. Si el analizador no deNetScreen reenvía el contenido al destino correspondiente.


93

n cliente SMTP local al

a Trust

de cal

te SMTP

ensaje de correo electrónico a un

rcepta el mensaje y transmite los , que los examina en busca de virus.

, el dispositivo NetScreen sigue uno

mensaje al servidor local. de un virus, envía un mensaje

al cliente.


Para el análisis de tráfico SMTP, el dispositivo NetScreen redirige el tráfico desde uanalizador AV interno antes de enviarlo al servidor de correo local.

Zon

Servidorcorreo lo

A

C

Zona DMZAnálisis antivirus SMTP

Clien

B

Analizador AV interno

A. Un cliente SMTP envía un mservidor de correo local.

B. El dispositivo NetScreen intedatos al analizador AV interno

C. Una vez finalizado el análisisde estos pasos:• Si no hay virus, reenvía el • Si se descubre la presencia

informando de la infección

Zona UntrustInternet

Servidor de correo remoto

1. Un servidor de correo remoto reenvía un mensaje de correo electrónico por SMTP al servidor de correo local.

2. El dispositivo NetScreen intercepta el mensaje y transmite los datos al analizador AV interno, que los examina en busca de virus.

3. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno de estos pasos:• Si no hay virus, reenvía el mensaje al servidor local.• Si se descubre la presencia de un virus, envía un mensaje

informando de la infección al servidor remoto.

3

12


94

n servidor de correo local al

ona Trust

dor de o local

el servidor de

s al analizador

e estos pasos:

rmando de la

ente POP3


Para el análisis de tráfico POP3, el dispositivo NetScreen redirige el tráfico desde uanalizador AV interno antes de enviarlo al cliente POP3 local.

Z

Servicorre

C

A

Zona DMZ

A. El cliente POP3 descarga un mensaje de correo electrónico desdecorreo local.

B. El dispositivo NetScreen intercepta el mensaje y transmite los datoAV interno, que los examina en busca de virus.

C. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno d• Si no hay virus, reenvía el mensaje al cliente.• Si se descubre la presencia de un virus, envía un mensaje info

infección al cliente.

Análisis antivirus POP3

Cli

B


Zona Untrust

Internet


95

al cliente que realizó las a continuación, al cliente.

TP de un servidor web en as cargas, p. ej., cuando un ibe un mensaje en un servicio

Zona Trust

ClienteHTTP local

remoto. El

ansmite los datos irus.e estos pasos:

envía otro


Para el análisis de tráfico HTTP, antes de enviar las respuestas de un servidor webpeticiones HTTP, el dispositivo NetScreen envía las respuestas al analizador AV y,

Nota: El analizador AV interno examina las descargas HTTP; es decir, los datos HTrespuesta a las peticiones HTTP de un cliente. El analizador AV interno no analiza lcliente HTTP completa un cuestionario en un servidor web o cuando un cliente escrde correo ubicado en un servidor web.

Zona Untrust


Análisis antivirus HTTP

Servidor web

remoto

1

32

1. Un cliente HTTP local envía una petición HTTP a un servidor webdispositivo NetScreen permite la petición.

2. El dispositivo NetScreen intercepta la respuesta HTTP entrante y trHTTP a su analizador AV interno, que los examina en busca de v

3. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno d• Si no hay virus, reenvía el mensaje al cliente.• Si se descubre la presencia de un virus, descarta el mensaje y

informando de la infección al cliente.


96

n servidor web al cliente que puestas al analizador AV y, a

Zona Trust

ClienteHTTP local

ervidor web

nsmite los e virus.estos pasos:

ía otro


Para el análisis de tráfico de correo web HTTP, antes de enviar las respuestas de urealizó las peticiones de correo web HTTP, el dispositivo NetScreen redirige las rescontinuación, las envía al cliente.

Zona Untrust


Análisis antivirus de correo web HTTP

Servidor web

remoto

1

32

1. Un cliente HTTP local envía una petición de correo web HTTP a un sremoto. El dispositivo NetScreen permite la petición.

2. El dispositivo NetScreen intercepta la respuesta HTTP entrante y tradatos HTTP a su analizador AV interno, que los examina en busca d

3. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno de • Si no hay virus, reenvía el mensaje al cliente.• Si se descubre la presencia de un virus, descarta el mensaje y env

informando de la infección al cliente.


97

patrones) en el dispositivo r el dispositivo y adquirir una ón actual de la base de datos y e validez de la suscripción.

un archivo de firmas de virus , deberá registrar el dispositivo tinuar recibiendo

irus interno, debe registrar el er cargar el archivo de firmas

máximo de cuatro horas antes

s:

xterno que contiene el archivo er.ini.

nsulte “Registro y activación de

or de aciones

URL = http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini

2. Si la versión del archivo de firmas no está actualizada, el servidor de actualizaciones envía el archivo server.ini.


Habilitación del análisis AV internoEl análisis AV interno hace necesario cargar una base de datos de firmas de virus (NetScreen y actualizar el archivo de firmas periódicamente. Para ello, debe registrasuscripción para el servicio de firmas de virus. La suscripción permite cargar la versiactualizarla cada vez que se publiquen nuevas versiones mientras dure el periodo dExisten dos procesos distintos para iniciar el servicio de firmas de virus:

• Si adquiere un dispositivo NetScreen con funciones antivirus, puede cargardurante un breve periodo de tiempo desde la fecha de compra. No obstantey adquirir una suscripción para el servicio de firmas de virus para poder conactualizaciones.

• Si actualiza su dispositivo NetScreen actual para poder utilizar análisis antivdispositivo y adquirir una suscripción para el servicio de firmas antes de podinicial. Una vez finalizado el proceso de registro, deberá esperar durante unde iniciar la descarga del archivo de firmas.

A continuación se describe el proceso de actualización del archivo de firmas de viru

1. Desde el dispositivo NetScreen, especifique la dirección URL del servidor ede firmas para obtener un archivo de inicialización de servidor llamado serv

Nota: Para obtener más información sobre el servicio de firmas de virus, colos servicios de firma” en la página 2 -574.

ServidactualizDispositivo NetScreen

Internet

Archivo server.ini

1. Petición del archivo de inicialización al servidor

3. Transferencia del archivo server.ini

Archivo server.ini


98

del servidor, lo analiza para rsión y el tamaño del archivo,

utomáticamente el archivo

a que la suscripción para el ctualizará. Si la suscripción ha n mensaje indicando que la

con el servidor de archivos de

nte tres minutos. Este tiempo l finalizar la actualización del ar el nuevo archivo.

archivos as

s de virus


2. Una vez el dispositivo NetScreen ha descargado el archivo de inicializaciónobtener información sobre el archivo de firmas actualizado, incluyendo la veasí como la ubicación del servidor externo de archivos de firmas.

3. Si el archivo de firmas actual es obsoleto, el dispositivo NetScreen obtiene aactualizado del servidor externo de archivos de firmas.

4. Una vez el dispositivo NetScreen ha descargado el archivo de firmas, verificservicio aún sea válida. Si la suscripción es válida, el archivo de firmas se acaducado, la actualización del archivo de firmas se cancelará y aparecerá ususcripción ha caducado.

Nota: ScreenOS contiene un certificado CA para autenticar la comunicaciónfirmas.

Nota: El tiempo total estimado para completar la actualización es de aproximadamepuede variar según el tamaño del archivo de firmas y el tráfico existente en la red. Aarchivo de firmas, el dispositivo NetScreen reinicia el analizador AV para poder utiliz

Internet

Servidor de de firmDispositivo NetScreen

4. Solicitud del archivo de firmas

Archivo de firmas de virus

5. Transferencia del archivo de firmas de virus

Archivo de firma


99

firmasevos virus. Puede configurar el a cierto tiempo o

ivo de firmas automáticamente l servidor de actualizaciones se o.com/activeupdate/server.ini.

ga clic en OK:

tiveupdate/server.ini.

5 minutes (10~10080)

date.trendmicro.com/

tualizar el archivo de firmas de


Actualización automática o semiautomática del archivo de Las actualizaciones del archivo de firmas se agregan a medida que se propagan nudispositivo NetScreen para que actualice el archivo de firmas automáticamente cadsemiautomáticamente.

Ejemplo: Actualización automáticaEn este ejemplo, configuraremos el dispositivo NetScreen para que actualice el archcada 15 minutos. (El intervalo de actualización predeterminado es de 60 minutos). Eencuentra ubicado en la siguiente dirección URL: http://5gt-t.activeupdate.trendmicr

WebUI

Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha

Pattern Update Server: http://5gt-t.activeupdate.trendmicro.com/ac

Auto Pattern Update: (seleccione), Interval: 1

CLI

set av scan-mgr pattern-update-url http://5gt-t.activeupactiveupdate/server.ini interval 15

save

Nota: Cuando caduque la suscripción, el servidor de actualizaciones no permitirá acvirus.


100

mas se actualice de forma dirección URL:

ga clic en OK:

tiveupdate/server.ini.

e/server.ini

, HTTP (sólo correo web) y

o examine únicamente

TP. Los patrones de los


Ejemplo: Actualización semiautomáticaEn este ejemplo, configuraremos el dispositivo NetScreen para que el archivo de firsemiautomática. El servidor de actualizaciones se encuentra ubicado en la siguientehttp://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini.

WebUI


Pattern Update Server: http://5gt-t.activeupdate.trendmicro.com/ac

Update Now: (seleccione)

CLI

set av scan-mgr pattern-update-url http://5gt-t.activeupdate.trendmicro.com/activeupdat

exec av scan-mgr pattern-update

Configuración del procesamiento de contenidosDe forma predeterminada, el analizador AV interno examina el tráfico de tipo SMTPPOP3.

Puede cambiar el comportamiento predeterminado para que el analizador AV interndeterminado tráfico de red.

Nota: El analizador AV interno sólo examina patrones específicos de correo web HTservicio de correo de Yahoo!, Hotmail y AOL están predefinidos.


101

tráfico SMTP.

ga clic en OK:


Ejemplo: Análisis AV interno para SMTPEn este ejemplo configuraremos el analizador AV para que examine únicamente el

WebUI


Protocols to be scanned:

SMTP: (seleccione)

CLI

set av scan-mgr content smtp timeout 20save


102

tráfico SMTP y HTTP.

ga clic en OK:

)

los contenidosrimido. De forma plo, si el analizador recibe un dor los descomprimirá para prima hasta 20 archivos

ido “descomprimido” al mismo tiempo excede estos límites, el Por ejemplo, el analizador e nueve mensajes de 2 MB al mportamiento predeterminado


Ejemplo: Análisis AV interno para SMTP y HTTPEn este ejemplo configuraremos el analizador AV interno para que examine todo el

WebUI



SMTP: (seleccione)

HTTP: (seleccione); ALL HTTP: (seleccione

CLI

set av scan-mgr content smtp timeout 20set av scan-mgr content http timeout 20unset av http webmail enablesave

Configuración de la descompresión y el tamaño máximo deCuando recibe datos, el analizador AV interno descomprime cualquier archivo comppredeterminada descomprime hasta dos niveles de archivos comprimidos. Por ejemarchivo comprimido que incluye otro archivo adjunto también comprimido, el analizadetectar cualquier virus. Puede configurar el analizador AV interno para que descomcomprimidos unos dentro de otros.

El analizador AV interno examina un máximo de ocho mensajes y 16 MB de contentiempo. Si el número total de mensajes o el tamaño de los datos recibidos al mismoanalizador permitirá de forma predeterminada el paso del contenido sin examinarlo.recibe y examina cuatro mensajes de 4 MB simultáneamente. Si el analizador recibmismo tiempo, permitirá su paso sin examinar el contenido. Puede modificar este copara que el analizador AV interno descarte el tráfico en lugar de permitir su paso.


103

sta 10 archivos comprimidos ontenido si los archivos ontenidos es superior a 12 MB.

ga clic en OK:

4000~20000)

ceeds 4 files (1~8)


Ejemplo: Eliminación de archivos de gran tamañoEn este ejemplo configuraremos el analizador AV interno para que descomprima haunos dentro de otros. También configuraremos el analizador para que descarte el crecibidos simultáneamente son más de cuatro o el tamaño “descomprimido” de los c

WebUI


File decompression: 10 layers (1~4)

Drop: (seleccione) file if it exceeds 3000 KB (

Drop: (seleccione) file if the number of files ex

CLI

set av scan-mgr decompress-layer 10set av scan-mgr max-msgs 4set av scan-mgr max-content-size 3000set av scan-mgr max-content-size dropsave


104

referencia al analizador AV

afuegos, en la que (“mailsrv1”, 1.2.2.5) de la

y haga clic en Apply :

K:

y haga clic en OK :

y haga clic en OK :


Aplicación del análisis AV internoPara aplicar el análisis AV interno al tráfico de red SMTP, HTTP o POP3, debe hacerinterno predefinido en las directivas.

Ejemplo: Análisis AV interno (POP3)En este ejemplo haremos referencia al analizador AV interno en una directiva de cortpermitiremos el tráfico POP3 desde direcciones en la zona Trust al servidor de correozona DMZ. Todas las zonas se encuentran en el dominio de enrutamiento Trust-vr.

WebUI

1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos

Zone Name: Trust



Introduzca los siguientes datos y haga clic en O

Interface Mode: NAT

Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos

Zone Name: DMZ



Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos

Zone Name: Untrust




105

lic en OK:

ga clic en OK:


ga clic en OK:


2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: mailsrv1



Zone: DMZ

3. Análisis AV interno POP3Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha


POP3: (seleccione)

4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient





5. DirectivaPolicies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:



Address Book Entry: (seleccione), mailsrv1

Service: POP3


106

y haga clic en Return para ar a la página de configuración

ic en el botón << para mover el ilable AV Object Names” a la

t Names”.

gateway 1.1.1.250

scan-mgr


Action: Permit

> Advanced: Mueva los siguientes objetos AVconfigurar las opciones avanzadas y regresbásica:

Seleccione scan-mgr y haga clobjeto AV de la columna “Avacolumna “Attached AV Objec

CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Direcciónset address dmz mailsvr1 1.2.2.5/32

3. Análisis AV interno POP3set av-scan-mgr content pop3 timeout 20

4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3

5. Directivaset policy from trust to dmz any mailsvr1 pop3 permit avsave


107

irus (AV) externo desarrollado itivo NetScreen para reenviar el el dispositivo NetScreen y el .

o HTTP, examina los datos en dentificar las firmas de virus. Si a su estudio detallado y n. El dispositivo NetScreen

n una entrada en el registro de

s sistemas que admitan tanto

su comunicación con el producto de Trend Micro.


Análisis AV externoLa mayoría de los dispositivos NetScreen puede interactuar con un analizador antivpor Trend Micro llamado InterScan VirusWall Edition 3.6. Puede configurar el dispostráfico SMTP y HTTP al analizador VirusWall. El protocolo de comunicaciones entreanalizador VirusWall se conoce como Content Scanning Protocol (CSP), versión 1.5

Cuando el analizador VirusWall recibe el contenido completo de un paquete SMTP busca de virus. Dispone de una base de datos de patrones de virus que utiliza para iencuentra algo sospechoso, VirusWall pone en cuarentena los datos infectados pardevuelve el archivo SMTP o HTTP (sin los datos infectados) al dispositivo NetScreetransmite entonces el archivo al destinatario previsto.

Si VirusWall detecta un virus, tanto el dispositivo NetScreen como VirusWall realizaeventos identificando el virus detectado.

Nota: NetScreen no es compatible con antivirus para sistemas virtuales. En aquellosistemas virtuales como antivirus, el antivirus sólo estará disponible en el nivel raíz.

Nota: Para saber cómo se debe configurar InterScan VirusWall de Trend Micro paradispositivo NetScreen, así como para otras funciones, consulte la documentación de


108

esde un servidor de correo rvidor de correo local.

ía un mensaje de correo or de correo local.reen intercepta el mensaje y l analizador antivirus, que los e virus.l análisis (y, en caso

ificar o eliminar parte del infectado), el analizador l dispositivo NetScreen, que or de correo.


Para el análisis de tráfico SMTP, el dispositivo NetScreen puede redirigir el tráfico dremoto o cliente SMTP local al analizador antivirus VirusWall antes de enviarlo al se

Zona Untrust Zona Trust

Analizador antivirus(en la zona DMZ)

Servidor de correo local

3

A

B

C

1

2

Zona DMZ

A. El cliente SMTP envelectrónico al servid

B. El dispositivo NetSctransmite los datos aexamina en busca d

C. Una vez finalizado enecesario, tras modcontenido por estar devuelve los datos alos reenvía al servid

1. Un servidor de correo remoto reenvía un mensaje de correo electrónico al servidor de correo local.

2. El dispositivo NetScreen intercepta el mensaje y transmite los datos al analizador antivirus, que los examina en busca de virus.

3. Una vez finalizado el análisis (y, en caso necesario, tras modificar o eliminar parte del contenido por estar infectado), el analizador devuelve los datos al dispositivo NetScreen, que los reenvía al servidor de correo.

Análisis antivirus SMTP

Servidor de correo remoto Cliente SMTP


109

al cliente que realizó las ntivirus antes de reenviar el

de un servidor web en cargas, p. ej., cuando un cliente

ensaje en un servicio de

na Trust

Cliente HTTP local

web

nte y mina

ificar or s


Para el análisis de tráfico HTTP, antes de enviar las respuestas de un servidor webpeticiones HTTP, el dispositivo NetScreen redirige las respuestas a un analizador atráfico al cliente.

Nota: El analizador antivirus examina las descargas HTTP; es decir, los datos HTTPrespuesta a las peticiones HTTP de un cliente. El analizador antivirus no analiza las HTTP completa un cuestionario en un servidor web o cuando un cliente escribe un mcorreo ubicado en un servidor web.

Zona Untrust Zo

Analizador antivirus(en la zona Trust)

Análisis antivirus HTTP

Servidor web

remoto

1

32

1. Un cliente HTTP local envía una petición HTTP a un servidorremoto. El dispositivo NetScreen permite la petición.

2. El dispositivo NetScreen intercepta la respuesta HTTP entratransmite los datos HTTP al analizador antivirus, que los exaen busca de virus.

3. Una vez finalizado el análisis (y, en caso necesario, tras modo eliminar parte del contenido por estar infectado), el servidantivirus devuelve los datos al dispositivo NetScreen, que loreenvía al cliente.


110

n analizador antivirus externo. nda. Cuando se crea un objeto

) del analizador antivirus

considerará incompleto. Si se

que tiene un nombre (“scanner1”) o un tipo de contenido.

ue tiene un nombre, una HTTP).


Definición de objetos AVUn objeto antivirus (objeto AV) es el término que NetScreen utiliza para referirse a uEs posible definir hasta tres objetos AV para aumentar la capacidad de ancho de baAV, se deben definir los siguientes tres componentes:

• Nombre del objeto AV

• Dirección IP o nombre de dominio (convertido a una dirección IP por el DNS

• Tipo de contenido: HTTP, SMTP o ambos

Si sólo define uno o dos de los componentes anteriores, el estado del objeto AV se definen los tres componentes, se considerará completo. Por ejemplo:

set av scanner1 server-name 1.2.2.25 El objeto AV está incompleto pory una dirección (1.2.2.25), pero n

set av scanner1 server-name 1.2.2.25set av scanner1 content http

El objeto AV está completo porqdirección y un tipo de contenido (

ns208A_5.0.0_beta3-> get av scanner1<AV object scanner1>

scanner name: 1.2.2.25scanner ip: 1.2.2.25scanner port: 3300status: incompleteapplications: 0scanned bytes: 0policy ref cnt: 0

get av scanner1<AV object scanner1>

scanner name: 1.2.2.25scanner ip: 1.2.2.25scanner port: 3300HTTP: timeout 180 secondsstatus: completeapplications: 0scanned bytes: 0policy ref cnt: 0


111

tocolo CSP (Content nicación entre un dispositivo mero para un determinado

port number } port

inado (3300).

onexión CSP expira tras 180 minado. Se puede ajustar un

erdo (180 segundos).

, también es posible l:

mero máximo de conexiones grupo, no entre el dispositivo plataforma a otra. Consulte

cada plataforma específica.

er of TCP Connections” y, a


Hay ciertos parámetros opcionales que se pueden establecer para un objeto AV:

• Número de puerto: de forma predeterminada, el número de puerto que el proScanning Protocol, o protocolo de análisis de contenidos) utiliza para la comuNetScreen y Trend Micro InterScan VirusWall es 3300. Puede cambiar este núobjeto AV.

set av name_str server-name { ip_addr | domain_name }unset av name_str server-name { ip_addr | domain_name

El comando unset av restablece el número de puerto a su número predeterm

• Valor de tiempo de espera (en segundos): de forma predeterminada, una csegundos de inactividad. Este valor se puede cambiar para un objeto AV detervalor de entre 1 y 1800 segundos.

set av name_str content { http | smtp } timeout numberunset av name_str content { http | smtp } timeout numb

El comando unset av restablece el tiempo de espera a su valor predetermina

Además de estas opciones, que se pueden configurar para un objeto AV en particularestablecer los siguientes parámetros que se aplicarán a la función antivirus en genera

• Máximo número de conexiones TCP simultáneas: permite especificar el núTCP simultáneas entre el dispositivo NetScreen y todos los objetos AV como NetScreen y cada uno de los objetos AV. El valor predeterminado varía de unala documentación de marketing de NetScreen para obtener información sobre

WebUI

Screening > Antivirus: Indique un número en el campo “Maximum Numbcontinuación, haga clic en Apply.

CLI

set av all max-connections numberunset av all max-connections


112

s puede enviar r todos los recursos CSP a reenviar cualquier otro tráfico de imponer un porcentaje n de origen determinada. De ede cambiar a cualquier valor ntidad de recursos CSP que

Resources Allowed per AV

r ubicación de origen al valor

o que muestra el dispositivo ermitiendo el tráfico no creen no puede acceder al la comprobación antivirus

ar para que permita el tráfico.

Traffic Permit” para permitir el ón haga clic en Apply .


• Recursos CSP por ubicación de origen: un usuario con malas intencionesimultáneamente una gran cantidad de tráfico SMTP o HTTP para consumi(Content Scanning Protocol) y así impedir que el dispositivo NetScreen puedal analizador AV. Para evitar que esto suceda, el dispositivo NetScreen puemáximo de recursos CSP que puede consumir el tráfico desde una ubicacióforma predeterminada, el porcentaje máximo es del 70%. Este ajuste se puentre 1% y 100%. Si se ajusta el 100%, no habrá ninguna restricción a la capueda consumir el tráfico desde una ubicación determinada.

WebUIScreening > Antivirus: Indique un número en el campo “Maximum AV Client” y, a continuación, haga clic en Apply .

CLIset av all resources numberunset av all resources

El comando unset av restablece el porcentaje máximo de recursos CSP popredeterminado (70%).

• Comportamiento en modo de fallo: el modo de fallo es el comportamientNetScreen cuando pierde la conexión con el analizador VirusWall, ya sea panalizado o bloqueándolo. De forma predeterminada, si un dispositivo NetSanalizador VirusWall, bloquea el tráfico HTTP y SMTP que una directiva conhabilitada permitiría. Este comportamiento predeterminado se puede cambi

WebUIScreening > Antivirus: Seleccione la casilla de verificación “Fail Mode tráfico no analizado o anule la selección para bloquearlo. A continuaci

CLIset av all fail-mode traffic permitunset av all fail-mode traffic


113

alor predeterminado (bloquear

el número de intentos fallidos l umbral es 150 y se aplica a este umbral, el dispositivo ntes de volver a intentar redeterminado demasiado alto

nner Threshold” y, a

establecer la conexión con un oducir el siguiente comando:

tráfico SMTP o HTTP, el n el analizador AV. Si tiene s al analizador AV para su e fallo.


El comando unset av restablece el comportamiento en modo de fallo a su vel tráfico no analizado).

• Umbral de modo de fallo: el modo de fallo es el estado resultante cuandode conexión a un objeto AV excede un umbral. De forma predeterminada, etodos los objetos AV. Si el número de intentos fallidos consecutivos excedeNetScreen espera durante un intervalo definido de tiempo (cinco minutos) aestablecer la conexión. Es posible cambiar el umbral si considera el ajuste po demasiado bajo para sus necesidades.

WebUI

Screening > Antivirus: Indique un número en el campo “Fail Mode Scacontinuación, haga clic en Apply.

CLI

set av all fail-mode scanner threshold numberunset av all fail-mode scanner

Si después desea que el dispositivo NetScreen reanude sus esfuerzos paraobjeto AV en concreto antes de que termine el tiempo de espera, puede intr

clear av name_str fail-modeEste comando borra el estado de fallo, de forma que cuando vuelva a llegardispositivo NetScreen inmediatamente intentará establecer una conexión coéxito en su intento, el dispositivo NetScreen reanudará el reenvío de archivoanálisis. Si el intento de conexión no tiene éxito, el estado volverá al modo d


114

creen utiliza la opción de aso necesario, el dispositivo ” a “close”. En este método, do TCP FIN para cerrar la ispositivo NetScreen recibe un enar al analizador AV que

n para utilizar la opción de indicar el final de la transmisión dos los datos, ya sea enviando a de codificación. El método xión TCP permanezca abierta

a el rendimiento de la CPU. Sin omportamiento se puede

durante el análisis antivirus.

utilizar la opción de conexión ose”. A continuación, haga clic


• Método HTTP “keep-alive”: de forma predeterminada, el dispositivo NetSconexión HTTP “close” para indicar el final de la transmisión de datos. En cNetScreen cambiará el token del encabezado de la conexión de “keep-alivecuando el servidor HTTP completa la transmisión de datos, envía un comanconexión TCP y así indicar que ha finalizado el envío de datos. Cuando el dcomando TCP FIN, contiene todos los datos HTTP del servidor y puede ordcomience el análisis.

Puede cambiar el comportamiento predeterminado del dispositivo NetScreeconexión HTTP “keep-alive”, en la que no se envía comando TCP FIN para de datos. El servidor HTTP debe indicar de otra forma que se han enviado tola longitud de los contenidos en el encabezado HTTP o con alguna otra formque se utilice dependerá del tipo de servidor. Este método hace que la conemientras se realice el análisis antivirus, lo que disminuye la latencia y mejorembargo, no resulta tan seguro como el método de conexión “close”. Este cmodificar si detecta que las conexiones HTTP superan el tiempo de espera

WebUI

Screening > Antivirus: Seleccione la casilla de verificación para poder “keep-alive” o anule la selección para utilizar la opción de conexión “clen Apply.

CLI

set av http keep-aliveunset av http keep-alive


115

pecíficas de tráfico HTTP no ador rebase el tiempo de espera o NetScreen reenvía pequeñas e forma predeterminada, el goteo inados del goteo HTTP, siga uno

Default” y haga clic en Apply.

goteo si el tamaño de un archivo da megabyte enviado a analizar.

Apply:

: Indique number1.

ning: Indique number3.


• Goteo HTTP: como goteo HTTP se entiende el reenvío de cantidades esanalizado al cliente HTTP solicitante para evitar que la ventana del explormientas VirusWall examina los archivos HTTP descargados. El dispositivcantidades de datos antes de transferir un archivo analizado completo. DHTTP está inhabilitado. Para habilitarlo y utilizar los parámetros predetermde estos pasos:

WebUI

Screening > Antivirus: Seleccione la casilla de verificación “Trickling

CLI

set av http trickling default

Con los parámetros predeterminados, el dispositivo NetScreen emplea elHTTP supera 3 MB de tamaño. Reenviará 500 bytes de contenido por ca

Para cambiar los parámetros del goteo HTTP, siga uno de estos pasos:

WebUI

Screening > Antivirus: Introduzca los siguientes datos y haga clic en

Trickling:

Custom: (seleccione)

Minimum Length to Start Trickling

Trickle Size: Indique number2.

Trickle for Every MB Sent for Scan


116

ue comience el goteo

dispositivo NetScreen

ispositivo NetScreen aplicará el

> Antivirus: haga clic en g 0 0 0 . En cualquier caso, si el HTTP, es muy probable que la

ado)

aparecerán como un pequeño idades de datos a un cliente sin spositivo NetScreen ha enviado s archivos.


CLI

set av http trickling number1 number3 number2

Las tres variables numéricas tienen los siguientes significados:

– number1: tamaño mínimo (en megabytes) de un archivo HTTP para q

– number2: tamaño (en bytes) del tráfico no analizado que reenviará el

– number3: tamaño (en megabytes) de un bloqueo de tráfico al que el dgoteo

Puede inhabilitar el goteo HTTP por medio de la interfaz WebUI (ScreeningDisable en la sección Trickling) o con el comando CLI set av http tricklinarchivo que se va a descargar supera los 8 MB y se ha desactivado el goteoventana del explorador rebase el tiempo de espera.

Ejemplo: Definición de tres objetos AVEn este ejemplo definiremos los siguientes objetos AV:

• Objeto AV 1

– Name: scanner1

– IP address: 1.2.2.20

– Port number for Content Scanning Protocol (CSP): 3300 (predetermin

– Content: HTTP

– Timeout: 180 seconds (predeterminado)

Nota: Los datos sometidos al proceso de goteo en el disco duro del clientearchivo sin utilidad. Dado que el goteo funciona reenviando pequeñas cantanalizarlos, el código malicioso podría encontrarse entre los datos que el dial cliente por goteo. NetScreen recomienda a los usuarios que eliminen eso


117

e la dirección IP 1.2.2.1/24 y

K:


• Objeto AV 2

– Name: scanner2


– Port number for CSP: 6830

– Content: SMTP

– Timeout: 200 seconds

• Objeto AV 3

– Name: scanner3


– Port number for CSP: 6840

– Content: HTTP and SMTP

– HTTP Timeout: 120 seconds

– SMTP Timeout: 200 seconds

El dispositivo NetScreen accede a estas direcciones a través de ethernet2, que tienestá unida a la zona DMZ.

WebUI

1. Objeto AV 1Objects > Antivirus > New: Introduzca los siguientes datos y haga clic en O

AV Object Name: scanner1

Scan Server Name/IP: 1.2.2.20

Scan Server Port: 3300

Contents:

HTTP: (seleccione), Timeout: 180 Seconds


118

K:

K:






Contents:

SMTP: (seleccione), Timeout: 200 Seconds





Contents:



CLI

1. Objeto AV 1set av scanner1 server-name 1.2.2.20set av scanner1 content http

2. Objeto AV 2set av scanner2 server-name 1.2.2.30 port 6830set av scanner2 content smtp timeout 200


119
3. Objeto AV 3set av scanner3 server-name 1.2.2.40 port 6840set av scanner3 content http timeout 120set av scanner3 content smtp timeout 200save


120

para aplicar el análisis P, SMTP o ambos. Si hace

a el tráfico adecuado para

a definirá el orden en que el erencia en primer lugar será correo electrónico o una nga mayor prioridad. El

NetScreen enviará un Tiene una prioridad a directiva recibirá un tercer oridad.

ce referencia a ellos en una

av scanner1

scanner1 o scanner2 según

objetos AV según las

e


Aplicación del análisis AV externoUna vez creados uno o varios objetos AV, puede hacer referencia a ellos en directivasantivirus al tráfico HTTP y SMTP. Un objeto AV individual puede analizar el tráfico HTTreferencia a dos o tres objetos AV en la misma directiva, el dispositivo NetScreen envíanalizar los objetos en una secuencia que mantenga una carga equilibrada.

El orden en que haga referencia a los tres objetos AV en la configuración de la directivdispositivo NetScreen les enviará el tráfico HTTP y SMTP. El objeto AV al que haga refel objeto al que el dispositivo NetScreen envíe el primer archivo, como un mensaje de respuesta HTTP, para su análisis. En otras palabras, el primer objeto AV será el que teobjeto AV al que haga referencia en segundo lugar será el objeto al que el dispositivo segundo archivo si el primer objeto AV está analizando en ese momento otro archivo. intermedia. El objeto AV al que haga referencia en tercer lugar en la configuración de larchivo si los otros dos objetos AV están analizando otros archivos. Tiene la menor pri

Por ejemplo, si crea tres objetos AV llamados “scanner1”, “scanner2” y “scanner3” y hadirectiva siguiendo este orden:

set policy id 1 from trust to untrust any any http permit set policy id 1ns(policy:1)-> set av scanner2ns(policy:1)-> set av scanner3

el orden de envío de los archivos a cada analizador será éste:

1. El dispositivo NetScreen envía el primer archivo para el análisis a scanner1.

2. Si llega un segundo archivo para el análisis, el dispositivo NetScreen lo envía alas siguientes condiciones:

– scanner1 si se ha completado el análisis del primer archivo– scanner2 si scanner1 aún está analizando el primer archivo

3. Si llega un tercer archivos, el dispositivo NetScreen lo envía a uno de los tres siguientes condiciones:

– scanner1 si no está analizando ningún archivo– scanner2 si scanner1 está analizando un archivo pero scanner2 está libr– scanner3 si scanner1 y scanner2 están analizando archivos


121

ocupados analizando múltiples os, el dispositivo NetScreen archivos inferior a scanner2 y a er2 está analizando un número uiente archivo a scanner2. Si l dispositivo NetScreen enviará

nálisis antivirus de las st. El analizador antivirus

ara el tráfico HTTP entre las itir el tráfico CSP entre el

enrutamiento Trust-vr.

s y haga clic en Apply :

e)

OK:


e)


La secuencia anteriormente explicada continúa cuando todos los analizadores estánarchivos. Si todos los analizadores están ocupados con el mismo número de archivenviará el siguiente archivo a scanner1. Si scanner1 está analizando un número de scanner3, el dispositivo NetScreen enviará el siguiente archivo a scanner1. Si scannde archivos inferior a scanner1 y a scanner3, el dispositivo NetScreen enviará el sigscanner3 está analizando un número de archivos inferior a scanner1 y a scanner2, eel siguiente archivo a scanner3.

Ejemplo: Antivirus con un objeto AVEn este ejemplo crearemos un único objeto AV llamado “scanner1” para realizar el arespuestas HTTP desde servidores web en la zona Untrust a clientes en la zona Trutambién se encuentra en la zona Trust. Aunque habilite la comprobación antivirus pzonas Trust y Untrust, no es necesario disponer de una directiva adicional para permdispositivo NetScreen y scanner1. Todas las zonas se encuentran en el dominio de

WebUI

1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato

Zone Name: Trust



Introduzca los siguientes datos y haga clic en

Interface Mode: NAT


Zone Name: Untrust




122

datos y haga clic en OK:

ga clic en OK:

a clic en Return para a la página de configuración

tón << para mover el objeto Object Names” a la columna


2. Objeto AVObjects > Antivirus > New: Introduzca los siguientes datos y haga clic en OK:




Contents:


3. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguientes





4. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y ha

Source Address:




Service: HTTP

Action: Permit

> Advanced: Mueva el siguiente objeto AV y hagconfigurar las opciones avanzadas y regresar básica:

Seleccione scanner1 y utilice el boAV de la columna “Available AV “Attached AV Object Names”.


123

gateway 1.1.1.250

t av scanner1


CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Objeto AVset av scanner1 server-name 1.2.2.20set av scanner1 content http


4. ID de directiva 1set policy id 1 from trust to untrust any any http permisave


124

analizar tráfico HTTP y SMTP. ntre zonas Trust y Untrust, y el rreo en la zona DMZ. Para e las peticiones de análisis

TTP a los dos objetos AV. Las tos AV.

rust


Ejemplo: Antivirus con dos objetos AVEn este ejemplo definiremos dos objetos AV llamados “scanner1” y “scanner2” paraA continuación hará referencia a ellos en directivas que permitirán el tráfico HTTP etráfico SMTP desde direcciones de las zonas Untrust y Trust hacia el servidor de coequilibrar la carga de tráfico enviada a los dos objetos AV, configure la distribución dantivirus tal y como se indica a continuación:

• El dispositivo NetScreen redirige todas las respuestas de análisis antivirus Hdos directivas que permiten el tráfico HTTP hacen referencia a sendos obje

scanner1 scanner2

Zona DMZ

Zona Untrust

Internet

mailsvr1

Zona T

LAN

Objetos AV(analizadores

antivirus) en la zona Trust

1. Primera respuesta HTTP -> scanner1

2. Segunda respuesta HTTP -> scanner2 (si scanner1 no ha terminado de analizar la primera respuesta HTTP; si scanner1 está libre, el dispositivo NetScreen redirige la segunda respuesta HTTP a scanner1)

1

2


125

para todo el tráfico SMTP desde dor de correo local (llamado análisis antivirus a scanner2 para

para la comprobación antivirus tre el dispositivo NetScreen y los

ento Trust-vr.

tos y haga clic en Apply :

ible)

en OK:

na Trust

LAN

Desde la zona TrustTodo el tráfico SMTP -> scanner2


• El dispositivo NetScreen envía peticiones de análisis antivirus a scanner1el servidor de correo remoto (llamado “r-mail”) en la zona Untrust al servi“mailsvr1") en la zona DMZ. El dispositivo NetScreen envía peticiones de todo el tráfico SMTP desde la zona Trust.

Los dos objetos AV se encuentran en la zona Trust. Aunque habilite una directivadel tráfico, no es necesario configurar otra directiva para permitir el tráfico CSP enanalizadores antivirus. Todas las zonas se encuentran en el dominio de enrutami

WebUI

1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes da

Zone Name: Trust

Static IP: (seleccione esta opción si es pos


Introduzca los siguientes datos y haga clic

Interface Mode: NAT

Zona Untrust

servidor r-mail

Zona DMZmailsvr1

Zo

scanner1 scanner2

Objetos AV(analizadores

antivirus) en la zona Trust

Desde la zona UntrustTodo el tráfico SMTP -> scanner1


126

haga clic en OK :

haga clic en OK :



Zone Name: DMZ




Zone Name: Untrust



2. Objeto AV 1Objects > Antivirus > New: Introduzca los siguientes datos y haga clic en OK:




Contents:



3. Objeto AV 2Objects > Antivirus > New: Introduzca los siguientes datos y haga clic en OK:




Contents:




127

lic en OK:

lic en OK:


haga clic en OK:



Address Name: mailsrv1



Zone: DMZ


Address Name: r-mail



Zone: Untrust






6. ID de directiva 1Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:





128


l botón << para mover el objeto V Object Names” a la columna

.


.

haga clic en OK:



.


Service: HTTP

Action: Permit


Seleccione scanner1 y utilice eAV de la columna “Available A“Attached AV Object Names”


7. ID de directiva 2Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:

Address Book Entry: (seleccione), r-mail



Service: MAIL

Action: Permit




129

ga clic en OK:



.


8. ID de directiva 3Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:




Service: MAIL

Action: Permit



CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Objeto AV 1set av scanner1 server-name 10.1.1.20set av scanner1 content httpset av scanner1 content smtp


130

gateway 1.1.1.250

permit av scanner1

permit av scanner1

it av scanner2


3. Objeto AV 2set av scanner1 server-name 10.1.1.30set av scanner1 content httpset av scanner1 content smtp

4. Direccionesset address dmz mailsvr1 1.2.2.6/32set address untrust r-mail 2.2.2.5/32


6. ID de directiva 1ns-> set policy id 1 from trust to untrust any any http ns-> set policy id 1ns(policy:1)-> set av scanner2ns(policy:1)-> exitns->

7. ID de directiva 2set policy id 2 from untrust to dmz r-mail mailsvr1 mail

8. ID de directiva 3set policy id 3 from trust to dmz any mailsvr1 mail permsave

Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL

131

mite bloquear o permitir el P. Con la API de Websense conectarse directamente a

e cuando un host en la zona bargo, el filtrado de URL

Servidor HTTP


FILTRADO DE URLNetScreen admite el filtrado de URL mediante “Websense Enterprise Engine”, que peracceso a diferentes sitios basándose en sus URLs, nombres de dominio y direcciones Iincorporada directamente en el cortafuegos NetScreen, el dispositivo NetScreen puedeun servidor de filtrado de URL Websense.

La siguiente ilustración muestra la secuencia básica de acontecimientos que se producTrust intenta establecer una conexión HTTP con un servidor en la zona Untrust. Sin emdetermina que la URL está prohibida.

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��Establecimiento de comunicación TCP de 3 fases

Petición HTTP-Get

Petición de filtrado de URL

Respuesta de filtrado de URL: “block (bloquear)”

Mensaje de URL

bloqueada

El dispositivo NetScreen intercepta y almacena en búfer la petición HTTP GET. A continuación envía la URL solicitada al servidor de filtrado de URL. El servidor de filtrado de URL responde con un mensaje de bloqueo.

TCP RST

El dispositivo NetScreen descarta el paquete HTTP y cierra la conexión, enviado un mensaje TCP RST a las direcciones de origen y destino. También envía a la dirección de origen un mensaje de URL bloqueada.

ACKSYN/ACK

SYN

RST RST

HTTP GET

BLCK URL

2

3 4

5

1

Zona Trust Zona Untrust

Cliente HTTP

set policy from trust to untrust any any http permit url-filter

Servidor de filtrado de URL (en la zona Trust)

URL bloqueada


132

cimientos en el intento de

K

T

ust

Servidor HTTP

T

T

T


Si el servidor de filtrado de URL permite el acceso a la URL, la secuencia de aconteconexión HTTP será tal y como se indica a continuación:

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

Establecimiento de comunicación TCP de 3 fases

Petición HTTP-Get

Petición de filtrado de URL

Respuesta de filtrado de URL: “permit (permitir)”

Reenvío de la petición HTTP

GET

El dispositivo NetScreen intercepta y almacena en búfer la petición HTTP GET. A continuación envía la URL solicitada al servidor de filtrado de URL. El servidor de filtrado de URL responde con un mensaje de permiso.

ACKSYN/AC

SYN

HTTP GE

HTTP GET2

3 4

5

1

Zona Trust Zona Untr

Cliente HTTP

set policy from trust to untrust any any http permit url-filter

URL permitida

El dispositivo NetScreen reenvía el paquete HTTP almacenado en búfer a la dirección de destino. También permite el paso de otras peticiones HTTP GET en la misma sesión sin realizar más filtrados de URL.

6Otras peticiones HTTP GET sin

filtrado URL

HTTP PU

HTTP GETHTTP PU

HTTP GETHTTP PU

Servidor de filtrado de URL (en la zona Trust)

HTTP GET


133

o a ciertos sitios seleccionados

das

e filtrado de URL distintos: un itado de sistemas virtuales, y tuales. Un administrador del el nivel de sistemas virtuales

o sistema virtual, siempre que inistrador del nivel vsys utiliza

stes de filtrado de URL de nivel

los siguientes pasos:

RL.

njunto de parámetros se puede iltrado de URL con el sistema de su propio servidor de filtrado

m.


Si utiliza Websense, el administrador puede hacer lo siguiente:

• Alterar la base de datos de filtrado de URL para bloquear o permitir el acces

• Programar distintos perfiles de filtrado de URL a distintas horas del día

• Descargar registros de Websense Reporter de las URL bloqueadas o visita

Los dispositivos NetScreen con sistemas virtuales admiten hasta ocho servidores dservidor reservado para el sistema raíz, que se puede compartir con un número ilimsiete servidores de filtrado de URL para el uso privado por parte de los sistemas virnivel raíz puede configurar el módulo de filtrado de URL en el nivel de sistema raíz y(vsys). Un administrador del nivel vsys puede configurar el módulo URL de su propidicho sistema disponga de su propio servidor de filtrado de URL dedicado. Si el admlos ajustes del servidor raíz de filtrado de URL, podrá ver (pero no modificar) los ajuraíz.

Para configurar un dispositivo NetScreen para el filtrado de URL, debe llevar a cabo

1. Establezca la comunicación con un máximo de ocho servidores de filtrado U

2. Defina ciertos parámetros de comportamiento en el nivel de sistema. Un coaplicar al sistema raíz y a cualquier vsys que comparta la configuración de fraíz. Otros conjuntos se pueden aplicar a sistemas virtuales que dispongan de URL dedicado.

3. Active el filtrado de URL a los niveles raíz y vsys.

4. Habilite el filtrado de URL en directivas individuales.

A continuación se detallan estos pasos.

Nota: Si desea obtener más información sobre Websense, visite www.websense.co


134

tros de comportamiento del tes en el sistema raíz, también

trado de URL con el sistema filtrado de URL dedicado, el

separado para ese vsys.

las comunicaciones de

n IP o nombre de dominio e.

redeterminado de Websense se también deberá cambiarlo ntación de Websense.

l el dispositivo NetScreen inicia as envía a través de un túnel faz de salida, que es la interfaz ce a la zona Trust. Sin ico servidor de filtrado de URL, sitivo NetScreen local que l servidor se encuentra en una través de los túneles.

intervalo de tiempo en ta del servidor de filtrado pecificado, el dispositivo

o (consulte más adelante).

t_num

tes de la página Screening >


1. Comunicaciones de dispositivo a dispositivoEn primer lugar debe definir los ajustes del servidor Websense y los parámedispositivo NetScreen en relación con el filtrado URL. Si configura estos ajusse aplicarán a cualquier sistema virtual que comparta la configuración de filraíz. En el caso de un sistema virtual que disponga de su propio servidor deadministrador raíz o el administrador vsys deberá configurar los ajustes por

Los ajustes de filtrado de URL que debe definir en el nivel de sistema para dispositivo a dispositivo son éstos:

– Websense Server Name (Nombre del servidor Websense): direcciócompleto (FQDN) del equipo en el que se ejecuta el servidor Websens

– Websense Server Port (Puerto del servidor Websense): el puerto pes 15868. Si modifica el puerto predeterminado en el servidor Websenen el dispositivo NetScreen. Para más información consulte la docume

– Source Interface (Interfaz de origen): interfaz de origen desde la cualas peticiones de filtrado de URL para un servidor Websense cuando lVPN. (Tenga en cuenta que la interfaz de origen es distinta de la interpara el tráfico VPN). Normalmente, el servidor de filtrado URL perteneembargo, si desea que varios dispositivos NetScreen accedan a un úndeberá configurar túneles VPN desde cada dispositivo remoto al dispoprotege el servidor. Desde el punto de vista de los equipos remotos, ezona Untrust, por lo que le enviarán las peticiones de filtrado de URL a

– Communication Timeout (Tiempo de espera de comunicaciones):segundos durante el cual el dispositivo NetScreen espera una respuesWebsense. Si el servidor Websense no responde dentro del tiempo esNetScreen bloquea la petición o la permite, según se haya configurad

Puede utilizar el siguiente comando CLI para configurar estos ajustes:

set url server { ip_addr | dom_name } port_num timou

En la interfaz WebUI, introduzca estos ajustes en los campos correspondienURL Filtering.


135

tema (raíz o sistema virtual) n las opciones de

n el servidor Websense, puede las peticiones HTTP.

uario recibe cuando Websense NetScreen reenvía el mensaje ona NetScreen, el dispositivo tScreen Blocked URL

vo NetScreen envía al usuario idor Websense o crear un itivo NetScreen.

tes de la página Screening >

Websense, como el


2. Parámetros de comportamiento en el nivel de sistemaEn segundo lugar debe definir los parámetros de comportamiento que el sisdeberá adoptar en relación con el filtrado de URL. A continuación se ofrececomportamiento:

– Modo de fallo/paso: si el dispositivo NetScreen pierde el contacto coespecificar si desea bloquear (“Block”) o permitir (“Permit”) todas

– Tipo de mensaje de URL bloqueada: el origen del mensaje que el usbloquea un sitio. Si selecciona NetPartners Websense , el dispositivorecibido en la respuesta de bloqueo del servidor Websense. Si selecciNetScreen envía el mensaje previamente introducido en el campo “NeMessage”.

– Mensaje de URL bloqueada de NetScreen: mensaje que el disposititras bloquear un sitio. Puede utilizar el mensaje enviado desde el servmensaje (de hasta 500 caracteres) para que se envíe desde el dispos

Puede utilizar los siguientes comandos CLI para configurar estos ajustes:

set url fail-mode { block | permit }set url type { NetScreen | Websense }set url message string

En la interfaz WebUI, introduzca estos ajustes en los campos correspondienURL Filtering.

Nota: Si selecciona NetScreen, algunas de las funciones que ofrece redireccionamiento, quedarán suprimidas.


136

el de sistema. En el caso de un habilitar el filtrado de URL para de URL se aplique en el temas.

de URL en el nivel de sistema:

ción Enable URL Filtering via

comprobará el tráfico HTTP al de URL redirigiendo las n el nivel de sistema, el

L en las directivas y las

tacto con el servidor de filtrado

una directiva:

ce permit url-filter

ágina de configuración de L.

se. Para actualizar el informe L Filtering en la interfaz WebUI.


3. Activación en el nivel de sistemaUna vez finalizada la configuración, debe habilitar el filtrado de URL en el nivdispositivo NetScreen que actúe como host para sistemas virtuales, deberá cada sistema en el que desee aplicarlo. Por ejemplo, si desea que el filtradosistema raíz y en un sistema virtual, deberá habilitar el filtrado en ambos sis

Puede utilizar el siguiente comando CLI para activar y desactivar el filtrado

set url config { disable | enable }

En la interfaz WebUI, seleccione o anule la selección de la casilla de verificaWebsense Server en la página Screening > URL Filtering.

Si habilita el filtrado de URL en el nivel de sistema, el dispositivo NetScreenque se apliquen las directivas (definidas en ese sistema) relativas al filtradopeticiones HTTP a un servidor Websense. Si deshabilita el filtrado de URL edispositivo NetScreen no tendrá en cuenta el componente de filtrado de URconsiderará simples directivas de permiso.

4. Aplicación en el nivel de directivasFinalmente podrá configurar el dispositivo NetScreen para que entre en conde URL según cada directiva.

Puede utilizar el siguiente comando CLI para habilitar el filtrado de URL en

set policy from zone to zone src_addr dst_addr servi

En la interfaz WebUI, seleccione la casilla de verificación URL Filter en la pdirectivas Advanced de la directiva en la que desee aplicar el filtrado de UR

Nota: El dispositivo NetScreen informa sobre el estado del servidor Websende estado, haga clic en el icono Server Status de la página Screening > UR


137

un servidor de filtrado de URL vidor de filtrado URL se nte desde hosts situados en la exión con el servidor de filtrado cliente HTTP solicita el acceso saje: “Lo sentimos, la dirección ase en contacto con

rfaz de la zona Trust es inio de enrutamiento trust-vr.

las interfaces del dispositivo a 10.1.1.250.


e)

OK:


e)


Ejemplo: Configuración del filtrado de URLEn este ejemplo configuraremos el dispositivo NetScreen para que se combine con en la dirección IP 10.1.2.5, con el número de puerto 15868 (predeterminado). El serencuentra en la zona Trust. Queremos aplicar el filtrado a todo el tráfico HTTP saliezona Trust hacia hosts en la zona Untrust. Si el dispositivo NetScreen pierde la conURL, queremos que el dispositivo NetScreen permita el tráfico HTTP saliente. Si una una URL prohibida, queremos que el dispositivo NetScreen envíe el siguiente menURL solicitada está prohibida. Si cree que esta prohibición puede ser errónea, pó[email protected]”.

La interfaz de la zona Untrust es ethernet3 y tiene la dirección IP 1.1.1.1/24. La inteethernet1 y tiene la dirección IP 10.1.1.1/24. Las dos zonas se encuentran en el domComo el servidor de filtrado URL no se encuentra en la subred inmediata de una deNetScreen, deberá agregarle una ruta a través de ethernet1 y del enrutador interno

WebUI


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




138

ply:

seleccione)

… all HTTP requests: Permit

os, la dirección URL solicitada puede ser errónea, póngase .




2. Servidor de filtrado de URLScreening > URL Filtering: Introduzca los siguientes datos y haga clic en Ap

Enable URL Filtering via Websense Server: (

Nombre del servidor Websense: 10.1.2.5

Websense Server Port: 15868

Communication Timeout: 10 (segundos)

If connectivity to the Websense server is lost

Blocked URL Message Type: NetScreen

NetScreen Blocked URL Message: Lo sentimestá prohibida. Si cree que esta prohibiciónen contacto con [email protected]

3. Rutas












139

lic en OK:

L Filter y haga clic en regresar a la página de

á prohibida. Si ontacto con

way 1.1.1.250teway 10.1.1.250

er


4. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga c

Source Address:Address Book Entry: (seleccione), Any

Destination Address:Address Book Entry: (seleccione), Any

Service: HTTPAction: Permit> Advanced: Seleccione la casilla de verificación UR

Return para configurar las opciones avanzadas yconfiguración básica.

CLI1. Interfaces

set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Servidor de filtrado de URLset url server 10.1.2.5 15868 10set url fail-mode permitset url type NetScreenset url message “Lo sentimos, la dirección URL solicitada est

cree que esta prohibición puede ser errónea, póngase en [email protected].”

set url config enable

3. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateset vrouter trust-vr route 10.1.2.0/24 interface ethernet1 ga

4. Directivaset policy from trust to untrust any any http permit url-filtsave


140

5

141

Capítulo 5

ejecutar las acciones as en el protocolo. En las ue aparecen en directivas y

na 178

nentes de HTTP. En la


Deep Inspection

Puede habilitar Deep Inspection (DI) en directivas para examinar el tráfico permitido y correspondientes si el módulo de DI en ScreenOS detecta signos de ataque o anomalísecciones siguientes de este capítulo se presentan los elementos de Deep Inspection qse explica cómo configurarlos:

• “Resumen de Deep Inspection” en la página 142

• “Servidor de la base de datos de objetos de ataque” en la página 147

• “Objetos de ataque y grupos” en la página 156

– “Firmas completas” en la página 158

– “Firmas de secuencias TCP” en la página 159

– “Anomalías en el protocolo” en la página 160

– “Grupos de objetos de ataque” en la página 160

• “Acciones de ataque” en la página 163

• “Asignación de servicios personalizados a aplicaciones” en la página 174

• “Objetos de ataque y grupos personalizados” en la página 178

– “Objetos de ataque de firma completa definidos por el usuario” en la pági

– “Objetos de ataque de la firma de la secuencia TCP” en la página 186

Deep Inspection también se puede habilitar a nivel de zonas de seguridad para composección final de este capítulo se explican estas opciones SCREEN:

• “Bloqueo granular de los componentes de HTTP” en la página 189

– “Controles ActiveX” en la página 189

– “Applets de Java” en la página 190

– “Archivos EXE” en la página 190

– “Archivos ZIP” en la página 190

Capítulo 5 Deep Inspection Resumen de Deep Inspection

142

gos de NetScreen. Deep 4, así como las características impedir cualquier ataque o

cidas a nivel de zonas, no a nivel de página 10, “Análisis de puertos” en la

l

l de una L4 de

paquete s

niega


RESUMEN DE DEEP INSPECTIONDeep Inspection (DI) es un mecanismo para filtrar el tráfico permitido por el cortafueInspection examina los encabezados de los paquetes de las capas Layer 3 y Layer del protocolo y el contenido a nivel de aplicación de la capa Layer 7 para detectar ecomportamiento anómalo que pueda presentarse1.

1. NetScreen detecta patrones de tráfico anómalo en las capas 3 y 4 (IP y TCP) a través de opciones SCREEN establedirectivas. Algunos ejemplos de detección de anomalías en el tráfico IP y TCP son “Limpieza de direcciones IP” en lapágina 12, así como los diversos ataques de inundación descritos en “Ataques DoS contra la red” en la página 56.

No

Inspección de estado completa del cortafuegos

¿Permitir?

¿DI?¿Detecta

do ataque?

SíInspección de estado completa de firmas, anomalías de protocolos y (en el dispositivo NetScreen-5000) de la secuencia TCP

Sí

Reenviar el paquete

Ejecutar acciónde respuesta a

ataque

Descartar paquete

No No

Sí

No¿Cumple?

Sí

Descartar paquete

¿Cumple un paquete iniciasesión los requisitos L3 y una directiva?

¿Cumple el estado de un en una sesión existente laexpectativas en la tabla desesiones?

o

¿La directiva permite o deeste paquete?


143

s direcciones IP de origen y de s de puerto de origen y de DP (inspección de Layer 4). Si el dispositivo NetScreen aplica creen recibe un paquete

lizada en la tabla de sesiones

n de la directiva es “permit” o la secuencia de datos

ser firmas de ataque o etScreen desde un servidor de etos de ataque y grupos” en la dose en los objetos de ataque

es siguientes:

firmas de ataque completas

dos en las normas RFC y en erado, posiblemente con fines

tion (DI) en una directiva cuya acción te y después de desencriptar un

ra obtener más información, consulte


Cuando el dispositivo NetScreen recibe el primer paquete de una sesión, examina ladestino en el encabezado del paquete IP (inspección de Layer 3) y tanto los númerodestino como el protocolo en el segmento TCP o en el encabezado del datagrama Ulos componentes de Layer 3 y 4 cumplen los criterios especificados en una directiva,al paquete la acción especificada: permit, deny o tunnel2. Cuando el dispositivo NetSdestinado a una sesión establecida, lo compara con la información de estado actuapara determinar si realmente pertenece a la sesión.

Si en la directiva aplicable a este paquete está habilitado Deep Inspection y la acció“tunnel”, el dispositivo NetScreen analiza más detenidamente tanto el paquete comoasociada (“stream”) en busca de objetos de ataque. Los objetos de ataque pueden anomalías en el protocolo, que el usuario puede definir o descargar al dispositivo Nbase de datos de objetos de ataque3. (Para obtener más información, consulte “Objpágina 156 y “Objetos de ataque y grupos personalizados” en la página 178). Basánespecificados en la directiva, el dispositivo NetScreen puede realizar las inspeccion

• Examinar los valores del encabezado y los datos transportados en busca de

• Comparar el formato del protocolo transmitido con los estándares especificasus extensiones con respecto a ese protocolo para determinar si ha sido altmalévolos

2. Si la acción especificada es tunelizar, ésta implica un permiso (tráfico permitido). Observe que si habilita Deep Inspecsea tunelizar, el dispositivo NetScreen ejecuta las operaciones DI especificadas antes de encriptar un paquete salienpaquete entrante.

3. Para poder descargar objetos de ataque del servidor de base de datos primero es necesario suscribirse al servicio. Pa“Registro y activación de los servicios de firma” en la página 2 -574.


144

da en el componente DI de la ”), descartar (“drop”), descartar s objetos de ataque ataque, consulte “Acciones de

PTO DEST

PROTO

ortados

apas de red y aplicación):T, Pto ORIG,

O) y Datos transportados

Deep Inspection

ente de Deep Inspection

Acción si el dispositivo NetScreen detecta un ataque

upo de taque


Si el dispositivo NetScreen detecta un objeto de ataque, realiza la acción especificadirectiva: cerrar (“close”), cerrar cliente (“close-client”), cerrar servidor (“close-serverpaquete (“drop-packet”), ignorar (“ignore”) o ninguna. Si no encuentra ninguno de loespecificados, reenvía el paquete. (Para obtener más información sobre acciones deataque” en la página 163).

El siguiente comando set policy contiene un componente de DI:

IP ORIG IP DEST PTOORIG

Datos transp

IP ORIG IP DEST PTO ORIG

PTO DEST

PROTO

Datos transportados

Primero: Inspección del cortafuegos (capas de red):IP ORIG, IP DEST, Pto ORIG, Pto DEST y servicio (PROTO)

Después: Deep Inspection (cIP ORIG, IP DES

Pto DEST, servicio (PROT

Cortafuegos

Compon

Zona de destino



Servicio

Acción si el tráfico cumple los criterios de los componentes L3 y L4

Zona de origen

Gra


145

edente de cualquier dirección ena al dispositivo NetScreen

bjeto de ataque definido en el conexión descartando el

n central y el componente DI:

s de origen y de destino, uno o

tido por la sección central de la e los grupos de objetos de ue, el dispositivo NetScreen

identificación. Por ejemplo:

ias a túneles VPN y L2TP, referencia suarios y ajustes de comprobación tos que constituyen el núcleo de una

gatorios. (Una excepción a esta regla t_addr service action . Para obtener

ndo siguiente se ejecutará en


El comando antedicho ordena al dispositivo NetScreen permitir el tráfico HTTP procde la zona Untrust a la dirección de destino “websrv1” de la zona DMZ. También ordexaminar todo el tráfico HTTP permitido por esta directiva. Si encuentra cualquier ogrupo de objetos de ataque “HIGH:HTTP:ANOM”, el dispositivo NetScreen cierra lapaquete y enviando notificaciones TCP RST al origen y al destino.

El comando set policy se puede separar conceptualmente en dos partes: la secció

• La sección central contiene las zonas de origen y de destino, las direccionemás servicios y una acción4.

• El componente DI ordena al dispositivo NetScreen examinar el tráfico permidirectiva para saber si hay objetos de ataque contenidos en al menos uno dataque especificados. Si el dispositivo NetScreen detecta un objeto de ataqejecuta la acción indicada en el componente DI.

Es posible introducir el contexto de una directiva existente utilizando su número de

ns-> set policy id 1ns(policy:1)->

4. Opcionalmente, también puede agregar otras extensiones al componente central de un comando set policy: referenca una tarea programada, especificaciones de la traducción de direcciones, especificaciones de la autenticación de uantivirus, registros, recuentos y administración del tráfico. Mientras que estas extensiones son opcionales, los elemendirectiva (zonas de origen y de destino, direcciones de origen y de destino, servicio -o servicios- y la acción) son oblison las directivas globales, en las que no se especifican zonas de origen ni de destino: set policy global src_addr dsmás información sobre directivas globales, consulte “Directivas globales” en la página 2 -224.

Nota: El símbolo de la línea de comandos cambia para indicar que el comaun contexto determinado.


146

mandos relacionados con una e permite el tráfico HTTP y busca ataques HTTP de firma

p permit attack

posibles ataques en el tráfico a, primero debe especificar un uede agregar los grupos de orque anteriormente configuró

r información sobre las siete


Introducirse en el contexto de una directiva resulta práctico para introducir varios cosola directiva. Por ejemplo, el siguiente conjunto de comandos crea una directiva quHTTPS desde cualquier dirección de Untrust a websrv1 y websrv2 en la zona DMZ ycompleta y de anomalías de protocolo de gravedad media, alta y crítica:

ns-> set policy id 1 from untrust to dmz any websrv1 httCRITICAL:HTTP:ANOM action close

ns-> set policy id 1ns(policy:1)-> set dst-address websrv2ns(policy:1)-> set service httpsns(policy:1)-> set attack CRITICAL:HTTP:SIGSns(policy:1)-> set attack HIGH:HTTP:ANOMns(policy:1)-> set attack HIGH:HTTP:SIGSns(policy:1)-> exitns-> save

La configuración antedicha permite el tráfico HTTP y HTTPS, pero solamente buscaHTTP. Para poder agregar grupos de objetos de ataque con un contexto de directivataque y una acción DI en el comando de nivel superior. En el ejemplo antedicho, pobjetos de ataque CRITICAL:HTTP:SIGS, HIGH:HTTP:ANOM y HIGH:HTTP:SIGS pla directiva para Deep Inspection con el grupo CRITICAL:HTTP:ANOM.

Nota: Solamente puede especificar una acción de ataque por directiva. Para obteneacciones de ataque, consulte “Acciones de ataque” en la página 163.

Capítulo 5 Deep Inspection Servidor de la base de datos de objetos de ataque

147

inidos, organizados en grupos de datos de objetos de ataque

Para utilizar los objetos de su dispositivo NetScreen y os en directivas. Para obtener se al servicio de firmas DI para Registro y activación de los

os de ataque en el dispositivo de base de datos de objetos de tes del servidor de la base de ualizar inmediatamente” en la

base de datos de objetos de el usuario, siempre que la base

ente en el dispositivo s los patrones de ataque recién iene actualizar el dispositivo configurar los ajustes del nsulte el “Ejemplo:

servidor de la base de datos de

uede utilizar el comando exec en el servidor es más reciente


SERVIDOR DE LA BASE DE DATOS DE OBJETOS DE ATAQUELa base de datos de objetos de ataque contiene todos los objetos de ataque predefde objetos de ataque por protocolo y nivel de gravedad. NetScreen almacena la baseen un servidor en la dirección https://services.netscreen.com/restricted/sigupdates. ataque predefinidos, debe descargar la base de datos de este servidor, cargarlo en luego establecer referencias a determinados grupos de objetos de ataque específicacceso al servidor de la base de datos de objetos de ataque, primero debe suscribirsu dispositivo NetScreen. (Para obtener información sobre cómo hacerlo, consulte “servicios de firma” en la página 2 -574).

Existen cuatro maneras de actualizar la base de datos:

• Immediate Update: Con esta opción se actualiza la base de datos de objetNetScreen inmediatamente con la base de datos almacenada en el servidor ataque. Para que esta operación funcione, primero debe configurar los ajusdatos de objetos de ataque. (Para ver un ejemplo, consulte el “Ejemplo: Actpágina 148.)

• Automatic Update: Con esta opción, el dispositivo NetScreen descarga la ataque directamente al dispositivo NetScreen a las horas programadas por de datos del servidor sea una versión más reciente que la cargada anteriormNetScreen. NetScreen actualiza la base de datos periódicamente con nuevodescubiertos. Por lo tanto, debido a su naturaleza cambiante, también convNetScreen periódicamente. Para que esta operación funcione, primero debeservidor de la base de datos de objetos de ataque. (Para ver un ejemplo, coActualizaciones automáticas” en la página 150).

Nota: ScreenOS contiene un certificado CA para autenticar la comunicación con el objetos de ataque.

Nota: Antes de realizar una actualización inmediata de la base de datos, pattack-db check para comprobar si la base de datos de objetos de ataqueque la que se encuentra en el dispositivo NetScreen.


148

sitivo NetScreen comprueba a se de datos de objetos de l servidor son más recientes, sesión en el dispositivo date o hacer clic en el botón

ebUI para guardar la base de miautomático de comprobación base de datos de objetos de y actualización inmediata” en la

ara descargar la base de datos A continuación puede cargar la orio local) o mediante CLI jemplo: Actualización manual”

l archivo attacks.bin) del RL para el servidor de la base

dispositivo NetScreen. En lugar amente.

vicio de firmas de DI para el aves de licencia” en la página


• Automatic Notification and Immediate Update: Con esta opción, el dispolas horas programadas por el usuario si los datos sobre el servidor de la baataque son más recientes que los del dispositivo NetScreen. Si los datos deaparece un aviso en la página inicial de WebUI y en CLI después de iniciar NetScreen. A continuación, puede ejecutar el comando exec attack-db upUpdate Now de la página “Configuration > Update > Attack Signature” de Wdatos del servidor en el dispositivo NetScreen. Para que el procedimiento sedel servidor funcione, primero debe configurar los ajustes del servidor de laataque. (Para ver un ejemplo, consulte el “Ejemplo: Notificación automática página 152.)

• Manual Update: Con esta opción, primero utilizará un explorador de web pde objetos de ataque a un directorio local o al directorio del servidor TFTP. base de datos en el dispositivo NetScreen mediante WebUI (desde el direct(desde el directorio del servidor TFTP). (Para ver un ejemplo, consulte el “Een la página 154.)

Ejemplo: Actualizar inmediatamenteEn este ejemplo guardará inmediatamente la base de datos de objetos de ataque (eservidor correspondiente al dispositivo NetScreen. Utilizará la URL predeterminada:https://services.netscreen.com/restricted/sigupdates. No tiene que establecer esta Ude datos. El dispositivo NetScreen la utiliza de forma predeterminada.

No necesita establecer una tarea programada para actualizar la base de datos en el de ello, guardará la base de datos del servidor en el dispositivo NetScreen inmediat

Nota: Este ejemplo asume que ya dispone de una suscripción activada para el serdispositivo NetScreen. (Para obtener información sobre suscripciones, consulte “Cl2 -572).


149

ow.

de la base de datos jetos de ataque

https://services.netscreen.com/restricted/sigupdates


WebUI

Configuration > Update > Attack Signature: Haga clic en el botón Update N

CLI

ns-> exec attack-db updateLoading attack database.............Done.Done.Switching attack database...DoneSaving attack database to flash...Done.ns->

Servidor de obDispositivo NetScreen

local

Internet

Base de datos de objetos de

ataqueBase de datos de objetos de

ataque

1. Petición de actualización

2. Actualización de la base de datos


150

en el dispositivo NetScreen la versión de la base de datos iente, el dispositivo NetScreen

s. No tiene que establecer esta a predeterminada.


la base de os de ataque

= https://services.netscreen/restricted/sigupdates

L M X J V S D


Ejemplo: Actualizaciones automáticasEn este ejemplo establecerá una tarea programada para actualizar la base de datoscada lunes a las 4:00. A esa hora programada, el dispositivo NetScreen comparará en el servidor con la del dispositivo NetScreen. Si la versión del servidor es más recreemplazará automáticamente su base de datos con la versión más reciente.

Utilizará la URL predeterminada: https://services.netscreen.com/restricted/sigupdateURL para el servidor de la base de datos. El dispositivo NetScreen la utiliza de form


Servidor de datos de objetDispositivo NetScreen

local

Internet


ataqueBase de datos de objetos de

ataque

1. Petición de actualización automática

2. Actualización automática de la base de datos

URL.com


151

y haga clic en OK:

te en algunos meses), el dispositivo


WebUI

Configuration > Update > Attack Signature: Introduzca los siguientes datos

Database Server: (dejar en blanco)

Update Mode: Automatic Update

Schedule:

Weekly on: Monday5

Time (hh:mm): 04:00

CLI

set attack db mode updateset attack db schedule weekly monday 04:00save

5. Si programa actualizaciones mensualmente y la fecha elegida no existe en algún mes (por ejemplo, el día 31 no exisNetScreen utiliza en su lugar la última fecha posible de ese mismo mes.


152

as 7:00 la base de datos en el

a clic en el botón Update Now ando exec attack-db update

s. No tiene que establecer esta a predeterminada.


ase de datos e ataque

L = https://services.netscreenm/restricted/sigupdates

L M X J V S D


Ejemplo: Notificación automática y actualización inmediataEn este ejemplo establecerá una tarea programada para comprobar diariamente a ldispositivo NetScreen.

Cuando reciba un aviso de que la base de datos del servidor se ha actualizado, hagde la página “Configuration > Update > Attack Signature” de WebUI o ejecute el compara guardar la base de datos del servidor en el dispositivo NetScreen.

Utilizará la URL predeterminada: https://services.netscreen.com/restricted/sigupdateURL para el servidor de la base de datos. El dispositivo NetScreen la utiliza de form


Servidor de la bde objetos dDispositivo NetScreen

local

Internet

Base de datos de objetos de ataque

Base de datos de objetos de ataque

1. Comprobación automática diaria de la actualización

UR.co

2. Actualización inmediata de la base de datos


153

y haga clic en OK:

tá más actualizada que la del

ow.

tá más actualizada que la del


WebUI

1. Comprobación programada de la base de datosConfiguration > Update > Attack Signature: Introduzca los siguientes datos

Database Server: (dejar en blanco)Update Mode: Automatic NotificationSchedule:

DailyTime (hh:mm): 07:00

2. Actualización inmediata de la base de datosCuando reciba un aviso de que la base de datos de ataques del servidor esdispositivo NetScreen, haga lo siguiente:

Configuration > Update > Attack Signature: Haga clic en el botón Update N

CLI

1. Comprobación programada de la base de datosset attack db mode notificationset attack db schedule daily 07:00

2. Actualización inmediata de la base de datosCuando reciba un aviso de que la base de datos de ataques del servidor esdispositivo NetScreen, haga lo siguiente:

exec attack-db update


154

reciente en el directorio local C:\Archivos de

atos en el dispositivo

nte los siguientes elementos a

u cuenta. En este ejemplo, el ma es NetScreen-208 (ns200).

sn=0043012001000213

rarla para que otros dispositivos L del servidor de la base de datos a

date > Attack Signature” o utilizar el

icio de firmas de DI para el ves de licencia” en la página


Ejemplo: Actualización manualEn este ejemplo guardará manualmente la base de datos de objetos de ataque más“C:\netscreen\attacks-db” (si desea utilizar WebUI para cargar la base de datos) o enPrograma\TFTP Server (si prefiere utilizar CLI). A continuación cargará la base de dNetScreen de su directorio local6.

Para una actualización automática, el dispositivo NetScreen agregará automáticamela URL:

• Número de serie del dispositivo NetScreen

• Número de la versión principal de ScreenOS instalada en el dispositivo

• Tipo de plataforma

Para actualizar manualmente la base de datos, debe agregar estos elementos por snúmero de serie es 0043012001000213, la versión de ScreenOS es 5.0 y la plataforPor lo tanto, la URL resultante es:

https://services.netscreen.com//restricted/sigupdates/5.0/ns200/attacks.bin?

6. Después de descargar la base de datos de objetos de ataque, también puede colocarla en un servidor local y configuNetScreen puedan acceder a ella. A continuación, los administradores de los demás dispositivos deben cambiar la URla nueva ubicación. Pueden introducir la nueva URL en el campo “Database Server” de la página “Configuration > Upcomando CLI siguiente: set attack db server url_string.

Nota: Este ejemplo asume que ya dispone de una suscripción activada para el servdispositivo NetScreen. (Para obtener información sobre suscripciones, consulte “Cla2 -572).


155

:

n?sn=0043012001000213

ara cargar a través de FTP (cuando desee utilizar

aga clic en OK:

b\attacks.bin, o haga clic ione attacks.bin y

e de datos ataque

ttps://services.netscreen.com/d/sigupdates/5.0/ns200/attacks0043012001000213


1. Descarga de la base de datosIntroduzca la URL siguiente en el campo de dirección de su explorador de web

https://services.netscreen.com//restricted/sigupdates/5.0/ns200/attacks.bi

Guarde el archivo attacks.bin en el directorio local “C:\netscreen\attacks-db” (pWebUI) o en el directorio “C:\Archivos de programa\TFTP Server” del servidor TCLI para cargarlo).

WebUI

2. Actualización de la base de datosConfiguration > Update > Attack Signature: Introduzca los siguientes datos y h

Deep Inspection Signature Update:

Load File: Introduzca C:\netscreen\attacks-den Browse y navegue a ese directorio, seleccfinalmente haga clic en Open.

CLI

2. Actualización de la base de datossave attack-db from tftp 10.1.1.5 attacks.bin to flash

Servidor de la basde objetos de Dispositivo NetScreen local

Internet


ataque


ataque

2. Actualización manual de la

base de datos

URL = h/restricte.bin?sn=

1. Descarga manual de la base de datos

Admin: 10.1.1.5C:\netscreen\attacks-db

C:\Archivos de programa\TFTP Server

Capítulo 5 Deep Inspection Objetos de ataque y grupos

156

ivo NetScreen utiliza para jetos de ataque están Deep Inspection (DI) a una atrón que coincida con los

websrv11.2.2.5:80

*p

].*


OBJETOS DE ATAQUE Y GRUPOSLos objetos de ataque son firmas completas y anomalías de protocolos que un dispositdetectar los ataques dirigidos comprometiendo a uno o varios hosts de una red. Los obagrupados, organizados por tipo de protocolo y luego por gravedad. Cuando se agregadirectiva, el dispositivo NetScreen examina el tráfico que ésta permite para cualquier pdel grupo (o grupos) de objetos de ataque al que se hace referencia.

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

Host remoto1.1.1.3:25611

IP ORIG IP DEST PTO ORIG

PTO DEST

PROTO

1.1.1.3 1.2.2.5 25611 80 HTTP

Zona Untrust

set policy from untrust to dmz any websrv1 http permit attack HIGH:HTTP:SIGS action close

RSTRST

SYN

ACKSYN/ACK

Carga: … revlog/.

El dispositivo NetScreen detecta un objeto de ataque en el paquete. Descarta el paquete y cierra la conexión enviando notificaciones TCP RST al origen y al destino.

Attack Group: HIGH:HTTP:SIGS

revlog/.*/phorum/plugin/replace/pluring.php?

/scripts/\.\.%c1%9c\.\./.*

/\[scripts/iisadmin/ism\.dll\?http/dir\].*

.*\[.asp::$data\

Host remoto1.1.1.3:25611

NetScreenUntrust: ethernet3 1.1.1.1/24; DMZ: ethernet2 1.2.2.1/24

Zona DMZ

.*%255(c|C).*

PUT \[/users/.*\.asp\].*

¡Coincide!


157

deben apuntar al mismo tipo de l grupo de objetos de ataque muestra una configuración

objetos de ataque se refiere al

itivo NetScreen consumiese de ataque POP3 que nunca figurar el componente DI para

es/english, puede consultar el s de los objetos de ataque mpo de dirección:

attack CRIT:SMTP:SIGS

attack CRIT:POP3:SIGS

t attack


Los grupos de objetos de ataque a los que se haga referencia en el componente DI servicio que la directiva permite. Por ejemplo, si la directiva permite tráfico SMTP, edebe tener como objetivo los ataques contra el tráfico SMTP. La directiva siguiente válida:

La siguiente directiva es incorrecta porque permite el tráfico SMTP, pero el grupo detráfico POP3:

La segunda directiva está mal configurada y, si se implementase, haría que el disposrecursos innecesariamente, ya que examinaría el tráfico SMTP en busca de objetos encontraría. Si la directiva 2 permite tanto el tráfico SMTP como el POP3, puede conque busque objetos de ataque SMTP, objetos de ataque POP3 o ambos.

Si el dispositivo NetScreen dispone de acceso a http://help.netscreen.com/sigupdatcontenido de todos los grupos de objetos de ataque predefinidos y ver descripcionepredefinidos. Abra su explorador web y escriba una de las siguientes URLs en el ca

http://help.netscreen.com/sigupdates/english/DNS.html

http://help.netscreen.com/sigupdates/english/FTP.html

http://help.netscreen.com/sigupdates/english/HTTP.html

http://help.netscreen.com/sigupdates/english/IMAP.html

http://help.netscreen.com/sigupdates/english/POP3.html

set policy id 2 from trust to untrust any any smtp permitaction close

set policy id 2 from trust to untrust any any smtp permitaction close

set group service grp1set group service grp1 add smtpset group service grp1 add pop3set policy id 2 from trust to untrust any any grp1 permi

CRIT:SMTP:SIGS action closeset policy id 2 attack CRIT:POP3:SIGS


158

lista de todos los objetos de nsultar la descripción de un

ión de una determinada una dirección envía muchos rón textual, como cuando HTTP o FTP. La cadena abezado del paquete. Sin n patrón textual, busca algo mismo (incluso aunque esté ento durante la vida de la

ipantes (cliente o servidor) y por la explotación de la

contextual para refinar el y evita el procesamiento os contextos de los papeles

, observe cómo el módulo PN Root”. Los atacantes

ervidor de correo. Para la porción de control de una o “SMTP”). El dispositivo cirse ahí. Si “expn root”

e este modo, una sola definición


http://help.netscreen.com/sigupdates/english/SMTP.html

Cada una de las URLs antedichas está vinculada a una página HTML que contiene unaataque predefinidos (agrupados por gravedad) para un protocolo determinado. Para coobjeto de ataque, haga clic en su nombre.

Firmas completasUna firma de ataque es un patrón que aparece cuando se está produciendo la explotacvulnerabilidad7. La firma puede ser un o patrón de tráfico de Layer 3 o 4, como cuando paquetes a diversos números de puerto de otra dirección (barrido de puertos), o un pataparece una cadena de URL maliciosa en los datos transportados de un único paquetetambién puede ser un segmento de código específico o un valor determinado en el encembargo, cuando el módulo Deep Inspection (DI) de un dispositivo NetScreen busca umás que sólo una firma en un paquete; busca la firma en una porción muy concreta del fragmentado o segmentado), en todos los paquetes enviados en un determinado momsesión, y enviados por el iniciador de la conexión o por el dispositivo que responde.

Cuando el módulo DI busca un patrón textual, tiene en cuenta los papeles de los particsupervisa el estado de la sesión para limitar su búsqueda sólo los elementos afectadosvulnerabilidad para la que los atacantes utilizan el patrón. La utilización de informaciónanálisis de paquetes reduce significativamente las falsas alarmas (o “falsos positivos”) innecesario. El término “firmas completas” destaca este concepto de buscar firmas en lde los participantes y en el estado de la sesión.

Para averiguar qué ventaja tiene considerar el contexto en el que se produce una firmaNetScreen DI examina los paquetes cuando está habilitado para detectar el ataque “EXutilizan el ataque “EXPN Root” para ampliar y exponer las listas de distribución de un sdetectar el ataque “EXPN Root”, el dispositivo NetScreen busca la firma “expn root” en sesión del protocolo simple de transferencia de correo (“Simple Mail Transfer Protocol”NetScreen examina solamente la porción de control porque el ataque sólo puede produocurre en cualquier otra porción de la sesión, no es un ataque.

7. Dado que el módulo NetScreen DI admite expresiones regulares, puede utilizar comodines en la búsqueda de patrones. Dde firma de ataque puede aplicarse a múltiples variaciones del patrón de ataque.


159

a “expn root” dispara una cir, en el cuerpo de un mensaje sobre ataques EXPN Root, un

rmas completas, el módulo e son ocurrencias inofensivas.

e aparece cuando se está I examina el tráfico en busca de xamina el tráfico en busca de entre ambos tipos de firmas es , las firmas de secuencias TCP firma de secuencia a un grupo ue Deep Inspection. (Para

que de la firma de la secuencia

NetScreen-5000.


Aplicando una técnica textual simple de detección de firmas en los paquetes, la firmalarma incluso aunque aparezca en la porción de datos de la conexión SMTP; es dede correo electrónico. Si, por ejemplo, estuviese escribiendo a un colega un mensajedetector simple de firmas en paquetes lo consideraría como un ataque. Utilizando fiNetScreen DI puede distinguir entre cadenas de texto que señalan ataques y las qu

Firmas de secuencias TCPComo ocurre con las firmas completa, una firma de secuencia TCP es un patrón quproduciendo la explotación de una vulnerabilidad. Sin embargo, cuando el módulo Dfirmas completas, busca solamente en contextos concretos. Cuando el módulo DI efirmas de secuencias TCP, lo hace sin preocuparse de los contextos. Otra diferenciaque, aunque las firmas completas pueden ser predefinidas o definidas por el usuariosólo pueden ser definidas por el usuario. Después de agregar un objeto de ataque dede objetos de ataque, puede hacer referencia a ese grupo en una directiva que apliqobtener más información sobre firmas de secuencias TCP, consulte “Objetos de ataTCP” en la página 186).

Nota: Las firmas de secuencias TCP sólo se pueden definir en sistemas de la serie


160

incumple los estándares taque de firma se debe utilizar es conocidos. La detección de aquéllos que no se pueden protocolos para los protocolos

un protocolo específico. Por s, y luego se organizan que son crítica, alta y media:

ulnerabilidad que intentan nivel del sistema.

abilidades que intentan ed o activar un caballo troyano

ulnerabilidades que detectan e directorios (“directory


Anomalías en el protocoloLos objetos de ataque que buscan anomalías de protocolos detectan el tráfico que definidos en las normas RFC y extensiones comunes de RFC. Con los objetos de aun patrón predefinido o crear uno nuevo; por lo tanto, sólo se pueden detectar ataquanomalías en los protocolos es particularmente útil para detectar nuevos ataques o definir con un patrón textual. ScreenOS admite objetos de ataque de anomalías de siguientes:

• DNS

• FTP

• HTTP

• IMAP

• POP3

• SMTP

Grupos de objetos de ataqueLos grupos de objetos de ataque predefinidos contienen los objetos de ataque paracada protocolo, los grupos se dividen en anomalías de protocolos y firmas completaligeramente por gravedad. Los tres niveles de gravedad del grupo de objetos de ata

Critical (Críticos): Contiene objetos de ataque coincidentes con explotaciones de vevadir la detección, provocan la caída de dispositivos de red u obtienen privilegios a

High (Alto): Contiene objetos de ataque que coinciden con explotaciones de vulnerinterrumpir algún servicio, obtener acceso a nivel de usuario a un dispositivo de la rcargado previamente en un dispositivo.

Medium (Medio): Contiene objetos de ataque que coinciden con explotaciones de vintentos de reconocimiento para acceder a información vital mediante navegación dtraversal”) o filtraciones de información.


161

gravedad (critical, high, l, high, medium, low, info. Estos os niveles de gravedad para las

gravedad "Medium", la entrada d "Warning".

r en uno o más grupos de , entrando en el contexto de

de objetos de ataque a los que

d de los grupos de objetos de

ento y haga clic en OK:

gravedad en la lista


Cambio de los niveles de gravedadAunque los grupos de objetos de ataque están clasificados por protocolo y nivel de medium), cada objeto de ataque tiene su propio nivel de gravedad específico: criticaniveles de gravedad de objetos de ataque se corresponden del siguiente modo con lentradas del registro de eventos:

Por ejemplo, si el dispositivo NetScreen detecta un objeto de ataque con el nivel de correspondiente que aparecerá en el registro de eventos tendrá el nivel de graveda

El nivel de gravedad predeterminado de todos los objetos de ataque se puede anulaobjetos de ataque referenciados en una directiva. Esto se realiza a nivel de directivauna directiva existente y asignando un nuevo nivel de gravedad a todos los grupos haga referencia la directiva.

A continuación se muestra cómo cambiar mediante WebUI y CLI el nivel de gravedaataque a los que se hace referencia en una directiva:

WebUI

Policies > Edit (para una directiva existente): Ejecute el siguiente procedimi

> Deep Inspection: Seleccione una opción dedesplegable “Severity” y haga clic en OK.

Nivel de gravedadde objeto de ataque

– se corresponde

con –

Nivel de seguridad de entrada de

registro de eventosCritical (Crítico) Critical

High (Alto) Error

Medium (Medio) Warning

Low (Bajo) Notification

Info Information


162

ntre de nuevo en el contexto de

ento y haga clic en OK:

lista desplegable “Severity” y


CLI

ns-> set policy id numberns(policy:number)-> set severity string

Para restablecer el ajuste original de nivel de gravedad de cada objeto de ataque, euna directiva y ejecute el siguiente comando unset policy:

WebUI

Policies > Edit (para una directiva existente): Ejecute el siguiente procedimi

> Deep Inspection: Seleccione Default en la haga clic en OK.

CLI

ns-> set policy id numberns(policy:number)-> unset policy id number severity

Capítulo 5 Deep Inspection Acciones de ataque

163

ción que se especifique.

pe la conexión y envía TCP icaciones RST no es fiable, al menos uno reciba el RST

hacia un servidor no fiable. tScreen interrumpe la l servidor queda a la espera.

o fiable y dirigidas a un sitivo NetScreen interrumpe ientras el cliente queda a la

S. El dispositivo NetScreen

n)

a anomalía de protocolo, paquetes mal formados sin na firma de ataque o

piría todos los servicios de te problemático sin detener

respondedor, o la dirección de destino.


ACCIONES DE ATAQUECuando el módulo Deep Inspection (DI) de NetScreen detecta un ataque, ejecuta la acExisten las siete posibilidades siguientes:

• Close (interrumpe la conexión y envía RST al cliente y al servidor8)

Utilice esta opción para las conexiones TCP. El dispositivo NetScreen interrumRST al cliente (origen) y al servidor (destino). Debido a que la entrega de notifenviando un RST al cliente y al servidor se aumentan las posibilidades de quey cierre la sesión.

• Close Client (interrumpe la conexión y envía RST al cliente)

Utilice esta opción para conexiones TCP salientes desde un cliente protegido Si, por ejemplo, el servidor envía una cadena URL maliciosa, el dispositivo Neconexión y envía un RST sólo al cliente para que borre sus recursos mientras e

• Close Server (interrumpe la conexión y envía RST al servidor)

Utilice esta opción para conexiones TCP entrantes procedentes de un cliente nservidor protegido. Si, por ejemplo, el cliente intenta realizar un ataque, el dispola conexión y envía un TCP RST sólo al servidor para que borre sus recursos mespera.

• Drop (interrumpe la conexión sin enviar RST a nadie)

Utilice esta opción para conexiones UDP u otras conexiones no TCP, como DNdescarta todos los paquetes en una sesión, pero no envía TCP RST.

• Drop Packet (descarta un paquete determinado pero no interrumpe la conexió

Esta opción descarta el paquete en el que se detecta una firma de ataque o unpero no termina la sesión propiamente dicha. Utilice esta opción de descartar interrumpir la sesión entera. Por ejemplo, si el dispositivo NetScreen detecta uanomalía de protocolo procedente de un proxy de AOL, descartar todo interrumAOL. En lugar de ello, al descartar únicamente el paquete, se detiene el paqueel flujo del resto de paquetes.

8. El cliente es siempre el iniciador de una sesión; es decir, la dirección de origen de una directiva. El servidor es siempre el


164

reen efectúa una entrada en

lo, efectúa una entrada en el a ajustar los falsos positivos on (DI). Utilice esta opción des de protocolo no ra el tráfico no SMTP. El

el registro con falsos

ial de configuración de su DI o anomalía de protocolo, ón sobre el tráfico mismo. El sión y realiza entradas en el

ntnalizar ataques y ha llegado

alquier dirección de la zona


• Ignore (tras detectar una firma de ataque o una anomalía, el dispositivo NetScel registro y deja de comprobar el resto de la conexión, o la ignora)

Si el dispositivo NetScreen detecta una firma de ataque o anomalía de protocoregistro de eventos pero no interrumpe la sesión misma. Utilice esta opción pardurante la fase inicial de configuración de su implementación de Deep Inspectitambién cuando un servicio utilice un número de puerto estándar para actividaestándar; por ejemplo, Yahoo Messenger utiliza el puerto 25 (puerto SMTP) padispositivo NetScreen registra la ocurrencia una vez por sesión (para no llenarpositivos), pero no lleva a cabo ninguna acción.

• None (ninguna acción)

Resulta útil para la identificación inicial de tipos de ataques durante la fase inicimplementación. Cuando el dispositivo NetScreen detecta una firma de ataquerealiza una entrada en el registro de eventos pero no lleva a cabo ninguna accidispositivo NetScreen continúa comprobando el tráfico subsiguiente de esa seregistro si detecta otras firmas de ataque y anomalías.

Ejemplo: Acciones de ataque – Close Server, Close, Close ClieEn este ejemplo hay tres zonas: Trust, Untrust y DMZ. Suponga que ha terminado de aa la conclusión de que necesita las tres directivas siguientes:

• Policy ID 1: Permitir tráfico HTTP, HTTPS, PING y FTP-GET procedente de cuUntrust y dirigido a los servidores web (websrv1 y websrv2) de la zona DMZ.

Ajuste de ataque para la directìva con ID 1:

– CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS

– HIGH:HTTP:ANOM, HIGH:HTTP:SIGS

– MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS

– CRITICAL:FTP:SIGS

– Action: Close Server


165

e a los servidores web sted prevé recibir ataques de la

quier dirección de la zona Trust

clientes como a los servidores rsos sin importar el nivel de

ier dirección de la zona Trust a

clientes protegidos para que sted prevé un ataque


Decide interrumpir la conexión y enviar una notificación TCP RST solamentprotegidos para que puedan terminar sus sesiones y borrar sus recursos. Uzona Untrust.

• Policy ID 2: Permitir tráfico HTTP, HTTPS, PING y FTP procedente de cualy dirigido a los servidores web (websrv1 y websrv2) de la zona DMZ.






– Action: Close

Decide interrumpir la conexión y enviar una notificación TCP RST tanto a losprotegidos para que ambos puedan terminar sus sesiones y borrar sus recugravedad del ataque.

• Policy ID 3: Permitir el tráfico FTP-GET, HTTP, HTTPS, PING desde cualqucualquier dirección de la zona Untrust.






– Action: Close Client

Usted elige interrumpir la conexión y enviar una notificación TCP RST a losambos puedan terminar sus sesiones y borrar sus recursos. En este caso, uprocedente de un servidor HTTP o FTP no fiable.


166

NetScreen activa Deep n el dominio de enrutamiento


e)

OK:

websrv11.2.2.5/24

websrv21.2.2.6/24

Zona DMZ

DI (Trust -> DMZ)HTTP:Crit, High, Med;FTP:Crit;Action:Close

DI (Untrust -> DMZ)HTTP:Crit, High, Med;FTP:CritAction:Close-server


Aunque las directivas permiten HTTP, HTTPS, Ping, FTP-Get o FTP, el dispositivo Inspection solamente para el tráfico HTTP y FTP. Todas las zonas se encuentran eTrust-vr.

WebUI


Zone Name: Trust




Interface Mode: NAT

ethernet21.2.2.1/24

ethernet31.1.1.1/24

ethernet110.1.1.1/24

Zona Trust

Zona Untrust

DI (Trust -> Untrust)HTTP:Crit, High, Med;FTP:Crit;Action:Close-client


167


e)


e)

lic en OK:

lic en OK:


Service Options:

Management Services: (seleccione todos)

Other services: Ping


Zone Name: Untrust




Zone Name: DMZ




Address Name: websrv1



Zone: DMZ


Address Name: websrv2



Zone: DMZ


168


haga clic en OK:

y haga clic en OK para a de directivas.

, HTTPS, PING y haga clic en ción básica de directivas.

lo siguiente y haga clic en OK básica de directivas:

os siguientes grupos de able Members” a la columna







4. ID de directiva 1Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:


Dirección de destino:

Address Book Entry: (seleccione), websrv1

> Haga clic en Multiple, seleccione websrv2regresar a la página de configuración básic

Service: HTTP

> Haga clic en Multiple , seleccione FTP-GETOK para regresar a la página de configura

Action: Permit

> Haga clic en Deep Inspection, introduzca para regresar a la página de configuración

Action: Close Server

Utilice el botón << para mover lataques de la columna “Avail“Selected Members”:


169

M

ga clic en OK:

y haga clic en OK para a de directivas.





CRITICAL:HTTP:ANO

CRITICAL:HTTP:SIGS

HIGH:HTTP:ANOM

HIGH:HTTP:SIGS

MEDIUM:HTTP:ANOM

MEDIUM:HTTP:SIGS

CRITICAL:FTP:SIGS

5. ID de directiva 2Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:



Address Book Entry: (seleccione), websrv1

> Haga clic en Multiple, seleccione websrv2regresar a la página de configuración básic

Service: HTTP


Action: Permit


Action: Close



170

M

haga clic en OK:





CRITICAL:HTTP:ANO

CRITICAL:HTTP:SIGS

HIGH:HTTP:ANOM

HIGH:HTTP:SIGS

MEDIUM:HTTP:ANOM

MEDIUM:HTTP:SIGS

CRITICAL:FTP:SIGS

6. ID de directiva 3Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:




Service: HTTP


Action: Permit


Action: Close Client



171

M

gateway 1.1.1.250


CRITICAL:HTTP:ANO

CRITICAL:HTTP:SIGS

HIGH:HTTP:ANOM

HIGH:HTTP:SIGS

MEDIUM:HTTP:ANOM

MEDIUM:HTTP:SIGS

CRITICAL:FTP:SIGS

CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 manageset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet2 zone dmzset interface ethernet2 ip 2.1.1.1/24

2. Direccionesset address dmz websrv1 1.2.2.5/32set address dmz websrv2 1.2.2.6/32



172

t attack

attack


4. ID de directiva 1set policy id 1 from untrust to dmz any websrv1 http permi

CRITICAL:HTTP:ANOM action close-serverset policy id 1ns(policy:1)-> set dst-address websrv2ns(policy:1)-> set service ftp-getns(policy:1)-> set service httpsns(policy:1)-> set service pingns(policy:1)-> set attack CRITICAL:HTTP:SIGSns(policy:1)-> set attack HIGH:HTTP:ANOMns(policy:1)-> set attack HIGH:HTTP:SIGSns(policy:1)-> set attack MEDIUM:HTTP:ANOMns(policy:1)-> set attack MEDIUM:HTTP:SIGSns(policy:1)-> set attack CRITICAL:FTP:SIGSns(policy:1)-> exit

5. ID de directiva 2set policy id 2 from trust to dmz any websrv1 http permit

CRITICAL:HTTP:ANOM action closeset policy id 2ns(policy:2)-> set dst-address websrv2ns(policy:2)-> set service ftpns(policy:2)-> set service httpsns(policy:2)-> set service pingns(policy:2)-> set attack CRITICAL:HTTP:SIGSns(policy:2)-> set attack HIGH:HTTP:ANOMns(policy:2)-> set attack HIGH:HTTP:SIGSns(policy:2)-> set attack MEDIUM:HTTP:ANOMns(policy:2)-> set attack MEDIUM:HTTP:SIGSns(policy:2)-> set attack CRITICAL:FTP:SIGSns(policy:2)-> exit


173

t attack


6. ID de directiva 3set policy id 3 from trust to untrust any any http permi

CRITICAL:HTTP:ANOM action close-clientset policy id 3ns(policy:3)-> set service ftp-getns(policy:3)-> set service httpsns(policy:3)-> set service pingns(policy:3)-> set attack CRITICAL:HTTP:SIGSns(policy:3)-> set attack HIGH:HTTP:ANOMns(policy:3)-> set attack HIGH:HTTP:SIGSns(policy:3)-> set attack MEDIUM:HTTP:ANOMns(policy:3)-> set attack MEDIUM:HTTP:SIGSns(policy:3)-> set attack CRITICAL:FTP:SIGSns(policy:3)-> exitsave

Capítulo 5 Deep Inspection Asignación de servicios personalizados a aplicaciones

174

Inspection (DI), deberá ue el módulo DI pueda que se ejecute en el número na directiva de la siguiente

ort 2121-2121ftp permit

ervicio personalizado, el puerto no estándar.

ftp permit attack

P se está ejecutando en el (“Aplicación Layer”) a un ión se puede realizar a nivel

ra DI para que examine el AL:FTP:SIGS en una

uerto 2121.


ASIGNACIÓN DE SERVICIOS PERSONALIZADOS A APLICACIONESCuando utilice un servicio personalizado en una directiva con un componente de Deepespecificar explícitamente qué aplicación se está ejecutando sobre ese servicio para qfuncionar correctamente. Por ejemplo, si crea un servicio personalizado para FTP para de puerto no estándar 2121, puede hacer referencia a ese servicio personalizado en uforma:

set service ftp-custom protocol tcp src-port 0-65535 dst-pset policy id 1 from untrust to trust any ftp-srv1 custom-

Sin embargo, si incluye un componente de DI en una directiva que haga referencia al smódulo de DI no podrá reconocer la aplicación porque estará utilizando un número de

set policy id 1 from untrust to trust any ftp-srv1 custom-CRITICAL:FTP:SIGS action close-server

Para evitar este problema, es necesario informar al módulo DI de que la aplicación FTpuerto 2121. Esencialmente, consiste en asignar el protocolo de la capa de aplicación número de puerto específico en la capa de transporte (“Transport Layer”). Esta asociacde directivas:

set policy id 1 application ftp

Cuando se asigna la aplicación FTP al servicio personalizado “custom-ftp” y se configutráfico FTP en busca de los ataques definidos en el grupo de objetos de ataque CRITICdirectiva que haga referencia a “custom-ftp”, el módulo DI realiza su inspección en el p

custom-ftp (puerto 2121)

FTP (puerto 21) ftp-srv1

Zona TrustZona Untrust

Internet

Sin embargo, el módulo DI comprueba si hay ataques CRITICAL:FTP en el puerto 21, que no está siendo utilizado.

El cortafuegos de NetScreen permite tráfico custom-ftp en el puerto 2121.


175

m-ftp permit attack

puerto de destino 8080. a el tráfico HTTP1 desde a DMZ.

ntinuación, haga clic en OK:

ftp-srv1

ona Trust


set policy id 1 from untrust to trust any ftp-srv1 custoCRITICAL:FTP:SIGS action close-server

set policy id 1 application ftp

Ejemplo: Asignar una aplicación a un servicio personalizadoEn este ejemplo definirá un servicio personalizado llamado “HTTP1” que utilizará elAsignará la aplicación HTTP al servicio personalizado para una directiva que permitcualquier dirección de la zona Untrust a un servidor web llamado “server1” en la zon

WebUI

1. Servicio personalizadoObjects > Services > Custom > New: Introduzca los siguientes datos y, a co

Service Name: HTTP1

Transport Protocol: TCP (seleccione)

Source Port Low: 0

Source Port High: 65535

Destination Port Low: 8080

Destination Port High: 8080

custom-ftp (puerto 2121)

ZZona Untrust

Internet

El cortafuegos de NetScreen permite tráfico custom-ftp en el puerto 2121.

El módulo DI comprueba si hay ataques CRITICAL:FTP:SIGS en el puerto 2121.


176

en OK:

ga clic en OK:

siguiente y haga clic en OK sica de directivas:

siguientes grupos de e Members” a la columna


2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga clic

Address Name: server1


IP/Netmask: 1.2.2.5/32

Zone: DMZ

3. DirectivaPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:



Address Book Entry: (seleccione), server1

Service: HTTP1

Application: HTTP

Action: Permit

> Haga clic en Deep Inspection, introduzca lo para regresar a la página de configuración bá


Utilice el botón << para mover losataques de la columna “Availabl“Selected Members”:

CRITICAL:HTTP:ANOM

CRITICAL:HTTP:SIGS

HIGH:HTTP:ANOM

HIGH:HTTP:SIGS

MEDIUM:HTTP:ANOM

MEDIUM:HTTP:SIGS


177

080-8080

permit attack


CLI

1. Servicio personalizadoset service HTTP1 protocol tcp src-port 0-65535 dst-port 8

2. Direcciónset address dmz server1 1.2.2.5/32

3. Directivans-> set policy id 1 from untrust to dmz any server1 HTTP1

CRITICAL:HTTP:ANOM action close-serverns-> set policy id 1ns(policy:1)-> set attack CRITICAL:HTTP:SIGSns(policy:1)-> set attack HIGH:HTTP:ANOMns(policy:1)-> set attack HIGH:HTTP:SIGSns(policy:1)-> set attack MEDIUM:HTTP:ANOMns(policy:1)-> set attack MEDIUM:HTTP:SIGSns(policy:1)-> exitns-> set policy id 1 application httpsave

Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados

178

plicación Deep Inspection den ser firmas completas o

ario crear un objeto de ataque,

por el usuario deben

rmas. Para obtener más 2004, consulte “Cambio de

una firma que coincida con s:

specificados en la norma

usuario al registrarse en un

descodificada a partir de


OBJETOS DE ATAQUE Y GRUPOS PERSONALIZADOSEs posible definir nuevos objetos de ataque y grupos de objetos para personalizar la a(DI) con el fin de resolver lo mejor posible sus necesidades. Los objetos de ataque pue(en el dispositivo NetScreen-5000) firmas de secuencias TCP.

Objetos de ataque de firma completa definidos por el usuSe puede crear un objeto de ataque de firma completa para FTP, HTTP y SMTP. Pararealice los pasos siguientes:

• Asigne un nombre el objeto de ataque. (Todos los objetos de ataque definidoscomenzar con “CS:”).

• Establezca el contexto para la búsqueda de Deep Inspection.

• Defina la firma.

• Asigne un nivel de gravedad al objeto de ataque.

En las siguientes subsecciones se examinan los temas relacionados con contextos y fiinformación sobre los niveles de gravedad utilizados por NetScreen-Security Manager los niveles de gravedad” en la página 161.

ContextosEl contexto define la ubicación dentro del paquete donde el módulo NetScreen DI buscael patrón del objeto de ataque. Puede especificar cualquiera de los contextos siguiente

• FTP Command: Establece el mismo contexto que uno de los comandos FTP eRFC 959, “File Transfer Protocol (FTP)”

• FTP User Name: Establece el mismo contexto que el nombre introducido por unservidor FTP.

• HTTP URL Parsed: Establece el contexto como cadena de texto “normalizada”una cadena unicode.

• SMTP Header From: Establece el contexto del encabezado SMTP “From:”

• SMTP Header To: Establece el contexto del encabezado SMTP “To:”


179

AIL FROM”.

PT TO”.

po de objetos de ataque

racteres normales para buscar para ampliar las posibles guientes expresiones regulares:

jetos de ataque definidos por el ataque predefinidos y definidos

do

exactamente con este número 2”.

exactamente con estos cinco hexadecimales: 00”.

s caracteres contenidos en “cat” ar si están en letras mayúsculas o s.


• SMTP Mail From: Establece el contexto como línea de comandos SMTP “M

• SMTP Recipient: Establece el contexto como línea de comandos SMTP “RC

A continuación deberá colocar un objeto de ataque definido por el usuario en un grudefinido por el usuario para su utilización en directivas.

FirmasPara introducir el texto de una firma, puede escribir una cadena alfanumérica de cacoincidencias exactas carácter por carácter, o puede utilizar expresiones regulares coincidencias de la búsqueda a conjuntos de caracteres. ScreenOS reconoce las si

Nota: Un grupo de objetos de ataque definido por el usuario sólo puede contener obusuario. En el mismo grupo de objetos de ataque no se pueden mezclar objetos de por el usuario.

Finalidad Metacaracteres Ejemplo Significa

Coincidencia binaria directa (octal)*

\Ooctal_number \0162

Coincide con:162

Coincidir octal: “16

Coincidencia binaria directa (hexadecimal)†

\Xhexadecimal_number \X \X01 A5 00 00\X

Coincide con:01 A5 00 00

Coincidir números “01 A5 00

Coincidencias sin distinguir mayúsculas de minúsculas

\[characters \] \[cat\]

Coincide con:Cat, cAt, caTCAt, CaT, CATcat, cAt

Buscar losin importminúscula


180

lquier carácter-t”.

más ocurrencias de “a”, 1 o más ocurrencias de “b” y una ocurrencia de “c”.

ás ocurrencias de “a”, 1 o más ocurrencias de “b” y rencia de “c”.

-packet” o “droppacket”.

” o “packet”.


Coincidencia con cualquier carácter

. c . t

Coincide con:cat, cbt, cct, … cztcAt, cBt, cCt, … cZtc1t, c2t, c3t, … c9t

Busca “c-cua

Buscar el carácter anterior 0 o más veces, en lugar de sólo una vez seguida.

* a*b+c

Coincide con:bcbbcabcaaabbbbc

Buscar 0, 1 oseguidas porseguidas por

Buscar 1 o más ocurrencias del carácter anterior.

+ a+b+c

Coincide con:abcaabcaaabbbbc

Buscar 1 o mseguidas porpor una ocur

Busca el carácter anterior 0 veces o 1 vez.

? drop-?packet

Coincide con:drop-packetdroppacket

Buscar “drop

Expresiones de grupos ( )

El carácter anterior o el siguiente. Se utiliza típicamente con ( )

| (drop | packet)

Coincide con:droppacket

Buscar “drop

Finalidad Metacaracteres Ejemplo Significado


181

do lo que comience con “c”, “d”, enga la letra central “a” y la última “t”.

tras minúsculas.

e representan dígitos hexadecimales

do


Rango de caracteres [start-end ] [c-f]a(d | t)

Coincide con:cad, catdad, datead, eatfad, fat

Buscar to“e” o “f”, tletra “d” o

Negación del carácter siguiente.

[^character] [^0-9A-Z]

Coincide con:a, b, c, d, e, … z

Buscar le

* Octal es el sistema numérico en base 8 que utiliza solamente los dígitos 0-7.† Hexadecimal es un sistema numérico en base 16 que utiliza los dígitos 0–9 habituales más las letras A–F, qu

equivalentes a los valores decimales 10–15.

Finalidad Metacaracteres Ejemplo Significa


182

l usuario zona DMZ. Definirá los

llamado “DMZ DI”, al que es en la zona DMZ.

en OK:

en OK:

or FTP.

o de sesión “dmartin”.

ualquier petición HTTP.

uenta del dominio “spam.com”.


Ejemplo: Objetos de ataque de firma completa definidos por eEn este ejemplo tendrá un servidor FTP, un servidor web y un servidor de correo en lasiguientes objetos de ataque para los usos siguientes:

A continuación los organizará en un grupo de objetos de ataque definido por el usuariohará referencia en una directiva que permita el tráfico de la zona Untrust a los servidor

WebUI

1. Objeto de ataque 1: ftp-storObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic

Attack Name: cs:ftp-stor

Attack Context: FTP Command

Attack Severity: Medium

Attack Pattern: stor

2. Objeto de ataque 2: ftp-user-dmObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic

Attack Name: cs:ftp-user-dm

Attack Context: FTP User Name

Attack Severity: Low

Attack Pattern: dmartin

Nombre del objeto de ataque

Puede utilizarlo para

cs:ftp-stor impedir que alguien pueda colocar archivos en su servid

cs:ftp-user-dm denegar el acceso FTP al usuario con el nombre de inici

cs:url-index bloquear los paquetes HTTP con una URL definida en c

cs:spammer bloquear el correo electrónico procedente de cualquier c


183

clic en OK:

clic en OK:

de grupo, mueva los siguientes

ara mover la dirección de la “Selected Members”.

<< para mover la dirección de na “Selected Members”.

para mover la dirección de la “Selected Members”.

para mover la dirección de la “Selected Members”.


3. Objeto de ataque 3: url-indexObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga

Attack Name: cs:url-index

Attack Context: HTTP URL Parsed

Attack Severity: High

Attack Pattern: .*index.html.*

4. Objeto de ataque 4: url-indexObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga

Attack Name: cs:spammer

Attack Context: SMTP From

Attack Severity: Info

Attack Pattern: [email protected]

5. Grupo de objetos de ataqueObjects > Attacks > Custom Groups > New: Introduzca el siguiente nombre objetos de ataque personalizados y haga clic en OK:

Group Name: CS:DMZ DI

Seleccione cs:ftp-stor y utilice el botón << pcolumna “Available Members” a la columna

Seleccione cs:ftp-user-dm y utilice el botón la columna “Available Members” a la colum

Seleccione cs:url-index y utilice el botón <<columna “Available Members” a la columna

Seleccione cs:spammer y utilice el botón <<columna “Available Members” a la columna


184

haga clic en OK:

ga clic en OK para regresar a ivas.




6. DirectivaPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:




Service: HTTP

> Haga clic en Multiple, seleccione FTP y hala página de configuración básica de direct

Action: Permit



Utilice el botón << para mover lataques de la columna “Avail“Selected Members”,

CS:DMZ DI


185

low

ity high

attack “CS:DMZ DI”


CLI

1. Objeto de ataque 1: ftp-storset attack cs:ftp-stor ftp-command stor severity medium

2. Objeto de ataque 2: ftp-user-dmset attack cs:ftp-user-dm ftp-username dmartin severity

3. Objeto de ataque 3: url-indexset attack cs:url-index http-url-parsed index.html sever

4. Objeto de ataque 4: url-indexset attack cs:spammer smtp-from [email protected] severity info

5. Grupo de objetos de ataqueset attack group “CS:DMZ DI”set attack group “CS:DMZ DI” add cs:ftp-storset attack group “CS:DMZ DI” add cs:ftp-user-dmset attack group “CS:DMZ DI” add cs:url-indexset attack group “CS:DMZ DI” add cs:spammer

6. Directivaset policy id 1 from untrust to dmz any any http permit

action close-serverset policy id 1ns(policy:1)-> set service ftpns(policy:1)-> exitsave


186

un nombre de usuario de FTP ones en cualquier lugar y en

ecesario definirlos. Al crear un

usuario deben comenzar con

por el usuariobre como “CS:A1” y su nivel de te a grupos de objetos de te, definirá una directiva que

ión y enviar TCP RST al cliente

NetScreen-5000.


Objetos de ataque de la firma de la secuencia TCPLas firmas completas dependen de los contextos de aplicaciones específicas, comoo un campo de encabezado de SMTP. Las firmas de la secuencia TCP buscan patrcualquier tipo de tráfico TCP sin importar el protocolo de aplicación utilizado.

Dado que no hay objetos de ataque de firma de la secuencia TCP predefinidos, es nobjeto de ataque de firma, defina los siguientes componentes:

• Nombre del objeto de ataque (Todos los objetos de ataque definidos por el “CS:”).

• Tipo de objeto (“stream”)

• Definición de patrón

• Nivel de gravedad

Ejemplo: Objeto de ataque de firma de secuencia definido En este ejemplo definirá el objeto de firma de secuencia “.*satori.*”. Definirá su nomgravedad como crítico. Debido a que una directiva puede hacer referencia solamenataque, creará un grupo llamado “CS:Gr1” y luego le agregará este objeto. Finalmenhaga referencia a CS:Gr1 y que ordene al dispositivo NetScreen interrumpir la conexsi el patrón aparece en algún tráfico al que sea aplicable la directiva.

Nota: Las firmas de secuencias TCP sólo se pueden definir en sistemas de la serie

Nombre Tipo Definición Nivel de gravedad

Ejemplo de un objeto de ataque de firma de secuencia TCP


187

en OK:

aga clic en OK:

bers” y haga clic en << ”.

a clic en OK:

iguiente y haga clic en OK ica de directivas:

“Available Members” y haga mna “Selected Members”.


WebUI

1. Objeto de ataque de firma de secuenciaObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic

Attack Name: CS:A1

Attack Context: Stream

Attack Severity: Critical

Attack Pattern: .*satori.*

2. Grupo de objetos de ataque de firma de secuenciaObjects > Attacks > Custom Groups > New: Introduzca los siguientes datos y h

Group Name: CS:Gr1

Seleccione CS:A1 en la columna “Available Mempara moverlo a la columna “Selected Members

3. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y hag

Source Address:




Service: ANY

Action: Permit

> Haga clic en Deep Inspection, introduzca lo spara regresar a la página de configuración bás

Action: Close Client

Seleccione CS:Gr1 en la columna clic en << para moverlo a la colu


188

ck CS:Gr1 action


CLI

1. Objeto de ataque de firma de secuenciaset attack “CS:A1” stream “.*satori.*” severity critical

2. Grupo de ataques de firma de secuenciaset attack group “CS:Gr1”set attack group “CS:Gr1” add “CS:A1”

3. Directivaset policy from trust to untrust any any any permit atta

close-clientsave

Capítulo 5 Deep Inspection Bloqueo granular de los componentes de HTTP

189

lets de Java, archivos .zip y n a la seguridad de una red es lar una aplicación en los hosts

seguridad, el dispositivo sa zona. Comprueba si el tipo de destino se encuentra en la reen está configurado para uete. Si el tipo de contenido

ivo NetScreen examina el tipo creen está configurado para

bloquea todos los paquetes s ActiveX, applets de Java,

es web para crear páginas web versos programas interactuar o mostrar su cuenta personal ontener otros componentes

ea los applets de Java, o si no.


BLOQUEO GRANULAR DE LOS COMPONENTES DE HTTPUn dispositivo NetScreen puede bloquear selectivamente controles de ActiveX, apparchivos .exe enviados a través de HTTP. El peligro que estos componentes planteaque proporcionan a los interlocutores no fiables un medio para cargar y luego controde una red protegida.

Cuando se habilita el bloqueo de uno o más de estos componentes en una zona deNetScreen examina cada encabezado HTTP que llegue a una interfaz asociada a ede contenido detallado en el encabezado indica que cualquiera de los componentescarga del paquete. Si el tipo de contenido es Java, .exe, o .zip y el dispositivo NetScbloquear esos tipos de componentes HTTP, el dispositivo NetScreen bloquea el paqsólo detalla “octet stream” en lugar de un tipo específico de componente, el dispositde archivo en la carga. Si el tipo de archivo es Java, .exe, o .zip y el dispositivo NetSbloquear esos tipos de componentes, el dispositivo NetScreen bloquea el paquete.

Cuando se habilita el bloqueo de los controles de ActiveX, el dispositivo NetScreen HTTP que contienen cualquier tipo de componente HTTP en sus controles (controlearchivos .exe o archivos .zip).

Controles ActiveXLa tecnología ActiveX de Microsoft proporciona una herramienta para los diseñadordinámicas e interactivas. Los controles ActiveX son componentes que permiten a dientre sí. Por ejemplo, ActiveX permite a su explorador web abrir una hoja de cálculodesde una base de datos backend. Los componentes de ActiveX también pueden ctales como applets de Java, o archivos como .exe y .zip.

Nota: Cuando el bloqueo de ActiveX está habilitado, el dispositivo NetScreen bloquarchivos .exe y archivos .zip tanto si están contenidos en un control de ActiveX com


190

roles de ActiveX al equipo. o del programador que

ncia del código, puede iniciar la

e su creador haya previsto. Si ivos, enviar todo su correo

a funcionalidad de las páginas n a una máquina virtual de

que los applets interactuaran ron relajadas para proporcionar r a recursos locales fuera de la

fuera de la VM, plantean la

t, no existe garantía de que ario malintencionado podría sponder con un archivo .exe

contiene unos o más archivos cción anterior que trata sobre ontener archivos “.exe”.


Cuando se visita un sitio web con ActiveX habilitado, el sitio pide descargar los contMicrosoft proporciona un mensaje emergente que muestra el nombre de la empresaautenticó el código ActiveX que se ofrece para su descarga. Si confia en la procededescarga de los controles. Si no confía en el origen, puede rechazarlos.

Si descarga un control ActiveX a su equipo, a continuación podrá hacer con él lo ques código malévolo, podrá volver a formatear su disco duro, eliminar todos sus archelectrónico personal a su jefe, etcétera.

Applets de JavaCon una finalidad parecida a la de ActiveX, los applets de Java también aumentan lweb al permitirles interactuar con otros programas. Los applets de Java se descargaJava (VM) en su equipo. En la versión inicial de Java, la máquina virtual no permitíacon otros recursos de su equipo. Desde Java 1.1, algunas de estas restricciones fuemayor funcionalidad. Consecuentemente, los applets de Java ahora pueden accedeVM. Debido a que un atacante puede programar los applets de Java para funcionarmisma amenaza a la seguridad que los controles de ActiveX.

Archivos EXEEn los archivos ejecutables (archivos con la extensión .exe) descargados de Internepuedan ejecutarse sin riesgo. Aunque el sitio de descarga sea de confianza, un usuestar rastreando las peticiones de descarga de ese sitio, interceptar su petición y remanipulado con código dañino.

Archivos ZIPUn archivo ZIP (es decir, un archivo con la extensión “.zip”) es un tipo de archivo quecomprimidos. El peligro de descargar un archivo “.exe” como el presentado en la searchivos “.exe” también puede aplicarse a los archivos “.zip”, ya que éstos pueden c


191

hivos .exe en los paquetes que

Block EXE Component y


Ejemplo: Bloquear applets de Java y archivos “.exe”En este ejemplo bloqueará todo el tráfico HTTP que contenga applets de Java y arclleguen a una interfaz de la zona Untrust.

WebUI

Screening > Screen (Zone: Untrust): Seleccione Block Java Component yhaga clic en Apply .

CLI

set zone untrust screen javaset zone untrust screen exesave


192

6

193

Capítulo 6

s

nipular los paquetes para que ervice” o “DoS”). A veces

ho de que esté manipulado nes SCREEN presentadas en ocultas:


Atributos de los paquetes sospechoso

Según lo mostrado en los demás capítulos de este volumen, un atacante puede marealicen tareas de reconocimiento o ataques de denegación de servicio (“Denial of Sresulta difícil determinar la intención de un paquete manipulado, pero el mismo hecinduce a sospechar que se está incluyendo con algún fin insidioso. Todas las opcioeste capítulo bloquean los paquetes sospechosos que pueden contener amenazas

• “Fragmentos ICMP” en la página 194

• “Paquetes ICMP grandes” en la página 196

• “Opciones IP incorrectas” en la página 198

• “Protocolos desconocidos” en la página 200

• “Fragmentos de paquetes IP” en la página 202

• “Fragmentos SYN” en la página 204

Capítulo 6 Atributos de los paquetes sospechosos Fragmentos ICMP

194

o “ICMP”) ofrece posibilidades MP contienen mensajes muy entados. Cuando un paquete pción SCREEN “ICMP e tenga el flag de más desplazamiento (“offset”).

ación del encabezado

tal del paquete bytes)iento del ento

omprobación

correlativo

ado o hay un valor distinto de cero en el campo de desplazamiento del


FRAGMENTOS ICMPEl protocolo de mensajes de control de Internet (“Internet Control Message Protocol”de comunicación de errores y de comprobación de redes. Dado que los paquetes ICcortos, no existe ningún motivo legítimo para que los paquetes ICMP resulten fragmICMP es tan grande que necesita fragmentarse, hay algún problema. Si habilita la oFragment Protection”, el dispositivo NetScreen bloquea cualquier paquete ICMP qufragmentos (“More Fragments”) activado o que contenga algún valor en el campo de

Versión

Suma de comprob


Opciones

Encabezado ICMP (carga

del paquete IP)

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño to

(en

0 D M Desplazamfragm

Tiempo de vida (“Time to Live” o “TTL”) Protocolo (ICMP = 1)

Tipo Código Suma de c

NúmeroIdentificador

Datos

y el flag de más fragmentos está activ

Si el tipo de protocolo es 1 para ICMP…

… el dispositivo NetScreen bloquea el paquete.

Capítulo 6 Atributos de los paquetes sospechosos Fragmentos ICMP

195

os, donde la zona de seguridad

P Fragment Protection y


Para bloquear los paquetes ICMP fragmentados, utilice uno de los siguientes métodespecificada es la zona en la que se originaron los fragmentos:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione ICMhaga clic en Apply .

CLI

set zone zone screen icmp-fragment

Capítulo 6 Atributos de los paquetes sospechosos Paquetes ICMP grandes

196

ocolo de mensajes de control municación de errores y s, no existe ningún motivo s inusualmente grande, hay tir mensajes secretos. La té actuando como agente de

sitivo NetScreen descarta los

ción del encabezado

total del en bytes)

iento del fragmento

probación

rrelativo

y este valor es > 1024, …


PAQUETES ICMP GRANDESSegún lo indicado en la sección anterior “Fragmentos ICMP” en la página 194, el protde Internet (“Internet Control Message Protocol” o “ICMP”) ofrece posibilidades de cocomprobación de redes. Dado que los paquetes ICMP contienen mensajes muy cortolegítimo para que se generen paquetes ICMP de gran tamaño. Si un paquete ICMP ealgún problema. Por ejemplo, el programa Loki utiliza ICMP como canal para transmipresencia de paquetes ICMP grandes podría dejar al descubierto a un equipo que esLoki. También podría indicar algún otro tipo de actividad ilegítima.

Cuando se habilita la opción SCREEN “Large Size ICMP Packet Protection”, el dispopaquetes ICMP con un tamaño superior a 1024 bytes.

Versión

Suma de comproba


Opciones

Encabezado ICMP (carga

del paquete IP)

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño

paquete (

0 D M Desplazam

Tiempo de vida (“Time to Live” o “TTL”)

Protocolo (ICMP = 1)

Tipo Código Suma de com

Número coIdentificador

Datos

Cuando el tipo de protocolo es 1 para ICMP …


Capítulo 6 Atributos de los paquetes sospechosos Paquetes ICMP grandes

197

odos, donde la zona de

ge Size ICMP Packet (Size >


Para bloquear los paquetes ICMP de gran tamaño, utilice uno de los siguientes métseguridad especificada es la zona en la que se originaron los paquetes:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Lar1024) Protection y haga clic en Apply.

CLI

set zone zone screen icmp-large

Capítulo 6 Atributos de los paquetes sospechosos Opciones IP incorrectas

198

junto de ocho opciones que as de seguridad. Aunque la allado la forma de explotarlas e las opciones IP que los en la página 14.)

opciones IP, generando ersona que manipuló el ara el destinatario.

Screen bloquea los paquetes tScreen registra el evento en el

ón del encabezado

quete (en bytes)

to del fragmento

ositivo CREEN


OPCIONES IP INCORRECTASEl estándar del protocolo de Internet “RFC 791, Internet Protocol” especifica un conofrecen controles de enrutamiento especiales, herramientas de diagnóstico y medidfinalidad original prevista para estas opciones era legítima, algunas personas han hpara lograr objetivos menos loables. (Para ver un resumen de las vulnerabilidades datacantes pueden explotar, consulte “Reconocimiento de red mediante opciones IP”

Ya sea intencional o accidentalmente, en ocasiones los atacantes desconfiguran lascampos incompletos o mal formados. Con independencia de las intenciones de la ppaquete, un formato incorrecto es de por sí algo anómalo y potencialmente dañino p

Cuando se habilita la opción SCREEN “Bad IP Option Protection”, el dispositivo Netcuyo encabezado IP contenga cualquier opción IP mal formateada. El dispositivo Neregistro de eventos.

Versión

Suma de comprobaci


Opciones

Carga (datos)

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del pa

0 D M Desplazamien

Tiempo de vida (“Time to Live” o “TTL”) Protocolo

Si las opciones IP están mal formateadas, el dispNetScreen registra el evento en los contadores Sde la interfaz de entrada.

Capítulo 6 Atributos de los paquetes sospechosos Opciones IP incorrectas

199

tilice uno de los siguientes l paquete:

d IP Option Protection y haga


Para detectar y bloquear paquetes con opciones IP incorrectamente formateadas, umétodos, donde la zona de seguridad especificada es la zona en la que se originó e

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Baclic en Apply.

CLI

set zone zone screen ip-bad-option

Capítulo 6 Atributos de los paquetes sospechosos Protocolos desconocidos

200

erior están reservados y no ede saber por adelantado si un un protocolo no estándar con pedir que esos elementos

NetScreen descarta los olo 135 o superior.

del encabezado

ete (en bytes)

del fragmento


PROTOCOLOS DESCONOCIDOSPor el momento, los tipos de protocolos con los números de identificación 135 o supdefinidos. Debido precisamente a que estos protocolos no están definidos, no se pudeterminado protocolo desconocido es legítimo o malévolo. Salvo que su red utiliceun número de identificación 135 o superior, una buena medida de precaución es imdesconocidos puedan entrar en su red protegida.

Cuando se habilita la opción SCREEN “Unknown Protocol Protection”, el dispositivopaquetes cuyo campo de protocolo contenga un número de identificación de protoc

Versión

Suma de comprobación


Opciones

Carga (datos)

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paqu

0 D M Desplazamiento


Si el número de identificación del protocoloes 135 o superior, el dispositivo NetScreenbloquea el paquete.

Capítulo 6 Atributos de los paquetes sospechosos Protocolos desconocidos

201

s siguientes métodos, donde la

known Protocol Protection y


Para descartar los paquetes que utilicen un protocolo desconocido, utilice uno de lozona de seguridad especificada es la zona en la que se originan los paquetes:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Unhaga clic en Apply .

CLI

set zone zone screen unknown-protocol

Capítulo 6 Atributos de los paquetes sospechosos Fragmentos de paquetes IP

202

ario dividirlos en trozos más (“Maximum Transmission Unit” explotar las vulnerabilidades iones de pilas IP (“IP stacks”). cesamiento incorrecto de los

na de seguridad, el dispositivo s a esa zona.

el encabezado

ete (en bytes)

iento ento

o hay un valor distinto de cero en el campo de desplazamiento del


FRAGMENTOS DE PAQUETES IPA medida que los paquetes pasan por diferentes redes, en ocasiones resulta necespequeños (fragmentos) para adaptar su tamaño a la unidad de transmisión máximao “MTU”) de cada red. Aprovechando los fragmentos IP, un atacante puede intentarexistentes en el código de reensamblaje de paquetes de determinadas implementacCuando la víctima recibe estos paquetes, los resultados pueden variar desde un propaquetes hasta la caída total del sistema.

Cuando se habilita el dispositivo NetScreen para rechazar fragmentos IP en una zobloquea todos los fragmentos de paquetes IP que reciba en las interfaces asociada

Versión

Suma de comprobación d


Opciones

Carga (datos)

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paqu

0 D M Desplazamdel fragm


Si el flag de más fragmentos está activado …


Capítulo 6 Atributos de los paquetes sospechosos Fragmentos de paquetes IP

203

, donde la zona de seguridad

ck Fragment Traffic y haga


Para descartar los paquetes IP fragmentados, utilice uno de los siguientes métodosespecificada es la zona de origen de los fragmentos:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Bloclic en Apply.

CLI

set zone zone screen block-frag

Capítulo 6 Atributos de los paquetes sospechosos Fragmentos SYN

204

de transmisiones de TCP. Dado que la finalidad puesta, el segmento SYN motivo legítimo para su echoso. Como medida gida.

tScreen detecta los paquetes stá activado en el encabezado de la interfaz de entrada.

iguientes métodos, donde la

Fragment Protection y haga


FRAGMENTOS SYNEl protocolo de Internet (IP) encapsula los segmentos SYN del protocolo de control (“Transmission Control Protocol” o “TCP”) en el paquete IP que inicia una conexión de este paquete es iniciar una conexión e invocar un segmento SYN/ACK como resgeneralmente no contiene datos. Como el paquete IP es pequeño, no existe ningúnfragmentación. Un paquete SYN fragmentado es algo anómalo y, por lo tanto, sosppreventiva, impida que tales elementos desconocidos puedan entrar en su red prote

Cuando se habilita la opción SCREEN “SYN Fragment Detection”, el dispositivo Necuyo encabezado IP indique que el paquete se ha fragmentado y que el flag SYN eTCP. El dispositivo NetScreen registra el evento en la lista de contadores SCREEN

Para descartar los paquetes IP que contengan fragmentos SYN, utilice uno de los szona de seguridad especificada es la zona en la que se originan los paquetes:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYNclic en Apply.

CLI

set zone zone screen syn-frag


205

destino de 16 bits

de 16 bits

16 bits

ión del encabezado

paquete (en bytes)

lazamiento fragmento

s o hay un valor distinto de cero en el campo de desplazamiento del

creen te.


Número de puerto de origen de 16 bits Número de puerto de



U R G

A C K

P S H

R S T

Suma de comprobación de TCP de 16 bits Puntero urgente

Tamaño de ventana deTamaño de


Reservado (6 bits)


Datos (si los hay)

S Y N

F I N

Encabezado TCP

… y el flag SYN está activado …

Versión

Suma de comprobac



Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del

0 D M Despdel


Si el flag de más fragmentoestá activado …

… el dispositivo NetSdescarta el paque


206

Índice

IX-I

ActiveX, bloqueo 189onesviiación xbres xiUI viii

pection 161–185nes de ataque 163–173alías del protocolo 160

de datos de objetos de ataque 147–155biar gravedad 161exto 178esiones regulares 179–181s completas 158s personalizadas 179–185os de objetos de ataque 160tos de ataque 143tos de ataque personalizados 178icios personalizados 174–177ión de servicioe DoSresión, análisis antivirus 102

exto 146do de URL 136ión central 26, 14584ue específico del sistema operativo 79–84fuegos 46–55

dación de la tabla de sesiones 27, 4656–78pf-route 28

iento agresivo 50–53miento de conexión en tres fases 56

NetScreen: conceptos y ejemplos – volumen 4: Mecanismos de detección de ataques y defensa

ÍndiceAacciones de ataque 163–173

close 163close client 163close server 163drop 163drop packet 163ignore 164none 164

ALG 87análisis antivirus 91–130

analizador AV externo 107–130analizador AV interno 92–106aplicación 120conexiones TCP máximas 111correo web HTTP 96descompresión 102externo, HTTP 109externo, recursos CSP 112externo, SMTP 108goteo HTTP 115HTTP “keep-alive” 114interno, HTTP 95interno, POP3 94interno, SMTP 93interno, suscripción 97InterScan VirusWall 107modo de fallo 112múltiples objetos AV 124objetos AV 110–119umbral de modo de fallo 113

análisis de puertos 12análisis FIN 24anomalías del protocolo 160applets Java, bloquear 190archivos exe, bloquear 190archivos zip, bloquear 190ataque “Teardrop” 81ataque terrestre 77ataque WinNuke 83

ataquesataque terrestre 77direcciones MAC desconocidas 64etapas 2fragmentos de paquetes IP 202fragmentos ICMP 194fragmentos SYN 204–205inundación de la tabla de sesiones 27inundación ICMP 73inundación SYN 56–64inundación UDP 75objetivos comunes 1opciones de detección y defensa 3–6paquetes ICMP grandes 196Ping of Death 79protocolos desconocidos 200Teardrop 81WinNuke 83

AV, análisisvéase análisis antivirus

Bbase de datos de objetos de ataque 147–155

actualización automática 147, 150actualización inmediata 147, 148actualización manual 148, 154cambiar la URL predeterminada 154notificación automática y actualización

manual 148, 152

CCLI

convenciones viicomprobación de SYN 24, 25–27

agujero de reconocimiento 26enrutamiento asimétrico 26interrupción de sesión 26inundación de la tabla de sesiones 27

conjuntos de caracteres compatibles con ScreenOS xi

controlesconvenci

CLIilustrnomWeb

CSP 107

DDDoS 45Deep Ins

accioanombasecamcontexprfirmafirmagrupobjeobjeserv

denegacvéas

descompdirectivas

contfiltrasecc

DoS 45–ataqcortainunred

drop-no-r

Eenvejecimestableci

Índice

IX-II

enciones xi

ntiviruse objetos AVV 110–119dos 110ero de puerto 111po de espera 111e ataque 143alías del protocolo 160

s completas 158s de secuencias TCP 186 seguridad IP 15, 17 de grabación de ruta 15, 17 de ID de secuencia 15, 17 de marca de hora 16, 17 de ruta de origen abierta 15, 39–42 de ruta de origen estricta 16, 39–42 IP 14–17utos 14–16ateadas incorrectamente 198ación de ruta 15, 17e secuencia 15, 17a de hora 16, 17de origen 39de origen abierta 15, 39–42de origen estricta 16, 39–42ridad 15, 17

eath 79n contra URL maliciosas 86–90n frente a ataquesl de directivas 6l de zona de seguridad 6 de análisis de contenidose CSPs desconocidos 200 enlace en la capa de aplicacióne ALG


evasión 24–42exploits

véase ataquesexpresiones regulares 179–181

Ffiltrado de contenidos 85–139filtrado de paquetes dinámico 3filtrado de URL 131–139

activación en el nivel de dispositivo 136aplicación en el nivel de directivas 136enrutamiento 137estado del servidor 136mensaje de URL bloqueada de NetScreen 135modo de fallo/paso 135nombre del servidor Websense 134puerto del servidor Websense 134servidores por vsys 133tiempo de espera de comunicaciones 134tipo de mensaje de URL bloqueada 135

FIN sin flag ACK 20firmas completas 158

definición 158flags SYN y FIN activados 18Fragmentos SYN 204–205

Ggrupos de objetos de ataque 160

cambiar gravedad 161niveles de gravedad 160

HHTTP

bloqueo de componentes 189–191goteo 115método “keep-alive” 114tiempo de espera de la sesión 52

IICMP

fragmentos 194paquetes grandes 196

ilustraciónconvenciones x

inspección de estado 3InterScan VirusWall 107inundación de la tabla de sesiones 27, 46inundación del proxy SYN-ACK-ACK 54inundación ICMP 73inundación SYN 56–64

ataque 56descartar las direcciones MAC

desconocidas 64tamaño de la cola 64tiempo de espera 64umbral 57umbral de alarma 62umbral de ataque 62umbral de destino 63umbral de origen 63

inundación UDP 75IP

fragmentos de paquetes 202

Llímites de sesiones 46–50

de destino 50de origen 49según sus destinos 47según sus orígenes 46

limpieza de direcciones 10

Mmodo de fallo 112

umbral 113modo de fallo/paso, filtrado de URL 135modo transparente

descartar las direcciones MAC desconocidas 64

Nnombres

conv

Oobjetos a

véasobjetos A

estanúmtiem

objetos danomfirmafirma

opción deopción IPopción IPopción IPopción IPopción IPopciones

atribformgrabID dmarcruta ruta ruta segu

PPing of Dproteccióprotecció

nivenive

protocolovéas

protocolopuerta de

véas

Índice

IX-III

s de secuencias 186ero máximo de conexiones simultáneas 111ete sin flags 22

po de espera de la sesión 51e espera de la sesiónP 52

5152

po de espera de la sesión 52ferior 51uperior 51ringmunication timeout 134sense server port 134

e 131

gente 45, 47


Rrastreo

puertos abiertos 12red 10sistemas operativos 18–22

reconocimiento 9–42análisis de puertos 12análisis FIN 24flags SYN y FIN activados 18limpieza de direcciones 10opciones IP 14paquete TCP sin flags 22

reensamblaje de fragmentos 86–90

SSCREEN

análisis de puertos 12ataque terrestre 77ataque WinNuke 83descartar las direcciones MAC

desconocidas 64FIN sin ACK 24FIN sin flag ACK, descarte 20flags SYN y FIN activados 18fragmentos de paquetes IP, bloquear 202fragmentos ICMP, bloquear 194fragmentos SYN, detectar 204–205inundación del proxy SYN-ACK-ACK 54inundación ICMP 73

inundación SYN 56–64

inundación UDP 75

limpieza de direcciones 10

opción IP de ruta de origen abierta, detectar 42

opción IP de ruta de origen estricta, detectar 42

opción IP de ruta de origen, denegar 42

opciones IP 14

opciones IP incorrectas, descartar 198

paquete TCP sin flags, detectar 22

paquetes ICMP grandes, bloquear 196

Ping of Death 79

protocolos desconocidos, descartar 200

suplantación de IP 28–38

Teardrop 81

zonas VLAN y MGT 3

servicios

personalizados 174

suplantación de IP 28–38

capa 2 30, 37

capa 3 28, 32

drop-no-rpf-route 28

TTCP

firmanúm

paqutiem

tiempo dHTTTCPUDP

UUDP

tiemumbral inumbral sURL filte

comWeb

WWebsens

Zzombie, a

Índice

IX-IV

Documents

CE_v4_SP