Upload
eduardo-antonio-soto-barrios
View
546
Download
6
Tags:
Embed Size (px)
Citation preview
NetScreen conceptos y ejemplosreenOS
de fensa
ScreenOS 5.1.0
Ref. 093-1369-000-SP
Revisión B
Manual de referencia de Sc
Volumen 4: Mecanismosdetección de ataques y de
compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation. interference to radio or television y turning the equipment off and on, the e interference by one or more of the
ing antenna.
en the equipment and receiver.
ienced radio/TV technician for help.
utlet on a circuit different from that to d.
o this product could void the user's device.
ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE
WARRANTY, CONTACT YOUR OR A COPY.
Copyright NoticeCopyright © 2004 Juniper Networks, Inc. All rights reserved.Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.Information in this document is subject to change without notice.No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc.ATTN: General Counsel1194 N. Mathilda Ave.Sunnyvale, CA 94089-1206
FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a paIf this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:
• Reorient or relocate the receiv
• Increase the separation betwe
• Consult the dealer or an exper
• Connect the equipment to an owhich the receiver is connecte
Caution: Changes or modifications twarranty and authority to operate this
DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F
Contenido
defensa i
................................................... 22
................................................... 23
................................................... 27ión contra suplantación 3............................................... 30ión contra suplantación 2............................................... 34
ta de origen ............................. 36
a los ataques .........................................41
l cortafuegos .........................42bla de sesiones .......................... 42es según sus orígenes ................................................... 42ión de sesiones según ................................................... 45ión de sesiones según ................................................... 46gresivo...................................... 46l envejecimiento agresivo
................................................... 49
N-ACK-ACK................................. 50
red .......................................52................................................... 52ión contra inundaciones SYN.... 59
................................................... 67
................................................... 69
nd Attack”)................................. 71
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
ContenidoPrefacio ......................................................................... v
Convenciones ...........................................................viiConvenciones de la interfaz de línea de comandos (CLI) ......................................................vii
Convenciones de la interfaz gráfica (WebUI) .............viii
Convenciones para las ilustraciones............................ x
Convenciones de nomenclatura y conjuntos de caracteres ................................................................... xi
Documentación de NetScreen de Juniper Networks ..................................................xii
Capítulo 1 Protección de una red................................1
Etapas de un ataque .................................................2
Mecanismos de detección y defensa .......................3
Supervisión de exploits ...............................................5Ejemplo: Supervisión de ataques desde la zona Untrust .....................................................................6
Capítulo 2 Bloqueo de reconocimiento .......................7
Barrido de direcciones IP ...........................................8
Análisis de puertos....................................................10
Reconocimiento de red mediante opciones IP .......12
Rastreo del sistema operativo ..................................16Flags SYN y FIN activados ...........................................16
Flag FIN sin flag ACK...................................................18
Encabezado TCP sin flags activados..........................20
Técnicas de evasión ................................................22
Análisis FIN...............
Flags no SYN............
Suplantación de IP ..Ejemplo: Proteccde IP en la capaEjemplo: Proteccde IP en la capa
Opciones de IP de ru
Capítulo 3 Defensas contrde denegación de servicio
Ataques DoS contra eInundación de la ta
Límites de sesiony destinos ..........Ejemplo: Limitacsu origen ...........Ejemplo: Limitacsu destino..........Envejecimiento aEjemplo: Forzar ede sesiones .......
Inundación proxy SY
Ataques DoS contra laInundación SYN.......
Ejemplo: Protecc
Inundación ICMP ....
Inundación UDP.......
Ataque terrestre (“La
Contenido
defensa ii
en modo de fallo .................. 108p-Alive .................................... 108
................................................. 109
............................................111rado......................................... 112bres de dominios (DNS)............ 113do de URL............................... 113
el filtrado de URL ..................... 114................................................. 115ría de URL................................ 116o URL ........................................ 117 filtrado de URL ....................... 119
as de URL................................. 120 de URL integrado.................... 121ntrol ........................................ 124o de URL.................................. 125tros del caché ........................ 125
del filtrado de URL .................. 126ración del filtrado de URL ....... 132
n .....................................135
pection................................137
datos de objetos ............................................141zación inmediata ..................... 142zaciones automáticas.............. 144ción automática nmediata................................. 145zación manual ......................... 147
rupos..................................149les............................................ 151
................................................. 156
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ataques DoS específicos de cada sistema operativo .....................................................73
“Ping of Death” ...........................................................73
Ataque “Teardrop”......................................................75
WinNuke......................................................................77
Capítulo 4 Supervisión y filtrado de contenidos .........79
Reensamblaje de fragmentos..................................81Protección contra URLs maliciosas .............................81
Puerta de enlace en la capa de aplicación.............82Ejemplo: Bloqueo de URLs maliciosas fragmentadas ......................................................83
Análisis antivirus ........................................................86Análisis del tráfico FTP .................................................87
Análisis del tráfico HTTP ...............................................89Extensiones MIME de HTTP.....................................90Correo web HTTP...................................................91
Análisis del tráfico IMAP y POP3 ..................................92
Análisis del tráfico SMTP ..............................................94
Actualización del archivo de firmas AV ......................96Ejemplo: actualización automática .....................98Ejemplo: Actualización manual............................99
Aplicación de análisis AV .........................................100Ejemplo: Análisis AV interno (POP3).....................100
Ajustes del analizador AV..........................................103Análisis selectivo de contenido ..........................103Ejemplo: Análisis de todos los tipos de tráfico....104Ejemplo: Análisis AV para SMTP y HTTP ................105Descompresión y tamaño máximo de los contenidos...............................................106Ejemplo: Descartar archivos de gran tamaño.................................................106Asignación de recursos a AV..............................107
ComportamientoMétodo HTTP KeeGoteo HTTP ........
Filtrado de URL............Filtrado de URL integ
Servidor de nomContexto de filtraEjemplo: ActivarCategorías URL..Ejemplo: CategoPerfiles de filtradEjemplo: Perfil dePerfiles y directivEjemplo: FiltradoServidores SurfCoCaché del filtradEjemplo: Paráme
RedireccionamientoEjemplo: Configu
Capítulo 5 Deep Inspectio
Resumen de Deep Ins
Servidor de la base dede ataque..................
Ejemplo: ActualiEjemplo: ActualiEjemplo: Notificay actualización iEjemplo: Actuali
Objetos de ataque y gProtocolos compatib
Firmas completas ....
Contenido
defensa iii
............................................200
ión del objeto de ataque ........ 200
os componentes de HTTP.....207
................................................. 207
................................................. 208
................................................. 208
................................................. 208
ar applets de Java ................................................. 209
paquetes sospechosos ..211
............................................212
es.........................................214
s .........................................216
os .......................................218
tes IP ...................................220
............................................222
ataques de ........................................225
e de sobrefacturación .......226
sobrefacturación ...............228
................................................. 228
er de NetScreen....................... 228
ración de la función de taques de sobrefacturación ... 230
a firmas definidas por ..........................................A-I
......................................... IX-I
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Firmas de secuencias TCP ........................................157
Anomalías en el protocolo .......................................157
Grupos de objetos de ataque..................................158
Cambio de los niveles de gravedad .................159
Ejemplo: Deep Inspection para P2P...................161
Desactivación de objetos de ataque ......................163
Acciones de ataque ..............................................164
Ejemplo: Acciones de ataque – Close Server, Close, Close Client .............................................165
Registro de ataques ...............................................176
Ejemplo: Desactivar el registro por grupo de ataques.........................................................176
Asignación de servicios personalizados a aplicaciones .......................................................179
Ejemplo: Asignar una aplicación a un servicio personalizado ....................................................180
Ejemplo: Asignación de aplicación a servicio para ataques de HTTP ........................................184
Objetos de ataque y grupos personalizados.........187
Objetos de ataque de firma completa definidos por el usuario............................................................187
Expresiones regulares.........................................188
Ejemplo: Objetos de ataque de firma completa definidos por el usuario .....................191
Objetos de ataque de la firma de la secuencia TCP..........................................................195
Ejemplo: Objeto de ataque de firma de secuencia definido por el usuario ................196
Parámetros configurables de anomalías de protocolos ...........................................................198
Ejemplo: Modificación de parámetros ..............198
Negación ...................
Ejemplo: Negac
Bloqueo granular de l
Controles ActiveX ....
Applets de Java ......
Archivos EXE ............
Archivos ZIP..............
Ejemplo: Bloquey archivos .exe..
Capítulo 6 Atributos de los
Fragmentos ICMP .......
Paquetes ICMP grand
Opciones IP incorrecta
Protocolos desconocid
Fragmentos de paque
Fragmentos SYN..........
Capítulo 7 Prevención de sobrefacturación de GPRS
Descripción del ataqu
Solución al ataque de
Módulo de NSGP.....
Protocolo Gatekeep
Ejemplo: Configuprevención de a
Apéndice A Contextos parel usuario ...........................
Índice ................................
Contenido
defensa iv
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques yy defensa v
s opciones de seguridad de red iones SCREEN que se pueden
o que llega al dispositivo activado dichas opciones. Las taques de denegación de pciones de seguridad de red, trusiones (IDP), a nivel de ión de las directivas en las que
un ataque y las opciones de
sponibles para bloquear el el tipo de sistema operativo
se explican los ataques DoS n amortigua estos ataques.
ca, tal como se aplica a las minar las directivas de forma
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques
Prefacio
En el Volumen 4, “Mecanismos de detección de ataques y defensa” se describen laNetScreen de Juniper Networks disponibles en ScreenOS. Muchas de ellas son opcactivar en el nivel de zona de seguridad. Las opciones SCREEN se aplican al tráficNetScreen a través de cualquier interfaz asociada a una zona para la que se hayanopciones SCREEN ofrecen protección contra análisis de puertos y direcciones IP, aservicio (DoS) y cualquier otro tipo de actividad maliciosa. Es posible aplicar otras ocomo el filtrado de URL, la comprobación antivirus y la detección y prevención de indirectivas. Estas opciones sólo se aplican al tráfico que se encuentre bajo la jurisdiccse activan.
El material incluido en este volumen está organizado del siguiente modo:
• En el Capítulo 1, “Protección de una red” se resumen las etapas básicas decortafuegos disponibles para combatir al atacante en cada etapa.
• En el Capítulo 2, “Bloqueo de reconocimiento” se describen las opciones dibarrido de direcciones IP, los análisis de puertos y los intentos de descubrir(OS) del sistema objetivo del ataque.
• En el Capítulo 3, “Defensas contra los ataques de denegación de servicio” específicos de cada sistema operativo, red o cortafuegos, y cómo NetScree
Nota: El objeto de las directivas sólo se presenta en este volumen de forma perifériopciones de seguridad de red que se pueden activar a nivel de directivas. Para exacompleta, consulte “Directivas” en la página 2 -307.
Prefacio
defensa vi
ger a los usuarios del protocolo rotocolo de transferencia de s uniformes (URL o “Universal ra el trabajo con productos de e URL.
vo NetScreen para obtener rupos de objetos de ataque
opciones SCREEN que butos de paquete IP e ICMP
describe el ataque de
rcionan descripciones de los completa.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
• En el Capítulo 4, “Supervisión y filtrado de contenidos” se describe cómo protede transferencia de hipertexto (HTTP o “Hypertext Transfer Protocol”) y del parchivos (FTP o “File Transfer Protocol”) frente a los localizadores de recursoResource Locator”) maliciosos y cómo configurar el dispositivo NetScreen paotros fabricantes con la finalidad de proporcionar análisis antivirus y filtrado d
• En el Capítulo 5, “Deep Inspection” se describe cómo configurar el dispositiactualizaciones de objetos de ataque IDP, cómo crear objetos de ataque y gdefinidos por el usuario, y cómo aplicar IDP a nivel de directivas.
• En el Capítulo 6, “Atributos de los paquetes sospechosos” se indican variasprotegen los recursos de red frente a potenciales ataques indicados por atriinusuales.
• En el Capítulo 7, “Prevención de ataques de sobrefacturación de GPRS” sesobrefacturación de GPRS (overbilling) y se explica la solución.
• En el Apéndice A, “Contextos para firmas definidas por el usuario” se propocontextos que se pueden especificar al definir un objeto de ataque de firma
Prefacio Convenciones
defensa vii
guientes secciones:
)s de la interfaz de línea de
por barras verticales ( | ).
manage, ethernet2 o ethernet3”.
vo en el caso de las variables, ra visualizar el número de serie
permitan al sistema reconocer te escribir set adm u joe . Aunque este método se se representan con sus
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las si
• “Convenciones de la interfaz de línea de comandos (CLI)”
• “Convenciones de la interfaz gráfica (WebUI)” en la página viii
• “Convenciones para las ilustraciones” en la página x
• “Convenciones de nomenclatura y conjuntos de caracteres” en la página xi
Convenciones de la interfaz de línea de comandos (CLILas siguientes convenciones se utilizan para representar la sintaxis de los comandocomandos (CLI):
• Los comandos entre corchetes [ ] son opcionales.
• Los elementos entre llaves { } son obligatorios.
• Si existen dos o más opciones alternativas, aparecerán separadas entre sí Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } significa “establecer las opciones de administración de la interfaz ethernet1
• Las variables aparecen en cursiva. Por ejemplo:
set admin user name password
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salque siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system pade un dispositivo NetScreen”.
Nota: Para escribir palabras clave, basta con introducir los primeros caracteres quede forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficienj12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54puede utilizar para introducir comandos, en la presente documentación todos ellos palabras completas.
Prefacio Convenciones
efensa viii
de la WebUI por las que se uadro de diálogo de > New . A continuación se
libretas de direcciones.
New.e diálogo de configuración .
4
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y d
Convenciones de la interfaz gráfica (WebUI)En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación pasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cconfiguración de direcciones se representa como sigue: Objects > Addresses > Listmuestra la secuencia de navegación.
1. Haga clic en Objects en la columna de menú.La opción de menú Objects se desplegará para mostrar las opciones subordinadas que contiene.
2. (Menú Applet) Sitúe el mouse sobre Addresses.(Menú DHTML) Haga clic en Addresses.La opción de menú Addresses se desplegará para mostrar las opciones subordinadas que contiene.
3. Haga clic en List.Aparecerá la tabla de
4. Haga clic en el vínculoAparecerá el cuadro dde nuevas direcciones
1
2
3
Prefacio Convenciones
defensa ix
e diálogo apropiado, donde de cada tarea se divide en dos conjunto de instrucciones configuración que se deben
lic en OK :
Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro dpodrá definir objetos y establecer parámetros de ajuste. El conjunto de instruccionespartes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguienteincluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes derealizar:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga cAddress Name: addr_1IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32Zone: Untrust
Zone: Untrust
Haga clic en OK .
Address Name: addr_1
IP Address Name/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Prefacio Convenciones
defensa x
ustraciones de este manual:
ed de área local (LAN) con na única subredejemplo: 10.1.1.0/24)
nternet
quipo de escritorio
ervidor
ispositivo de red genéricoejemplos: servidor NAT, oncentrador de acceso)
quipo portátil
ango de direcciones IP dinámicas DIP)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Convenciones para las ilustracionesLos siguientes gráficos conforman el conjunto básico de imágenes utilizado en las il
Dispositivo NetScreen genérico
Zona de seguridad
Interfaces de zonas de seguridadBlanca = interfaz de zona protegida (ejemplo: zona Trust)Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust)
Icono de enrutador (router)
Icono de conmutador (switch)
Dominio de enrutamiento virtual
Túnel VPN
Ru(
I
E
S
D(c
Interfaz de túnel
E
R(
Prefacio Convenciones
defensa xi
rescomo direcciones, usuarios ales, túneles de VPN y zonas)
n espacio, la ejemplo,
entrecomillada;
or el contrario, en e indistintamente.
últiples bytes (MBCS). Algunos ntre los conjuntos MBCS,
encuentran el chino, el coreano
ión de las comillas dobles ( “ ), res que contengan espacios.
mite tanto SBCS como MBCS,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Convenciones de nomenclatura y conjuntos de caracteScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtudefinidas en las configuraciones de ScreenOS.
• Si la secuencia de caracteres que conforma un nombre contiene al menos ucadena completa deberá entrecomillarse mediante comillas dobles ( “ ); porset address trust “local LAN” 10.1.1.0/24 .
• NetScreen eliminará cualquier espacio al comienzo o al final de una cadenapor ejemplo, “ local LAN ” se transformará en “local LAN”.
• NetScreen tratará varios espacios consecutivos como uno solo.
• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; pmuchas palabras clave de la interfaz de línea de comandos pueden utilizarsPor ejemplo, “local LAN” es distinto de “local lan”.
ScreenOS admite los siguientes conjuntos de caracteres:
• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Etambién conocidos como conjuntos de caracteres de doble byte (DBCS), se y el japonés.
• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcque tienen un significado especial como delimitadores de cadenas de nomb
Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI adsegún el conjunto de caracteres que admita el explorador web.
Prefacio Documentación de NetScreen de Juniper Networks
defensa xii
r Networks, visite
ase Manager” en la página web os EE.UU.) o al
n nosotros a través de la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS
Para obtener documentación técnica sobre cualquier producto NetScreen de Junipewww.juniper.net/techpubs/.
Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Chttp://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde l+1-408-745-9500 (si llama desde fuera de los EE.UU.).
Si encuentra algún error o omisión en esta documentación, póngase en contacto cosiguiente dirección de correo electrónico:
1
y defensa 1
Capítulo 1
ista contiene algunos objetivos
a denegación de servicio (DoS)
a la red
a la que protege
tege
strar los esfuerzos de los car una red protegida por un
de un ataque y de los diversos er etapa:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques
Protección de una red
Puede haber numerosos motivos para penetrar en una red protegida. La siguiente lcomunes:
• Obtener el siguiente tipo de información sobre la red protegida:
– Topología de la red
– Direcciones IP de los hosts activos
– Números de los puertos activos de los hosts activos
– Sistema operativo de los hosts activos
• Colapsar un host de una red protegida con tráfico fantasma para inducir un
• Colapsar una red protegida con tráfico fantasma para inducir un DoS en tod
• Colapsar un cortafuegos con tráfico fantasma e inducir un DoS para la red
• Provocar daños y robar datos de un host de la red protegida
• Conseguir acceso a un host de la red protegida para obtener información
• Lograr el control de un host para lanzar otros exploits
• Apoderarse de un cortafuegos para controlar el acceso a la red a la que pro
ScreenOS ofrece herramientas de detección y defensa que permiten descubrir y fruhackers por alcanzar los objetivos mencionados anteriormente cuando intentan atadispositivo NetScreen.
Este capítulo proporciona en primer lugar una vista general de las principales etapasmecanismos de defensa que se pueden emplear para frustrar un ataque en cualqui
• “Etapas de un ataque” en la página 2
• “Mecanismos de detección y defensa” en la página 3
• “Supervisión de exploits” en la página 5
Capítulo 1 Protección de una red Etapas de un ataque
defensa 2
tapa, el atacante recopila
es IP).
tectados mediante el barrido de
ebilidad del OS o un tipo de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
ETAPAS DE UN ATAQUENormalmente, los ataques se desarrollan en dos etapas principales. En la primera einformación; en la segunda etapa, lanza el ataque propiamente dicho.
1. Realizar el reconocimiento.
1. Asignar la red y determinar qué hosts están activos (barrido de direccion
2. Averiguar qué puertos están activos (análisis de puertos) en los hosts dedirecciones IP.
3. Determinar el sistema operativo (OS), con lo que se puede revelar una dataque al que sea susceptible ese OS en particular.
2. Lanzar el ataque.
1. Ocultar el origen del ataque.
2. Realizar el ataque.
3. Eliminar u ocultar las pruebas.
Capítulo 1 Protección de una red Mecanismos de detección y defensa
defensa 3
ataque con el que se pretende resulta sencillo establecer una P SYN se puede utilizar como sts activos, o como un ataque
cionamiento. Es más, como los que, podemos considerar las e, e interpretar que constituyen vidades de reconocimiento
a nivel de directivas y de zona
erzona. (Se entiende por zonas de seguridad).reen utilizan un método de étodo, el dispositivo NetScreen s TCP (direcciones IP de origen e paquetes) y mantiene el
spositivo NetScreen también puertos dinámicos o
etScreen compara la da en la tabla de inspección. Si ntrario, el paquete se descarta.ermitiendo o rechazando, todo ispositivo NetScreen aplica o de contenidos y la detección
para ellas. La zona VLAN admite el miten una opción adicional de s opciones SCREEN no se aplican a
ión SYN-ACK-ACK del proxy, bloqueo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
MECANISMOS DE DETECCIÓN Y DEFENSAUn exploit puede ser un simple rastreador para obtener información o un verdaderocomprometer, bloquear o dañar una red o un recurso de red. En algunos casos, no clara distinción entre estos dos objetivos. Por ejemplo, una barrera de segmentos TCun barrido de direcciones IP con el propósito de desencadenar respuestas de los hode inundación SYN con el objetivo de colapsar una red para impedir su correcto funhackers normalmente realizan un reconocimiento del objetivo antes de lanzar el ataactividades de recopilación de información como precursoras de un ataque inminentla primera etapa de un ataque. Por lo tanto, el término “exploit” abarca tanto las acticomo las de ataque; y la distinción entre ambas no siempre está clara.Juniper Networks ofrece diversos métodos de detección y mecanismos de defensa para combatir exploits en todas sus etapas de ejecución:
• Opciones SCREEN a nivel de zona1
• Directivas de cortafuegos a nivel de directivas de interzona, intrazona y sup“superzona” las directivas globales en las que no se incluyen referencias a
Para ofrecer protección contra todos los intentos de conexión, los dispositivos NetScfiltrado de paquetes dinámico conocido como inspección de estado. Mediante este mdetecta los diversos componentes del paquete IP y de los encabezados de segmentoy de destino, números de puertos de origen y de destino, y números de secuencias destado de cada sesión TCP y seudo-sesión UDP que atraviese el cortafuegos. (El dimodifica los estados de sesión basados en elementos cambiantes, como cambios determinación de sesión). Cuando llega un paquete TCP de respuesta, el dispositivo Ninformación incluida en su encabezado con el estado de la sesión asociada almacenacoinciden, se permite que el paquete de respuesta atraviese el cortafuegos. De lo coLas opciones SCREEN de NetScreen aseguran una zona inspeccionando, y luego pintento de conexión que necesite atravesar una interfaz asociada a dicha zona. El dentonces directivas de cortafuegos que pueden contener componentes para el filtrady prevención de intrusiones (IDP).
1. Aunque las zonas VLAN y MGT son zonas de función y no zonas de seguridad, es posible ajustar opciones SCREENmismo conjunto de opciones SCREEN que una zona de seguridad de capa 3. (Las zonas de seguridad de capa 2 adinundación SYN que las zonas de capa 3 no admiten: descartar direcciones MAC desconocidas). Como las siguientela zona MGT, no están disponibles para dicha zona: protección contra inundaciones SYN, protección contra la inundacde componentes HTTP y protección frente a ataques de WinNuke.
Capítulo 1 Protección de una red Mecanismos de detección y defensa
defensa 4
ue ofrece un cortafuegos de
ues cio
el cortafuegos
íficos de cada sistema operativo
la tabla de sesiones
xy SYN-ACK-ACK
N
P
P
re (“Land Attack”)
”
rop”
la red
uetes sospechosos
es
tas
Protocolos desconocidos
Fragmentos de paquetes IP
Fragmentos SYN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
A continuación se incluye un esquema de los conjuntos de mecanismos de defensa qNetScreen para la protección de una red:
Opciones de protección de red
Bloqueo de reconocimiento
Barrido de direcciones IP
Análisis de puertos
Rastreo del sistema operativo
Técnicas de evasión
Deep Inspection
Firmas completas
Anomalías en el protocolo
Bloqueo granular de los componentes de HTTP
Defensas contra los ataqde denegación de servi
Ataques DoS contra
Ataques DoS espec
Inundación de
Inundación pro
Inundación SY
Inundación ICM
Inundación UD
Ataque terrest
“Ping of Death
Ataque “Teard
WinNuke
Ataques DoS contra
Atributos de los paq
Supervisión y filtrado de contenidos
Reensamblaje de fragmentos
Análisis antivirus
Filtrado de URL
Prevención de ataques de sobrefacturación de
GPRS
Descripción del ataque de sobrefacturación
Solución al ataque de sobrefacturación
Fragmentos ICMP
Paquetes ICMP grand
Opciones IP incorrec
Prevención de ataques de sobrefacturación de
GPRS
Capítulo 1 Protección de una red Supervisión de exploits
defensa 5
n a dos niveles: zona de S y medidas de bloqueo de contenidos, el dispositivo irus (AV) y un filtrado de creen aplica IDP a nivel de aliza a nivel de zona. Los cción de red ajustada en una
de haber ocasiones en las que ente un exploit concreto para
descuidado o poco sofisticado).
analizarlo, investigarlo y arado con anterioridad. Puede pero que, en lugar de tomar e intentar comprender el nazas que acechan la red, ción e identidad, tal vez sea el ataque. Puede que también itirá calcular su respuesta.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Como ya hemos mencionado, los ajustes de protección de red de NetScreen operaseguridad y directiva. El dispositivo NetScreen ofrece defensas frente a ataques Doreconocimiento a nivel de zona de seguridad. En el área de supervisión y filtrado deNetScreen aplica un reensamblaje de fragmentos a nivel de zona y un análisis antivlocalizadores de recursos uniformes (URL) a nivel de directivas. El dispositivo NetSdirectivas, excepto para la detección y el bloqueo de componentes HTTP, que se reajustes de cortafuegos a nivel de zona son opciones SCREEN. Una opción de protedirectiva es un componente de dicha directiva.
SUPERVISIÓN DE EXPLOITSAunque normalmente se utiliza el dispositivo NetScreen para bloquear exploits, puese desee obtener información sobre ellos. Es posible que desee estudiar detenidamdescubrir su intención, su nivel de sofisticación o incluso su origen (si el atacante es
Si desea obtener información sobre un exploit, puede dejar que actúe, supervisarlo,reaccionar tal como se haya esbozado en un plan de respuesta ante incidentes prepconfigurar el dispositivo NetScreen para que le notifique la existencia de un exploit, medidas, permita que el exploit se filtre. En tal caso, podrá estudiar qué ha ocurridométodo, la estrategia y los objetivos del atacante. Cuanto mejor comprenda las amemejor podrá fortificar sus defensas. Aunque un hacker astuto puede ocultar su ubicacapaz de averiguar la suficiente información como para determinar dónde se originósea capaz de estimar las habilidades del atacante. Este tipo de información le perm
Capítulo 1 Protección de una red Supervisión de exploits
fensa 6
st a diario, normalmente e origen suplantadas, desea uciéndolas a un sistema tamiento del cortafuegos r de notificar y rechazarlos.
las actividades del atacante P de subida para comenzar
c en Apply :
ccione)
ntos durante un ataque.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y de
Ejemplo: Supervisión de ataques desde la zona UntrustEn este ejemplo, se han producido ataques de suplantación de IP desde la zona Untruentre las 21:00 y las 12:00. En lugar de descartar los paquetes con las direcciones IP dque el dispositivo NetScreen notifique su llegada pero les permita el paso, quizás condtrampa2 conectado en la conexión de interfaz DMZ. A las 20:55, se modifica el comporpara que notifique y acepte los paquetes pertenecientes a un ataque detectado en lugaCada vez que se produzca el ataque, podrá utilizar el sistema trampa para supervisar después de atravesar el cortafuegos. Puede trabajar también en colaboración con el ISa rastrear la procedencia de los paquetes hasta su punto de origen.
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga cli
Generate Alarms without Dropping Packet : (sele
IP Address Spoof Protection: (seleccione)
CLI
set zone untrust screen alarm-without-drop set zone untrust screen ip-spoofingsave
2. Un sistema trampa es un servidor de red que se utiliza como señuelo para atraer a los atacantes y registrar sus movimie
2
y defensa 7
Capítulo 2
red objetivo del ataque (qué s de puertos están activos en
jecutando en los hosts activos). tScreen ofrece varias opciones e obtengan información valiosa
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques
Bloqueo de reconocimiento
Los atacantes pueden planificar mejor sus ataques si antes conocen el diseño de ladirecciones IP tienen los hosts activos), los puntos de entrada posibles (qué númerolos hosts activos) y la constitución de sus víctimas (qué sistema operativo se está ePara obtener esta información, es necesario realizar un reconocimiento. Juniper NeSCREEN para frustrar los intentos de reconocimiento de los atacantes e impedir qusobre la red y los recursos de red protegidos.
• “Barrido de direcciones IP” en la página 8
• “Análisis de puertos” en la página 10
• “Reconocimiento de red mediante opciones IP” en la página 12
• “Rastreo del sistema operativo” en la página 16
– “Flags SYN y FIN activados” en la página 16
– “Flag FIN sin flag ACK” en la página 18
– “Encabezado TCP sin flags activados” en la página 20
• “Técnicas de evasión” en la página 22
– “Análisis FIN” en la página 22
– “Flags no SYN” en la página 23
– “Suplantación de IP” en la página 27
– “Opciones de IP de ruta de origen” en la página 36
Capítulo 2 Bloqueo de reconocimiento Barrido de direcciones IP
defensa 8
aquetes ICMP a distintos hosts o de este esquema es enviar
e que al menos uno responda, stra de forma interna el número te los ajustes predeterminados, rosegundos), NetScreen lo ICMP siguientes procedentes
DMZ
El dispositivo NetScreen realiza una entrada en su tabla de sesiones para los 10 primeros paquetes ICMP procedentes de 2.2.2.5 y realiza una consulta de rutas y una consulta de directivas para ellos. Si ninguna directiva permite estos paquetes, el dispositivo NetScreen los marca como no válidos y los elimina de la tabla de sesiones en el siguiente “barrido de basura”, que se realiza cada dos segundos. A partir del décimo paquete, el dispositivo NetScreen rechaza todo el tráfico ICMP procedente de 2.2.2.5.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
BARRIDO DE DIRECCIONES IPSe produce un barrido de direcciones cuando una dirección IP de origen envía 10 pen un intervalo definido (el valor predeterminado es 5000 microsegundos). El objetivpaquetes ICMP (normalmente peticiones de eco) a varios hosts con la esperanza ddejando al descubierto una dirección a la que apuntar. El dispositivo NetScreen regide paquetes ICMP enviados a diversas direcciones desde un origen remoto. Mediansi un host remoto envía tráfico ICMP a 10 direcciones en 0,005 segundos (5000 micmarcará como un ataque de barrido de direcciones y rechazará todos los paquetes de dicho host hasta que transcurra el resto del segundo.
Origen: 2.2.2.5(probablemente una dirección
suplantada o un agente zombie)
Untrust
ethernet31.1.1.1/24
ethernet21.2.2.1/24
11 paquetes ICMPen 0,005 segundos
(Recuerde que, a partir del décimo paquete ICMP, el dispositivo NetScreen registra un barrido de direcciones IP y rechaza el paquete undécimo).
Dir. origen2.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.5
Dir. destino1.2.2.51.2.2.1601.2.2.841.2.2.2111.2.2.101.2.2.201.2.2.211.2.2.2401.2.2.171.2.2.1231.2.2.6
Paquetes ICMP
Rechazado
Nota: Un agente zombie es un host comprometido bajo el control encubierto de un atacante.
Capítulo 2 Bloqueo de reconocimiento Barrido de direcciones IP
defensa 9
xiste una directiva que permita . Si no existe tal directiva, se realicen un barrido de
n concreto, utilice una de las
siguientes datos y haga clic en
a protección contra barridos de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Estudie la activación de esta opción SCREEN para una zona de seguridad sólo si eel tráfico ICMP procedente de dicha zona. De lo contrario, no es necesario activarlarechaza todo el tráfico ICMP procedente de la zona, impidiendo a los atacantes quedirecciones IP con éxito.
Para bloquear los barridos de direcciones IP originados en una zona de seguridad esiguientes soluciones:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los Apply :
IP Address Sweep Protection: (seleccione)
Threshold: (introduzca un valor que active ldirecciones IP1)
CLI
set zone zone screen port-scan threshold numberset zone zone screen ip-sweep
1. El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos.
Capítulo 2 Bloqueo de reconocimiento Análisis de puertos
fensa 10
con segmentos TCP SYN a microsegundos es el valor la esperanza de que al itivo NetScreen registra de ediante los ajustes segundos), NetScreen lo
dentes del origen remoto gundo.
Z
rto
YN
1.2.2.5
El dispositivo NetScreen realiza una entrada en su tabla de sesiones para los 10 primeros intentos de conexión a 1.2.2.5 procedentes de 2.2.2.5 y realiza una consulta de rutas y una consulta de directivas para ellos. Si ninguna directiva permite estos intentos de conexión, el dispositivo NetScreen los marca como no válidos y los elimina de la tabla de sesiones en el siguiente “barrido de basura”, que se realiza cada dos segundos. A partir del décimo intento, el dispositivo NetScreen rechaza todos los intentos de conexión procedentes de 2.2.2.5.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y de
ANÁLISIS DE PUERTOSUn análisis de puertos se produce cuando una dirección IP de origen envía paquetes IP10 puertos distintos en la misma dirección IP de destino en un intervalo definido (5000predeterminado). El objetivo de este esquema es analizar los servicios disponibles conmenos un puerto responda, identificando un servicio al que dirigir su ataque. El disposforma interna el número de los diversos puertos analizados desde un origen remoto. Mpredeterminados, si un host remoto analiza 10 puertos en 0,005 segundos (5000 micromarcará como un ataque de análisis de puertos y rechazará todos los paquetes proce(independientemente de la dirección IP de destino) hasta que transcurra el resto del se
Origen: 2.2.2.5(probablemente una dirección
suplantada o un agente zombie)
Untrust DM
ethernet31.1.1.1/24
ethernet21.2.2.1/24
11 segmentos SYN en 0,005 segundos
(Recuerde que, a partir del décimo paquete IP con segmentos TCP SYN destinado a diversos puertos de la misma dirección IP de destino, el dispositivo NetScreen lo registra como análisis de puertos y rechaza todos los paquetes procedentes de la dirección de origen).
Dir. origen:puerto2.2.2.5:178202.2.2.5:422882.2.2.5:228142.2.2.5:154012.2.2.5:133732.2.2.5:338112.2.2.5:178212.2.2.5:190032.2.2.5:264502.2.2.5:380872.2.2.5:24111
Dir. destino:pue1.2.2.5:211.2.2.5:231.2.2.5:531.2.2.5:801.2.2.5:1111.2.2.5:1131.2.2.5:1231.2.2.5:1291.2.2.5:1371.2.2.5:1381.2.2.5:139
Paquetes IP con segmentos TCP S
Rechazado
Destino:
Capítulo 2 Bloqueo de reconocimiento Análisis de puertos
defensa 11
to, utilice una de las siguientes
siguientes datos y haga clic en
la protección contra análisis de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para bloquear los análisis de puertos originados en una zona de seguridad en concresoluciones:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los Apply :
Port Scan Protection: (seleccione)
Threshold: (introduzca un valor que active puertos2)
CLI
set zone zone screen port-scan threshold numberset zone zone screen port-scan
2. El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos.
Capítulo 2 Bloqueo de reconocimiento Reconocimiento de red mediante opciones IP
defensa 12
de opciones que ofrecen peciales. Estas opciones
aciones más comunes” y, en rmalmente están vinculadas a opciones IP y los atributos que
Uso perniciosoinguno
inguno
ncabezado 20 bytes
(en bytes)
el fragmento
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
RECONOCIMIENTO DE RED MEDIANTE OPCIONES IPLa norma de protocolo de Internet “RFC 791, Internet Protocol” especifica una seriecontroles de enrutamiento, herramientas de diagnóstico y medidas de seguridad esaparecen después de la dirección de destino en un encabezado de paquetes IP.
La norma RFC 791 admite que estas opciones “no son necesarias para las comunicrealidad, rara vez aparecen en encabezados de paquetes IP. Cuando aparecen, noun uso con propósitos perniciosos. A continuación se incluye una lista de todas las las acompañan:
Tipo Clase Número Tamaño Uso intencionadoEnd of Options 0* 0 0 Indica el final de una o más
opciones IP.N
No Options 0 1 0 Indica que no hay opciones IP en el encabezado.
N
Versión
Suma de comprobación del e
Dirección de destino
Opciones
Carga de datos
Encabezado IP
Dirección de origen
Identificación
Tamaño del encabezado Tipo de servicio Tamaño total del paquete
0 D M Desplazamiento d
Tiempo de vida (“Time to Live” o TTL) Protocolo
Capítulo 2 Bloqueo de reconocimiento Reconocimiento de red mediante opciones IP
defensa 13
esconocido, pero como se trata e una opción obsoleta, su resencia en un encabezado IP sulta sospechosa.
vasión. El atacante puede utilizar s rutas especificadas para ocultar l verdadero origen de un paquete u btener acceso a una red protegida. onsulte “Opciones de IP de ruta
e origen” en la página 36).
econocimiento. Si el host de estino es un equipo comprometido ajo el control del atacante, éste uede obtener información sobre la pología y el esquema de
ireccionamiento de la red travesada por el paquete.
Uso pernicioso
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Security 0 2 11 bits Ofrece un medio para que los hosts envíen seguridad, compartimentación, parámetros TCC (grupo de usuarios cerrado) y códigos de restricción de uso compatibles con los requisitos del Ministerio de defensa (DoD) de Estados Unidos. (Esta opción, tal como se especifica en las normas RFC 791, “Internet Protocols” y RFC 1038, “Revised IP Security Option” está obsoleta).
Ddpre
Loose Source Route
0 3 Variable Especifica una lista de rutas parcial que debe tomar un paquete en su trayecto desde el punto de origen al de destino. El paquete debe avanzar en el orden de direcciones especificado, pero se le permite atravesar otros enrutadores intermedios.
Elaeo(Cd
Record Route 0 7 Variable Registra las direcciones IP de los dispositivos de red del itinerario que recorre el paquete IP. El equipo de destino puede extraer y procesar la información de ruta. (Debido a la limitación de espacio de 40 bytes tanto para la opción como para el espacio de almacenamiento, sólo se puede registrar un máximo de 9 direcciones IP).
Rdbptoda
Tipo Clase Número Tamaño Uso intencionado
Capítulo 2 Bloqueo de reconocimiento Reconocimiento de red mediante opciones IP
defensa 14
esconocido, pero como se trata e una opción obsoleta, su resencia en un encabezado IP sulta sospechosa.
vasión. Un atacante puede utilizar s rutas especificadas para ocultar l verdadero origen de un paquete u btener acceso a una red protegida. onsulte “Opciones de IP de ruta
e origen” en la página 36).
econocimiento. Si el host de estino es un equipo comprometido ajo el control del atacante, éste uede obtener información sobre la pología y el esquema de
ireccionamiento de la red travesada por el paquete.
etes adicionales.
.
te horario también se denomina “horario
Uso pernicioso
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Stream ID 0 8 4 bits (Obsoleta) Ofrecía un medio para que el identificador de secuencia SATNET de 16 bits se transportara por redes incompatibles con el concepto de secuencia.
Ddpre
Strict Source Route
0 9 Variable Especifica la lista de la ruta completa que debe tomar un paquete en su trayecto desde el punto de origen al de destino. La última dirección de la lista sustituye a la dirección del campo de destino.
Elaeo(Cd
Timestamp 2† 4 Registra la hora (en formato de horario universal‡) en la que cada dispositivo de red recibe el paquete durante su itinerario desde el punto de origen al de destino. Los dispositivos de red se identifican por su número IP.Esta opción desarrolla una lista de direcciones IP de los enrutadores del itinerario del paquete y la duración de transmisión entre cada uno de ellos.
Rdbptoda
* La clase de opciones identificada como “0” estaba diseñada para proporcionar control de red o paqu† La clase de opciones identificada como “2” se diseñó para el diagnóstico, la depuración y la medición‡ La marca de hora utiliza el número de milisegundos desde la media noche en horario universal (UT). Es
medio de Greenwich” (GMT) y es la base para la norma horaria internacional.
Tipo Clase Número Tamaño Uso intencionado
Capítulo 2 Bloqueo de reconocimiento Reconocimiento de red mediante opciones IP
defensa 15
tilizar para el reconocimiento o
ión IP sea 7 (Record Route) y ada.
e opciones IP incluya la opción N para la interfaz de entrada.
sea 2 (Security) y registra el
IP sea 8 (Stream ID) y registra
siguientes métodos (la zona de
siguientes datos y haga clic en
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Las siguientes opciones SCREEN detectan las opciones IP que un atacante puede ucualquier otro propósito desconocido, pero sospechoso:
• Record Route: el dispositivo NetScreen detecta paquetes en los que la opcregistra el evento en la lista de contadores SCREEN para la interfaz de entr
• Timestamp: el dispositivo NetScreen detecta paquetes en los que la lista d4 (Internet Timestamp) y registra el evento en la lista de contadores SCREE
• Security: el dispositivo NetScreen detecta paquetes en los que la opción IPevento en la lista de contadores SCREEN para la interfaz de entrada.
• Stream ID: el dispositivo NetScreen detecta paquetes en los que la opción el evento en la lista de contadores SCREEN para la interfaz de entrada.
Para detectar paquetes con las opciones IP anteriores ajustadas, utilice uno de los seguridad especificada es la zona en la que se originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los Apply :
IP Record Route Option Detection: (seleccion
IP Timestamp Option Detection: (seleccione)
IP Security Option Detection: (seleccione)
IP Stream Option Detection: (seleccione)
CLI
set zone zone screen ip-record-routeset zone zone screen ip-timestamp-optset zone zone screen ip-security-optset zone zone screen ip-stream-opt
Capítulo 2 Bloqueo de reconocimiento Rastreo del sistema operativo
defensa 16
se dirige el ataque para on mejor criterio qué ataque los rastreos de reconocimiento
zado de segmento TCP. El flag IN indica el final de la xcluyen mutuamente. Un CP anómalo y puede provocar
e 16 bits
bits
bits
20 bytes
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
RASTREO DEL SISTEMA OPERATIVOAntes de lanzar un exploit, es posible que un atacante intente rastrear el host al queaveriguar qué sistema operativo (OS) utiliza. Conociendo este dato, puede decidir clanzar y qué vulnerabilidades aprovechar. Un dispositivo NetScreen puede bloquearutilizados habitualmente para obtener información sobre los tipos de OS.
Flags SYN y FIN activadosLos flags de control SYN y FIN no están activados normalmente en el mismo encabeSYN sincroniza números de secuencia para el inicio de una conexión TCP. El flag Ftransmisión de datos para la terminación de una conexión TCP. Sus propósitos se eencabezado TCP con los flags SYN y FIN activados representa un comportamiento Tvarias respuestas del destinatario en función del OS.
Número de puerto de origen de 16 bits Número de puerto de destino d
Número de secuencia de 32 bits
Número de reconocimiento de 32 bits
U R G
A C K
P S H
R S T
Suma de comprobación de TCP de 16 bits Indicador urgente de 16
Tamaño de ventana de 16Tamaño de encabezado
de 4 bitsReservado
(6 bits)
Opciones (si las hay)
Datos (si los hay)
S Y N
F I N
Encabezado TCP
Los flags SYN y FIN están activados.
Capítulo 2 Bloqueo de reconocimiento Rastreo del sistema operativo
defensa 17
de respuesta de sistema se o. A continuación, el atacante
N y FIN están activados en l paquete.
ntes métodos (la zona de
and FIN Bits Set Protection
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Un atacante puede enviar un segmento con ambos flags activados para ver qué tipodevuelve y determinar de este modo qué tipo de OS se utiliza en el punto de destinpuede emplear cualquier vulnerabilidad conocida del sistema para futuros ataques.
Al activar esta opción SCREEN, el dispositivo NetScreen comprueba si los flags SYencabezados TCP. Si descubre un encabezado de tales características, descarta e
Para bloquear paquetes con los flags SYN y FIN activados, utilice uno de los siguieseguridad especificada es la zona en la que se originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYNy haga clic en Apply .
CLI
set zone zone screen syn-fin
Capítulo 2 Bloqueo de reconocimiento Rastreo del sistema operativo
defensa 18
sesión y terminar la conexión) . Como la existencia de un ndicio de comportamiento TCP reaccione enviando un mente. La respuesta de la
a enviar un segmento TCP con direcciones o burlar las en su lugar. Para obtener más
smisión) de diversas formas a la hora sin activar, determinadas
e 16 bits
bits
bits
20 bytes
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Flag FIN sin flag ACKLos segmentos TCP con el flag de control FIN activado (para señalar el final de unasuelen tener también activado el flag ACK (para acusar recibo del paquete anterior)encabezado TCP con el flag FIN activado y el flag ACK desactivado representa un ianómalo, no existe una respuesta uniforme ante este hecho3. Es posible que el OS segmento TCP con el flag RST activado. También es posible que lo ignore completavíctima puede proporcionar información sobre el OS al atacante. (Otros motivos parel flag FIN activado pueden ser evadir la detección durante un análisis de puertos ydefensas destinadas a prevenir inundaciones SYN provocando una inundación FIN información sobre los análisis FIN, consulte “Análisis FIN” en la página 22).
3. Los proveedores han interpretado la norma RFC 793 “Transmission Control Protocol” (protocolo de control de la trande diseñar las implementaciones TCP/IP. Cuando se recibe un segmento TCP con el flag FIN activado y el flag ACKimplementaciones envían segmentos RST. Otras descartan el paquete sin enviar ningún segmento RST.
Número de puerto de origen de 16 bits Número de puerto de destino d
Número de secuencia de 32 bits
Número de reconocimiento de 32 bits
U R G
A C K
P S H
R S T
Suma de comprobación de TCP de 16 bits Indicador urgente de 16
Tamaño de ventana de 16Tamaño de
encabezado de 4 bits
Reservado(6 bits)
Opciones (si las hay)
Datos (si los hay)
S Y N
F I N
Encabezado TCP
Sólo está activado el flag FIN.
Capítulo 2 Bloqueo de reconocimiento Rastreo del sistema operativo
defensa 19
stá activado y el flag ACK está zado, descarta el paquete.
o de los siguientes métodos (la
Bit with No ACK Bit in Flags
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Al activar esta opción SCREEN, el dispositivo NetScreen comprueba si el flag FIN edesactivado en encabezados TCP. Si descubre un paquete con este tipo de encabe
Para bloquear paquetes con el flag FIN activado y el flag ACK desactivado, utilice unzona de seguridad especificada es la zona en la que se originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione FINProtection y haga clic en Apply .
CLI
set zone zone screen fin-no-ack
Capítulo 2 Bloqueo de reconocimiento Rastreo del sistema operativo
defensa 20
. Un segmento TCP sin flags de o reacciona de forma distinta a r indicios del tipo de OS que se
TCP sin flags activados, n campo de flags mal formado.
de 16 bits
bits
bits
20 bytes
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Encabezado TCP sin flags activadosUn encabezado de segmento TCP normal tiene al menos un flag de control activadocontrol activados representa un evento anómalo. Puesto que cada sistema operativtal anomalía, la respuesta (o la falta de respuesta) del dispositivo objetivo puede daestá ejecutando.
Si el dispositivo NetScreen está habilitado para detectar encabezados de segmentodescartará todos los paquetes TCP que carezcan de campo de flags o que tengan u
Número de puerto de origen de 16 bits Número de puerto de destino
Número de secuencia de 32 bits
Número de reconocimiento de 32 bits
U R G
A C K
P S H
R S T
Suma de comprobación de TCP de 16 bits Indicador urgente de 16
Tamaño de ventana de 16Tamaño de
encabezado de 4 bits
Reservado(6 bits)
Opciones (si las hay)
Datos (si los hay)
S Y N
F I N
Encabezado TCP
No hay ningún flag activado.
Capítulo 2 Bloqueo de reconocimiento Rastreo del sistema operativo
defensa 21
iguientes métodos (la zona de
P Packet without Flag
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para bloquear los paquetes que no tengan ningún flag activado, utilice uno de los sseguridad especificada es la zona en la que se originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione TCProtection y haga clic en Apply .
CLI
set zone zone screen tcp-no-flag
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 22
ecesita evitar que lo detecten. en detectar fácilmente, algunos u actividad. Técnicas tales que la mayoría de cortafuegos
nicas de reconocimiento y sus acciones.
r una respuesta (un segmento host. El atacante puede utilizar o un análisis de direcciones a estos dos últimos, pero no FIN activado se puede evadir iento.
ambas:
con el flag FIN activado, pero
r esta opción SCREEN en la s Protection .
mbre de la zona a la que desea
s los paquetes no SYN que no yn-check . (Para obtener más “Flags no SYN” en la página 23).
tá activado para los paquetes análisis no SYN, tales como activo).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
TÉCNICAS DE EVASIÓNYa sea mientras recopila información o lanza un ataque, el atacante normalmente nAunque ciertos análisis de direcciones IP y puertos son tan descarados que se puedatacantes con mayores recursos utilizar una gran cantidad de medios para ocultar scomo la utilización de análisis FIN en lugar de análisis SYN (que los atacantes sabeny programas de detección de intrusiones detectan) indican una evolución en las técexplotación de vulnerabilidades con el objetivo de eludir la detección y llevar a cabo
Análisis FINUn análisis FIN envía segmentos TCP con el flag FIN activado para intentar provocaTCP con el flag RST activado) y así descubrir un host activo o un puerto activo en uneste método, no para realizar un barrido de direcciones con peticiones de eco ICMPcon segmentos SYN, sino porque sabe que muchos cortafuegos se defienden contrnecesariamente contra los segmentos FIN. Si se utilizan segmentos TCP con el flagla detección, permitiendo así que el atacante tenga éxito en su intento de reconocim
Para frustrar un análisis FIN, puede ejecutar cualquiera de las siguientes acciones o
• Habilitar la opción SCREEN que bloquea específicamente segmentos TCP no el flag ACK, lo que no es normal en un segmento TCP:
WebUI: Screening > Screen: Seleccione la zona a la que desea aplicalista desplegable Zone y seleccione FIN Bit With No ACK Bit in Flag
CLI: Escriba set zone name screen fin-no-ack , donde name es el noaplicar esta opción SCREEN .
• Cambie el comportamiento de procesamiento de paquetes para rechazar todopertenezcan a una sesión existente, mediante el comando CLI: set flow tcp-sinformación sobre la comprobación del flag SYN, consulte la siguiente sección,
Nota: Cambiando el flujo de paquetes para comprobar que el flag SYN esno pertenecientes a sesiones existentes también se frustran otros tipos delos análisis nulos (“null scan”, es decir, cuando no hay ningún flag de TCP
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 23
el primer paquete de una niciar una sesión. Puede dejar rce la comprobación de flags de los paquetes cuando se
stalar un dispositivo NetScreen que manece desactivada de forma
en la capa 2 (modo transparente).
ación de flag SYN inhabilitada
itir Creación de sesiones ADELANTE
Actualización de sesiones ADELANTE
n
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Flags no SYNDe forma predeterminada4, el dispositivo NetScreen comprueba si hay flags SYN ensesión y rechaza cualquier segmento TCP con flags distintos de SYN que intenten ieste flujo de paquetes tal cual o cambiarlo para que el dispositivo NetScreen no fueSYN antes de crear una sesión. A continuación se muestran las secuencias de flujoinhabilita y habilita la comprobación de flag SYN5:
4. De forma predeterminada, la comprobación de flags SYN de TCP en el paquete inicial de una sesión se habilita al inejecute ScreenOS 5.1.0. Si se actualiza desde una versión anterior a ScreenOS 5.1.0, la comprobación de SYN perpredeterminada (a menos que haya cambiado previamente el comportamiento predeterminado).
5. Estos flujos de paquetes son los mismos si la interfaz de entrada está funcionando en la capa 3 (ruta o modo NAT) o
Con la comprobación de flag SYN habilitada Con la comprob
Llega un paquete a la interfaz de
entrada
Denegar
DESCARTAR
Perm
No en sesión
EnsesióConsulta
de sesiones
Consulta de
directivas
Llega un paquete a la interfaz de
entrada
Denegar
DESCARTAR
Permitir Creación de sesiones ADELANTE
Actualización de sesiones ADELANTE
No en sesión
En sesiónConsulta
de sesiones
Consulta de
directivas
DESCARTAR
Comprobar flag SYN
No
Sí
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 24
cibe un segmento TCP distinto CP RST al host de origen (a T). En ese caso, el dispositivo
os CLI:
ctiva en un entorno de l flag SYN activado a un rse al otro dispositivo oduce después de que rden. Por el contrario, si la incronizado la sesión y la ue impide establecer la sesión. SYN/ACK (aunque no
en la tabla de sesiones.
se agrega un dispositivo las sesiones existentes, que s muy largas, como las de datos. De forma similar, si se la sección central de una tentes (o las sesiones a las que das. Inhabilitar la
da. Transcurridas algunas horas de SYN.
recciones de origen y de destino, uno
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Cuando el dispositivo NetScreen con la comprobación de flags SYN está activado rede SYN que no pertenece a una sesión existente, descarta el paquete y envía un Tmenos que el bit de código del paquete TCP inicial distinto de SYN sea también RSNetScreen descarta simplemente el paquete.
La comprobación de SYN se puede habilitar e inhabilitar con los siguientes comand
set flow tcp-syn-checkunset flow tcp-syn-check
No comprobar el flag SYN en los primeros paquetes ofrece las siguientes ventajas:
• NSRP con enrutamiento asimétrico: En una configuración NSRP activa/aenrutamiento dinámico, un host puede enviar el segmento inicial TCP con edispositivo NetScreen (NetScreen-A), pero la señal SYN/ACK podría enrutaNetScreen del clúster (NetScreen-B). Si este enrutamiento asimétrico se prNetScreen-A haya sincronizado su sesión con NetScreen-B, todo está en orespuesta SYN/ACK llega a NetScreen-B antes de que NetScreen-A haya scomprobación de SYN está habilitada, NetScreen-B rechaza SYN/ACK, lo qCon la comprobación de SYN inhabilitada, NetScreen-B acepta la respuestapertenezca a ninguna sesión existente) y crea para ella una nueva entrada
• Sesiones no interrumpidas: Si la comprobación de SYN está habilitada yNetScreen en modo transparente a una red operativa, se interrumpen todasdeberán reiniciarse6. Esta interrupción puede ser muy molesta para sesionetransferencias de datos o las de copias de seguridad de grandes bases de restablece el dispositivo NetScreen o incluso se cambia un componente en directiva7 y la comprobación de SYN está habilitada, todas las sesiones exisafecte la modificación de la directiva) se interrumpirán y deberán ser reiniciacomprobación de SYN evita esas interrupciones al tráfico de la red.
6. Una solución a esta situación es instalar el dispositivo NetScreen con la comprobación de SYN inicialmente inhabilita(cuando las sesiones establecidas se estén ejecutando a través del dispositivo NetScreen), habilite la comprobación
7. La sección central de una directiva contiene los siguientes componentes principales: zonas de origen y de destino, dio más servicios y una acción.
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 25
en seguridad:
g que no sea SYN (como ACK, ndows, por ejemplo) responden , el receptor no genera ninguna
ncia puede realizar un NetScreen. Si después envía
aso, el host de destino del ST esté activado. Tal cción específica y le indica que también averigua que la ost.
rta los segmentos TCP que no positivo no devolverá un a, sea cual sea el conjunto de o.
abilitada, un atacante puede dando una red protegida con activados. Aunque los hosts
RST como respuesta), tal la tabla de sesiones llena, el o.
N, se puede frustrar esta clase inicial de una sesión fuerza a flag SYN activado. A mentos TCP SYN por segundo
nes, consulte “Inundación de la ndaciones SYN, consulte
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Sin embargo, observe que las ventajas indicadas requieren los siguientes sacrificios
• Agujeros de reconocimiento: Cuando un segmento TCP inicial con un flaURG, RST, FIN) llega a un puerto cerrado, muchos sistemas operativos (Wicon un segmento TCP cuyo flag RST está activado. Si el puerto está abiertorespuesta.
Analizando las respuestas o la ausencia de éstas, un recopilador de inteligereconocimiento en la red protegida y también en el conjunto de directivas deun segmento TCP con un flag no SYN activado y la directiva le permite el psegmento podría descartarlo y responder con un segmento TCP cuyo flag Rrespuesta informa al intruso sobre la presencia de un host activo en una direel número de puerto de destino está cerrado. El recopilador de inteligencia directiva del cortafuegos permite acceder a ese número de puerto en ese h
Con la comprobación del flag SYN habilitada, el dispositivo NetScreen descatengan flag SYN siempre que no pertenezcan a una sesión existente. El dissegmento TCP RST. Por lo tanto, el escáner no obtendrá ninguna respuestdirectivas o tanto si el puerto está abierto como cerrado en el host de destin
• Inundaciones de tablas de sesiones: Si la comprobación de SYN está inhevitar la función de protección contra inundaciones SYN de NetScreen inununa cantidad ingente de segmentos TCP que tengan flags que no sean SYNatacados descartarán los paquetes (y posiblemente envíen segmentos TCPinundación podría llenar la tabla de sesiones del dispositivo NetScreen. Condispositivo NetScreen no puede procesar nuevas sesiones de tráfico legítim
Habilitando la comprobación de SYN y la protección contra inundaciones SYde ataques. La comprobación de si el flag SYN está activado en el paquetetodas las nuevas sesiones a comenzar con un segmento TCP que tenga el continuación, la protección contra inundaciones SYN limita el número de segpara evitar saturaciones en la tabla de sesiones.
Nota: Para obtener información sobre las inundaciones de la tabla de sesiotabla de sesiones” en la página 42. Para obtener más información sobre inu“Inundación SYN” en la página 52.
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 26
dejarla activada (su estado l comando siguiente: set flow chaza los segmentos TCP con
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Si no necesita desactivar la comprobación de SYN, Juniper Networks le recomiendapredeterminado en una instalación inicial de ScreenOS 5.1.0). Puede activarla con etcp-syn-check . Con la comprobación de SYN habilitada, el dispositivo NetScreen reflags no SYN activados, salvo que pertenezcan a una sesión establecida.
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 27
cción de origen falsa en el able. Esta técnica se conoce ne de dos métodos con el icada en el encabezado. El o en la capa 2 del modelo OSI.
de ruta o en modo NAT, el de la tabla de rutas. Si, por , pero el dispositivo NetScreen antación de IP detectará que n de la tabla de rutas un et1, no de ethernet3. Así, el a y la descarta.
Interfaz Puerta de enlace
P
eth1 0.0.0.0 C
otección contra suplantación de IP a en la zona Untrust, el dispositivo
comprueba si 10.1.1.6 es una de origen válida para los paquetes
a ethernet3.
Tabla de rutas
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Suplantación de IPUn método para intentar acceder a un área restringida de la red es insertar una direencabezado del paquete para que parezca que procede de un lugar de origen conficomo suplantación de IP (IP Spoofing). Para detectar esta técnica, NetScreen dispomismo objetivo: determinar si el paquete procede de una ubicación distinta de la indmétodo que utilizará el dispositivo NetScreen dependerá de si funciona en la capa 3
• Capa 3: cuando las interfaces del dispositivo NetScreen funcionan en modomecanismo para detectar la suplantación de IP dependerá de las entradas ejemplo, un paquete con la dirección IP de origen 10.1.1.6 llega a ethernet3tiene una ruta a 10.1.1.0/24 a través de ethernet1, la comprobación de suplesta dirección ha llegado a una interfaz no válida, ya que según la definiciópaquete válido procedente de 10.1.1.6 sólo puede llegar a través de etherndispositivo concluye que el paquete es una dirección IP de origen suplantad
Subred: 10.1.1.0/24
Zona Trust
Zona Untrust
ethernet1 10.1.1.1/24
ethernet3 1.1.1.1/24
Paquete IP con IP origen 10.1.1.6
ID Prefijo IP
1 10.1.10/24
X
1. Un paquete IP llega a ethernet3. Su dirección IP de origen es 10.1.1.6.
2. Como la prestá activadNetScreen dirección IPque llegan
3. Si al consultar la tabla de rutas observa que 10.1.1.6 no es una dirección IP de origen válida para un paquete que llega a ethernet3, el dispositivo NetScreen rechazará el paquete.
1
23
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 28
l dispositivo NetScreen permite o permite). Si utiliza el siguiente de proceden los paquetes),
dirección IP de origen no se
sparente, el mecanismo de irecciones. Por ejemplo, ha i un paquete con la dirección IP omprobación de suplantación irección pertenece a la zona 2, que es la interfaz asociada a en suplantada y la descarta.
Dirección Máscara de red1.2.2.5 255.255.255.255
cción contra suplantación de IP está zona V1-Untrust, el dispositivo
prueba si 1.2.2.5 es una dirección IP a para los paquetes procedentes de trust.
zona de dirección: V1-DMZ
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Si la dirección IP de origen de un paquete no aparece en la tabla de rutas, esu paso de forma predeterminada (asumiendo que existe una directiva que lcomando CLI (donde la zona de seguridad especificada será la zona de donpuede hacer que el dispositivo NetScreen descarte cualquier paquete cuya incluya en la tabla de rutas:
set zone zone screen ip-spoofing drop-no-rpf-route
• Capa 2: si las interfaces del dispositivo NetScreen funcionan en modo trancomprobación de suplantación de IP utilizará las entradas de la libreta de ddefinido una dirección para “serv A” como 1.2.2.5/32 en la zona V1-DMZ. Sde origen 1.2.2.5 llega a una interfaz de la zona V1-Untrust (ethernet3), la cde IP detectará que esta dirección ha llegado a una interfaz incorrecta. La dV1-DMZ y no a la zona V1-Untrust, por lo que sólo se aceptaría en ethernetV1-DMZ. El dispositivo concluye que el paquete es una dirección IP de orig
Subred: 1.2.2.0/24
Zona V1-DMZ
Zona V1-Untrust
ethernet2 0.0.0.0/0
ethernet3 0.0.0.0/0
Paquete IP con IP origen 10.2.2.5
Nombreserv A
X
2. Como la proteactivada en laNetScreen comde origen válidla zona V1-Un
1. Un paquete IP llega procedente de la zona V1-Untrust. Su dirección IP de origen es 10.2.2.5.
3. Si al consultar la libreta de direcciones observa que 1.2.2.5 no es una dirección IP de origen válida para un paquete procedente de la zona V1-Untrust, el dispositivo NetScreen rechazará el paquete.
12
3
Nombre de
serv A1.2.2.5
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 29
de seguridad. En la ilustración -DMZ. Si configura el áfico procedente de la zona
ión de la zona V1-DMZ hacia v1-untrust any any any
ed 1.2.2.0/24, cuando el tráfico lantación de IP consultará la secuencia, el dispositivo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Tenga cuidado al definir direcciones para la subred que abarca varias zonasanterior, 1.2.2.0/24 pertenece tanto a la zona V1-Untrust como a la zona V1dispositivo NetScreen tal y como se describe a continuación, bloqueará el trV1-DMZ cuyo paso desea permitir:
– Ha definido una dirección para 1.2.2.0/24 en la zona V1-Untrust.
– Dispone de una directiva que permite el tráfico desde cualquier direcccualquier dirección de la zona V1-Untrust ( set policy from v1-dmz topermit ).
– Habilita la comprobación de suplantación de IP.
Como las direcciones de la zona V1-DMZ también se encuentran en la subrprocedente de esas direcciones llegue a ethernet2, la comprobación de suplibreta de direcciones y encontrará 1.2.2.0/24 en la zona V1-Untrust. En conNetScreen bloqueará el tráfico.
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 30
zonas Trust, DMZ y Untrust , el dispositivo NetScreen as en las direcciones IP de
cir manualmente las siguientes
pero no indica estas tres rutas, a columna “Destino” e insertará con la dirección de origen ethernet1, el dispositivo cartará.tamiento trust-vr.
0.0.0.0/0
st
r
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Protección contra suplantación de IP en la capa 3En este ejemplo habilitará la protección contra suplantación de direcciones IP en laspara un dispositivo NetScreen que funciona en la capa 3. De forma predeterminadarealiza entradas automáticamente en la tabla de rutas para las subredes especificadinterfaz. Además de estas entradas automáticas en la tabla de rutas, deberá introdutres rutas:
Si habilita la opción SCREEN para protección contra suplantación de direcciones IPel dispositivo NetScreen descartará todo tráfico de las direcciones que aparecen en llas alarmas correspondientes en el registro de eventos. Por ejemplo, si un paquete 10.1.2.5 llega a ethernet1 y no hay ninguna ruta a la subred 10.1.2.0/24 a través deNetScreen determinará que ese paquete ha llegado a una interfaz no válida y lo desTodas las zonas de seguridad de este ejemplo se encuentran en el dominio de enru
Destino: Interfaz de salida: Siguiente puerta de enlace:
10.1.2.0/24 ethernet1 10.1.1.250
1.2.3.0/24 ethernet2 1.2.2.250
0.0.0.0/0 ethernet3 1.1.1.250
ethernet110.1.1.1/24
ethernet21.2.2.1/24
ethernet31.1.1.1/24
Enrutador10.1.1.250
Enrutador1.2.2.250
1.2.2.0/241.2.3.0/24
1.1.1.0/2410.1.1.0/2410.1.2.0/24
Zona Trust Zona Untru
Zona DMZ
Enrutado1.1.1.250
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
efensa 31
haga clic en Apply :
K :
haga clic en OK :
haga clic en OK :
datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y d
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en O
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
Zone Name: DMZ
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
2. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguientes
Network Address/Netmask: 10.1.2.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 10.1.1.250
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 32
es datos y haga clic en OK :
es datos y haga clic en OK :
n y haga clic en Apply .
n y haga clic en Apply .
tion y haga clic en Apply .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 1.2.3.0/24
Gateway: (seleccione)
Interface: ethernet2
Gateway IP Address: 1.2.2.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
3. Protección contra suplantación de IPScreening > Screen (Zone: Trust): Seleccione IP Address Spoof Protectio
Screening > Screen (Zone: DMZ): Seleccione IP Address Spoof Protectio
Screening > Screen (Zone: Untrust): Seleccione IP Address Spoof Protec
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 33
t1 gateway 10.1.1.2502 gateway 1.2.2.250 gateway 1.1.1.250
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Rutasset vrouter trust-vr route 10.1.2.0/24 interface etherneset vrouter trust-vr route 1.2.3.0/24 interface ethernetset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
3. Protección contra suplantación de IPset zone trust screen ip-spoofingset zone dmz screen ip-spoofingset zone untrust screen ip-spoofingsave
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 34
s IP en el tráfico originado en la tres servidores web de la zona
iera de las tres direcciones de la s direcciones de la libreta de e de la zona V1-Untrust hazará el paquete.
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Protección contra suplantación de IP en la capa 2En este ejemplo protegeremos la zona V1-DMZ contra la suplantación de direccionezona V1-Untrust. En primer lugar debemos definir las siguientes direcciones para losV1-DMZ:
• servA: 1.2.2.10
• servB: 1.2.2.20
• servC: 1.2.2.30
Ahora puede habilitar la protección en la zona V1-Untrust.
Si un atacante en la zona V1-Untrust intenta suplantar la dirección IP utilizando cualquzona V1-DMZ, el dispositivo NetScreen comprobará la dirección comparándola con ladirecciones. Cuando descubra que la dirección IP de origen en un paquete procedentpertenece a una dirección definida en la zona V1-Untrust. el dispositivo NetScreen rec
WebUI
1. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: servA
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.10/32
Zone: V1-DMZ
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: servB
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.20/32
Zone: V1-DMZ
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 35
lic en OK :
ction y haga clic en Apply .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: servC
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.30/32
Zone: V1-DMZ
2. Protección contra suplantación de IPScreening > Screen (Zone: V1-Trust): Seleccione IP Address Spoof Prote
CLI
1. Direccionesset address v1-dmz servA 1.2.2.10/32set address v1-dmz servB 1.2.2.20/32set address v1-dmz servC 1.2.2.30/32
2. Protección contra suplantación de IPset zone v1-untrust screen ip-spoofingsave
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
fensa 36
n de paquetes IP, el usuario os”) a lo largo de la ruta que nes IP de ruta de origen era s. Por ejemplo, si la egular, puede utilizar la s enrutadores del itinerario o de origen estricta o de ruta cciones averiguadas iones de enrutador para nota de los cambios que roceso de eliminación, es
ión de A a B mediante los s 1 y 3 se realiza con éxito el ocasiones.
l enrutamiento de origen IP, fico a través de los s 2 y 3. La transmisión de A za con éxito el 50% de las
l enrutamiento de origen IP, A o a través de los enrutadores 1 y
isión de A a B se realiza con % de las ocasiones. Por lo tanto, uponer que el problema reside en r 3.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y de
Opciones de IP de ruta de origenEl enrutamiento de origen ha sido diseñado para que, desde el origen de una transmisiópueda especificar las direcciones IP de los enrutadores (también conocidos como “saltdesee que un paquete IP siga para llegar a su destino. La intención original de las opcioofrecer herramientas de control de enrutamiento como ayuda al análisis de diagnósticotransmisión de un paquete a un destino en particular se realiza con un nivel de éxito irropción IP de marca de hora o de grabación de ruta para averiguar las direcciones de lolos itinerarios seguidos por el paquete. A continuación, puede utilizar la opción de rutade origen abierta para conducir el tráfico por un itinerario específico, utilizando las diremediante la opción IP de marca de hora o de grabación de ruta. Modificando las direcccambiar el itinerario y enviando diversos paquetes por distintos itinerarios puede tomarcontribuyen a aumentar o reducir las posibilidades de éxito. Mediante el análisis y un pposible que pueda deducir dónde reside el problema.
1 3
2 4
1 3
2 4
1 3
2 4
La transmisenrutadore50% de las
A
A
A
B
B
B
Cuatro enrutadores
Itinerario del paquete
Mediante eA envía tráenrutadorea B se realiocasiones.
Mediante eenvía tráfic4. La transméxito el 100podemos sel enrutado
Opciones IP de ruta de origen para diagnóstico
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
nsa 37
hackers han aprendido a en emplear para ocultar la una ruta distinta. A
en práctica estos engaños.
t1, una interfaz asociada a s 1 y 2 no lo hacen. ta la dirección de origen y, asta la red 2.2.2.0/24 y, l dispositivo NetScreen. esa subred, aparece como rta. En este ejemplo, ha do el paquete llega a
.1.5ntrust to trust TP permit
t
10.1.1.0/24
Servidor HTTP 10.1.1.5
N para la zona Untrust e Route Option”.escarta el paquete.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y defe
Aunque la aplicación de las opciones IP de ruta de origen era benigna originalmente, losutilizar estas opciones con malas intenciones. Las opciones IP de ruta de origen se pueddirección auténtica del atacante y acceder a áreas restringidas de una red especificandocontinuación se incluye un ejemplo en el que se muestra cómo un atacante puede poner
El cortafuegos de NetScreen sólo permite el tráfico 2.2.2.0/24 si pasa a través de ethernela zona Untrust. Los enrutadores 3 y 4 fuerzan el control de acceso, pero los enrutadoreAdemás, el enrutador 2 no comprueba la posible suplantación de IP. El atacante suplanal utilizar la opción de ruta de origen abierta, dirige el paquete a través del enrutador 2 hdesde allí, al enrutador 1. Éste reenvía el paquete al enrutador 3, que lo reenvía hasta eComo el paquete procede de la subred 2.2.2.0/24 y contiene una dirección de origen de válido. Sin embargo, hay algo clave que aún no cuadra: la opción de ruta de origen abiehabilitado la opción SCREEN “Deny IP Source Route Option” para la zona Untrust. Cuanethernet3, el dispositivo NetScreen lo rechaza.
Atacante
Cuatro enrutadores
Itinerario del paquete
Información del paqueteDirección de origen real: 6.6.6.5Dirección de origen simulada: 2.2.2.5Dirección de destino: 1.1.1.5IP de ruta de origen abierta: 6.6.6.250, 2.2.2.250
2.2.2.0/24
IP asignada: 1.1.1.5 - 10.1Directiva: set policy from u2.2.2.0/24 MIP(1.1.1.5) HT
ethernet31.1.1.1/24
Zona Untrust
ethernet110.1.1.1/24Zona Trus1
2
3
4
Sin comprobación de suplantación de IP
Sin control de acceso
Opción IP de ruta de origen abierta para un acceso
malicioso
Entre las opciones SCREEse incluye “Deny IP SourcEl dispositivo NetScreen d
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 38
opciones de ruta de origen lista de contadores para la
ctive esta opción para bloquear Las opciones de ruta de origen P falsa.
en abierta): El dispositivo uting) y registra el evento en la ifica una lista de rutas parcial stino. El paquete debe avanzar enrutadores intermedios.
en estricta): El dispositivo uting) y registra el evento en la ifica la lista de rutas completa stino. La última dirección de la
nocimiento de red mediante
a, utilice uno de los siguientes ete):
ource Route Option Filter y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
El dispositivo NetScreen se puede habilitar para que bloquee cualquier paquete conabiertas o estrictas o para que los detecte y, a continuación, registre el evento en lainterfaz de entrada. A continuación se ofrecen las opciones SCREEN:
• Deny IP Source Route Option (denegar opción de ruta de origen IP): Atodo el tráfico IP que emplee la opción de rutas de origen abierta o estricta. pueden llegar a permitir a un atacante entrar en una red con una dirección I
• Detect IP loose Source Route option (detectar opción IP de ruta de origNetScreen detecta paquetes en los que la opción IP sea 3 (Loose Source Rolista de contadores SCREEN para la interfaz de entrada. Esta opción especque debe tomar un paquete en su trayecto desde el punto de origen al de deen el orden de direcciones especificado, pero se le permite atravesar otros
• Detect IP strict Source Route option (detectar opción IP de ruta de origNetScreen detecta paquetes en los que la opción IP sea 9 (Strict Source Rolista de contadores SCREEN para la interfaz de entrada. Esta opción especque debe tomar un paquete en su trayecto desde el punto de origen al de delista sustituye a la dirección del campo de destino.
(Para obtener más información sobre todas las opciones IP, consulte “Recoopciones IP” en la página 12).
Para bloquear paquetes con la opción IP de ruta de origen abierta o estricta ajustadmétodos (la zona de seguridad especificada es la zona en la que se originó el paqu
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione IP Shaga clic en Apply .
CLI
set zone zone screen ip-filter-src
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 39
igen abierta o estricta ajustada, en la que se originó el paquete):
siguientes datos y haga clic en
leccione)
ccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para detectar y registrar (pero no bloquear) paquetes con la opción IP de ruta de orutilice uno de los siguientes métodos (la zona de seguridad especificada es la zona
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los Apply :
IP Loose Source Route Option Detection: (se
IP Strict Source Route Option Detection: (sele
CLI
set zone zone screen ip-loose-src-routeset zone zone screen ip-strict-src-route
Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión
defensa 40
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y3
y defensa 41
Capítulo 3
gación
potencial con tal cantidad de procesar el tráfico legítimo. El s accesos controla el
un determinado host.mo ataque distribuido de irección de origen de un ataque e DDoS pueden ser direcciones el atacante y que éste utiliza
o como a los recursos que onibles:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques
Defensas contra los ataques de denede servicio
La intención de un ataque de denegación de servicio (DoS) es abrumar a la víctimatráfico simulado que se sature intentando procesar el tráfico fantasma y no consigadestino del ataque puede ser el cortafuegos de NetScreen, los recursos de red cuyocortafuegos o la plataforma de hardware o el sistema operativo específico (OS) de Cuando un ataque DoS se origina en múltiples direcciones de origen, se conoce codenegación de servicio (“Distributed Denial-of-Service” o DDoS). Normalmente, la dDoS es una dirección suplantada (“spoofed”). Las direcciones de origen de un ataqusuplantadas o bien las direcciones reales de hosts previamente comprometidos porahora como “agentes zombie” para ejecutar su ataque.El dispositivo NetScreen puede defenderse de ataques DoS y DDoS tanto a sí mismprotege. Las siguientes secciones describen las diversas opciones de defensa disp
• “Ataques DoS contra el cortafuegos” en la página 42– “Inundación de la tabla de sesiones” en la página 42– “Inundación proxy SYN-ACK-ACK” en la página 50
• “Ataques DoS contra la red” en la página 52– “Inundación SYN” en la página 52– “Inundación ICMP” en la página 67– “Inundación UDP” en la página 69– “Ataque terrestre (“Land Attack”)” en la página 71
• “Ataques DoS específicos de cada sistema operativo” en la página 73– ““Ping of Death”” en la página 73– “Ataque “Teardrop”” en la página 75– “WinNuke” en la página 77
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos
defensa 42
un ataque de denegación de uentra detrás. Un ataque DoS ontra la red protegida, ción se explican dos métodos creen y, de ese modo, producir
o falso que le impide procesar as (inundación SYN,
siguen el mismo objetivo: llenar no puede crear ninguna sesión e SCREEN ayuda a atenuar
cción IP de origen, también se tino. Una ventaja de establecer del virus Nimda (que realmente ntidades masivas de tráfico. límite de sesión basado en su
xcesivas de tráfico.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
ATAQUES DOS CONTRA EL CORTAFUEGOSSi un atacante descubre la presencia del cortafuegos de NetScreen, puede ejecutarservicio (DoS) contra ese dispositivo, en lugar de intentar atacar a la red que se encque tenga éxito contra un cortafuegos desembocará en otro ataque DoS con éxito cfrustrando los intentos del tráfico legítimo para atravesar el cortafuegos. En esta secque un atacante puede utilizar para llenar la tabla de sesiones de un dispositivo NetSuna DoS: Inundación de la tabla de sesiones e Inundación proxy SYN-ACK-ACK.
Inundación de la tabla de sesionesUn ataque DoS acertado abruma a su víctima con una cantidad tan ingente de tráficlas peticiones de conexión legítimas. Los ataques DoS pueden adoptar muchas forminundación SYN-ACK-ACK, inundación UDP, inundación ICMP, etc.), pero todos perla tabla de sesiones de su víctima. Cuando la tabla de sesiones se llena, el host ya nueva y comienza a rechazar nuevas peticiones de conexión. La siguiente opción desos ataques:
• Límites de sesiones según sus orígenes y destinos
• Envejecimiento agresivo
Límites de sesiones según sus orígenes y destinosAdemás de limitar el número de sesiones simultáneas procedentes de la misma direpuede limitar el número de sesiones simultáneas hacia la misma dirección IP de desun límite de sesión basado en su origen es que permite contener un ataque como el es un virus y un gusano a la vez), que infecta un servidor y lo utiliza para generar caDado que todo el tráfico generado por un virus procede de la misma dirección IP, unorigen garantiza que el cortafuegos de NetScreen pueda retener tales cantidades e
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos
defensa 43
intentos ilegítimos de llenar la edan de la misma dirección IP denegación de servicio
osts, conocidos como “agentes opciones de detección de de sesión basado en su destino ptable de peticiones de
úmero de sesiones del servidor infectado alcanza imo, el dispositivo NetScreen bloquear todos los intentos de bsiguientes de ese servidor.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Otra ventaja de limitar una sesión basándose en su origen es reducir el número de tabla de sesiones de NetScreen (siempre que todos esos intentos de conexión procde origen). Sin embargo, un atacante astuto podría ejecutar un ataque distribuido de(DDoS). En un ataque DDoS, el tráfico malévolo puede proceder de centenares de hzombie”, que están subrepticiamente bajo el control de un atacante. Además de lasinundaciones SYN, UDP e ICMP y de prevención SCREEN, estableciendo un límite se puede garantizar que el dispositivo NetScreen admita solamente un número aceconexión simultáneas (sin importar su origen) para alcanzar cualquier host.
…
Zona Untrust
Zona DMZ Servidor
infectado
Cuando el nsimultáneasel límite máxcomienza a conexión su
Limitación de sesiones según su origen: Contención del tráfico del virus/gusano Nimda
Un servidor web se infecta con el híbrido del virus/gusano Nimda, que lo utiliza para generar cantidades excesivas de tráfico.
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos
defensa 44
do de observación y análisis icos. También se debe tener en e sesiones de la plataforma
itido por su tabla de sesiones, que se indica el número de aciones de sesión infructuosas:
stino es de 128 sesiones pecíficas de su entorno de red
es según su destino:n de servicio distribuido
iones simultáneas al el límite máximo, el quea cualquier iguiente a esa
Atacante
Zona Untrust
Zona DMZ
Servidor web
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Determinar cuál es el número aceptable de peticiones de conexión requiere un periopara establecer una base de referencia con la que determinar los flujos de tráfico típcuenta el número máximo de sesiones simultáneas requeridas para llenar la tabla dNetScreen que se esté utilizando. Para consultar el número máximo de sesiones admejecute el comando CLI get session y observe la primera línea del resultado, en lasesiones (asignadas) actuales, el número máximo de sesiones y el número de asign
alloc 420/max 128000, alloc failed 0
El máximo predeterminado para los límites de sesiones según su origen y en su desimultáneas, un valor que puede requerir ajustes para satisfacer las necesidades esy plataforma.
Limitación de sesiones según su origen:Ataque de denegación de servicio
Atacante
Host inexistenteIP origen: 6.6.6.6
Servidor web
Zona Untrust
Zona DMZ
Limitación de sesionAtaque de denegació
Cuando el número de sesservidor web sobrepasa dispositivo NetScreen blointento de conexión subsdirección IP.
Agentes zombie
Cuando el número de sesiones simultáneas procedentes de 6.6.6.6 sobrepasa el límite máximo, el dispositivo NetScreen bloquea cualquier conexión subsiguiente de esa dirección IP.
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos
defensa 45
DMZ y Trust puede iniciar. ebería iniciar tráfico, or otra parte, la zona Trust chos de los cuales inician o de 80 sesiones simultáneas.
ic en OK :
ic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Limitación de sesiones según su origenEn este ejemplo limitará el número de sesiones que cualquier servidor de las zonasDado que la zona DMZ solamente contiene servidores web, ninguno de los cuales destablecerá el límite de sesiones de origen en el valor más bajo posible: 1 sesión. Pcontiene computadoras personales, servidores, impresoras y otros dispositivos, mutráfico. Para la zona Trust, establecerá el límite de sesiones de origen en un máxim
WebUI
Screening > Screen (Zone: DMZ): Introduzca los siguientes datos y haga cl
Source IP Based Session Limit: (seleccione)
Threshold: 1 Sessions
Screening > Screen (Zone: Trust): Introduzca los siguientes datos y haga cl
Source IP Based Session Limit: (seleccione)
Threshold: 80 Sessions
CLI
set zone dmz screen limit-session source-ip-based 1set zone dmz screen limit-session source-ip-basedset zone trust screen limit-session source-ip-based 80set zone trust screen limit-session source-ip-basedsave
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos
defensa 46
dirección 1.2.2.5. El servidor se st a este servidor durante un 000. De acuerdo con esta
áneas. Aunque sus ite, opta por garantizar la
clic en OK :
ne)
ed 4000ed
una sesión TCP tarda 20 sesión TCP, el valor del tiempo son de 5 minutos y 1 minuto, tualiza cada 10 segundos 10 segundos, el temporizador
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Limitación de sesiones según su destinoEn este ejemplo, desea limitar la cantidad de tráfico dirigido a un servidor web en la encuentra en la zona DMZ. Después de observar el flujo de tráfico de la zona Untrumes, ha determinado que el número medio de sesiones simultáneas que recibe es 2información, decide establecer el nuevo límite de sesiones en 4000 sesiones simultobservaciones muestran que durante los picos de tráfico a veces se excede ese límseguridad del cortafuegos a costa de alguna inaccesibilidad ocasional del servidor.
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga
Destination IP Based Session Limit: (seleccio
Threshold: 4000 Sessions
CLI
set zone untrust screen limit-session destination-ip-basset zone untrust screen limit-session destination-ip-bassave
Envejecimiento agresivoDe forma predeterminada, el establecimiento de comunicación inicial en 3 fases de segundos en caducar (es decir, en expirar por inactividad). Una vez establecida unade espera cambia a 30 minutos. Para sesiones HTTP y UDP, los tiempos de esperarespectivamente. El temporizador de cada sesión se inicia al comenzar ésta y se acmientras la sesión permanece activa. Si una sesión queda inactiva durante más de comienza la cuenta atrás.
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos
defensa 47
a cuando el número de o el número de sesiones cae e a su estado normal. Mientras rimero el envejecimiento de las icada. Estas sesiones de rrido de basura”, que ocurre
s de las sesiones en la unidades, donde cada unidad ivo puede tener un valor de 20 undos. Si, por ejemplo, s de espera de sesiones HTTP
(30 minutos) a 1700 segundos . Durante ese periodo, el o valor de tiempo de espera uas.
ormales de los tiempos de espera de iones UDP). Sin embargo, cuando se nvejecimientos prematuros en lugar
������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������ ��������������� ��������������������������������������������� ������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������� �����������������������������������������������������������������������������������������
15 10 5 0
00 600 300 0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
NetScreen proporciona un mecanismo para acelerar el proceso del tiempo de espersesiones en la tabla de sesiones sobrepasa un umbral superior especificado. Cuandpor debajo de un umbral inferior especificado, el proceso del tiempo de espera vuelvel proceso de envejecimiento agresivo esté activo, el dispositivo NetScreen forzará psesiones más antiguas, aplicándoles la tasa de envejecimiento previamente especifenvejecimiento forzado se marcan como no válidas y se eliminan en el siguiente “bacada 2 segundos.
La opción de envejecimiento agresivo reduce los tiempos de espera predeterminadomagnitud introducida1. El valor de envejecimiento agresivo puede estar entre 2 y 10representa un intervalo de 10 segundos (es decir, el ajuste de envejecimiento agresa 100 segundos). El ajuste predeterminado es de 2 unidades, equivalentes a 20 segestablece el ajuste de envejecimiento agresivo en 100 segundos, acortará los tiempoy TCP de la siguiente manera:
• TCP: El valor del tiempo de espera de la sesión se acorta de 1800 segundos(28:20 minutos) mientras el proceso de envejecimiento agresivo está activodispositivo NetScreen elimina automáticamente todas las sesiones TCP cuyhaya superado los 1700 segundos, comenzando por las sesiones más antig
1. Al establecer y habilitar la opción de envejecimiento agresivo, en la configuración seguirán apareciendo los valores ncada tipo de sesión (1800 segundos para sesiones TCP, 300 segundos para sesiones HTTP y 60 segundos para sesactiva el periodo de envejecimiento agresivo, estas sesiones caducan antes (aplicando el tiempo especificado para ede la cuenta atrás hasta cero).
������������������������������� ��������������� ��������������������������������������������� ��������������������������������������������������������������������������������������������������������� ������������������������������������������������������������ ��������������������������������������������������������������������������� ������������������������������ ��������������� ��������������������������������������������� ������������������������������ ������������������������������������������������������������ ������������������������������ ��������������� ��������������������������������������������������������������������������� �����������������������������
30 25 20
1800 1500 1200 9Seg
MinTiempo espera predeterminado en sesión TCP: 30 min (1800 seg)Envejecimiento agresivo = 10 (predeterminado - 100 seg):
28:20 Mins (1700 Secs)
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos
defensa 48
s (5 minutos) a 200 segundos Durante ese periodo, el yo valor de tiempo de espera as.
de 60 segundos, definiendo un las sesiones UDP envejezcan
������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������ ��������������� ��������������������������������������������� ������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������� �����������������������������������������������������������������������������������������
3 2 1 0
80 120 60 0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
• HTTP: El valor del tiempo de espera de la sesión se acorta de 300 segundo(3:20 minutos) mientras el proceso de envejecimiento agresivo está activo. dispositivo NetScreen elimina automáticamente todas las sesiones HTTP cuhaya superado los 200 segundos, comenzando por las sesiones más antigu
• UDP: Dado que el tiempo de espera predeterminado de una sesión UDP esajuste de envejecimiento prematuro de 100 segundos se provoca que todasy queden marcadas para su eliminación en el siguiente “barrido de basura”.
������������������������������� ��������������� ��������������������������������������������� ��������������������������������������������������������������������������������������������������������� ������������������������������������������������������������ ��������������������������������������������������������������������������� ������������������������������ ��������������� �����������������������������������������������������������
5 4
300 240 1Seg
MinTiempo de espera predeterminado de la sesión HTTP: 5 min (300 seg)
Envejecimiento agresivo = 10 (predeterminado - 100 seg): 3:20 Mins (200 Secs)
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos
defensa 49
uando el tráfico supere un l 70%. Especificará 40 e llena más del 80% (el umbral das las sesiones y comienza a úmero de sesiones en la tabla
nterfaz de línea de comandos
ral superior
ral inferior
Envejecimiento agresivo
(- 40 seg de envejecimiento
forzado)
,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Forzar el envejecimiento agresivo de sesionesEn este ejemplo establecerá que el proceso de envejecimiento agresivo comience cumbral superior del 80% y finalice cuando caiga por debajo de un umbral inferior desegundos como intervalo de envejecimiento agresivo. Cuando la tabla de sesiones ssuperior), el dispositivo NetScreen reduce en 40 segundos el tiempo de espera de toforzar agresivamente el envejecimiento de las sesiones más antiguas hasta que el ncae por debajo del 70% (el umbral inferior).
WebUI
CLI
set flow aging low-watermark 70set flow aging high-watermark 80set flow aging early-ageout 4save
Nota: Para configurar los ajustes de envejecimiento agresivo debe usar la i(CLI).
100%
80%
70%
0%
Umb
Umb
Sesiones
Capacidad de la tabla de sesiones Cuando el número de sesiones supera la capacidad del 80%
se activa el mecanismo de envejecimiento agresivo.
Se fuerza el envejecimiento de las sesiones hasta que su número cae por debajo del 70%. En ese momento, el mecanismo de envejecimiento agresivo se detiene.
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos
defensa 50
mento SYN al servidor Telnet o a entrada en su tabla de sponde entonces con un ación en 3 fases. El dispositivo malévolo continúa iniciando reen puede llenarse hasta el
Servidor Telnet o FTP
Zona Trust
a de sesiones de creen: Muchos recursos
onibles
bla de sesiones se está ndo.
bla de sesiones está .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Inundación proxy SYN-ACK-ACKCuando un usuario de autenticación inicia una conexión Telnet o FTP, envía un segFTP correspondiente. El dispositivo NetScreen intercepta el segmento SYN, crea unsesiones y envía al usuario un segmento SYN-ACK a través del proxy. El usuario resegmento ACK. En ese momento se completa el establecimiento inicial de comunicNetScreen envía al usuario un mensaje de petición de inicio de sesión. Si el usuariosesiones SYN-ACK-ACK en lugar de iniciar la sesión, la tabla de sesiones de NetScpunto en que el dispositivo comience a rechazar peticiones de conexión legítimas.
����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
SYN
ACK
Nombre: ?Contraseña: ?
SYN/ACK2. El dispositivo
NetScreen envía un segmento SYN/ACK a través del proxy.
4. El dispositivo NetScreen solicita al cliente (usuario de autenticación) que inicie una sesión.
SYN
1. El cliente envía un segmento SYN al servidor.
Cliente Telnet o FTP(usuario de
autenticación)
Zona Untrust
3. El cliente responde con un segmento ACK.
5. El cliente ignora el mensaje de petición de inicio de sesión y sigue repitiendo los pasos 1 a 4 hasta llenar la tabla de sesiones de NetScreen.
SYN
1
3
2
4
5
TablNetSdisp
La tallena
La tallena6
6. Al estar la tabla de sesiones completa, el dispositivo NetScreen debe rechazar todas las demás peticiones de conexión.
.
.
.
SYN/ACK
ACK
Nombre: ?Contraseña: ?
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos
defensa 51
-ACK del proxy. Cuando el e SYN-ACK-ACK del proxy, el cción IP. De forma Puede cambiar este umbral (a torno de red.
cualquiera de los siguientes e:
siguientes datos y haga clic en
)
r la protección contra la
nes de una determinada dirección IP.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para frustrar tal ataque, puede habilitar la opción SCREEN de protección SYN-ACKnúmero de conexiones procedentes de una misma dirección IP alcanza el umbral ddispositivo NetScreen rechaza las peticiones de conexión subsiguientes de esa direpredeterminada, el umbral es de 512 conexiones de una determinada dirección IP. cualquier número entre 1 y 250.000) para adaptarse mejor a los requisitos de su en
Para habilitar la protección contra una inundación SYN-ACK-ACK del proxy, ejecuteprocedimientos, donde la zona especificada es aquélla en la que se origina el ataqu
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los Apply :
SYN-ACK-ACK Proxy Protection: (seleccione
Threshold: (introduzca un valor para activainundación SYN-ACK-ACK del proxy2)
CLI
set zone zone screen syn-ack-ack-proxy threshold numberset zone zone screen syn-ack-ack-proxy
2. La unidad de este valor se expresa en conexiones por dirección de origen. El valor predeterminado es de 512 conexio
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 52
red inunda el destino con una ndiendo del objetivo del mento, el atacante puede hosts de forma aleatoria en la o a un solo host o a la red contexto de su red.
N que inician peticiones de timas.
nocido como establecimiento de SYN; A responde con un e contienen direcciones IP de responde enviando segmentos entos SYN/ACK se envían a
uperar el tiempo de espera.
tráfico entrante, el dispositivo mentos SYN. La víctima ntos SYN/ACK a la dirección IP ndo a la espera de respuesta ucan.
LAN protegida
El búfer de memoria de la víctima comienza a llenarse.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
ATAQUES DOS CONTRA LA REDUn ataque de denegación de servicio (DoS) dirigido contra unos o más recursos decantidad abrumadora de paquetes SYN, ICMP o UDP, o de fragmentos SYN. Depeatacante y del nivel y éxito de los esfuerzos de prevención realizados hasta ese moseleccionar un host específico, como un enrutador o un servidor, o bien seleccionarred atacada. Cualquiera de las dos tácticas tiene el potencial de trastornar el servicientera, dependiendo de la importancia del papel desempeñado por la víctima en el
Inundación SYNUna inundación SYN ocurre cuando un host resulta tan saturado con segmentos SYconexión irrealizables que le resulta imposible procesar peticiones de conexión legí
Dos hosts establecen una conexión TCP con triple intercambio de segmentos TCP, coconexión en tres fases: A envía un segmento SYN a B; B responde con un segmentosegmento ACK. Un ataque de inundación SYN inunda un sitio con segmentos SYN quorigen falsificadas (“suplantadas” o “spoofed”), es decir, inexistentes o inalcanzables. BSYN/ACK a estas direcciones y espera segmentos ACK de respuesta. Como los segmdirecciones IP inexistentes o inalcanzables, nunca obtienen respuesta y acaban por s
El host en 2.2.2.5 envía segmentos SYN en paquetes IP con direcciones de origen suplantadas.
Si una directiva permite elNetScreen permite los segresponde enviando segmede origen simulada, quedahasta que los intentos cad
Dirección IPreal
2.2.2.5
Dirección IP inexistente oinalcanzable
SYNSYN/ACK?
?
?
?
SYN
SYN
SYN
SYN/ACK
SYN/ACK
SYN/ACK
3.3.3.5
4.4.4.20
5.5.5.10
6.6.6.3
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
nsa 53
el búfer de memoria de la onexión TCP. La
ataque inhabilita a la
que se permite atravesar n de destino y el puerto,
ando el número de icia el procesamiento de almacenando las ión incompletas ucado. En la ilustración nzado a procesar
LAN protegida
La cola de conexiones procesada por proxy del dispositivo NetScreen comienza a llenarse.
El búfer de memoria de la víctima deja de llenarse.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y defe
Inundando un host con conexiones TCP no completables, el atacante acabará por llenarvíctima. Cuando este búfer se llena, el host ya no puede procesar nuevas peticiones de cinundación puede incluso dañar el sistema operativo de la víctima. En cualquier caso, el víctima y sus operaciones normales.
Protección contra inundaciones SYNLos dispositivos NetScreen pueden imponer un límite al número de segmentos SYN a losel cortafuegos cada segundo. Puede definir el umbral de ataque en función de la direcciósólo en función de la dirección de destino o sólo en función de la dirección de origen. Cusegmentos SYN por segundo supera uno de estos umbrales, el dispositivo NetScreen insegmentos SYN entrantes mediante el proxy, respondiendo con segmentos SYN/ACK y peticiones de conexión incompletas en una cola de conexiones. Las peticiones de conexpermanecen en la cola hasta que la conexión se haya completado o la petición haya cadsiguiente, se ha atravesado el umbral de ataque SYN y el dispositivo NetScreen ha comesegmentos SYN mediante el proxy.
���������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������
El host con la dirección 2.2.2.5 continúa enviando segmentos SYN en paquetes IP con direcciones de origen suplantadas.
Cuando el número de segmentos SYN procedentes de una misma dirección de origen o dirigidos a la misma dirección de destino alcanza un umbral especificado, el dispositivo NetScreen comienza a interceptar las peticiones de conexión y a procesar los segmentos SYN/ACK mediante el proxy.
Dirección IP real2.2.2.5
SYNSYN/ACK?
?
?
?
SYN/ACK
— Umbral de ataque SYN —
.
.
.
SYNSYN/ACK
SYN
SYN
SYN/ACK
Dirección IP inexistente oinalcanzable
7.7.7.11
8.8.8.8
9.9.9.22
2.2.2.4
3.3.3.25
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
sa 54
ente y el dispositivo red protegida contra el
roxy cae por debajo del
a de un umbral fico para el que no exista
LAN protegida
La cola de conexiones procesada por proxy del dispositivo NetScreen está llena.
El búfer de memoria de la víctima recupera su estado normal.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y defen
En la siguiente ilustración, la cola de conexiones procesada por proxy se ha llenado totalmNetScreen rechaza nuevos segmentos SYN entrantes. Esta acción blinda los hosts de la bombardeo de establecimientos de conexión en tres fases incompletos.
El dispositivo NetScreen inicia la recepción de nuevos paquetes SYN cuando la cola del plímite máximo.
Nota: El procedimiento de procesar por proxy las conexiones SYN incompletas por encimestablecido afecta solamente al tráfico permitido por las directivas existentes. Cualquier tráuna directiva se descarta automáticamente.
��������������������������������������������������������������������������������������������������������������������������������� �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ���������������������������������������������������������������������������������������������������������������������������������������������������������������� ���������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������ �������������������������������� �������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������ �����������������������������������������������������������������������������������������������
— Umbral de ataque SYN —
������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������� ��������������������������������� ������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������
— Umbral de alarma —
El host con la dirección 2.2.2.5 continúa enviando segmentos SYN en paquetes IP con la dirección de origen suplantada 3.3.3.5.
Dirección IPreal
2.2.2.5
Dirección IP inexistente oinalcanzable
3.3.3.5
?
?
SYN/ACK
.
.
.
������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������� ��������������������������������� ������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������
— Limite máximo de la cola de conexiones procesada por proxy —
SYN El dispositivo NetScreen intercepta los segmentos SYN y procesa por proxy las respuestas SYN/ACK hasta que la cola de conexiones procesada por proxy se llena.
El dispositivo NetScreen rechaza nuevos segmentos SYN de todas las direcciones de la misma zona de seguridad.
Segmento SYN de otra dirección de la misma zona de seguridad.
SYN
SYN
SYN/ACK
El dispositivo NetScreen introduce una alarma en el registro de eventos.
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 55
parámetros, ejecute cualquiera ede originarse una inundación:
siguientes datos y haga clic en
itar)ntos SYN (es decir, de ) requeridos por segundo para
de SYN por proxy3) peticiones de conexión TCP nerar una alarma en el registro
e paquetes SYN por segundo n IP que se requiere para que azar nuevas peticiones de
ro de paquetes SYN por cción IP que se requiere para
rechazar nuevas peticiones de
egundos que el dispositivo ión TCP incompleto en la cola
iones de conexión TCP en la cola de conexiones ositivo NetScreen comience a
e CLI.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para habilitar la opción SCREEN de protección contra inundaciones SYN y definir susde los siguientes procedimientos, donde la zona especificada es aquélla en la que pu
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los Apply :
SYN Flood Protection: (seleccione para habilThreshold: (introduzca el número de segme
segmentos TCP con el flag SYN activadoactivar el mecanismo de procesamiento
Alarm Threshold: (introduzca el número deprocesadas por proxy requeridas para gede eventos)
Source Threshold: (introduzca el número dprocedentes de una determinada direccióel dispositivo NetScreen comience a rechconexión de ese origen)
Destination Threshold: (introduzca el númesegundo dirigidos a una determinada direque el dispositivo NetScreen comience aconexión hacia ese destino)
Timeout Value: (introduzca la duración en sNetScreen mantiene un intento de conexde conexiones procesada por proxy)
Queue Size: (introduzca el número de peticprocesadas por proxy que se mantienen procesada por proxy antes de que el disprechazar nuevas peticiones de conexión)
3. Para obtener más detalles sobre cada uno de estos parámetros, consulte las descripciones en la siguiente sección d
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 56
establecer los siguientes
P con el flag SYN activado) r segundo para activar el el umbral en cualquier número, para establecer un umbral .000 segmentos SYN por do. Si un sitio más pequeño r el umbral en 40.
er
s procesadas por proxy por el registro de eventos. El valor por segundo de peticiones de cción de destino y número de YN en 2000 segmentos SYN YN por segundo dirigidos a la e alarma en el registro. Más
do que cumplen los requisitos
n el mismo segundo.
de conexión en ese mismo
r
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLIPara habilitar la protección contra inundaciones SYN:
set zone zone screen syn-flood
Para procesar por proxy las peticiones de conexión TCP inacabadas puedeparámetros:
Attack Threshold: El número de segmentos SYN (es decir, segmentos TCdirigidos a la misma dirección de destino y número de puerto requeridos pomecanismo de procesamiento de SYN por proxy. Aunque se puede ajustar es necesario conocer los patrones de tráfico habituales en cada instalaciónadecuado. Por ejemplo, en un sitio “e-business” que normalmente recibe 20segundo, conviene establecer un umbral de, por ejemplo, 30.000 por segunrecibe habitualmente 20 segmentos SYN por segundo, plantéese establece
set zone zone screen syn-flood attack-threshold numb
Alarm Threshold: El número de peticiones de conexión TCP semicompletasegundo que el dispositivo NetScreen espera para introducir una alarma enestablecido para un umbral de alarma dispara una alarma cuando el númeroconexión semicompletadas y procesadas por proxy dirigidas a la misma direpuerto supera ese valor. Por ejemplo, si se establece el umbral de ataque Spor segundo y la alarma en 1000, se requiere un total de 3001 segmentos Smisma dirección de destino y número de puerto para generar una entrada dprecisamente:
1. El cortafuegos deja pasar los primeros 2000 segmentos SYN por segunde las directivas.
2. El cortafuegos procesa por proxy los 1000 segmentos SYN siguientes e
3. La 1001ª petición de conexión procesada por proxy (o la 3001ª petición segundo) dispara la alarma.
set zone zone screen syn-flood alarm-threshold numbe
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 57
e destino que sobrepase el l final del segundo, el módulo
registro que indica cuántos o llegaron después de haberse undo, el registro de eventos
s SYN que deben recibirse por dirección IP y el número de rtar peticiones de conexión de
er
s parámetros de detección que destino. Cuando se establece ismo básico de protección nes SYN basado en sus
entos SYN por segundo que sitivo NetScreen comience a jecuta múltiples servicios,
destino, sin importar el número
number
ctivan tanto el mecanismo imiento de inundaciones SYN
ros parámetros de detección to de destino. Observe el caso izar peticiones FTP (puerto 21) ra inundaciones SYN es de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Por cada segmento SYN dirigido a la misma dirección y número de puerto dumbral de alarma, el módulo de detección de ataques genera un mensaje. Ade registro comprime todos los mensajes similares en una sola entrada del segmentos SYN dirigidos a la misma dirección y número de puerto de destinrebasado el umbral de alarma. Si el ataque persiste más allá del primer segintroduce una alarma cada segundo hasta que el ataque se detenga.
Source Threshold: Esta opción permite especificar el número de segmentosegundo de una determinada dirección IP de origen (sin tener en cuenta la puerto de destino) antes de que el dispositivo NetScreen comience a descaese origen.
set zone zone screen syn-flood source-threshold numb
El seguimiento de una inundación SYN por su dirección de origen utiliza otroel seguimiento de una inundación SYN por dirección y número de puerto deun umbral de ataque SYN y un umbral de origen, se activan tanto el mecancontra inundaciones SYN como el mecanismo de seguimiento de inundacioorígenes.
Destination Threshold: Esta opción permite especificar el número de segmpuede recibir una determinada dirección IP de destino antes de que el dispodescartar peticiones de conexión a ese destino. Cuando un host protegido econviene establecer un umbral basado exclusivamente en la dirección IP dede puerto de destino.
set zone zone screen syn-flood destination-threshold
Cuando se establece un umbral de origen SYN y un umbral de destino, se abásico de protección contra inundaciones SYN como el mecanismo de segubasado en sus destinos.
El seguimiento de una inundación SYN por su dirección de destino utiliza otque el seguimiento de una inundación SYN por dirección y número de puersiguiente, donde el dispositivo NetScreen tiene directivas que permiten realy peticiones HTTP (puerto 80) al mismo servidor. Si el umbral de ataque pa
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
efensa 58
9 paquetes HTTP por los paquetes que comparten ocesamiento de SYN por to de direcciones y números e 1000 paquetes por etScreen trata los paquetes onjunto y rechaza el 1001º
scartada de la cola. El valor gundos. Intente reducir el en condiciones normales de ara una respuesta ACK a un
se pueden retener en la cola ience a rechazar nuevas
dispositivo NetScreen en n procesada por proxy. Esto go, como el tiempo que debe muy superior al de cualquier irán una diferencia notable.
YN, procesa por proxy todas odo transparente no puede ino no está en su tabla de modo transparente que ha
AC desconocidas. Puede que contienen direcciones
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y d
1000 paquetes por segundo (pps) y un atacante envía 999 paquetes FTP y 99segundo, ninguno de ambos conjuntos de paquetes (entendiendo por conjuntola misma dirección y número de puerto de destino) activa el mecanismo de prproxy. El mecanismo básico de ataque de inundación SYN realiza el seguimiende puerto de destino, y ninguno de los conjuntos supera el umbral de ataque dsegundo. Sin embargo, si el umbral de destino es de 1000 pps, el dispositivo NFTP y HTTP con la misma dirección de destino que los miembros de un solo cpaquete (FTP o HTTP) dirigido a ese destino.
Timeout: El tiempo máximo antes de que una conexión semicompleta sea depredeterminado es de 20 segundos, pero se puede establecer entre 0 y 50 sevalor del tiempo de espera hasta que comience a ver conexiones descartadastráfico. Veinte segundos representan un tiempo de espera muy conservador pestablecimiento de comunicación de 3 fases.
set zone zone screen syn-flood timeout number
Queue size: El número de peticiones de conexión procesadas por proxy que de conexiones procesada por proxy antes de que el dispositivo NetScreen competiciones de conexión. Cuanto mayor sea el tamaño de la cola, más tarda el analizarla para encontrar una respuesta ACK válida a una petición de conexiópuede retardar ligeramente el establecimiento inicial de la conexión; sin embartranscurrir antes de poder comenzar la transferencia de datos es normalmenteretraso menor en la configuración inicial de la conexión, los usuarios no percib
set zone zone screen syn-flood queue-size number
Drop Unknown MAC: Cuando un dispositivo NetScreen detecta un ataque Slas peticiones de conexión TCP. Sin embargo, un dispositivo NetScreen en mprocesar por proxy una petición de conexión TCP si la dirección MAC de destaprendizaje de MAC. De forma predeterminada, un dispositivo NetScreen en detectado un ataque SYN entrega paquetes SYN que contienen direcciones Mutilizar esta opción para ordenar al dispositivo que descarte los paquetes SYNMAC de destino desconocidas en lugar de permitirles el paso.
set zone zone screen syn-flood drop-unknown-mac
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 59
inundación SYN originados en YN para la zona Untrust.
res apropiados para su red, na semana, ejecute un upervisar el número de nuevas n DMZ5. Su análisis de los nte:
do
N incorporada en el dispositivo uno de los servidores web. En bién proporciona algunas de conexión y modificar el
conectado. La mayoría de los rá visualizar y evaluar la información ivado que lleguen a ethernet3 y estén
n la hora, el día de la semana, la fase detecta cambios significativos,
Zona DMZ
web
10
20
30
40
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Protección contra inundaciones SYNEn este ejemplo protegerá cuatro servidores web en la zona DMZ contra ataques dela zona Untrust habilitando la opción SCREEN de protección contra inundaciones S
Para configurar los parámetros de protección contra inundaciones SYN con los valoprimero debe establecer una línea de base de los flujos de tráfico típicos. Durante uprograma rastreador4 sobre ethernet3 (la interfaz asociada a la zona Untrust) para speticiones de conexión TCP que llegan cada segundo a los cuatro servidores web edatos acumulados durante una semana de supervisión produce la estadística siguie
• Promedio de nuevas peticiones de conexión por servidor: 250 por segundo• Promedio de máximo de peticiones de conexión por servidor: 500 por segun
Nota: Juniper Networks recomienda aumentar la protección contra inundaciones SYNetScreen con la protección contra inundaciones SYN a nivel de dispositivo en cadaeste ejemplo, los servidores web funcionan con el sistema operativo UNIX, que tamdefensas contra inundaciones SYN, como ajustar el tamaño de la cola de peticionestiempo de espera para las peticiones de conexión incompletas.
4. Un programa rastreador es un dispositivo analizador de red que captura paquetes en el segmento de red al que estáprogramas rastreadores permiten definir filtros para recopilar solamente el tipo de tráfico que interese. Después podacumulada. En este ejemplo se desea que el programa rastreador recoja todos los paquetes TCP con el flag SYN actdestinados a uno de los cuatro servidores web en DMZ.
5. Siga ejecutando el programa rastreador a intervalos periódicos comprobando si existen patrones de tráfico basados edel mes o la estación del año. Por ejemplo, el tráfico puede aumentar espectacularmente durante las Navidades. Si probablemente esté justificado ajustar los diferentes umbrales.
Zona Untrust
Internet
Dispositivo NetScreen
ethernet31.1.1.1/24
ethernet21.2.2.1/24
Servidores
1.2.2.
1.2.2.
1.2.2.
1.2.2.
HTTP
Inundación SYN
Cortafuegos
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 60
ión contra inundaciones SYN
valor
e nuevas peticiones de conexión te entorno de red. Cuando el lquiera de los cuatro servidores een comienza a procesar por as a ese servidor. (En otras N dirigido a la misma dirección y undo, el dispositivo NetScreen e conexión dirigidas a esa
ticiones de conexión do el dispositivo NetScreen nexión en un segundo, genera s. Aumentando ligeramente el que, puede evitar las entradas de mente exceden levemente el
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
De acuerdo con esta información, establecerá los siguientes parámetros de proteccpara la zona Untrust:
Parámetros Valores Motivo para cada
Attack Threshold (Umbral de ataque)
625 paquetes por segundo (pps)
Esto supera en un 25% al promedio de picos dpor segundo por servidor, algo inusual para esnúmero de paquetes SYN por segundo de cuaweb supera este número, el dispositivo NetScrproxy las nuevas peticiones de conexión dirigidpalabras, comenzando por el 626º paquete SYnúmero de puerto de destino en un mismo segcomienza a procesar por proxy las peticiones ddirección y número de puerto).
Alarm Threshold (umbral de alarma)
250 pps 250 pps es 1/4 del tamaño de la cola (1000 pesemicompletas y procesadas por proxy*). Cuanprocesa por proxy 251 nuevas peticiones de couna entrada de alarma en el registro de eventoumbral de alarma por encima del umbral de ataalarma generadas por picos de tráfico que solaumbral de ataque.
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 61
ispositivo NetScreen rastrea la importar la dirección y el número
miento basado en orígenes es N basado en la dirección y el
l mecanismo básico de protección
e no más de una cuarta parte de os servidores procedía del mismo or lo tanto, las peticiones de
abituales y son causa suficiente ecanismo de procesamiento por ue es de 625 pps).
s SYN procedentes de la misma xto paquete rechazará los demás e ese segundo y también durante
dispositivo NetScreen ejecuta un n IP de destino, sin importar el cuatro servidores web reciben
y no les llega ningún tráfico tino, establecer un umbral de icional.
e pequeño (1000 peticiones de terminado de 20 segundos es un de conexión incompletas en cola
valor
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Source Threshold (Umbral de origen)
25 pps Cuando se establece un umbral de origen, el ddirección IP de origen de los paquetes SYN, sinde puerto de destino. (Observe que este seguiindependiente del seguimiento de paquetes SYnúmero de puerto de destino, que constituye econtra inundaciones SYN).
Durante la semana de supervisión, observó qulas nuevas peticiones de conexión para todos lorigen dentro de un intervalo de un segundo. Pconexión que superan este umbral son poco hpara que el dispositivo NetScreen ejecute su mproxy. (25 pps es 1/25 del umbral de ataque, q
Si el dispositivo NetScreen detecta 25 paquetedirección IP de origen, a partir del vigésimo sepaquetes SYN de ese origen durante el resto del segundo siguiente.
Destination Threshold (Umbral de destino)
0 pps Cuando se establece un umbral de destino, el seguimiento separado solamente de la direcciónúmero de puerto de destino. Debido a que lossolamente tráfico HTTP (puerto de destino 80)dirigido a ningún otro número de puerto de desdestino separado no aporta ninguna ventaja ad
Timeout (Tiempo de espera)
20 segundos Dado que el tamaño de la cola es relativamentconexión procesadas por proxy), el valor predetiempo razonable para mantener las peticionespara esta configuración.
Parámetros Valores Motivo para cada
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 62
s y haga clic en OK :
e)
s y haga clic en OK :
e)
ocesadas por proxy es dos veces conexión (500 pps). El dispositivo iones por segundo antes de y el doble del promedio de picos un “colchón” suficiente como para egítimas.
tos. Un establecimiento de conexión en ivado, una respuesta con los flag SYN y nsulte “Glosario” en el Volumen 1, “Vista
valor
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone Name: DMZ
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Queue Size (Tamaño de la cola
1000 conexiones semicompletas procesadas por
proxy
1000 peticiones de conexión semicompletas prel promedio de picos de nuevas peticiones de NetScreen procesa por proxy hasta 1000 peticdescartar nuevas peticiones. Procesar por proxde nuevas peticiones de conexión proporciona que puedan pasar las peticiones de conexión l
* Las peticiones de conexión semicompletas son establecimientos de conexión en tres fases incompletres fases es la fase inicial de una conexión TCP. Consiste en un segmento TCP con el flag SYN actACK activados y una respuesta a ésta con el flag ACK activado. Para ver una descripción completa, cogeneral”.
Parámetros Valores Motivo para cada
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 63
lic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: ws1
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.10/32
Zone: DMZ
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: ws2
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.20/32
Zone: DMZ
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: ws3
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.30/32
Zone: DMZ
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 64
lic en OK :
guiente nombre de grupo,
sladar la dirección de la “Group Members”.
sladar la dirección de la “Group Members”.
sladar la dirección de la “Group Members”.
sladar la dirección de la “Group Members”.
haga clic en OK :
vers
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: ws4
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.40/32
Zone: DMZ
Objects > Addresses > Groups > (para la zona: DMZ) New: Introduzca el simueva las siguientes direcciones y haga clic en OK :
Group Name: web_servers
Seleccione ws1 y utilice el botón << para tracolumna “Available Members” a la columna
Seleccione ws2 y utilice el botón << para tracolumna “Available Members” a la columna
Seleccione ws3 y utilice el botón << para tracolumna “Available Members” a la columna
Seleccione ws4 y utilice el botón << para tracolumna “Available Members” a la columna
3. DirectivaPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), web_ser
Service: HTTP
Action: Permit
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 65
clic en Apply :
que lo haya establecido previamente
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
4. SCREENScreening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga
SYN Flood Protection: (seleccione)
Threshold: 625
Alarm Threshold: 250
Source Threshold: 25
Destination Threshold: 0
Timeout Value: 206
Queue Size: 1000
6. Al ser 20 segundos el ajuste predeterminado, no es necesario establecer el tiempo de espera en 20 segundos a menosen otro valor.
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 66
it
que lo haya establecido previamente
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
1. Interfacesset interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direccionesset address dmz ws1 1.2.2.10/32set address dmz ws2 1.2.2.20/32set address dmz ws3 1.2.2.30/32set address dmz ws4 1.2.2.40/32
set group address dmz web_servers add ws1set group address dmz web_servers add ws2set group address dmz web_servers add ws3set group address dmz web_servers add ws4
3. Directivaset policy from untrust to dmz any web_servers HTTP perm
4. SCREENset zone untrust screen syn-flood attack-threshold 625set zone untrust screen syn-flood alarm-threshold 250set zone untrust screen syn-flood source-threshold 25set zone untrust screen syn-flood timeout 207
set zone untrust screen syn-flood queue-size 1000set zone untrust screen syn-floodsave
7. Al ser 20 segundos el ajuste predeterminado, no es necesario establecer el tiempo de espera en 20 segundos a menosen otro valor.
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
efensa 67
sobrecargan a su víctima con sulta imposible procesar el uede establecer un umbral MP. (El valor predeterminado etScreen ignora otras o siguiente.
etScreen supervisa todos los tipos
LAN protegida
ja pasar las peticiones tiva lo permite.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y d
Inundación ICMPUna inundación ICMP se produce normalmente cuando las peticiones de eco ICMP8 tantas peticiones que ésta consume todos sus recursos en responder, hasta que le retráfico de red válido. Al habilitar la función de protección contra inundaciones ICMP, pque, al ser excedido, activa la función de protección contra ataques de inundación ICdel umbral es 1000 paquetes por segundo). Si se excede este umbral, el dispositivo Npeticiones de eco ICMP durante el resto de ese segundo y también durante el segund
8. Observe que una inundación del ICMP puede consistir en cualquier tipo de mensaje ICMP. Por lo tanto, un dispositivo Nde mensaje ICMP, no sólo las peticiones de eco.
El atacante envía peticiones de eco ICMP con direcciones de origen simuladas.
Peticiones de eco ICMP de una variedad de direcciones IP suplantadas
? Respuesta de eco
.
.
.
��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ���������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������ �������������������������������������������� �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������ �����������������������������������������������������������������������������������������������������������������������������������
— Límite máximo de peticiones de eco ICMP por segundo —
Petición de eco
Una vez alcanzado el umbral de ICMP, el dispositivo NetScreen rechaza las peticiones de eco ICMP subsiguientes de todas las direcciones de la misma zona de seguridad durante el resto del segundo actual y también durante el segundo siguiente.
Petición de eco ICMP legítima de una dirección en la misma zona de seguridad
Petición de eco
? Respuesta de eco
? Respuesta de eco
Petición de eco
Petición de eco
Petición de eco
El dispositivo NetScreen dede eco sólo si alguna direc
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 68
uientes procedimientos, donde
siguientes datos y haga clic en
ual debe activarse la protección
or segundo.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para habilitar la protección contra inundaciones ICMP, ejecute cualquiera de los sigla zona especificada es aquélla en la que puede originarse una inundación:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los Apply :
ICMP Flood Protection: (seleccione)
Threshold: (introduzca el valor a partir del ccontra inundaciones ICMP9)
CLI
set zone zone screen icmp-flood threshold numberset zone zone screen icmp-flood
9. La unidad de este valor se expresa en paquetes ICMP por segundo. El valor predeterminado es de 1000 paquetes p
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 69
tacante envía paquetes IP que esulta imposible procesar las es UDP, puede establecer un ación UDP. (El valor amas UDP de uno o más ora los datagramas UDP rante el segundo siguiente.
LAN protegida
reen
es de e el
deja pasar los datagramas tiva lo permite.
Servidor DNSIP: 1.2.2.5
Puerto: 53 (UDP)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Inundación UDPDe forma parecida a una inundación ICMP, una inundación UDP ocurre cuando un acontienen datagramas UDP con el propósito de ralentizar a la víctima hasta que le rconexiones válidas. Después de habilitar la función de protección contra inundacionumbral que, al ser excedido, activa la función de protección contra ataques de inundpredeterminado del umbral es 1000 paquetes por segundo). Si el número de datagrorígenes a un destino determinado supera este umbral, el dispositivo NetScreen ignsubsiguientes dirigidos a ese destino durante el resto de ese segundo y también du
El atacante envía datagramas UDP en paquetes IP con direcciones de origen simuladas.
Datagramas UDP dentro de los paquetes IP de una variedad de direcciones IP simuladas
.
.
.
��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ���������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������ �������������������������������������������� �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������ �����������������������������������������������������������������������������������������������������������������������������������
— Límite máximo de datagramas UDP por segundo —
Datagrama UDP
Una vez alcanzado el umbral de inundación UDP, el dispositivo NetScrechaza los datagramas UDP subsiguientes de todas las direccionla misma zona de seguridad durantresto del segundo actual y también durante el segundo siguiente.Datagrama UDP legítimo desde una
dirección de la misma zona de seguridad
Datagrama UDP
El dispositivo NetScreen UDP sólo si alguna direc
Datagrama UDP
Datagrama UDP
Datagrama UDP
Los datagramas apuntan a un servidor DNS en 1.2.2.5:53.
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 70
entes procedimientos, donde la
siguientes datos y haga clic en
ual debe activarse la protección
r segundo.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para habilitar la protección contra inundaciones UDP, ejecute cualquiera de los siguizona especificada es aquélla en la que puede originarse una inundación:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los Apply :
UDP Flood Protection: (seleccione)
Threshold: (introduzca el valor a partir del ccontra inundaciones UDP10)
CLI
set zone zone screen udp-flood threshold numberset zone zone screen udp-flood
10. La unidad de este valor se expresa en paquetes UDP por segundo. El valor predeterminado es de 1000 paquetes po
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 71
tre ocurre cuando un atacante dirección IP de destino y ete SYN-ACK, creando una
Inundar un sistema con tales
íctima
Los recursos disponibles de la víctima
Las conexiones vacías están consumiendo los recursos de la víctima.
Todos los recursos están consumidos, lo cual impide las operaciones normales.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ataque terrestre (“Land Attack”)Combinando un ataque SYN con la suplantación de direcciones IP, un ataque terresenvía paquetes SYN suplantados que contienen la dirección IP de la víctima como dirección IP de origen. El sistema receptor responde enviándose a sí mismo el paquconexión vacía que perdura hasta que caduca el tiempo de espera por inactividad. conexiones vacías puede saturarlo y provocar la denegación de servicio (DoS).
Origen
1.2.2.5 1.2.2.5
Destino
Datos
Atacante V
Origen
1.2.2.5 1.2.2.5
Destino
Datos
Origen
1.2.2.5 1.2.2.5
Destino
Datos
Tanto la dirección de origen como la de destino son las de la víctima. La dirección de origen que aparece en el encabezado IP es simulada, mientras que la dirección de origen verdadera permanece oculta.
La víctima crea conexiones vacías consigo misma.
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red
defensa 72
vo NetScreen combina ntación de direcciones IP para
entes procedimientos, donde la
d Attack Protection y haga
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Cuando se habilita la opción SCREEN para bloquear ataques terrestres, el dispositielementos de la defensa contra inundaciones SYN y de la protección contra la supladetectar y bloquear cualquier intento de esta naturaleza.
Para habilitar la protección contra ataques terrestres, ejecute cualquiera de los siguizona especificada es aquélla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Lanclic en Apply .
CLI
set zone zone screen land
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS específicos de cada sistema operativo
defensa 73
de un host activo, sino también e attacks”), puede atacar de sección pueden inutilizar un ptibles a estos ataques, puede de que alcancen su destino.
cabezado del paquete, que pseudoencabezado de 8 de eco ICMP es de 65.507
ecificar un tamaño del paquete r una variedad de reacciones bloqueos y reinicios.
echaza esos paquetes del paquete fragmentándolo
”.
ssage Protocol”.
.org/sploits/ping-o-death.html.
ytes prescrito en la vide en numerosos quedarse “colgado”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
ATAQUES DOS ESPECÍFICOS DE CADA SISTEMA OPERATIVOSi un atacante identifica no sólo la dirección IP y los números de puerto accesibles su sistema operativo (OS), en lugar de utilizar “ataques de fuerza bruta” (“brute-forcforma más sutil “liquidando” uno o dos paquetes. Los ataques presentados en esta sistema con un esfuerzo mínimo. Si su dispositivo NetScreen protege a hosts suscehabilitar el dispositivo NetScreen para detectar dichos ataques y bloquearlos antes
“Ping of Death”El tamaño máximo admisible de un paquete IP es de 65.535 bytes, incluyendo el enhabitualmente mide 20 bytes11. Una petición de eco ICMP es un paquete IP con un bytes12. Por lo tanto, el tamaño máximo admisible del área de datos de una peticiónbytes (65.535 - 20 - 8 = 65.507).
Sin embargo, muchas implementaciones del comando ping permiten al usuario espsuperior a 65.507 bytes. Un paquete ICMP sobredimensionado puede desencadenaadversas por parte del sistema, como la denegación del servicio (DoS), “cuelgues”,
Habilitando la opción SCREEN “Ping of Death”, el dispositivo NetScreen detecta y rsobredimensionados e irregulares incluso cuando el atacante oculta el tamaño totalintencionalmente.
11. Para obtener información sobre las especificaciones del protocolo IP, consulte la norma RFC 791, “Internet Protocol
12. Para obtener más información sobre las especificaciones de ICMP, consulte la norma RFC 792, “Internet Control Me
Nota: Para obtener información sobre “Ping of Death”, consulte http://www.insecure
Encabezado IP Encabezado ICMP Datos ICMP
20 bytes 8 bytes 65.510 bytes
El tamaño de este paquete es de 65.538 bytes. Excede el límite de 65.535 bnorma RFC 791, “Internet Protocol”. Durante la transmisión, el paquete se difragmentos. Durante el proceso de reensamblaje, el sistema receptor puede
Original, paquete no fragmentado
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS específicos de cada sistema operativo
defensa 74
s siguientes procedimientos,
g of Death Attack Protection
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para habilitar la protección contra ataques “Ping of Death”, ejecute cualquiera de lodonde la zona especificada es aquélla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Piny haga clic en Apply .
CLI
set zone zone screen ping-death
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS específicos de cada sistema operativo
defensa 75
ntados. En el encabezado IP, cial, o “desplazamiento”, de los original sin fragmentar.
tado” es distinta a la del ensamblarlos puede colgarse, rabilidad.
bezado 20 bytes
bytes)
omprueba si existen discrepancias en nto del fragmento.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ataque “Teardrop”Los ataques “Teardrop” explotan la función de reensamblaje de paquetes IP fragmeuno de los campos es el de desplazamiento del fragmento, que indica la posición inidatos contenidos en un paquete fragmentado con respecto a los datos del paquete
Cuando la suma de “tamaño de desplazamiento” + “tamaño de un paquete fragmensiguiente paquete fragmentado, los paquetes se solapan y el servidor que intenta reespecialmente si está ejecutando un sistema operativo antiguo que tenga esta vulne
Versión
Suma de comprobación del enca
Dirección de destino
Opciones (si las hay)
Carga de datos
Encabezado IP
Dirección de origen
Identificación
Tamaño del encabezado Tipo de servicio Tamaño total del paquete (en
x D M Desplazamiento del fragmento
Tiempo de vida (“Time to Live” o TTL) Protocolo
El dispositivo NetScreen cel campo de desplazamie
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS específicos de cada sistema operativo
defensa 76
NetScreen detecte esta
uientes procedimientos, donde
rdrop Attack Protection y
gundo fragmento pretende nzar 20 bytes antes (en 800) del el primer fragmento (en 820). El azamiento del fragmento nº 2 no erda con la longitud del paquete
agmento nº 1. Esta discrepancia e hacer que algunos sistemas se uen al intentar el reensamblaje.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Una vez habilitada la opción SCREEN “Teardrop Attack”, siempre que el dispositivodiscrepancia en un paquete fragmentado, lo descartará.
Para habilitar la protección contra ataques “Teardrop”, ejecute cualquiera de los sigla zona especificada es aquélla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Teahaga clic en Apply .
CLI
set zone zone screen tear-drop
20 bytes
El secomefinal ddesplconcudel frpuedcuelg
Paquete fragmentado nº 1 Encabezado IP Datos
800 bytes
20 bytes
Paquete fragmentado nº 2 Encabezado IP Datos
600 bytes
Desplazamiento (“offset”) = 0Longitud = 820Más fragmentos = 1
Desplazamiento (“offset”) = 800
Longitud = 620Más fragmentos = 0
Discrepancia entre fragmentos
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS específicos de cada sistema operativo
defensa 77
ipo conectado a Internet que de NetBIOS con el flag URG iento de fragmentos NetBIOS,
o atacado, aparece el siguiente
amada se realizó desde ormalmente.
no guardada en los programas.
: 139
nte
tana
o es el 139.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
WinNukeWinNuke es un ataque de denegación de servicio (DoS) que apunta a cualquier equejecute Windows. El atacante envía un segmento TCP, normalmente al puerto 139 (urgente) activado, a un host con una conexión establecida. Esto induce un solapamque en muchos equipos Windows provoca la caída del sistema. Al reiniciar el equipmensaje para indicar que se ha producido un ataque:
Excepción OE en 0028:[dirección] en el VxD MSTCP(01) + 000041AE. La ll0028:[dirección] en el VxD NDIS(01) + 00008660. Quizás pueda continuar n
Presione cualquier tecla para continuar.
Presione CTRL+ALT+SUPR para reiniciar el equipo. Perderá la información
Presione cualquier tecla para continuar.
Número del puerto de origen Puerto de destino
Número correlativo
Número de reconocimiento
U R G
A C K
P S H
R S T
Suma de comprobación de TCP Indicador Urge
Tamaño de la venTamaño del encabezado
Reservado
Opciones (si las hay)
Datos (si los hay)
S Y N
F I N
Encabezado TCP
El flag URG está activado.
El puerto de destinIndicadores de un ataque WinNuke
Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS específicos de cada sistema operativo
defensa 78
o NetScreen analiza cualquier dispositivo NetScreen detecta dicador URG, reenvía el a bloqueado un intento de
uientes procedimientos, donde
Nuke Attack Protection y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Con la opción SCREEN de defensa contra ataques WinNuke habilitada, el dispositivpaquete entrante del servicio de sesiones de Microsoft NetBIOS (puerto 139). Si el que el flag URG está activado en alguno de esos paquetes, lo desactiva, borra el inpaquete modificado y genera una entrada en el registro de eventos indicando que hataque WinNuke.
Para habilitar la protección contra ataques “WinNuke”, ejecute cualquiera de los sigla zona especificada es aquélla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Winhaga clic en Apply .
CLI
set zone zone screen winnuke
4
y defensa 79
Capítulo 4
medio de funciones de l y Trend Micro.
n la opción SCREEN de je de fragmentos permite que IP fragmentados.
n para obtener una clave de cción de virus. Para el filtrado tor interno de filtrado de URL
reensamblar paquetes y otros dispositivos para realizar ones:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques
Supervisión y filtrado de contenidos
Juniper Networks proporciona amplia protección y control de la actividad de red porScreenOS y de la combinación de ScreenOS con productos Websense, SurfContro
Juniper Networks ofrece varias funciones de supervisión y filtrado de contenidos coprotección contra URL maliciosas de ScreenOS. Además, la función de reensamblaun dispositivo NetScreen detecte las URL incluso entre segmentos TCP y paquetes
Para la protección antivirus (AV), puede elegir algunos de los dispositivos NetScreelicencia avanzada y una clave de suscripción AV, y utilizar la función interna de detede URL, puede configurar un dispositivo NetScreen de modo que trabaje con un mocon uno o más servidores de filtrado URL externos.
En este capítulo se estudia cómo se ha de configurar el dispositivo NetScreen parasegmentos, supervisar el tráfico HTTP en busca de URL maliciosas e interactuar conel análisis antivirus y el filtrado de URL. El capítulo se divide en las siguientes secci
• “Reensamblaje de fragmentos” en la página 81– “Protección contra URLs maliciosas” en la página 81– “Puerta de enlace en la capa de aplicación” en la página 82
• “Análisis antivirus” en la página 86– “Análisis del tráfico FTP” en la página 87– “Análisis del tráfico HTTP” en la página 89– “Análisis del tráfico IMAP y POP3” en la página 92– “Análisis del tráfico SMTP” en la página 94– “Actualización del archivo de firmas AV” en la página 96– “Aplicación de análisis AV” en la página 100– “Ajustes del analizador AV” en la página 103
Capítulo 4 Supervisión y filtrado de contenidos
defensa 80
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y• “Filtrado de URL” en la página 111
– “Filtrado de URL integrado” en la página 112
– “Redireccionamiento del filtrado de URL” en la página 126
Capítulo 4 Supervisión y filtrado de contenidos Reensamblaje de fragmentos
defensa 81
s, no reensamblan los es responsabilidad del host de tizar un tráfico eficaz, poniendo ltan innecesarios e ineficaces. o seguro. El atacante puede ltantes crucen el cortafuegos
a, el dispositivo NetScreen jorar su capacidad de as porciones de datos de los
ulo (consulte 48 patrones de cadenas URL otección contra URL maliciosas dispositivo NetScreen examina comienzo de su cadena (hasta el dispositivo NetScreen
ue se puede bloquear, puede able durante la inspección. Por mentar en las siguientes
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
REENSAMBLAJE DE FRAGMENTOSNormalmente, los dispositivos de reenvío por red, como conmutadores o enrutadorepaquetes fragmentados que reciben. El reensamblaje de los paquetes fragmentadosdestino una vez los recibe. Como el objetivo de los dispositivos de reenvío es garanen cola los paquetes fragmentados, su reensamblaje, fragmentación y reenvío resuSin embargo, el paso de paquetes fragmentados a través de un cortafuegos es pocromper intencionadamente los paquetes y hacer así que las cadenas de tráfico resusin que se las detecte y bloquee.
ScreenOS permite habilitar por zonas el reensamblaje de fragmentos. De esta formpuede ampliar su habilidad de detectar y bloquear cadenas de URL maliciosas y meproporcionar una puerta de enlace en la capa de aplicación (ALG) para comprobar lpaquetes.
Protección contra URLs maliciosasAdemás de la función de filtrado de URL que se explica más adelante en este capít“Redireccionamiento del filtrado de URL” en la página 126), es posible definir hasta maliciosas por zona, cada uno con una longitud máxima de 64 caracteres, para la pren el nivel de zonas. Si la función de bloqueo de URL maliciosas está habilitada, el la carga de datos de todos los paquetes HTTP. Si localiza una URL y detecta que elun número determinado de caracteres) coincide con uno de los patrones definidos, bloqueará el paquete, impidiendo que traspase la puerta de enlace.
Cualquier atacante con recursos, al darse cuenta de que la cadena es conocida y qfragmentar los paquetes IP o los segmentos TCP para que el patrón no sea identificejemplo, si la cadena URL maliciosa es 120.3.4.5/level/50/exec , ésta se podría fragsecciones:
• Primer paquete: 120.
• Segundo paquete: 3.4.5/level/50
• Tercer paquete: /exec
Capítulo 4 Supervisión y filtrado de contenidos Reensamblaje de fragmentos
defensa 82
en sin ser detectadas, aunque eres. La cadena del primer que los 20 caracteres definidos inicio del patrón definido, por lo
na cadena que el dispositivo gmentos, el dispositivo ompleto y, finalmente, analizar
reensamblaje y la posterior
te e indica el evento en el
, hay impuesto un límite
quete reensamblado es a los fragmentos.ecesario fragmentarla, reenvía
n Layer Gateway”) para una mblaje de fragmentos puede
vicios FTP y HTTP. La como FTP-Get y FTP-Put hace carga. Por ejemplo, puede las zonas DMZ y otra que
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Individualmente, las cadenas fragmentadas pueden atravesar el dispositivo NetScrese haya definido una cadena 120.3.4.5/level/50/exec con una longitud de 20 caractpaquete (“120.”) coincide con la primera parte del patrón definido, pero es más cortapara la longitud. Las cadenas del segundo y del tercer paquete no coinciden con el que también podrán pasar sin problemas.
No obstante, al reensamblar los paquetes, los fragmentos se combinan formando uNetScreen puede identificar y bloquear. Gracias a la función de reensamblaje de fraNetScreen puede colocar los fragmentos en cola, reensamblar con ellos el paquete cel paquete en busca de código malicioso. Según los resultados de este proceso de inspección, el dispositivo NetScreen lleva a cabo uno de los siguientes pasos:
• Si el dispositivo NetScreen descubre una URL maliciosa, descarta el paqueregistro.
• Si el dispositivo NetScreen no puede completar el proceso de reensamblajetemporal tras el cual los fragmentos caducan y se descartan.
• Si el dispositivo NetScreen determina que la URL no es maliciosa pero el pademasiado grande para reenviarlo, vuelve a fragmentar el paquete y reenví
• Si el dispositivo NetScreen determina que la URL no es maliciosa y no es nel paquete directamente.
Puerta de enlace en la capa de aplicaciónNetScreen ofrece una puerta de enlace en la capa de aplicación (ALG, o “Applicatioserie de protocolos, como DNS, FTP, H.323 o HTTP. En estos protocolos, el reensaser un componente importante a la hora de reforzar las directivas relativas a los sercapacidad de la puerta de enlace NetScreen para analizar paquetes para protocolosnecesario examinar no sólo el encabezado del paquete sino también los datos de lahaber dos directivas, una que deniegue FTP-Put procedente de las zonas Untrust apermita FTP-Get desde las zonas Untrust a las zonas DMZ:
set policy from untrust to dmz any any ftp-put denyset policy from untrust to dmz any any ftp-get permit
Capítulo 4 Supervisión y filtrado de contenidos Reensamblaje de fragmentos
fensa 83
el paquete. Si el contenido RETRieve”) el archivo quete. Si el dispositivo ar (“STORe”) el archivo
aquete FTP-put en dos quete 1: ST ; paquete 2: OR ual, no encuentra la cadena
e el dispositivo NetScreen ispositivo NetScreen coloca a el paquete en busca de la
sterior inspección, el
e e indica el evento en el
ay impuesto un límite
nsamblado es demasiado os.
ragmentarla, reenvía el
ón de bloqueo de URL
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y de
Para distinguir los dos tipos de tráfico, el cortafuegos de NetScreen examina la carga des RETR filename , el cliente FTP ha enviado una petición para obtener o recuperar (“especificado desde el servidor FTP y el dispositivo NetScreen permitirá el paso del paNetScreen encuentra STOR filename , el cliente ha enviado una petición para almacenespecificado en el servidor y el dispositivo NetScreen bloqueará el paquete.
Para burlar este tipo de defensa, un atacante puede fragmentar deliberadamente un ppaquetes que contengan el siguiente texto en las cargas de datos correspondientes: pafilename . Cuando el dispositivo NetScreen inspecciona cada paquete de forma individSTOR filename , por lo que permite el paso de ambos paquetes.
No obstante, al reensamblarlos, los fragmentos se combinan formando una cadena qupuede identificar y bloquear. Gracias a la función de reensamblaje de fragmentos, el dlos fragmentos en cola, reconstruye con ellos el paquete completo y, finalmente, analizpetición FTP completa. Según los resultados de este proceso de reensamblaje y la podispositivo NetScreen lleva a cabo uno de los siguientes pasos:
• Si el dispositivo NetScreen descubre una petición FTP-put, descarta el paquetregistro.
• Si el dispositivo NetScreen no puede completar el proceso de reensamblaje, htemporal tras el cual los fragmentos caducan y se descartan.
• Si el dispositivo NetScreen descubre una petición FTP-get pero el paquete reegrande para reenviarlo, vuelve a fragmentar el paquete y reenvía los fragment
• Si el dispositivo NetScreen descubre una petición FTP-get y no es necesario fpaquete directamente.
Ejemplo: Bloqueo de URLs maliciosas fragmentadasEn este ejemplo, definiremos tres cadenas de URLs maliciosas y habilitaremos la opcimaliciosa:
• Primera URL maliciosa
– ID: Perl– Pattern: scripts/perl.exe– Length: 14
Capítulo 4 Supervisión y filtrado de contenidos Reensamblaje de fragmentos
defensa 84
ben aparecer en la URL, Observe que en las URL
eguen a una interfaz de zona
a clic en OK :
a clic en OK :
a clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
• Segunda URL maliciosa
– ID: CMF– Pattern: cgi-bin/phf– Length: 11
• Tercera URL maliciosa
– ID: DLL– Pattern: 210.1.1.5/msadcs.dll– Length: 18
Los valores de longitud (Length) indican el número de caracteres del patrón que decomenzando por el primer carácter, para que la coincidencia se considere correcta.primera y tercera, no es necesario que coincidan todos los caracteres.
A continuación, habilite el reensamblaje de fragmentos para detectar las URL que llUntrust en el tráfico de HTTP.
WebUI
Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y hag
ID: perl
Pattern: /scripts/perl.exe
Length: 14
Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y hag
ID: cmf
Pattern: cgi-bin/phf
Length: 11
Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y hag
ID: dll
Pattern: 210.1.1.5/msadcs.dll
Length: 18
Capítulo 4 Supervisión y filtrado de contenidos Reensamblaje de fragmentos
defensa 85
CP/IP Reassembly for ALG y
14
l” 18
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Network > Zones > Edit (para Untrust): Seleccione la casilla de verificación Tluego haga clic en OK .
CLI
set zone untrust screen mal-url perl “scripts/perl.exe” set zone untrust screen mal-url cmf “cgi-bin/phf” 11set zone untrust screen mal-url dll “210.1.1.5/msadcs.dlset zone untrust reassembly-for-algsave
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 86
permite reproducirse. Algunos un problema simplemente host infectado con cantidades
e proporcione análisis AV para para que examine el tráfico de
ivas de seguridad. Cuando el álisis AV, dirige el contenido leto del paquete FTP, HTTP, e según un archivo de firmas2 positivo NetScreen descarta el i el analizador no detecta
te.
V externo, esta versión de ScreenOS
riodicamente, consulte “Actualización
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
ANÁLISIS ANTIVIRUSUn virus es un código ejecutable que infecta o adjunta otro código ejecutable que levirus son maliciosos, borrando archivos o bloqueando sistemas. Otros representan porque infectan otros archivos, puesto que al propagarse pueden saturar la red o elexcesivas de datos superfluos.
Los dispositivos Select NetScreen admiten un analizador interno de antivirus (AV) qutransacciones específicas de la capa de la aplicación1. Puede configurar el escánerred que utiliza los siguientes protocolos:
• File Transfer Protocol (FTP)
• Hypertext Transfer Protocol (HTTP)
• Internet Mail Access Protocol (IMAP)
• Post Office Protocol, version 3 (POP3)
• Simple Mail Transfer Protocol (SMTP)
Para aplicar la protección AV, debe hacer referencia al escáner interno en las directdispositivo NetScreen recibe el tráfico al que se aplica una directiva que requiere anque recibe a su escáner interno. Tras comprobar que ha recibido el contenido compIMAP, POP3, o SMTP, el escáner examina los datos en busca de virus. Esto lo hacque permite identificar las firmas de virus. Cuando el escáner detecta un virus, el discontenido y envía un mensaje al cliente indicando que el contenido está infectado. Sningún virus, el dispositivo NetScreen reenvía el contenido al destino correspondien
1. Aunque algunos dispositivos NetScreen muestran opciones en las interfaces CLI y WebUI para configurar el análisis Aes compatible únicamente con el análisis interno AV.
2. Para ver la información acerca de cómo guardar un archivo de firmas AV en el dispositivo NetScreen y actualizarlo pedel archivo de firmas AV” en la página 96.
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 87
ta uno de los comandos FTP e envían a través del canal de resultados del análisis y de
Screen
FTP a través del canal de datos.
e datos y envía un mensaje de FTP a través del canal de control.
e datos y envía un mensaje “file vés del canal de control.
FTP a través del canal de datos.
e datos y envía un mensaje “scan del canal de control.
n mensaje “scan error” al cliente ntrol.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Análisis del tráfico FTPPara el tráfico FTP, el dispositivo NetScreen supervisa el canal de control, y si detecpara la transferencia de datos (RETR, STOR, STOU, APPE) analiza los datos que sdatos. La siguiente acción que lleva a cabo el dispositivo NetScreen depende de loscómo haya configurado el comportamiento del modo de fallo:
Si los datos y el modo de fallo es entonces el dispositivo Net
no están contaminados aceptar o descartar transmite los datos al cliente
contienen un virus aceptar o descartar descarta los datos del canal dnotificación de virus al cliente
exceden el máximo nivel de contenido descartar descarta los datos del canal d
too large” al cliente FTP a tra
exceden el máximo nivel de contenido aceptar transmite los datos al cliente
no se pueden analizar con éxito descartar descarta los datos del canal d
error” al cliente FTP a través
no se pueden analizar con éxito aceptar transmite los datos y envía u
FTP a través del canal de co
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 88
Zona Trust
Cliente FTPlocal
TP y
l servidor s datos y mina en
e estos
nvía otro l.
finalizar con éxito, el sulte la tabla anterior
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Canal de control
Canal de datos
Zona Untrust
Analizador AV interno
Análisis antivirus de FTP
Servidor FTP
remoto
1
32
1. Un cliente FTP local abre un canal de control FTP en un servidor Fsolicita la transmisión de algunos datos.
2. El cliente FTP y el servidor negocian un canal de datos por el que eenvíe los datos solicitados. El dispositivo NetScreen intercepta lotransmite los datos HTTP a su analizador AV interno, que los exabusca de virus.
3. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno dpasos:• Si no hay virus, reenvía los datos al cliente.• Si se descubre la presencia de un virus, descarta el mensaje y e
informando de la infección al cliente a través del canal de contro
Si los datos analizados exceden el ajuste máximo de los contenidos o si el análisis no se puede dispositivo NetScreen sigue una línea de acción diferente en función del ajuste del modo de fallo. Conpara los detalles.
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 89
tas como las peticiones HTTP es decir, los datos HTTP de un rno también analiza las cargas, o un cliente escribe un mensaje
ados del análisis y de cómo
etScreen
te HTTP.
un mensaje de la notificación de
un mensaje “file too large” al
te HTTP.
un mensaje “scan error” al cliente
un mensaje “scan error” al cliente
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Análisis del tráfico HTTPPara el análisis del tráfico HTTP, el dispositivo NetScreen analiza tanto las respues(comandos get, post y put). El analizador AV interno examina las descargas HTTP; servidor web en respuesta a las peticiones HTTP de un cliente. El analizador AV intep. ej., cuando un cliente HTTP completa un cuestionario en un servidor web o cuanden un servicio de correo ubicado en un servidor web.
La siguiente acción que lleva a cabo el dispositivo NetScreen depende de los resulthaya configurado el comportamiento del modo de fallo:
Si los datos y el modo de fallo es entonces el dispositivo N
no están contaminados aceptar o descartar transfiere los datos al clien
contienen un virus aceptar o descartar descarta los datos y envíavirus al cliente HTTP.
exceden el máximo nivel de contenido descartar descarta los datos y envía
cliente HTTP.
exceden el máximo nivel de contenido aceptar transfiere los datos al clien
no se pueden analizar con éxito descartar descarta los datos y envía
HTTP.
no se pueden analizar con éxito aceptar transfiere los datos y envía
HTTP.
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 90
de los siguientes tipos de eguidos de una barra):
Zona Trust
Cliente HTTPlocal
etición HTTP a un servidor web.rcepta la petición y transmite los o, que los examina en busca de
, el dispositivo NetScreen sigue uno
petición al servidor web.ia de un virus, descarta la petición y formando de la infección al cliente.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Extensiones MIME de HTTPDe forma predeterminada, el análisis HTTP no analiza entidades HTTP compuestascontenido Multipurpose Internet Mail Extensions (MIME) y subtipos (cuando están s
• application/x-director
• application/pdf
• image/
• video/
• audio/
• text/css
• text/html
Zona Untrust
Analizador AV interno
Análisis antivirus HTTP
Servidor web
remoto 4 65
1. Un cliente HTTP envía una p2. El dispositivo NetScreen inte
datos al analizador AV internvirus.
3. Una vez finalizado el análisisde estos pasos:• Si no hay virus, reenvía la• Si se descubre la presenc
envía un mensaje HTTP in
4. Un servidor web responde a una petición HTTP.5. El dispositivo NetScreen intercepta la respuesta HTTP y transmite
los datos a su analizador AV interno, que los examina en busca de virus.
6. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno de estos pasos:• Si no hay virus, reenvía la respuesta al cliente HTTP.• Si se descubre la presencia de un virus, descarta la respuesta
y envía un mensaje HTTP informando de la infección al cliente.
1
2
3
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 91
nido MIME anteriores. Puesto dichos, el análisis HTTP se de contenidos /zip y
creen analice todas las clases iente comando: unset av http
te que realizó las peticiones de , a continuación, al cliente.
Zona Trust
Cliente HTTPlocal
servidor
nsmite los de virus.e estos
nvía un
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para mejorar rendimiento, los dispositivos NetScreen no analizan los tipos de conteque la mayoría de las entidades HTTP se componen de los tipos de contenido anteaplica únicamente a un pequeño subconjunto de entidades HTTP, por ejemplo tiposapplication/exe, en los que es más probable que se escondan los virus.
Para modificar el comportamiento del análisis HTTP de modo que el dispositivo NetSde tráfico HTTP sin tener en cuenta los tipos del contenido MIME, introduzca el siguskipmime .
Correo web HTTPPara el correo web HTTP, antes de enviar las respuestas de un servidor web al cliencorreo web HTTP, el dispositivo NetScreen envía las respuestas al analizador AV y
Zona Untrust
Analizador AV interno
Análisis antivirus del correo web HTTP
Servidor web
remoto
1
32
1. Un cliente HTTP local envía una petición de correo web HTTP a unweb remoto. El dispositivo NetScreen permite la petición.
2. El dispositivo NetScreen intercepta la respuesta HTTP entrante y tradatos HTTP a su analizador AV interno, que los examina en busca
3. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno dpasos:• Si no hay virus, reenvía el mensaje al cliente.• Si se descubre la presencia de un virus, descarta el mensaje y e
mensaje HTTP informando de la infección al cliente.
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 92
n servidor de correo local al n que lleva a cabo el dispositivo
portamiento del modo de fallo:
etScreen
nte IMAP o POP3.
o a “text/plain”, reemplaza el siguiente aviso, y lo envía al
filename name
o a “text/plain”, reemplaza el siguiente aviso, y lo envía al
ido en busca de virus porque er de código),y se descartó.er uno de los siguientes:
do grande
e contenido máx.e mensajes máx.
al al cliente IMAP o POP3 con la e la siguiente forma:tr (No se analizó en busca de xt_str, number de código)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Análisis del tráfico IMAP y POP3Para el análisis del tráfico IMAP y POP3, el dispositivo NetScreen desvía el tráfico de uanalizador AV interno antes de enviarlo al cliente local IMAP o POP3. La siguiente accióNetScreen depende de los resultados del análisis y de cómo haya configurado el com
Si el mensaje y el modo de fallo es entonces el dispositivo N
no está contaminado aceptar o descartar transmite el mensaje al clie
contiene un virus aceptar o descartar cambia el tipo de contenidcuerpo del mensaje con elcliente IMAP o POP3:
VIRUS WARNINGContaminated File:Virus Name: virus_
excede el máximo nivel de contenido
o bienno se puede analizar con éxito
descartar cambia el tipo de contenidcuerpo del mensaje con elcliente IMAP o POP3:
No se analizó el contenreason_text_str (numb
El reason_text_str puede sel archivo era demasiapor un error o limitaciónse excedió el tamaño dse excedió el número d
excede el máximo nivel de contenido
o bienno se puede analizar con éxito
aceptar transmite el mensaje originlínea de título modificada d
original_subject_text_svirus porque reason_te
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 93
ona Trust
or de local
rónico desde
datos al
no de estos
formando de
e IMAP o POP3
letar con éxito, el dispositivo bla anterior para los detalles.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Z
Servidcorreo
3
1
Zona DMZ
1. El cliente IMAP o POP3 descarga un mensaje de correo electel servidor de correo local.
2. El dispositivo NetScreen intercepta el mensaje y transmite losanalizador AV interno, que los examina en busca de virus.
3. Una vez finalizado el análisis, el dispositivo NetScreen sigue upasos:• Si no hay virus, reenvía el mensaje al cliente.• Si se descubre la presencia de un virus, envía un mensaje in
la infección al cliente.
Análisis antivirusde IMAP o POP3
Client
2
Analizador AV interno
Zona Untrust
Internet
Si el mensaje analizado excede el ajuste de contenido máximo o si el análisis no se pudo compNetScreen sigue una línea de acción diferente en función del ajuste del modo de fallo. Consulte la ta
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 94
entes SMTP locales3 al ión que lleva a cabo el urado el comportamiento del
er otro servidor SMTP.
etScreen
eptor SMTP.
a “text/plain”, reemplaza el cuerpo te aviso y lo envía al receptor
filename name
a “text/plain”, reemplaza el cuerpo te aviso y lo envía al receptor
ido en busca de virus porque ro de código),y se descartó.er uno de los siguientes:
do grande
e contenido máx.e mensajes máx.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Análisis del tráfico SMTPPara el análisis de tráfico SMTP, el dispositivo NetScreen desvía el tráfico de los clianalizador AV interno antes de enviarlo al servidor de correo local. La siguiente accdispositivo NetScreen depende de los resultados del análisis y de cómo haya configmodo de fallo:
3. Puesto que un “cliente” SMTP se refiere a la entidad que envía el correo electrónico, un “cliente” puede, de hecho, s
Si el mensaje y el modo de fallo es entonces el dispositivo N
no está contaminado aceptar o descartar transmite el mensaje al rec
contiene un virus aceptar o descartar cambia el tio de contenido del mensaje con el siguienSMTP:
VIRUS WARNINGContaminated File:Virus Name: virus_
excede el máximo nivel de contenido
o bienno se puede analizar con éxito
descartar cambia el tio de contenido del mensaje con el siguienSMTP:
No se analizó el contenreason_text_str (núme
El reason_text_str puede sel archivo era demasiapor un error o limitaciónse excedió el tamaño dse excedió el número d
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 95
al al receptor SMTP con la línea a del siguiente modo:tr (No se analizó en busca de xt_str, number de código)
etScreen
a Trust
e al
te SMTP
ensaje de correo electrónico a un
ercepta el mensaje y transmite los rno, que los examina en busca de
s, el dispositivo NetScreen sigue uno
l mensaje al servidor local.ia de un virus, envía un mensaje
n al cliente.
etar con éxito, el dispositivo la anterior para los detalles.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
excede el máximo nivel de contenido
o bienno se puede analizar con éxito
aceptar transmite el mensaje originde título original modificad
original_subject_text_svirus porque reason_te
Si el mensaje y el modo de fallo es entonces el dispositivo N
Zon
Servidor dcorreo loc
A
C
Zona DMZAnálisis antivirus SMTP
Clien
B
Analizador AV interno
A. Un cliente SMTP envía un mservidor de correo local.
B. El dispositivo NetScreen intdatos al analizador AV intevirus.
C. Una vez finalizado el análiside estos pasos:• Si no hay virus, reenvía e• Si se descubre la presenc
informando de la infecció
Zona UntrustInternet
Servidor de correo remoto
1. Un servidor de correo remoto reenvía un mensaje de correo electrónico por SMTP al servidor de correo local.
2. El dispositivo NetScreen intercepta el mensaje y transmite los datos al analizador AV interno, que los examina en busca de virus.
3. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno de estos pasos:• Si no hay virus, reenvía el mensaje al servidor local.• Si se descubre la presencia de un virus, envía un mensaje
informando de la infección al servidor remoto.
3
12
Si el mensaje analizado excede el ajuste de contenido máximo o si el análisis no se pudo complNetScreen sigue una línea de acción diferente en función del ajuste del modo de fallo. Consulte la tab
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 96
(patrones) en el dispositivo r el dispositivo y adquirir una ón actual de la base de datos y e validez de la suscripción.
un archivo de firmas de virus , deberá registrar el dispositivo tinuar recibiendo
irus interno, debe registrar el er cargar el archivo de firmas
máximo de cuatro horas antes
s:tualizaciones del que el r.ini .i.
nsulte “Registro y activación de
es
URL = http://5gt-t.activeupdate .trendmicro.com/activeupdate /server.ini
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Actualización del archivo de firmas AVPara utilizar el análisis AV es necesario cargar una base de datos de firmas de virusNetScreen y actualizar el archivo de firmas periódicamente. Para ello, debe registrasuscripción para el servicio de firmas de virus. La suscripción permite cargar la versiactualizarla cada vez que se publiquen nuevas versiones mientras dure el periodo dExisten dos procesos distintos para iniciar el servicio de firmas de virus:
• Si adquiere un dispositivo NetScreen con funciones antivirus, puede cargardurante un breve periodo de tiempo desde la fecha de compra. No obstantey adquirir una suscripción para el servicio de firmas de virus para poder conactualizaciones.
• Si actualiza su dispositivo NetScreen actual para poder utilizar análisis antivdispositivo y adquirir una suscripción para el servicio de firmas antes de podinicial. Una vez finalizado el proceso de registro, deberá esperar durante unde iniciar la descarga del archivo de firmas.
A continuación se describe el proceso de actualización del archivo de firmas de viru1. En el dispositivo NetScreen, especifique la dirección URL del servidor de ac
dispositivo solicita un archivo de inicialización de servidor denominado servePor ejemplo: http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.in
Nota: Para obtener más información sobre el servicio de firmas de virus, colos servicios de suscripción” en la página 2 -463.
Servidor deactualizacionDispositivo NetScreen
Internet
Archivo server.ini
Petición de archivo para server.ini
Transferencia de archivo server.ini
Archivo server.ini
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 97
ón de servidor, el dispositivo ara obtener información acerca , y acerca de la ubicación del
debido a que es la primera vez vo de firmas actualizado del
a que la suscripción para el ipción es válida, el dispositivo oria RAM, y sobrescribe el , la actualización del archivo de a caducado.
evos virus. Puede configurar el a cierto tiempo o manualmente.
n con el servidor de archivos de
tualizar el archivo de firmas de
idor de de firmas
s de virus
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
2. Después de que el dispositivo NetScreen descarga el archivo de inicializaciNetScreen comprueba que el archivo server.ini es válido. Luego lo analiza pdel archivo de firmas actualizado, incluida la versión y el tamaño del mismoservidor del archivo de firmas.
3. Si el archivo de firmas del dispositivo NetScreen está caducado (o no existeque se carga un archivo), el dispositivo automáticamente recupera un archiservidor de archivos de firmas.
4. Una vez el dispositivo NetScreen ha descargado el archivo de firmas, verificservicio de actualización de archivos de firmas AV aún es válida. Si la suscrNetScreen guarda el nuevo archivo de firmas en la memoria flash y la memarchivo existente, en caso de que lo hubiera. Si la suscripción ha caducadofirmas se cancelará y aparecerá un mensaje indicando que la suscripción h
Las actualizaciones del archivo de firmas se agregan a medida que se propagan nudispositivo NetScreen para que actualice el archivo de firmas automáticamente cad
Nota: ScreenOS contiene un certificado CA para autenticar la comunicaciófirmas.
Nota: Cuando caduque la suscripción, el servidor de actualizaciones no permitirá acvirus.
Internet
ServarchivosDispositivo NetScreen
Petición del archivo de firmas
Archivo de firmas de virus Transferencia del archivo de firmas de virus
Archivo de firma
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 98
ivo de firmas automáticamente l servidor de actualizaciones se o.com/activeupdate/server.ini.
ga clic en OK :
tiveupdate/server.ini.
5 minutes (10~10080)
date.trendmicro.com/
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: actualización automáticaEn este ejemplo, configuraremos el dispositivo NetScreen para que actualice el archcada 15 minutos. (El intervalo de actualización predeterminado es de 60 minutos). Eencuentra ubicado en la siguiente dirección URL: http://5gt-t.activeupdate.trendmicr
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha
Pattern Update Server: http://5gt-t.activeupdate.trendmicro.com/ac
Auto Pattern Update: (seleccione), Interval: 1
CLI
set av scan-mgr pattern-update-url http://5gt-t.activeupactiveupdate/server.ini interval 15
save
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 99
lizaciones se encuentra eupdate/server.ini.
ga clic en OK :
tiveupdate/server.ini.
e/server.ini
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Actualización manualEn este ejemplo, actualizará el archivo de firmas manualmente. El servidor de actuaubicado en la siguiente dirección URL: http://5gt-t.activeupdate.trendmicro.com/activ
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha
Pattern Update Server: http://5gt-t.activeupdate.trendmicro.com/ac
Update Now: (seleccione)
CLI
set av scan-mgr pattern-update-url http://5gt-t.activeupdate.trendmicro.com/activeupdat
exec av scan-mgr pattern-update
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 100
ferencia al analizador AV
rtafuegos, en la que o (“mailsrv1”, 1.2.2.5) de la
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
s y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Aplicación de análisis AVPara aplicar análisis AV al tráfico FTP, HTTP, IMAP, POP3, o SMTP, debe hacer re(“scan-mgr”) en las directivas.
Ejemplo: Análisis AV interno (POP3)En este ejemplo haremos referencia al analizador AV interno en una directiva de copermitiremos el tráfico POP3 desde direcciones en la zona Trust al servidor de correzona DMZ. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone Name: DMZ
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 101
lic en OK :
ga clic en OK :
es datos y haga clic en OK :
ga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: mailsrv1
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: DMZ
3. Análisis AV de POP3Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha
Protocols to be scanned:
POP3: (seleccione)
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
5. DirectivaPolicies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mailsrv1
Service: POP3
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 102
ga clic en el botón << para e AV Object Names” a la
gateway 1.1.1.250
scan-mgr
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Action: Permit
Análisis antivirus: Seleccione scan-mgr y hamover el objeto AV de la columna “Availablcolumna “Attached AV Object Names”.
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direcciónset address dmz mailsvr1 1.2.2.5/32
3. Análisis AV de POP3set av scan-mgr content pop3 timeout 20
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivaset policy from trust to dmz any mailsvr1 pop3 permit avsave
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 103
esidades de su entorno de red:
lo correo web), IMAP, POP3, y
ine únicamente determinados
eterminada, una operación de NetScreen no reciba todos los
y 1800 segundos.
p } timeout numbermtp } timeout
0 segundos).
TP. Los patrones de los
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ajustes del analizador AVPuede modificar los siguientes ajustes del analizador AV para atender mejor las nec
Análisis selectivo de contenidoDe forma predeterminada, el analizador AV examina el tráfico de tipo FTP, HTTP (sóSMTP.
Puede modificar el comportamiento predeterminado de modo que el analizador examtipos de tráfico de red.
También puede modificar el valor de tiempo de espera por protocolo. De forma predanálisis AV tiene un tiempo de espera de 180 segundos en caso de que el dispositivodatos que necesita para completar el análisis. Se puede ajustar un valor de entre 1
set av scan-mgr content { ftp | http | imap | pop3 | smtunset av scan-mgr content { ftp | http | imap | pop3 | s
El comando unset av restablece el tiempo de espera a su valor predeterminado (18
Nota: El analizador AV interno sólo examina patrones específicos de correo web HTservicio de correo de Yahoo!, Hotmail y AOL están predefinidos.
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 104
P (sólo correo web), IMAP, fico, puede aumentar el tiempo
ga clic en OK :
LI.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Análisis de todos los tipos de tráficoEn este ejemplo, configurará el analizador AV para que examine el tráfico FTP, HTTPOP3, y SMTP. Puesto que usted prevé que el analizador deberá analizar mucho tráde espera de 180 segundos (el ajuste predeterminado) a 300 segundos.
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha
Protocols to be scanned:
HTTP: (seleccione)
Webmail: (seleccione)
SMTP: (seleccione)
POP3: (seleccione)
FTP: (seleccione)
IMAP: (seleccione)
CLI
set av scan-mgr content http timeout 300set av scan-mgr content smtp timeout 300set av scan-mgr content pop3 timeout 300set av scan-mgr content ftp timeout 300set av scan-mgr content imap timeout 300save
Nota: Para cambiar el valor del tiempo de espera, debe utilizar la interfaz C
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 105
P y HTTP. Restablezca el valor ndos.
ga clic en OK :
LI.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Análisis AV para SMTP y HTTPEn este ejemplo, configurará el analizador AV para que examine todo el tráfico SMTde tiempo de espera de ambos protocolos a sus valores predeterminados: 180 segu
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha
Protocols to be scanned:
HTTP: (seleccione)
ALL HTTP: (seleccione)
SMTP: (seleccione)
POP3: (anule la selección)
FTP: (anule la selección)
IMAP: (anule la selección)
CLI
set av scan-mgr content smtp timeout 180set av scan-mgr content http timeout 180unset av http webmail enableunset av scan-mgr content pop3unset av scan-mgr content ftpunset av scan-mgr content imapsave
Nota: Para cambiar el valor del tiempo de espera, debe utilizar la interfaz C
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 106
que esté comprimido. De forma plo, si el analizador recibe un
dor los descomprimirá para prima hasta 4 archivos
mprimido” (10 MB de forma amaño del contenido recibido o del contenido sin examinarlo. uno. Si el analizador recibe ede modificar este gar de permitir su paso.
os unos dentro de otros. ibidos simultáneamente son
.
ga clic en OK :
4000~16000)
ceeds 4 files (1~16)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Descompresión y tamaño máximo de los contenidosCuando recibe contenidos, el analizador AV interno descomprime cualquier archivo predeterminada, descomprime hasta dos niveles de archivos comprimidos. Por ejemarchivo comprimido que incluye otro archivo adjunto también comprimido, el analizadetectar cualquier virus. Puede configurar el analizador AV interno para que descomcomprimidos unos dentro de otros.
El analizador AV examina un máximo de 16 mensajes y 16 MB de contenido “descopredeterminada) en un momento determinado. Si el número total de mensajes o el tjuntos exceden estos límites, el analizador permitirá de forma predeterminada el pasPor ejemplo, el analizador puede recibir y examinar cuatro mensajes de 4 MB cada nueve mensajes de 2 MB cada uno, permitirá su paso sin examinar el contenido. Pucomportamiento predeterminado de modo que el analizador descarte el tráfico en lu
Ejemplo: Descartar archivos de gran tamañoEn este ejemplo configurará el analizador AV para que descomprima hasta 3 archivTambién configurará el analizador para que descarte el contenido si los archivos recmás de cuatro o el tamaño “descomprimido” de los contenidos es superior a 12 MB
WebUIScreening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha
File decompression: 3 layers (1~4)
Drop: (seleccione) file if it exceeds 3000 KB (
Drop: (seleccione) file if the number of files ex
CLIset av scan-mgr decompress-layer 3set av scan-mgr max-msgs 4set av scan-mgr max-content-size 3000set av scan-mgr max-content-size dropsave
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 107
táneamente para intentar V analice otro tráfico de datos. je máximo de recursos AV que je máximo es del 70%. Puede brá ninguna restricción a la
rigen.
je máximo de recursos AV por
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Asignación de recursos a AVUn usuario con malas intenciones puede generar una gran cantidad de tráfico simulconsumir todos los recursos disponibles y de ese modo impedir que el analizador APara evitar que esto suceda, el dispositivo NetScreen puede determinar el porcentapuede consumir el tráfico de un único origen. De forma predeterminada, el porcentamodificar este ajuste a cualquier valor entre 1% y 100%. Si se ajusta al 100%, no hacantidad de recursos AV que pueda consumir el tráfico que provenga de un único o
WebUI
CLI
set av all resources numberunset av all resources
El comando unset av restablece al valor predeterminado (70%) el porcentaorigen.
Nota: Para configurar esta opción debe utilizar la interfaz CLI.
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 108
o puede finalizar una operación eterminada, si un dispositivo iva con la comprobación ue permita el paso del tráfico.
permitir el paso del tráfico sin .
alor predeterminado (bloquear
TP “close” para indicar el final en del encabezado de la leta la transmisión de datos, ado el envío de datos. Cuando P del servidor y puede ordenar
tilizar la opción de conexión de la transmisión de datos. El a enviando la longitud de los todo que se utilice dependerá
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Comportamiento en modo de falloEl modo de fallo es el comportamiento que el dispositivo NetScreen aplica cuando nde análisis: permitir el paso del tráfico sin analizar, o bien bloquearlo. De forma predNetScreen no puede finalizar un análisis, bloquea el tráfico que permitiría una directantivirus habilitada. Este comportamiento predeterminado se puede modificar para q
WebUI
Screening > Antivirus > Global: Seleccione Fail Mode Traffic Permit para examinar, o anule la selección para bloquearlo, y luego haga clic en Apply
CLI
set av all fail-mode traffic permitunset av all fail-mode traffic
El comando unset av restablece el comportamiento en modo de fallo a su vel tráfico no analizado).
Método HTTP Keep-AliveDe forma predeterminada, el dispositivo NetScreen utiliza la opción de conexión HTde la transmisión de datos. (Si es necesario, el dispositivo NetScreen modifica el tokconexión de “keep-alive” a “close”). En este método, cuando el servidor HTTP compenvía un comando TCP FIN para cerrar la conexión TCP y así indicar que ha finalizel dispositivo NetScreen recibe un comando TCP FIN, contiene todos los datos HTTal analizador AV que comience el análisis.
Puede cambiar el comportamiento predeterminado del dispositivo NetScreen para uHTTP “keep-alive”, en la que no se envía un comando TCP FIN para indicar el final servidor HTTP debe indicar de otra forma que se han enviado todos los datos, ya secontenidos en el encabezado HTTP o con alguna otra forma de codificación. (El mé
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 109
ientras se realice el análisis go, no resulta tan seguro como que las conexiones HTTP
de conexión “keep-alive”, o en Apply .
no analizado al cliente HTTP o de espera mientas VirusWall as cantidades de datos antes TP está inhabilitado. Para tos pasos:
Default y haga clic en Apply .
l tamaño de un archivo HTTP iado a analizar.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
del tipo de servidor). Este método hace que la conexión TCP permanezca abierta mantivirus, lo que disminuye la latencia y mejora el rendimiento de la CPU. Sin embarel método de conexión “close”. Este comportamiento se puede modificar si detecta superan el tiempo de espera durante el análisis antivirus.
WebUI
Screening > Antivirus > Global: Seleccione Keep Alive para usar la opciónanule la selección para usar la opción de conexión “close”, y luego haga clic
CLI
set av http keep-aliveunset av http keep-alive
Goteo HTTPComo goteo HTTP se entiende el reenvío de cantidades específicas de tráfico HTTPsolicitante. De este modo se evita que la ventana del explorador sobrepase el tiempexamina los archivos HTTP descargados. (El dispositivo NetScreen reenvía pequeñde transferir un archivo analizado completo). De forma predeterminada, el goteo HThabilitarlo y utilizar los parámetros predeterminados del goteo HTTP, siga uno de es
WebUI
Screening > Antivirus > Global: Seleccione la casilla de verificación Trickling
CLI
set av http trickling default
Con los parámetros predeterminados, el dispositivo NetScreen emplea el goteo si esupera 3 MB de tamaño. Reenviará 500 bytes de contenido por cada megabyte env
Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus
defensa 110
n Apply :
dique number1 .
ing: Indique number3 .
ue comience el goteo
dispositivo NetScreen
ispositivo NetScreen aplicará el
> Antivirus: haga clic en 0 0 0 . En cualquier caso, si el HTTP, es muy probable que la
aparecerán como un pequeño dades de datos a un cliente sin positivo NetScreen ha enviado en esos archivos.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para cambiar los parámetros del goteo HTTP, siga uno de estos pasos:
WebUI
Screening > Antivirus > Global: Introduzca los siguientes datos y haga clic e
Trickling:
Custom: (seleccione)
Minimum Length to Start Trickling: In
Trickle Size: Indique number2 .
Trickle for Every MB Sent for Scann
CLI
set av http trickling number1 number3 number2
Las tres variables numéricas tienen los siguientes significados:
– number1: tamaño mínimo (en megabytes) de un archivo HTTP para q
– number2: tamaño (en bytes) del tráfico no analizado que reenviará el
– number3: tamaño (en megabytes) de un bloqueo de tráfico al que el dgoteo
Puede inhabilitar el goteo HTTP por medio de la interfaz WebUI (Screening Disable en la sección Trickling) o con el comando CLI set av http tricklingarchivo que se va a descargar supera los 8 MB y se ha desactivado el goteoventana del explorador rebase el tiempo de espera.
Nota: Los datos sometidos al proceso de goteo en el disco duro del cliente archivo sin utilidad. Dado que el goteo funciona reenviando pequeñas cantianalizarlos, el código malicioso podría encontrarse entre los datos que el disal cliente por goteo. Juniper Networks recomienda a los usuarios que elimin
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 111
esos a Internet e impedir el do de URL:
itado asociando un perfil de a las categorías de URL y la recibe una petición para finidas que se encuentran en
mo configurar la función de
HTTP de una conexión TCP a itir el acceso a diferentes sitios rmación sobre cómo configurar URL” en la página 126.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
FILTRADO DE URLEl filtrado de URL, denominado también filtrado de web, permite administrar los accacceso a contenidos no apropiados. NetScreen proporciona dos soluciones de filtra
• Filtrado de URL integrado
• Filtrado de URL redirigida
Con el filtrado de URL integrado, puede permitir o bloquear el acceso a un sitio solicfiltrado de URL a una directiva de cortafuegos. Un perfil de filtrado de URL especificacción que el dispositivo NetScreen debe llevar a cabo (permitir o bloquear) cuandoacceder a una URL de cada categoría. Las categorías de URL pueden ser las predeSurfControl o pueden estar definidas por el usuario. Para más información sobre cófiltrado de URL integrado, consulte “Filtrado de URL integrado” en la página 112.
Con el filtrado de URL redirigida, el dispositivo NetScreen envía la primera petición un servidor Websense o a un servidor SurfControl. Esto le permite bloquear o permbasándose en las URL, los nombres de dominio y las direcciones IP. Para más infola función de filtrado de URL redirigida, consulte “Redireccionamiento del filtrado de
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
efensa 112
TP y luego determina si u URL y la compara con un e filtrado de URL define, uear el acceso) cuando
ositivos NetScreen utilizan a URL. Los servidores los tipos de contenidos web finidas y una descripción de . Además de las categorías
cíficas según sus rio, consulte “Categorías
ndo un host de la zona Trust
e aplique al tráfico.
dicha directiva, el dispositivo
esté asociado a la directiva .
guardó en caché. Si la ía la URL al servidor
ueba si ésta se encuentra en s.
l acceso a la URL tal y como
esté configurada.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y d
Filtrado de URL integradoCon el filtrado de URL integrado, el dispositivo NetScreen intercepta cada petición HTpermite o bloquea el acceso a un sitio solicitado. Para ello, establece la categoría de sperfil de filtrado URL. Un perfil de filtrado de URL se asocia a una directiva. Un perfil dsegún la categoría, la acción que el dispositivo NetScreen lleva a cabo (permitir o bloqrecibe una petición para acceder a una URL.
Una categoría de URL es una lista de URLs organizadas según su contenido. Los displas categorías de URL predefinidas en SurfControl para determinar la categoría de unSurfControl Content Portal Authority (CPA) contienen la mayor base de datos de todosclasificados en unas 40 categorías. Para obtener una lista de categorías de URL predelas URL de cada categoría, visite la página web de SurfControl en www.surfcontrol.comde URL predefinidas por SurfControl, puede agrupar las URLs y crear categorías espenecesidades. Para obtener información acerca de las categorías definidas por el usuaURL” en la página 115.
A continuación se muestra la secuencia básica de acontecimientos que se produce cuaintenta establecer una conexión HTTP con un servidor de la zona Untrust.
1. El dispositivo NetScreen comprueba si hay una directiva de cortafuegos que s
– Si no hay directiva de cortafuegos para el tráfico, lo descarta.
– Si hay una directiva de cortafuegos y el filtrado de URL está activado en NetScreen intercepta todas las peticiones HTTP.
2. El dispositivo NetScreen comprueba si hay un perfil definido por el usuario quede cortafuegos. Si no hay ninguno, utiliza el perfil predeterminado, ns-profile
3. El dispositivo NetScreen comprueba si la categoría de la URL solicitada ya secategoría de la URL no está guardada en caché, el dispositivo NetScreen envSurfControl CPA para su clasificación, y guarda en caché el resultado.
4. Una vez que el dispositivo NetScreen establece la categoría de la URL, comprel perfil de filtrado de URL que está relacionado con la directiva de cortafuego
– Si la categoría se encuentra en el perfil, el dispositivo bloquea o permite ese especifique en el perfil.
– Si la categoría no está en el perfil, realiza la acción predeterminada que
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 113
los siguientes pasos:
nal, aplique un perfil de filtrado
res de dominios como NS de modo que el dispositivo ner información sobre el DNS, -379).
en un dispositivo NetScreen. Si los comandos específicos en el
urar los parámetros del filtrado
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para configurar un dispositivo NetScreen para el filtrado de URL, debe llevar a cabo
1. Configure un servidor de nombres de dominio (DNS).
2. Active el filtrado de URL integrado en el dispositivo NetScreen.
3. Defina las categorías (opcional).
4. Defina los perfiles (opcional).
5. Habilite el filtrado de URL en una directiva de cortafuegos y, de forma opciode URL a la directiva de cortafuegos.
Las secciones siguientes describen cada paso.
Servidor de nombres de dominios (DNS)El dispositivo NetScreen es compatible con DNS, lo que permite utilizar tanto nombdirecciones IP para identificar ubicaciones. Debe configurar al menos un servidor DNetScreen pueda resolver el nombre del servidor CPA para una dirección. Para obteconsulte “Compatibilidad con DNS (sistema de nombres de dominio)” en la página 2
Contexto de filtrado de URLPuede utilizar los comandos WebUI o CLI para habilitar el filtrado de URL integrado utiliza la interfaz CLI, debe introducir el contexto de filtrado de URL antes de indicar filtrado de URL integrado. Introduzca el siguiente comando:
set url protocol sc-cpa
Después de haber introducido el comando anterior, el mensaje se modificará.
ns(url:sc-cpa)->
Este cambio indica que ha entrado en el contexto de filtrado de URL y puede configde URL integrado.
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 114
.
fControl) , y luego haga clic en ga clic en Apply de nuevo.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Activar el filtrado de URLEn este ejemplo, habilitará el filtrado de URL integrado en un dispositivo NetScreen
WebUI
Screening > URL Filtering > Protocol Selection: Seleccione Integrated (Sur Apply . Luego seleccione Enable URL Filtering via CPA Server y ha
CLI
ns-> set url protocol sc-cpans(url:sc-cpa)-> set enablens(url:sc-cpa)-> exitns-> save
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 115
ategorías: predefinidas y ara obtener una lista de
site la página web de efinidas de SurfControl, ejecute
SurfControl. Aunque no puede de un sitio web usando la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Categorías URLUna categoría es una lista de URLs agrupadas por su contenido. Hay dos tipos de cdefinidas por el usuario. SurfControl contiene cerca de 40 categorías predefinidas. Pcategorías de URL predefinidas y una descripción de las URL de cada categoría, viSurfControl en www.surfcontrol.com. Para visualizar la lista de categorías URL predel comando siguiente:
WebUI
Screening > URL Filtering > Profile > Predefine Category
CLI
ns-> set url protocol sc-cpans(url:sc-cpa)-> get category pre
La lista de categorías mostrada es similar al siguiente:
Type code Category name------------------------------------------ PreDefine 90 Adult/Sexually Explicit PreDefine 76 Advertisements PreDefine 50 Arts & Entertainment PreDefine 3001 Chat PreDefine 75 Computing & Internet PreDefine 91 Criminal Skills
.
.
.
La lista de categorías predefinidas muestra las categorías y sus códigos internos dehacer una lista de las URLs dentro de una categoría, puede determinar la categoríafunción “Test A Site” en el sitio web de SurfControl en www.surfcontrol.com.
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 116
URLs y crear categorías Cuando cree una categoría, a categoría definida por el
e host en direcciones IP y biendo la dirección IP, el intenta resolver el nombre del
ian cada cierto tiempo. Un en la lista guardada en caché que está agregando a una
como en una categoría el usuario.
: www.games1.com and
uientes datos y haga clic en
OK:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Además de las categorías de URLs predefinidas por SurfControl, puede agrupar lasespecíficas según sus necesidades. Puede incluir hasta 20 URL en cada categoría.puede agregar la URL o la dirección IP de un sitio. Cuando se agrega una URL a unusuario, el dispositivo NetScreen realiza una consulta de DNS, reuelve el nombre dguarda en caché esta información. Cuando un usuario intenta acceder un sitio escridispositivo NetScreen comprueba la lista grabada en caché de las direcciones IP e host.
Muchos sitios tienen direcciones IP dinámicas, por lo tanto sus direcciones IP cambusuario que intente acceder a un sitio puede escribir a una dirección IP que no estéen el dispositivo NetScreen. Por lo tanto, si conoce a las direcciones IP de los sitioscategoría, escriba tanto la URL como la(s) dirección(es) IP del sitio.
Tenga en cuenta que si una URL está tanto en una categoría definida por el usuariopredefinida, el dispositivo NetScreen empareja la URL con la categoría definida por
Ejemplo: Categoría de URLEn este ejemplo, creará una categoría denominada Competitors, y añadirá las URLwww.games2.com.
WebUI
Screening > URL Filtering > Profile > Custom List > New: Introduzca los sigApply:
Category Name: Competitors
URL: www.games1.com
Introduzca los siguientes datos y haga clic en
URL: www.games2.com
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 117
.com
.com
pondientes acciones:
ositivo NetScreen bloquea el RL.
ue se encuentran en la lista r el usuario o utilizar una
ue se encuentran en la lista or el usuario o utilizar una
perfil incluye una lista de las perfil predeterminado no se etScreen preestablecido,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
ns-> set url protocol sc-cpans(url:sc-cpa)-> set category competitors url www.games1ns(url:sc-cpa)-> set category competitors url www.games2ns(url:sc-cpa)-> exitns-> save
Perfiles de filtrado URLUn perfil de filtrado de URL consiste en un grupo de categorías de URL y sus corres
• Permit: el dispositivo NetScreen permite el acceso al sitio.
• Block: El dispositivo NetScreen no permite el acceso al sitio. Cuando el dispacceso a un sitio, muestra un mensaje en el que se indica la categoría de U
• Black List: El dispositivo NetScreen siempre bloquea el acceso a los sitios qnegra (black list). Para la lista negra, puede crear una categoría definida pocategoría predefinida.
• White List: El dispositivo NetScreen siempre permite el acceso a los sitios qblanca (white list). Para la lista blanca, puede crear una categoría definida pcategoría predefinida.
NetScreen proporciona un perfil predeterminado que se denomina ns-profile . Estecategorías de URL predefinidas en SurfControl y sus acciones correspondientes. Unpuede editar ni se puede añadir a una lista blanca o negra. Para visualizar el perfil Nejecute el siguiente comando:
WebUI
Screening > URL Filtering > Profile > Predefined Profile
CLI
ns(url:sc-cpa)-> get profile ns-profile
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 118
inuación:
as en el perfil predeterminado,
erfil. Para duplicar el ns-profile,
Clone .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
El dispositivo NetScreen muestra el perfil preestablecido tal y como se indica a cont
url filtering profile name: ns-profile black-list category: none white-list category: none Category Action-------------------------------------------- Adult/Sexually Explicit block Advertisements block Arts & Entertainment permit Chat permit Computing & Internet permit
.
.
. Violence block Weapons blockWeb-based Email permit other permit
Si la URL de una petición HTTP no se encuentra en ninguna de las categorías incluidla acción predeterminada del dispositivo NetScreen es permitir el acceso al sitio.
Puede crear un perfil que sea similar a ns-profile duplicándolo y editando un nuevo plleve a cabo el siguiente procedimiento en la WebUI.
WebUI
Screening > URL Filtering > Profile > Custom Profile: ns-profile: Seleccione
Nota: Debe utilizar la interfaz WebUI para duplicar el perfil predefinido ns-profile.
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 119
e filtrado URL, se puede:
SurfControl
ermit” predeterminada. A fil my-profile con la acción
CLI, debe especificar la acción
siguientes datos y haga clic en
OK :
k
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
También puede crear su propio perfil de filtrado de URL. Cuando se crea un perfil d
• Agregar las categorías de URL definidas por el usuario y las predefinidas de
• Especificar una categoría para la lista negra o para la lista blanca
• Modificar la acción predeterminada
Ejemplo: Perfil de filtrado de URLEn este ejemplo, creará un perfil de cliente denominado my-profile con la acción “pcontinuación, añadirá la categoría creada en el ejemplo anterior (Competitors) al pre“block”. Tenga en cuenta que, cuando configure la acción predeterminada utilizandopara la categoría “Other”.
WebUI
Screening > URL Filtering > Profile > Custom Profile > New: Introduzca los Apply :
Profile Name: my-profile
Default Action: Permit
Seleccione los siguientes datos y haga clic en
Subscribers Identified by:
Category Name: Competitors (seleccione)
Action: Block (seleccione)
Configure: Add (seleccione)
CLI
ns-> set url protocol sc-cpans(url:sc-cpa)-> set profile my-profile other permit ns(url:sc-cpa)-> set profile my-profile competitors blocns(url:sc-cpa)-> exitns-> save
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 120
idireccional entre dos puntos. ivas” en la página 2 -307.) En L integrado. (Para obtener
reen intercepta todas las sitivo NetScreen empareja la secuencia: lista negra, lista fControl. Si el dispositivo eso a la URL basándose en la
ontenido de la transacción a, el dispositivo NetScreen ado un análisis AV.
Predeterminado: Bloquear/Permitir
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Perfiles y directivas de URLLas directivas de cortafuegos permiten o deniegan determinados tipos de tráfico un(Para obtener más información sobre las directivas de cortafuegos, consulte “Directuna directiva se puede activar tanto el análisis antivirus (AV) como el filtrado de URinformación sobre análisis AV, consulte “Análisis antivirus” en la página 86).
Cuando se habilita el filtrado de URL integrado en una directiva, el dispositivo NetScpeticiones HTTP. Si hay un perfil de filtrado de URL asociado a la directiva, el dispoURL de la petición HTTP entrante con las categorías del perfil siguiendo la siguienteblanca, categorías definidas por el usuario y categorías de URL predefinidas de SurNetScreen no encuentra la categoría de la URL solicitada, bloquea o permite el accacción predeterminada que esté configurada.
Si la URL está autorizada, el dispositivo NetScreen lleva a cabo un análisis AV del csiempre que dicho análisis AV esté activado y configurado. Si la URL está bloqueadcierra la conexión TCP, envía un mensaje al usuario y no comprueba si se ha realiz
¿En lista negra?
Bloquear URL
¿En lista blanca?
Permitir URL
¿En categoría de usuario?
Bloquear/permitir según lo definido
¿En categoría predefinida?
Bloquear/permitir según lo definido
S S S S
N N N N
Petición HTML
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 121
y bloqueará el acceso a los
p2.com.
fControl) , y luego haga clic en ga clic en Apply de nuevo.
uientes datos y haga clic en
OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Filtrado de URL integradoEn este ejemplo, habilitará el filtrado de URL integrado en el dispositivo NetScreen sitios de la competencia. Realice la siguiente configuración:
1. Cree una categoría llamada Competitors.
2. Agregue las siguientes URL a la categoría: www.comp1.com and www.com
3. Cree un perfil denominado my-profile.
4. Agregue la categoría Competitors a my-profile.
5. Aplique my-profile a una directiva cortafuegos.
WebUI
1. Filtrado de URLScreening > URL Filtering > Protocol Selection: Seleccione Integrated (Sur
Apply . Luego seleccione Enable URL Filtering via CPA Server y ha
2. Categoría de URLScreening > URL Filtering > Profile > Custom List > New: Introduzca los sig Apply :
Category Name: Competitors
URL: www.comp1.com
Introduzca los siguientes datos y haga clic en
URL: www.comp2.com
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 122
siguientes datos y haga clic en
continuación haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
3. Perfil de filtrado de URLScreening > URL Filtering > Profile > Custom Profile > New: Introduzca los Apply :
Profile Name: my-profile
Default Action: Permit
En la sección Subscribers Identified by , realice la siguiente selección y a
Category Name: Competitors (seleccione)
Action: Block (seleccione)
Configure: Add (seleccione)
4. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
URL Filtering: (seleccione), my-profile
Action: Permit
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 123
omom
k
permit url-filter
le
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
1. Filtrado de URLns-> set url protocol sc-cpans(url:sc-cpa)-> set enable
2. Categoría de URLns(url:sc-cpa)-> set category competitors url www.comp.cns(url:sc-cpa)-> set category competitors url www.comp.c
3. Perfil de filtrado de URLns(url:sc-cpa)-> set profile my-profile other permit ns(url:sc-cpa)-> set profile my-profile competitors blocns(url:sc-cpa)-> exit
4. Directiva de cortafuegosns-> set policy id 23 from trust to untrust any any httpns-> set policy id 23ns(policy:23)-> set url protocol sc-cpa profile my-profins(policy:23)-> exitns-> save
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 124
cio a un área geográfica dor primario predeterminado es uede modificar el servidor
áticamente un servidor de ra América, que a su vez es el
uesto que el servidor CPA no etScreen hace un sondeo del ispositivo NetScreen realiza eterminado para que se ajuste
al, para ello indique el contexto
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Servidores SurfControlSurfControl posee tres ubicaciones de servidor, cada una de las cuales presta servideterminada: América, Asia y el Pacífico y Europa central y del este y África. El serviel de América y el servidor de respaldo predeterminado es el de Asia y el Pacífico. Pprimario y, en función del que se escoja, el dispositivo NetScreen selecciona automrespaldo. (El servidor de Asia y el Pacífico es el servidor de respaldo del servidor paservidor de respaldo de los otros dos).
El servidor SurfControl CPA actualiza sus listas de categorías de forma periódica. Penvía ninguna notificación a sus clientes cuando actualiza las listas, el dispositivo Nservidor CPA de forma periódica. De forma predeterminada, cada dos semanas el dconsultas al servidor CPA sobre las actualizaciones. Puede modificar este valor preda su entorno de red. También puede actualizar la lista de categorías de forma manude filtrado de URL y ejecute el comando exec url cate-list-update .
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 125
de las URLs por categorías. vez que un dispositivo recibe año del caché y el tiempo que del entorno de red. El tamaño horas.
8 horas.
guientes datos y haga clic en
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Caché del filtrado de URLDe forma predeterminada, el dispositivo NetScreen guarda en caché la clasificaciónEsto reduce la sobrecarga que supone el acceso al servidor SurfControl CPA cada una nueva petición de una URL solicitada anteriormente. Se puede configurar el tamlas URLs permanecen en ella en función del rendimiento y los requisitos de memoriadel caché depende de la plataforma y el tiempo de espera predeterminado es de 24
Ejemplo: Parámetros del cachéEn este ejemplo, modificará el tamaño del caché a 400 kB y el tiempo de espera a 1
WebUI
Screening > URL Filtering > Protocol Selection > SC-CPA: Introduzca los si Apply :
Enable Cache: (seleccione)
Cache Size: 400 (K)
Cache Timeout: 18 (Hours)
CLI
ns-> set url protocol sc-cpans(url:sc-cpa)-> set cache size 400ns(url:sc-cpa)-> set cache timeout 18ns(url:sc-cpa)-> exitns-> save
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
fensa 126
e Engine o SurfControl Web Ls, nombres de dominio y Websense o SurfControl de
e cuando un host en la zona bargo, el filtrado de URL
ebsense.com. Para obtener
Servidor HTTP
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y de
Redireccionamiento del filtrado de URLNetScreen admite el redireccionamiento del filtrado de URL usando Websense EnterprisFilter, que permite bloquear o permitir el acceso a diferentes sitios basándose en sus URdirecciones IP. El dispositivo NetScreen se puede conectar directamente con un servidorfiltrado de URL.
La siguiente ilustración muestra la secuencia básica de acontecimientos que se producTrust intenta establecer una conexión HTTP con un servidor en la zona Untrust. Sin emdetermina que la URL está prohibida.
Nota: Para obtener información adicional sobre Websense, visite la página web www.winformación adicional sobre SurfControl, visite www.surfcontrol.com.
���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� �����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
Establecimiento de comunicación TCP de
3 fasesPetición
HTTP-Get
Petición de filtrado de URL
Respuesta de filtrado de URL: “block” (bloquear)
Mensaje de URL bloqueada
El dispositivo NetScreen intercepta y almacena en búfer la petición HTTP GET. A continuación envía la URL solicitada al servidor de filtrado de URL. El servidor de filtrado de URL responde con un mensaje de bloqueo.
TCP RST
El dispositivo NetScreen descarta el paquete HTTP y envía al origen un mensaje “blocked URL”. Cierra la conexión, enviando un TCP RST a las direcciones de origen y de destino.
ACKSYN / ACK
SYN
RST RST
HTTP GET
BLCK URL
2
3 4
5
1
Zona Trust Zona Untrust
Cliente HTTP
set policy from trust to untrust any any http permit url-filter
Servidor de filtrado de URL (en la zona Trust)
URL bloqueada
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 127
cimientos en el intento de
K
T
ust
Servidor HTTP
T
T
T
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Si el servidor de filtrado de URL permite el acceso a la URL, la secuencia de aconteconexión HTTP será tal y como se indica a continuación:
������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ �����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
Establecimiento de comunicación TCP
de 3 fases
Petición HTTP-Get
Petición de filtrado de URL
Respuesta de filtrado de URL:
“permit” (permitir)
Reenvío de la petición HTTP GET
El dispositivo NetScreen intercepta y almacena en búfer la petición HTTP GET. A continuación envía la URL solicitada al servidor de filtrado de URL. El servidor de filtrado de URL responde con un mensaje de permiso.
ACKSYN / AC
SYN
HTTP GE
HTTP GET2
3 4
5
1
Zona Trust Zona Untr
Cliente HTTP
set policy from trust to untrust any any http permit url-filter
URL permitida
El dispositivo NetScreen reenvía el paquete HTTP almacenado en búfer a la dirección de destino. También permite el paso de otras peticiones HTTP GET en la misma sesión sin realizar más filtrados de URL.
6Otras peticiones HTTP GET sin
filtrado URL
HTTP PU
HTTP GETHTTP PU
HTTP GETHTTP PU
Servidor de filtrado de URL (en la zona Trust)
HTTP GET
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 128
filtrado de URL distintos: un do de sistemas virtuales, y siete Un administrador del nivel raíz sistemas virtuales (vsys). Un tual, siempre que dicho sistema vel vsys utiliza los ajustes del e URL de nivel raíz.
var a cabo los siguientes pasos:
RL.
njunto de parámetros se puede iltrado de URL con el sistema de su propio servidor de filtrado
rvidor WebSense o un servidor el dispositivo NetScreen.
ol (SCFP). Seleccione este
lícelo si desea la solución de do de URL integrado, consulte
I:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Los dispositivos NetScreen con sistemas virtuales admiten hasta ocho servidores de servidor reservado para el sistema raíz, que se puede compartir con un número ilimitaservidores de filtrado de URL para el uso privado por parte de los sistemas virtuales. puede configurar el módulo de filtrado de URL en el nivel de sistema raíz y el nivel deadministrador del nivel vsys puede configurar el módulo URL de su propio sistema virdisponga de su propio servidor de filtrado de URL dedicado. Si el administrador del niservidor raíz de filtrado de URL, podrá ver (pero no modificar) los ajustes de filtrado d
Para configurar un dispositivo NetScreen para el reenvío del filtrado de URL, debe lle
1. Establezca la comunicación con un máximo de ocho servidores de filtrado U
2. Defina ciertos parámetros de comportamiento en el nivel de sistema. Un coaplicar al sistema raíz y a cualquier vsys que comparta la configuración de fraíz. Otros conjuntos se pueden aplicar a sistemas virtuales que dispongan de URL dedicado.
3. Active el filtrado de URL a los niveles raíz y vsys.
4. Habilite el filtrado de URL en directivas individuales.
A continuación se detallan estos pasos.
1. Comunicaciones de dispositivo a dispositivoPuede configurar el dispositivo NetScreen para que se comunique con un seSurfControl. Primero debe seleccionar el servidor con el que va a conectar Seleccione una de las siguientes opciones:
– Un servidor Websense.
– Un servidor SurfControl que utilice SurfControl Content Filtering Protocservidor para esta característica.
– Un servidor SurfControl que utilice Content Portal Authority (CPA). Utifiltrado de URL integrado. (Para obtener más información sobre el filtra“Filtrado de URL integrado” en la página 112).
Para seleccionar el tipo de servidor, puede utilizar el siguiente comando CL
set url protocol type { websense | scfp |sc-cpa }
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 129
Filtering > Protocol.
ortamiento del dispositivo istema raíz, también se o de URL con el sistema raíz. do de URL dedicado, el separado para ese vsys.
las comunicaciones de
l equipo en el que se ejecuta el
, también debe cambiarlo en el 68, y el puerto predeterminado mentación sobre Websense o
ia las peticiones de filtrado URL
l cual el dispositivo NetScreen responde dentro del tiempo , según se haya configurado. .
t_num
tes en la página Screening > ing > Protocol > SurfControl.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
En la interfaz WebUI, seleccione el protocolo en la página Screening > URL
Luego debe definir los ajustes del filtrado de URL y los parámetros de compNetScreen en relación con el filtrado URL. Si configura estos ajustes en el saplicarán a cualquier sistema virtual que comparta la configuración de filtradEn el caso de un sistema virtual que disponga de su propio servidor de filtraadministrador raíz o el administrador vsys deberá configurar los ajustes por
Los ajustes de filtrado de URL que debe definir en el nivel de sistema para dispositivo a dispositivo son éstos:
– Server Name: dirección IP o nombre de dominio completo (FQDN) deservidor Websense o SurfControl.
– Server Port: si ha modificado el puerto predeterminado en el servidordispositivo NetScreen. (El puerto predeterminado de Websense es 158de SurfControl es 62252). Para obtener más detalles, consulte la docuSurfControl.
– Source Interface: el origen desde el cual el dispositivo NetScreen inica un servidor de filtrado de URL.
– Communication Timeout: intervalo de tiempo en segundos durante eespera una respuesta del servidor de filtrado de URL. Si el servidor noespecificado, el dispositivo NetScreen bloquea la petición o la permitePara el intervalo de tiempo, puede introducir un número entre 10 y 240
Puede utilizar el siguiente comando CLI para configurar estos ajustes:
set url server { ip_addr | dom_name } port_num timou
En la interfaz WebUI, introduzca estos ajustes en los campos correspondienURL Filtering > Protocol > Websense o en la página Screening > URL Filter
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 130
tema (raíz o sistema virtual) n las opciones de
pierde el contacto con el ock”) o permitir (“Permit”)
cibe cuando Websense o urfControl , el dispositivo l servidor Websense o el mensaje previamente
reen envía al usuario tras Websense o SurfControl, o el dispositivo NetScreen.
tes en la página Screening > ing > Protocol > SurfControl.
Websense, como el
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
2. Parámetros de comportamiento en el nivel de sistemaEn segundo lugar debe definir los parámetros de comportamiento que el sisdeberá adoptar en relación con el filtrado de URL. A continuación se ofrececomportamiento:
– Si se pierde la conexión con el servidor: si el dispositivo NetScreenservidor de filtrado de URL, puede especificar si desea bloquear (“Bltodas las peticiones HTTP.
– Blocked URL Message Type: el origen del mensaje que el usuario reSurfControl bloquea un sitio. Si selecciona NetPartners Websense/SNetScreen reenvía el mensaje recibido en la respuesta de bloqueo deSurfControl. Si selecciona NetScreen , el dispositivo NetScreen envíaintroducido en el campo NetScreen Blocked URL Message.
– NetScreen Blocked URL Message: mensaje que el dispositivo NetScbloquear un sitio. Puede utilizar el mensaje enviado desde el servidor crear un mensaje (de hasta 500 caracteres) para que se envíe desde
Puede utilizar los siguientes comandos CLI para configurar estos ajustes:
set url fail-mode { block | permit }set url type { netScreen | server }set url message string
En la interfaz WebUI, introduzca estos ajustes en los campos correspondienURL Filtering > Protocol > Websense o en la página Screening > URL Filter
Nota: Si selecciona NetScreen , algunas de las funciones que ofreceredireccionamiento, quedarán suprimidas.
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 131
el de sistema. En el caso de un habilitar el filtrado de URL para de URL se aplique en el temas.
de URL en el nivel de sistema:
ering en la página Screening > ing > Protocol > SurfControl.
comprobará el tráfico HTTP al de URL redirigiendo las rado de URL en el nivel de rado de URL en las directivas y
tacto con el servidor de filtrado
una directiva:
ce permit url-filter
ágina de configuración de
nse o SurfControl. Para gina Screening > URL Filtering l > SurfControl en la interfaz
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
3. Activación en el nivel de sistemaUna vez finalizada la configuración, debe habilitar el filtrado de URL en el nivdispositivo NetScreen que actúe como host para sistemas virtuales, deberá cada sistema en el que desee aplicarlo. Por ejemplo, si desea que el filtradosistema raíz y en un sistema virtual, deberá habilitar el filtrado en ambos sis
Puede utilizar el siguiente comando CLI para activar y desactivar el filtrado
set url config { disable | enable }
En WebUI, seleccione o desactive la casilla de verificación Enable URL FiltURL Filtering > Protocol > Websense o en la página Screening > URL Filter
Si habilita el filtrado de URL en el nivel de sistema, el dispositivo NetScreenque se apliquen las directivas (definidas en ese sistema) relativas al filtradopeticiones HTTP a un servidor Websense o SurfControl. Si deshabilita el filtsistema, el dispositivo NetScreen no tendrá en cuenta el componente de filtlas considerará simples directivas de permiso.
4. Aplicación en el nivel de directivasFinalmente podrá configurar el dispositivo NetScreen para que entre en conde URL según cada directiva.
Puede utilizar el siguiente comando CLI para habilitar el filtrado de URL en
set policy from zone to zone src_addr dst_addr servi
En la interfaz WebUI, seleccione la casilla de verificación URL Filter en la pdirectivas de aquella en la que desee aplicar el filtrado de URL.
Nota: El dispositivo NetScreen informa sobre el estado del servidor Webseactualizar el informe de estado, haga clic en el icono Server Status de la pá> Protocol > Websense o de la página Screening > URL Filtering > ProtocoWebUI.
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 132
ervidor SurfControl en la e filtrado URL se encuentra en ts situados en la zona Trust l servidor de filtrado URL, HTTP solicita el acceso a una
“We’re sorry, but the requested resa.com.”
rfaz de la zona Trust es inio de enrutamiento trust-vr.
las interfaces del dispositivo a 10.1.1.250.
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Configuración del filtrado de URLEn este ejemplo configurará el dispositivo NetScreen para que se combine con un sdirección IP 10.1.2.5, con el número de puerto 62252 (predeterminado). El servidor dla zona Trust. Queremos aplicar el filtrado a todo el tráfico HTTP saliente desde hoshacia hosts en la zona Untrust. Si el dispositivo NetScreen pierde la conexión con equeremos que el dispositivo NetScreen permita el tráfico HTTP saliente. Si un clienteURL prohibida, queremos que el dispositivo NetScreen envíe el siguiente mensaje: URL is prohibited. If this prohibition appears to be in error, contact ntwksec@miemp
La interfaz de la zona Untrust es ethernet3 y tiene la dirección IP 1.1.1.1/24. La inteethernet1 y tiene la dirección IP 10.1.1.1/24. Las dos zonas se encuentran en el domComo el servidor de filtrado URL no se encuentra en la subred inmediata de una deNetScreen, deberá agregarle una ruta a través de ethernet1 y del enrutador interno
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 133
haga clic en Apply. Introduzca
requests: Permit
os, pero la URL solicitada está [email protected].
es datos y haga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
2. Servidor de filtrado de URLScreening > URL Filtering > Protocol: Seleccione Redirect (SurfControl) ylos siguientes datos y haga clic en Apply de nuevo:
Enable URL Filtering: (seleccione)
Server Name: 10.1.2.5
Server Port: 15868
Communication Timeout: 10 (seconds)
If connectivity to the server is lost … all HTTP
Blocked URL Message Type: NetScreen
NetScreen Blocked URL Message: Lo sentimprohibida. Póngase en contacto con ntwkse
3. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.1.2.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 10.1.1.250
Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL
defensa 134
haga clic en OK :
prohibida. Póngase en
gateway 1.1.1.250t1 gateway 10.1.1.250
-filter
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
4. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:Address Book Entry: (seleccione), Any
Destination Address:Address Book Entry: (seleccione), Any
Service: HTTPAction: Permit URL Filtering: (seleccione)
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Servidor de filtrado de URLset url protocol type scfpset url server 10.1.2.5 15868 10set url fail-mode permitset url type NetScreenset url message “Lo sentimos, pero la URL solicitada está
contacto con [email protected].”set url config enable
3. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.1.2.0/24 interface etherne
4. Directivaset policy from trust to untrust any any http permit urlsave
5
y defensa 135
Capítulo 5
y ejecutar las acciones alías en el protocolo. En las n que aparecen en directivas y
ágina 187
98
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques
Deep Inspection
Puede habilitar Deep Inspection (DI) en directivas para examinar el tráfico permitidocorrespondientes si el módulo de DI en ScreenOS detecta signos de ataque o anomsecciones siguientes de este capítulo se presentan los elementos de Deep Inspectiose explica cómo configurarlos:
• “Resumen de Deep Inspection” en la página 137
• “Servidor de la base de datos de objetos de ataque” en la página 141
• “Objetos de ataque y grupos” en la página 149
– “Protocolos compatibles” en la página 151
– “Firmas completas” en la página 156
– “Firmas de secuencias TCP” en la página 157
– “Anomalías en el protocolo” en la página 157
– “Grupos de objetos de ataque” en la página 158
– “Desactivación de objetos de ataque” en la página 163
• “Acciones de ataque” en la página 164
• “Registro de ataques” en la página 176
• “Asignación de servicios personalizados a aplicaciones” en la página 179
• “Objetos de ataque y grupos personalizados” en la página 187
– “Objetos de ataque de firma completa definidos por el usuario” en la p
– “Objetos de ataque de la firma de la secuencia TCP” en la página 195
– “Parámetros configurables de anomalías de protocolos” en la página 1
• “Negación” en la página 200
Capítulo 5 Deep Inspection
defensa 136
ponentes de HTTP. En la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Deep Inspection también se puede habilitar a nivel de zonas de seguridad para comsección final de este capítulo se explican estas opciones SCREEN:
• “Bloqueo granular de los componentes de HTTP” en la página 207
– “Controles ActiveX” en la página 207
– “Applets de Java” en la página 208
– “Archivos EXE” en la página 208
– “Archivos ZIP” en la página 208
Capítulo 5 Deep Inspection Resumen de Deep Inspection
defensa 137
gos de NetScreen. Deep as características del protocolo taque o comportamiento
s direcciones IP de origen y de s de puerto de origen y de
nes SCREEN establecidas a nivel de recciones IP” en la página 8, “Análisis en la página 52.
de que
l de una L4 de
paquete s
aquete
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
RESUMEN DE DEEP INSPECTIONDeep Inspection (DI) es un mecanismo para filtrar el tráfico permitido por el cortafueInspection examina los encabezados de los paquetes de las capas 3 y 4, así como ly el contenido a nivel de aplicación de la capa 7 para detectar e impedir cualquier aanómalo que pueda presentarse1.
Cuando el dispositivo NetScreen recibe el primer paquete de una sesión, examina ladestino en el encabezado del paquete IP (inspección de capa 3) y tanto los número
1. Los dispositivos NetScreen detectan los patrones de tráfico anómalo en las capas 3 y 4 (IP y TCP) a través de opciozonas, no a nivel de directivas. Algunos ejemplos de detección de anomalías en el tráfico IP y TCP son “Barrido de dide puertos” en la página 10, así como los diversos ataques de inundación descritos en “Ataques DoS contra la red”
No
Inspección de estado completa del cortafuegos
¿Permite o deniega
este paquete la directiva?
¿DI? ¿Detectado ataque?Sí
Firma completa, anomalía de protocolo y (en el NetScreen-5000) inspección de la secuencia TCP
Sí
Reenviar el paquete
Ejecutar acciónrespuesta al ata
Descartar paquete
No No
Sí
No¿Cumple?
Sí
Descartar paquete
¿Cumple un paquete iniciasesión los requisitos L3 y una directiva?
¿Cumple el estado de un en una sesión existente laexpectativas en la tabla desesiones?
o bien
¿Permite o deniega este pla directiva?
Capítulo 5 Deep Inspection Resumen de Deep Inspection
defensa 138
DP (inspección de capa 4). Si , el dispositivo NetScreen
ispositivo NetScreen recibe un do actualizada en la tabla de
y la acción de la directiva es uete como la secuencia de coincidan con los definidos en de ataque o anomalías en el n servidor de base de datos de rupos” en la página 149 y bjetos de ataque especificados
s de ataque completass en las normas RFC y en sus osiblemente con fines malévolos
tion (DI) en una directiva cuya acción te y después de desencriptar un
ra obtener más información, consulte
IG PTO DEST PROTO
datos
apas de red y aplicación):to ORIG, Puerto DEST y Carga de datos
Deep Inspection
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
destino como el protocolo en el segmento TCP o en el encabezado del datagrama Ulos componentes de capas 3 y 4 cumplen los criterios especificados en una directivaaplica al paquete la acción especificada: permitir, denegar o tunelizar2. Cuando el dpaquete destinado a una sesión establecida, lo compara con la información de estasesiones para determinar si realmente pertenece a la sesión.Si en la directiva aplicable a este paquete está habilitada la opción Deep Inspection“permit” o “tunnel”, el dispositivo NetScreen analiza más detenidamente tanto el paqdatos asociada (“stream”) en busca de ataques. Busca en el paquete patrones que uno o varios grupos de objetos de ataque. Los objetos de ataque pueden ser firmasprotocolo, que el usuario puede definir o descargar al dispositivo NetScreen desde uobjetos de ataque3. (Para obtener más información, consulte “Objetos de ataque y g“Objetos de ataque y grupos personalizados” en la página 187). Basándose en los oen la directiva, el dispositivo NetScreen puede realizar las inspecciones siguientes:
• Examinar los valores del encabezado y la carga de datos en busca de firma• Comparar el formato del protocolo transmitido con los estándares especificado
extensiones con respecto a ese protocolo para determinar si ha sido alterado, p
2. Si la acción especificada es tunelizar, ésta implica un permiso (tráfico permitido). Observe que si habilita Deep Inspecsea tunelizar, el dispositivo NetScreen ejecuta las operaciones DI especificadas antes de encriptar un paquete salienpaquete entrante.
3. Para poder descargar objetos de ataque del servidor de base de datos primero es necesario suscribirse al servicio. Pa“Registro y activación de los servicios de suscripción” en la página 2 -463.
IP ORIG IP DEST PTO OR
Carga de
IP ORIG IP DEST PTO ORIG PTO DEST PROTO
Carga de datos
Primero: Inspección del cortafuegos (capas de red):IP ORIG, IP DEST, Puerto ORIG, Puerto DEST
y servicio (Protocolo)
Después: Deep Inspection (cIP ORIG, IP DEST, Puer
servicio (Protocolo)
Cortafuegos
Capítulo 5 Deep Inspection Resumen de Deep Inspection
defensa 139
grupo de objetos de ataque al e-client”), cerrar servidor re”) o ninguna. Si no encuentra aque, consulte “Acciones de
n central y el componente DI:
s de origen y de destino, uno o
tido por la sección central de la e contenidos en al menos un ataque, realiza a continuación
edente de cualquier dirección ena al dispositivo NetScreen coincide con un objeto de o NetScreen cierra la conexión ción de origen y destino.
ias a túneles VPN y L2TP, referencia suarios y ajustes de comprobación tos que constituyen el núcleo de una
gatorios. (Una excepción a esta regla t_addr service action . Para obtener
nte de Deep Inspection
erios
Acción si el dispositivo NetScreen detecta un ataque
rupo de ataque
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Si el dispositivo NetScreen detecta un ataque, realiza la acción especificada para elque pertenece el objeto de ataque que coincida: cerrar (“close”), cerrar cliente (“clos(“close-server”), descartar (“drop”), descartar paquete (“drop-packet”), ignorar (“ignoun ataque, reenvía el paquete. (Para obtener más información sobre acciones de atataque” en la página 164).
El comando set policy se puede separar conceptualmente en dos partes: la secció
• La sección central contiene las zonas de origen y de destino, las direccionemás servicios y una acción4.
• El componente DI ordena al dispositivo NetScreen examinar el tráfico permidirectiva para saber si hay patrones que coincidan con los objetos de ataqugrupo de objetos de ataque. Si el dispositivo NetScreen detecta un objeto dela acción definida para el grupo correspondiente.
El siguiente comando set policy contiene un componente de DI:
El comando antedicho ordena al dispositivo NetScreen permitir el tráfico HTTP procde la zona Untrust a la dirección de destino “websrv1” de la zona DMZ. También ordexaminar todo el tráfico HTTP permitido por esta directiva. Si algún patrón de tráficoataque definido en el grupo de objetos de ataque “HIGH:HTTP:ANOM”, el dispositivdescartando el paquete y enviando notificaciones TCP RST a los hosts en las direc
4. Opcionalmente, también puede agregar otras extensiones al componente central de un comando set policy : referenca una tarea programada, especificaciones de la traducción de direcciones, especificaciones de la autenticación de uantivirus, registros, recuentos y administración del tráfico. Mientras que estas extensiones son opcionales, los elemendirectiva (zonas de origen y de destino, direcciones de origen y de destino, servicio -o servicios- y la acción) son oblison las directivas globales, en las que no se especifican zonas de origen ni de destino: set policy global src_addr dsmás información sobre directivas globales, consulte “Directivas globales” en la página 2 -312).
Compone
Zona de destino
Dirección de origen
Dirección de destino
Servicio
Acción si el tráfico cumple los critde los componentes L3 y L4
Zona de origen
G
Sección central de una directiva
Capítulo 5 Deep Inspection Resumen de Deep Inspection
defensa 140
identificación. Por ejemplo:
os relacionados con una sola rmite el tráfico HTTP y HTTPS ataques HTTP de firma
p permit attack
e-server
rver
posibles ataques en el tráfico irectiva, primero debe o antedicho, puede agregar los TP:SIGS porque anteriormente
ndo siguiente se ejecutará en
de ataque en una directiva. Si n más severa, que en el taque, incluidos sus niveles de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Es posible introducir el contexto de una directiva existente utilizando su número de
ns-> set policy id 1ns(policy:1)->
Introducir el contexto de una directiva resulta práctico para introducir varios comanddirectiva. Por ejemplo, el siguiente conjunto de comandos crea una directiva que pedesde cualquier dirección de Untrust a websrv1 y websrv2 en la zona DMZ y buscacompleta y de anomalías de protocolo de gravedad alta y crítica:
ns-> set policy id 1 from untrust to dmz any websrv1 httCRITICAL:HTTP:ANOM action close
ns-> set policy id 1ns(policy:1)-> set dst-address websrv2ns(policy:1)-> set service httpsns(policy:1)-> set attack CRITICAL:HTTP:SIGS action closns(policy:1)-> set attack HIGH:HTTP:ANOM action dropns(policy:1)-> set attack HIGH:HTTP:SIGS action close-sens(policy:1)-> exitns-> save
La configuración antedicha permite el tráfico HTTP y HTTPS, pero solamente buscaHTTP. Para poder agregar grupos de objetos de ataque dentro de un contexto de despecificar un ataque y una acción DI en el comando de nivel superior. En el ejemplgrupos de objetos de ataque CRITICAL:HTTP:SIGS, HIGH:HTTP:ANOM y HIGH:HTconfiguró la directiva para Deep Inspection con el grupo CRITICAL:HTTP:ANOM.
Nota: El símbolo de la línea de comandos cambia para indicar que el comaun contexto de directiva determinado.
Nota: Puede especificar una acción de ataque diferente para cada grupo de objetosel dispositivo NetScreen detecta simultáneamente múltiples ataques, aplica la accióejemplo de arriba es “close”. Para obtener información sobre las siete acciones de agravedad, consulte “Acciones de ataque” en la página 164.
Capítulo 5 Deep Inspection Servidor de la base de datos de objetos de ataque
defensa 141
inidos, organizados en grupos la base de datos de objetos de dates. Para utilizar los objetos
en su dispositivo NetScreen y os en directivas5. Para obtener se al servicio de firmas DI para Registro y activación de los
os de ataque en el dispositivo de base de datos de objetos de tes del servidor de la base de ualización inmediata” en la
base de datos de objetos de os del servidor sea una versión iper Networks actualiza la base iertos. Por lo tanto, debido a su
btener más información, consulte la
integridad de la base de datos s DI” en la página 2 -447.
uede utilizar el comando exec en el servidor es más reciente
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
SERVIDOR DE LA BASE DE DATOS DE OBJETOS DE ATAQUELa base de datos de objetos de ataque contiene todos los objetos de ataque predefde objetos de ataque por protocolo y nivel de gravedad. Juniper Networks almacenaataque en un servidor en la dirección https://services.netscreen.com/restricted/sigupde ataque predefinidos, debe descargar la base de datos de este servidor, cargarloluego establecer referencias a determinados grupos de objetos de ataque específicacceso al servidor de la base de datos de objetos de ataque, primero debe suscribirsu dispositivo NetScreen. (Para obtener información sobre cómo hacerlo, consulte “servicios de suscripción” en la página 2 -463).
Existen cuatro maneras de actualizar la base de datos:
• Immediate Update: Con esta opción se actualiza la base de datos de objetNetScreen inmediatamente con la base de datos almacenada en el servidor ataque. Para que esta operación funcione, primero debe configurar los ajusdatos de objetos de ataque. (Para ver un ejemplo, consulte el “Ejemplo: Actpágina 142).
• Automatic Update: Con esta opción, el dispositivo NetScreen descarga la ataque a las horas programadas por el usuario, siempre que la base de datmás reciente que la cargada anteriormente en el dispositivo NetScreen. Junde datos periódicamente con los nuevos patrones de ataque recién descub
5. Puede también utilizar NetScreen-Security Manager para descargar las bases de datos de objetos de ataque. Para oNetScreen-Security Manager Administration Guide.
Nota: Puede cargar un certificado de autenticación (imagekey.cer) para verificar la de objetos de ataque cuando la descargue. Consulte “Autenticar firmware y archivo
Nota: Antes de realizar una actualización inmediata de la base de datos, pattack-db check para comprobar si la base de datos de objetos de ataqueque la que se encuentra en el dispositivo NetScreen.
Capítulo 5 Deep Inspection Servidor de la base de datos de objetos de ataque
defensa 142
ispositivo NetScreen los ajustes del servidor de la plo: Actualizaciones
sitivo NetScreen comprueba a se de datos de objetos de l servidor son más recientes, sesión en el dispositivo date o hacer clic en el botón ebUI para guardar la base de miautomático de comprobación base de datos de objetos de y actualización inmediata” en la
ara descargar la base de datos A continuación puede cargar la orio local) o mediante CLI jemplo: Actualización manual”
l archivo attacks.bin) del RL para el servidor de la base
dispositivo NetScreen. En lugar amente.
vicio de firmas de DI para el gistro y activación de los
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
naturaleza cambiante, también conviene actualizar la base de datos en el dperiódicamente. Para que esta operación funcione, primero debe configurarbase de datos de objetos de ataque. (Para ver un ejemplo, consulte el “Ejemautomáticas” en la página 144).
• Automatic Notification and Immediate Update: Con esta opción, el dispolas horas programadas por el usuario si los datos sobre el servidor de la baataque son más recientes que los del dispositivo NetScreen. Si los datos deaparece un aviso en la página inicial de WebUI y en CLI después de iniciar NetScreen. A continuación, puede ejecutar el comando exec attack-db up Update Now de la página Configuration > Update > Attack Signature de Wdatos del servidor en el dispositivo NetScreen. Para que el procedimiento sedel servidor funcione, primero debe configurar los ajustes del servidor de laataque. (Para ver un ejemplo, consulte el “Ejemplo: Notificación automática página 145).
• Manual Update: Con esta opción, primero utilizará un explorador de web pde objetos de ataque a un directorio local o al directorio del servidor TFTP. base de datos en el dispositivo NetScreen mediante WebUI (desde el direct(desde el directorio del servidor TFTP). (Para ver un ejemplo, consulte el “Een la página 147).
Ejemplo: Actualización inmediataEn este ejemplo guardará inmediatamente la base de datos de objetos de ataque (eservidor correspondiente al dispositivo NetScreen. Utilizará la URL predeterminada:https://services.netscreen.com/restricted/sigupdates. No tiene que establecer esta Ude datos. El dispositivo NetScreen la utiliza de forma predeterminada.
No necesita establecer una tarea programada para actualizar la base de datos en el de ello, guardará la base de datos del servidor en el dispositivo NetScreen inmediat
Nota: Este ejemplo asume que ya dispone de una suscripción activada para el serdispositivo NetScreen. (Para obtener información sobre suscripciones, consulte “Reservicios de suscripción” en la página 2 -463).
Capítulo 5 Deep Inspection Servidor de la base de datos de objetos de ataque
defensa 143
ow .
de la base de datos bjetos de ataque
https://services.netscreen .com/restricted/sigupdates
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
WebUI
Configuration > Update > Attack Signature: Haga clic en el botón Update N
CLI
ns-> exec attack-db updateLoading attack database.............Done.Done.Switching attack database...DoneSaving attack database to flash...Done.ns->
Servidorde oDispositivo NetScreen local
Internet
Base de datos de objetos de
ataqueBase de datos de objetos de
ataque
1. Petición de actualización
2. Actualización de la base de datos
Capítulo 5 Deep Inspection Servidor de la base de datos de objetos de ataque
defensa 144
en el dispositivo NetScreen la versión de la base de datos iente, el dispositivo NetScreen
s. No tiene que establecer esta a predeterminada.
y haga clic en OK :
vicio de firmas de DI para el gistro y activación de los
te en algunos meses), el dispositivo
de datos taque
= https://services.netscreen /restricted/sigupdates
L M X J V S D
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Actualizaciones automáticasEn este ejemplo establecerá una tarea programada para actualizar la base de datoscada lunes a las 4:00. A esa hora programada, el dispositivo NetScreen comparará en el servidor con la del dispositivo NetScreen. Si la versión del servidor es más recreemplazará automáticamente su base de datos con la versión más reciente.
Utilizará la URL predeterminada: https://services.netscreen.com/restricted/sigupdateURL para el servidor de la base de datos. El dispositivo NetScreen la utiliza de form
WebUIConfiguration > Update > Attack Signature: Introduzca los siguientes datos
Database Server: (dejar en blanco)Update Mode: Automatic UpdateSchedule:
Weekly on: Monday6
Time (hh:mm): 04:00
Nota: Este ejemplo asume que ya dispone de una suscripción activada para el serdispositivo NetScreen. (Para obtener información sobre suscripciones, consulte “Reservicios de suscripción” en la página 2 -463).
6. Si programa actualizaciones mensualmente y la fecha elegida no existe en algún mes (por ejemplo, el día 31 no exisNetScreen utiliza en su lugar la última fecha posible de ese mismo mes.
Servidor de la basede objetos de aDispositivo NetScreen local
Internet
Base de datos de objetos de ataqueBase de datos de
objetos de ataque
1. Petición de actualización automática
2. Actualización automática de la base de datos
URL.com
Capítulo 5 Deep Inspection Servidor de la base de datos de objetos de ataque
defensa 145
as 07:00 la base de datos en el
a clic en el botón Update Now ndo exec attack-db update
s. No tiene que establecer esta a predeterminada.
vicio de firmas de DI para el gistro y activación de los
ase de e ataque
https://services.netscreen restricted/sigupdates
M X J V S D
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
set attack db mode updateset attack db schedule weekly monday 04:00save
Ejemplo: Notificación automática y actualización inmediataEn este ejemplo establecerá una tarea programada para comprobar diariamente a ldispositivo NetScreen.
Cuando reciba un aviso de que la base de datos del servidor se ha actualizado, hagde la página Configuration > Update > Attack Signature de WebUI o ejecute el comapara guardar la base de datos del servidor en el dispositivo NetScreen.
Utilizará la URL predeterminada: https://services.netscreen.com/restricted/sigupdateURL para el servidor de la base de datos. El dispositivo NetScreen la utiliza de form
Nota: Este ejemplo asume que ya dispone de una suscripción activada para el serdispositivo NetScreen. (Para obtener información sobre suscripciones, consulte “Reservicios de suscripción” en la página 2 -463).
Servidor de la bdatos de objetos dDispositivo NetScreen local
Internet
Base de datos de objetos de ataque
Base de datos de objetos de ataque
1. Comprobación automática diaria de la actualización
URL =.com/
L
2. Actualización inmediata de la base de datos
Capítulo 5 Deep Inspection Servidor de la base de datos de objetos de ataque
defensa 146
y haga clic en OK :
tá más actualizada que la del
ow .
tá más actualizada que la del
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
WebUI
1. Comprobación programada de la base de datosConfiguration > Update > Attack Signature: Introduzca los siguientes datos
Database Server: (dejar en blanco)
Update Mode: Automatic Notification
Schedule:
Daily
Time (hh:mm): 07:00
2. Actualización inmediata de la base de datosCuando reciba un aviso de que la base de datos de ataques del servidor esdispositivo NetScreen, haga lo siguiente:
Configuration > Update > Attack Signature: Haga clic en el botón Update N
CLI
1. Comprobación programada de la base de datosset attack db mode notificationset attack db schedule daily 07:00
2. Actualización inmediata de la base de datosCuando reciba un aviso de que la base de datos de ataques del servidor esdispositivo NetScreen, haga lo siguiente:
exec attack-db update
Capítulo 5 Deep Inspection Servidor de la base de datos de objetos de ataque
fensa 147
iente en el directorio local :\Archivos de s en el dispositivo
los siguientes elementos a
uenta. En este ejemplo, el es NetScreen-208 (ns200).
0043012001000213
para que otros dispositivos el servidor de la base de datos a Attack Signature o utilizar el
de firmas de DI para el tro y activación de los
e de datos taque
tps://services.netscreen.com/ d/sigupdates/5.1/ns200/attacks 0043012001000213
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y de
Ejemplo: Actualización manualEn este ejemplo guardará manualmente la base de datos de objetos de ataque más rec“C:\netscreen\attacks-db” (si desea utilizar WebUI para cargar la base de datos) o en CPrograma\TFTP Server (si prefiere utilizar CLI). A continuación cargará la base de datoNetScreen de su directorio local7.Para una actualización automática, el dispositivo NetScreen agregará automáticamentela URL:
• Número de serie del dispositivo NetScreen• Número de la versión principal de ScreenOS instalada en el dispositivo• Tipo de plataforma
Para actualizar manualmente la base de datos, debe agregar estos elementos por su cnúmero de serie es 0043012001000213, la versión de ScreenOS es 5.1 y la plataformaPor lo tanto, la URL resultante es:
https://services.netscreen.com//restricted/sigupdates/5.1/ns200/attacks.bin?sn=
7. Después de descargar la base de datos de objetos de ataque, también puede colocarla en un servidor local y configurarlaNetScreen puedan acceder a ella. A continuación, los administradores de los demás dispositivos deben cambiar la URL dla nueva ubicación. Pueden introducir la nueva URL en el campo Database Server de la página Configuration > Update >comando CLI siguiente: set attack db server url_string .
Nota: Este ejemplo asume que ya dispone de una suscripción activada para el serviciodispositivo NetScreen. (Para obtener información sobre suscripciones, consulte “Regisservicios de suscripción” en la página 2 -463).
Servidor de la basde objetos de aDispositivo NetScreen local
Internet
Base de datos de objetos de
ataque
Base de datos de objetos de ataque
2. Actualización manual de la
base de datos
URL = ht/restricte.bin?sn=
1. Descarga manual de la base de datos
Admin: 10.1.1.5C:\netscreen\attacks-db
C:\Archivos de programa\TFTP Server
Capítulo 5 Deep Inspection Servidor de la base de datos de objetos de ataque
defensa 148
eb:
s.bin?sn=0043012001000213
” (para cargar a través de or TFTP (cuando desee utilizar
y haga clic en OK :
s-db\attacks.bin , o haga clic leccione attacks.bin y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
1. Descarga de la base de datosIntroduzca la URL siguiente en el campo de dirección de su explorador de w
https://services.netscreen.com//restricted/sigupdates/5,1/ns200/attack
Guarde el archivo attacks.bin en el directorio local “C:\netscreen\attacks-dbWebUI) o en el directorio “C:\Archivos de programa\TFTP Server” del servidCLI para cargarlo).
WebUI
2. Actualización de la base de datosConfiguration > Update > Attack Signature: Introduzca los siguientes datos
Deep Inspection Signature Update:
Load File: Introduzca C:\netscreen\attacken Browse y navegue a ese directorio, sefinalmente haga clic en Open .
CLI
2. Actualización de la base de datossave attack-db from tftp 10.1.1.5 attacks.bin to flash
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 149
reen-5000) y anomalías de comprometen a uno o varios
otocolo y luego por gravedad. ina el tráfico que ésta permite
al que se hace referencia.
websrv11.2.2.5:80
hp?*p
ata\].*
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
OBJETOS DE ATAQUE Y GRUPOSLos objetos de ataque son firmas completas, firmas de secuencias (en la serie NetScprotocolos que un dispositivo NetScreen utiliza para detectar los ataques dirigidos quehosts de una red. Los objetos de ataque están agrupados, organizados por tipo de prCuando se agrega Deep Inspection (DI) a una directiva, el dispositivo NetScreen exampara cualquier patrón que coincida con los del grupo (o grupos) de objetos de ataque
������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� �����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
Host remoto1.1.1.3:25611
IP ORIG IP DEST PTO ORIG PTO DEST PROTO
1.1.1.3 1.2.2.5 25611 80 HTTP
Zona Untrust
set policy from untrust to dmz any websrv1 http permit attack HIGH:HTTP:SIGS action close
RSTRST
SYN
ACKSYN/ACK
Carga: … revlog/.
El dispositivo NetScreen detecta un objeto de ataque en el paquete. Descarta el paquete y cierra la conexión enviando notificaciones TCP RST al origen y al destino.
Grupo de ataques: HIGH:HTTP:SIGS
revlog/.*/phorum/plugin/replace/pluring.p
/scripts/\.\.%c1%9c\.\./.*
/\[scripts/iisadmin/ism\.dll\?http/dir\].*
.*\[.asp::$d
Host remoto1.1.1.3:25611
NetScreenUntrust: ethernet3 1.1.1.1/24; DMZ: ethernet2 1.2.2.1/24
Zona DMZ
.*%255(c|C).*
PUT \[/users/.*\.asp\].*
¡Coincide!
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 150
deben apuntar al mismo tipo de l grupo de objetos de ataque muestra una configuración
objetos de ataque se refiere al
itivo NetScreen consumiese de ataque POP3 que nunca figurar el componente DI para
attack CRIT:SMTP:SIGS
attack CRIT:POP3:SIGS
t attack
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Los grupos de objetos de ataque a los que se haga referencia en el componente DI servicio que la directiva permita. Por ejemplo, si la directiva permite tráfico SMTP, edebe tener como objetivo los ataques contra el tráfico SMTP. La directiva siguiente válida:
La siguiente directiva es incorrecta porque permite el tráfico SMTP, pero el grupo detráfico POP3:
La segunda directiva está mal configurada y, si se implementase, haría que el disposrecursos innecesariamente, ya que examinaría el tráfico SMTP en busca de objetos encontraría. Si la directiva 2 permite tanto el tráfico SMTP como el POP3, puede conque busque objetos de ataque SMTP, objetos de ataque POP3 o ambos.
set policy id 2 from trust to untrust any any smtp permitaction close
set policy id 2 from trust to untrust any any smtp permitaction close
set group service grp1set group service grp1 add smtpset group service grp1 add pop3set policy id 2 from trust to untrust any any grp1 permi
CRIT:SMTP:SIGS action closeset policy id 2 attack CRIT:POP3:SIGS action close
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 151
ataque de anomalía de
finición
ominio (DNS) es un sistema de nombres de dominio a las uniper.net = 207.17.137.68.
de archivos (FTP) es un archivos entre equipos a través
ia de hipertexto (HTTP) es un do para transferir información los clientes web.
rreo de Internet (IMAP) es un ervicios de almacenamiento y
ctrónico entrante, con la opción de n su correo electrónico o lo dejen
e entrada-salida de red) es una que las aplicaciones de las
s usuarios pueden acceder a los ados por los transportes de red TCP/IP.
eo, versión 3 (POP3) es un ervicios de almacenamiento y
ctrónico entrante.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Protocolos compatiblesEl módulo Deep Inspection admite objetos de ataque de firma completa y objetos deprotocolo para los protocolos y aplicaciones siguientes:
Protocolos de red básicos
Protocolo Firmacompleta
Anomalía deprotocolo De
DNS Sí Sí El sistema de nombres de dbase de datos para traducirdirecciones IP como www.j
FTP Sí Sí El protocolo de tranferenciaprotocolo para intercambiarde una red.
HTTP Sí Sí El protocolo de transferencprotocolo utilizado sobre todesde los servidores web a
IMAP Sí Sí El protocolo de acceso a coprotocolo que proporciona srecuperación del correo eleque los usuarios descargueen el servidor IMAP.
NetBIOS Sí Sí NetBIOS (Sistema básico dinterfaz de aplicación con laestaciones de trabajo de loservicios de red proporcioncomo NetBEUI, SPX/IPX y
POP3 Sí Sí Protocolo de oficina de corrprotocolo que proporciona srecuperación del correo ele
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 152
ferencia de correo (SMTP) es un cia de correo electrónico entre
finición
ssaging (AIM) es la aplicación de erica Online.
ger (MSN Messenger) es el diata proporcionado por
rvicio de mensajería inmediata
finición
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Aplicaciones de mensajería inmediata
SMTP Sí Sí El protocolo simple de transprotocolo para la transferenservidores de correo.
Protocolo Firmacompleta
Anomalía deprotocolo De
AIM Sí Sí America Online Instant Memensajería inmediata de Am
MSN Messenger
Sí Sí Microsoft Network Messenservicio de mensajería inmeMicrosoft.
Yahoo! Messenger
Sí Sí Yahoo! Messenger es el seproporcionado por Yahoo!.
Protocolo Firmacompleta
Anomalía deprotocolo De
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 153
finición
ta de distribución de archivos cionar una forma eficiente de ivo a un grupo grande haciendo en un archivo también se lo
aplicación para compartir utiliza concentradores para ios, a menudo con el requisito de antidad de bytes o archivos. ecen zonas especiales de interés, ades para los usuarios
descentralizada de compartición el protocolo de tranferencia de (MFTP). La red de eDonkey ciones: clientes y servidores. Los d y comparten archivos. Los ntradores que reúnen a los
y un protocolo de compartición de rvidor centralizado. Otras de las otocolo de Gnutella son heus y ToadNode.
ra compartir archivos P2P protocolo de FastTrack. KaZaa se ompartir archivos MP3.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Aplicaciones de red punto a punto (P2P)8
Protocolo StatefulSignature
ProtocoloAnomalía De
BitTorrent Sí No BitTorrent es una herramienP2P, diseñada para propordistribución del mismo archque todos los que descargucarguen a los demás.
DC(Direct Connect)
Sí No DC (Direct Connect) es unaarchivos P2P. Una red DC conectar a grupos de usuarque compartan una cierta cMuchos concentradores ofrcreando pequeñas comunidconectados.
eDonkey Sí No eDonkey es una aplicaciónde archivos P2P que utilizaarchivos de origen múltiple admite dos clases de aplicaclientes se conectan a la reservidores hacen de conceclientes.
Gnutella Sí Sí Gnutella es una aplicación archivos P2P sin ningún seaplicaciones que usan el prBearShare, Limewire, Morp
KaZaa Sí No Kazaa es una aplicación padescentralizada que usa el utiliza principalmente para c
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 154
n cliente P2P que puede aformas y acceder a múltiples t, DC, eDonkey, FastTrack Gnutella2.
de telefonía por Internet P2P con hablar entre ellos a través de una
de servidor) es un protocolo para chivos e impresoras entre los ima del protocolo de NetBIOS.
ara compartir archivos P2P con la tarse a varios servidores
finición
imientos remotos de Microsoft) es r procesos en un equipo remoto.
finición
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Puertas de enlace en la capa de aplicación (ALGs):
8. Muchas de las aplicaciones P2P mostradas utilizan sus propios protocolos patentados.
MLdonkey Sí No MLdonkey es una aplicacióejecutarse en múltiples platredes P2P, como BitTorren(KaZaa y otros), Gnutella y
Skype Sí No Skype es un servicio gratis el que los usuarios pueden red TCP/IP como Internet.
SMB Sí Sí SMB (Bloque de mensajes compartir recursos como arequipos. SMB funciona enc
WinMX Sí No WinMX es una aplicación pque un cliente puede conecsimultáneamente.
Protocolo Firmacompleta
Anomalía deprotocolo De
MSRPC Sí Sí MSRPC (Llamada a procedun mecanismo para ejecuta
Protocolo StatefulSignature
ProtocoloAnomalía De
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 155
es/english, puede consultar el s de los objetos de ataque mpo de dirección:
na lista de todos los objetos de consultar la descripción de un
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Si el dispositivo NetScreen dispone de acceso a http://help.netscreen.com/sigupdatcontenido de todos los grupos de objetos de ataque predefinidos y ver descripcionepredefinidos. Abra su explorador web y escriba una de las siguientes URLs en el ca
http://help.juniper.net/sigupdates/english/AIM.html
http://help.juniper.net/sigupdates/english/DNS.html
http://help.juniper.net/sigupdates/english/FTP.html
http://help.juniper.net/sigupdates/english/GNUTELLA.html
http://help.juniper.net/sigupdates/english/HTTP.html
http://help.juniper.net/sigupdates/english/IMAP.html
http://help.juniper.net/sigupdates/english/MSN.html
http://help.juniper.net/sigupdates/english/NBDS.html
http://help.juniper.net/sigupdates/english/NBNAME.html
http://help.juniper.net/sigupdates/english/POP3.html
http://help.juniper.net/sigupdates/english/SMTP.html
http://help.juniper.net/sigupdates/english/MSRPC.html
http://help.juniper.net/sigupdates/english/SMB.html
http://help.juniper.net/sigupdates/english/YMSG.html
Cada una de las URLs antedichas está vinculada a una página HTML que contiene uataque predefinidos (agrupados por gravedad) para un protocolo determinado. Paraobjeto de ataque, haga clic en su nombre.
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 156
tación de una determinada do una dirección envía muchos rtos” en la página 10) o un datos de un único paquete valor determinado en el n dispositivo NetScreen busca
en una porción muy concreta enviados en un determinado or el dispositivo que responde.rticipantes (cliente o servidor) y tados por la explotación de la ión contextual para refinar el s”) y evita el procesamiento n los contextos de los papeles
ma, observe cómo el módulo “EXPN Root”. Los atacantes n servidor de correo. Para en la porción de control de una ol” o SMTP). El dispositivo oducirse ahí. Si “expn root”
a “expn root” dispara una cir, en el cuerpo de un mensaje sobre ataques EXPN Root, un
rmas completas, el módulo e son ocurrencias inofensivas.
es. De este modo, una sola definición re expresiones regulares, consulte
pleta predefinidos, consulte
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Firmas completasUna firma de ataque es un patrón que aparece cuando se está produciendo la explovulnerabilidad9. La firma puede ser un o patrón de tráfico de capa 3 o 4, como cuanpaquetes a diversos números de puerto de otra dirección (consulte “Análisis de puepatrón textual, como cuando aparece una cadena de URL maliciosa en la carga de HTTP o FTP. La cadena también puede ser un segmento de código específico o unencabezado del paquete. Sin embargo, cuando el módulo Deep Inspection (DI) de uun patrón textual, busca algo más que sólo una firma en un paquete; busca la firmadel mismo (incluso aunque esté fragmentado o segmentado), en todos los paquetesmomento durante la vida de la sesión, y enviados por el iniciador de la conexión o pCuando el módulo DI busca un patrón textual, tiene en cuenta los papeles de los pasupervisa el estado de la sesión para limitar su búsqueda sólo a los elementos afecvulnerabilidad para la que los atacantes utilizan el patrón. La utilización de informacanálisis de paquetes reduce significativamente las falsas alarmas (o “falsos positivoinnecesario. El término “firmas completas” destaca este concepto de buscar firmas ede los participantes y en el estado de la sesión.Para averiguar qué ventaja tiene considerar el contexto en el que se produce una firNetScreen DI examina los paquetes cuando está habilitado para detectar el ataqueutilizan el ataque “EXPN Root” para ampliar y exponer las listas de distribución de udetectar el ataque “EXPN Root”, el dispositivo NetScreen busca la firma “expn root” sesión del protocolo simple de transferencia de correo (“Simple Mail Transfer ProtocNetScreen examina solamente la porción de control porque el ataque sólo puede procurre en cualquier otra porción de la sesión, no es un ataque.Aplicando una técnica textual simple de detección de firmas en los paquetes, la firmalarma incluso aunque aparezca en la porción de datos de la conexión SMTP; es dede correo electrónico. Si, por ejemplo, estuviese escribiendo a un colega un mensajedetector simple de firmas en paquetes lo consideraría como un ataque. Utilizando fiNetScreen DI puede distinguir entre cadenas de texto que señalan ataques y las qu
9. Dado que el módulo NetScreen DI admite expresiones regulares, puede utilizar comodines en la búsqueda de patronde firma de ataque puede aplicarse a múltiples variaciones del patrón de ataque. Para obtener más información sob“Expresiones regulares” en la página 188.
Nota: Para ver una lista de los protocolos que tienen objetos de ataque de firma com“Protocolos compatibles” en la página 151.
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 157
ue aparece cuando se está I examina el tráfico en busca de xamina el tráfico en busca de entre ambos tipos de firmas es , las firmas de secuencias TCP firma de secuencia a un grupo ue Deep Inspection. (Para
que de la firma de la secuencia
incumple los estándares taque de firma, se debe utilizar es conocidos. La detección de aquéllos que no se pueden
NetScreen-5000.
de protocolo predefinidos,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Firmas de secuencias TCPComo ocurre con las firmas completas, una firma de secuencia TCP es un patrón qproduciendo la explotación de una vulnerabilidad. Sin embargo, cuando el módulo Dfirmas completas, busca solamente en contextos concretos. Cuando el módulo DI efirmas de secuencias TCP, lo hace sin preocuparse de los contextos. Otra diferenciaque, aunque las firmas completas pueden ser predefinidas o definidas por el usuariosólo pueden ser definidas por el usuario. Después de agregar un objeto de ataque dede objetos de ataque, puede hacer referencia a ese grupo en una directiva que apliqobtener más información sobre firmas de secuencias TCP, consulte “Objetos de ataTCP” en la página 195).
Anomalías en el protocoloLos objetos de ataque que buscan anomalías de protocolos detectan el tráfico que definidos en las normas RFC y extensiones comunes de RFC. Con los objetos de aun patrón predefinido o crear uno nuevo; por lo tanto, sólo se pueden detectar ataquanomalías en los protocolos es particularmente útil para detectar nuevos ataques o definir con un patrón textual.
Nota: Las firmas de secuencias TCP sólo se pueden definir en sistemas de la serie
Nota: Para ver una lista de los protocolos que tienen objetos de ataque de anomalíaconsulte “Protocolos compatibles” en la página 151.
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 158
un protocolo específico. Por s, y luego se organizan de de ataque son crítico, alto y
idad que intentan evadir la l sistema.
abilidades que intentan ed o activar un caballo troyano
ulnerabilidades que detectan e directorios (“directory
abilidad que intentan obtener
contiene URLs, errores de o (P2P). Puede utilizar objetos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Grupos de objetos de ataqueLos grupos de objetos de ataque predefinidos contienen los objetos de ataque paracada protocolo, los grupos se dividen en anomalías de protocolos y firmas completaforma aproximada por gravedad. Los tres niveles de gravedad del grupo de objetosmedio:
Crítical: Contiene objetos de ataque que coincidan con explotaciones de vulnerabildetección, provocan la caída de dispositivos de red u obtienen privilegios a nivel de
High (Alto): Contiene objetos de ataque que coinciden con explotaciones de vulnerinterrumpir algún servicio, obtener acceso a nivel de usuario a un dispositivo de la rcargado previamente en un dispositivo.
Medium (Medio): Contiene objetos de ataque que coinciden con explotaciones de vintentos de reconocimiento para acceder a información vital mediante navegación dtraversal”) o filtraciones de información.
Low (Bajo): Contiene objetos de ataque que coinciden con explotaciones de vulnerinformación no crítica o exploran una red con una herramienta de exploración.
Info: Contiene objetos de ataque que coinciden con el tráfico normal inofensivo queconsulta de DNS, cadenas de comunidad pública SNMP y parámetros punto a puntde ataque informativos para obtener información sobre su red.
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 159
gravedad (crítico, alto, medio), edium, low, info. Estos niveles les de gravedad para las
"Medium", la entrada d "Warning" (advertencia).
r en uno o más grupos de , entrando en el contexto de
de objetos de ataque a los que
d de los grupos de objetos de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Cambio de los niveles de gravedadAunque los grupos de objetos de ataque están clasificados por protocolo y nivel de cada objeto de ataque tiene su propio nivel de gravedad específico: critical, high, mde gravedad de objetos de ataque se corresponden del siguiente modo con los niveentradas del registro de eventos:
Por ejemplo, si el dispositivo NetScreen detecta un ataque con el nivel de gravedadcorrespondiente que aparecerá en el registro de eventos tendrá el nivel de graveda
El nivel de gravedad predeterminado de todos los objetos de ataque se puede anulaobjetos de ataque referenciados en una directiva. Esto se realiza a nivel de directivauna directiva existente y asignando un nuevo nivel de gravedad a todos los grupos haga referencia la directiva.
A continuación se muestra cómo cambiar mediante WebUI y CLI el nivel de gravedaataque a los que se hace referencia en una directiva:
Nivel de gravedad de
objeto de ataque- se
corresponde con -
Nivel de gravedad de
entrada de registro de eventos
Critical Critical
High Error
Medium Warning
Low Notification
Info Information
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 160
ento y haga clic en OK :
gravedad en la lista
m | high | critical }
elva a introducir el contexto de
ento y haga clic en OK :
lista desplegable Severity y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
WebUI
Policies > Edit (para una directiva existente): Ejecute el siguiente procedimi
> Deep Inspection: Seleccione una opción dedesplegable Severity y haga clic en OK .
CLI
ns-> set policy id numberns(policy: number )-> set di-severity { info | low | mediu
Para restablecer el ajuste original de nivel de gravedad de cada objeto de ataque, vuuna directiva y haga algo de lo siguiente:
WebUI
Policies > Edit (para una directiva existente): Ejecute el siguiente procedimi
> Deep Inspection: Seleccione Default en la haga clic en OK .
CLI
ns-> set policy id numberns(policy: number )-> unset di-severity
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 161
o a punto (P2P) con cualquier aplica Deep Inspection (DI) al egún lo definido en los grupos
pe la conexión y envía un taque descubierto, que es el
aga clic en OK :
A y HTTP y haga clic en OK ásica de directivas.
P con un host en la zona fiable.
tivo NetScreen puede realizar, ataques detectados de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Deep Inspection para P2PEn este ejemplo, permitirá que cualquier host de la zona fiable inicie una sesión punthost en la zona no fiable usando HTTP, DNS y servicios de Gnutella10. A continuacióntráfico permitido para comprobar las firmas completas y las anomalías de protocolo ssiguientes de objetos de ataque:
• INFO:DNS:SIGS
• INFO:GNUTELLA:ANOM
• INFO:HTTP:SIGS
Si el dispositivo NetScreen detecta una firma o un comportamiento anómalo, interrumTCP RST al cliente para cerrar a la sesión. También habilita el registro de cualquier acomportamiento predeterminado.
WebUI
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y h
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: DNS
> Haga clic en Multiple , seleccione GNUTELLpara regresar a la página de configuración b
Action: Permit
10. Por razones de seguridad, no defina una directiva que permita a ningún host de la zona no fiable iniciar una sesión P2
Nota: Para obtener información sobre las diversas acciones de ataque que el disposiconsulte “Acciones de ataque” en la página 164. Para obtener información sobre los registro, consulte “Registro de ataques” en la página 176.
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 162
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
attack
e-clientient
mediante comandos de la interfaz CLI.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Severity: Default
Group: INFO:DNS :SIGS
Action: Close Client
Log: (seleccione)
Severity: Default
Group: INFO:GNUTELLA :ANOM
Action: Close Client
Log: (seleccione)
Severity: Default
Group: INFO:HTTP :SIGS
Action: Close Client
Log: (seleccione)
CLI
set policy id 1 from trust to untrust any any dns permitINFO:DNS:SIGS action close-client11
set policy id 1ns(policy:1)-> set service gnutellans(policy:1)-> set service httpns(policy:1)-> set attack INFO:GNUTELLA:ANOM action closns(policy:1)-> set attack INFO:HTTP:SIGS action close-clns(policy:1)-> exitsave
11. Puesto que el registro de ataques detectados se habilita de forma predeterminada, no tiene que especificar el registro
Capítulo 5 Deep Inspection Objetos de ataque y grupos
defensa 163
itivo NetScreen comprobará el ra de los objetos de ataque de taque particular si produce o como ataque. Si el problema rupo de objetos de ataque
grupo predefinido de objetos de
del sistema raíz o del sistema predefinido en el sistema raíz n objeto de ataque en un vsys
umna Configure en el objeto de
siguientes acciones:
a Configure en el objeto de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Desactivación de objetos de ataqueCuando haga referencia a un grupo de objetos de ataque en una directiva, el dispostráfico al que resulta aplicable la directiva para patrones que coincidan con cualquieese grupo. En un determinado momento, quizás no le interese utilizar un objeto de acontinuamente falsos positivos; es decir, si interpreta erróneamente el tráfico legítimproviene de un objeto de ataque personalizado, puede simplemente quitarlo de su gpersonalizado. Sin embargo, no puede quitar un objeto de ataque predefinido de un ataque. En ese caso, la mejor línea de acción es desactivar el objeto.
Observe que un objeto de ataque predefinido estará desactivado solamente dentro virtual (vsys) en el que lo desactive. Por ejemplo, desactivando un objeto de ataqueno se desactiva automáticamente en ningún sistema virtual. Asimismo, desactivar uno afecta a ese objeto en ningún otro vsys.
Para desactivar un objeto de ataque, dispone de las siguientes opciones:
WebUIObjects > Attacks > Predefined: Desactive la casilla de verificación de la colataque que desee desactivar.
CLIset attack disable attack_object_name
Para volver a activar un objeto de ataque previamente desactivado, haga una de las
WebUIObjects > Attacks > Predefined: Active la casilla de verificación en la columnataque que desee activar.
CLI
unset attack disable attack_object_name
Nota: Desactivar los objetos de ataque no mejora el rendimiento de procesamiento.
Capítulo 5 Deep Inspection Acciones de ataque
defensa 164
e para el grupo de ataques que ntinuación, desde la más grave
umpe la conexión y envía TCP tificaciones RST no es fiable,
ue al menos uno reciba el RST
te no fiable y dirigidas a un spositivo NetScreen interrumpe s mientras el cliente queda a la
o hacia un servidor no fiable. NetScreen interrumpe la s el servidor queda a la espera.
DNS. El dispositivo NetScreen
xión)
una anomalía de protocolo, rtar paquetes mal formados sin a una firma de ataque o rumpiría todos los servicios de quete problemático sin detener
re el destinatario, o la dirección de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
ACCIONES DE ATAQUECuando el dispositivo NetScreen detecta un ataque, realiza la acción que especifiqucontenga el objeto que coincide con el ataque. Las siete acciones se describen a coa la más leve:
• Close (interrumpe la conexión y envía RST al cliente y al servidor12)
Utilice esta opción para las conexiones TCP. El dispositivo NetScreen interrRST al cliente (origen) y al servidor (destino). Debido a que la entrega de noenviando un RST al cliente y al servidor se aumentan las posibilidades de qy cierre la sesión.
• Close Server (interrumpe la conexión y envía RST al servidor)
Utilice esta opción para conexiones TCP entrantes procedentes de un clienservidor protegido. Si, por ejemplo, el cliente intenta realizar un ataque, el dila conexión y envía un TCP RST sólo al servidor para que borre sus recursoespera.
• Close Client (interrumpe la conexión y envía RST al cliente)
Utilice esta opción para conexiones TCP salientes desde un cliente protegidSi, por ejemplo, el servidor envía una cadena URL maliciosa, el dispositivo conexión y envía un RST sólo al cliente para que borre sus recursos mientra
• Drop (interrumpe la conexión sin enviar RST a nadie)
Utilice esta opción para conexiones UDP u otras conexiones no TCP, comodescarta todos los paquetes en una sesión, pero no envía TCP RST.
• Drop Packet (descarta un paquete determinado pero no interrumpe la cone
Esta opción descarta el paquete en el que se detecta una firma de ataque opero no termina la sesión propiamente dicha. Utilice esta opción para descainterrumpir la sesión entera. Por ejemplo, si el dispositivo NetScreen detectanomalía de protocolo procedente de un proxy de AOL, descartar todo interAOL. En lugar de ello, al descartar únicamente el paquete, se detiene el pael flujo del resto de paquetes.
12. El cliente es siempre el iniciador de una sesión; es decir, la dirección de origen de una directiva. El servidor es siempdestino.
Capítulo 5 Deep Inspection Acciones de ataque
defensa 165
creen efectúa una entrada en
olo, efectúa una entrada en el ra ajustar los falsos positivos ction (DI). Utilice esta opción ades de protocolo no
para el tráfico no SMTP. El ar el registro con falsos
icial de configuración de la que o anomalía de protocolo, ción sobre el tráfico en sí. El esión y realiza entradas en el
e, cada grupo con una acción pertenezcan a grupos de
no de esos grupos.
ento de analizar ataques y ha
te de cualquier dirección de la DMZ.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
• Ignore (tras detectar una firma de ataque o una anomalía, el dispositivo NetSel registro y deja de comprobar el resto de la conexión, o la ignora)
Si el dispositivo NetScreen detecta una firma de ataque o anomalía de protocregistro de eventos pero no interrumpe la sesión en sí. Utilice esta opción padurante la fase inicial de configuración de su implementación de Deep Inspetambién cuando un servicio utilice un número de puerto estándar para actividestándar; por ejemplo, Yahoo Messenger utiliza el puerto 25 (puerto SMTP) dispositivo NetScreen registra la ocurrencia una vez por sesión (para no llenpositivos), pero no lleva a cabo ninguna acción.
• None (ninguna acción)
Resulta útil para la identificación inicial de tipos de ataques durante la fase inimplantación de DI. Cuando el dispositivo NetScreen detecta una firma de atarealiza una entrada en el registro de eventos pero no lleva a cabo ninguna acdispositivo NetScreen continúa comprobando el tráfico subsiguiente de esa sregistro si detecta otras firmas de ataque y anomalías.
Puede crear una directiva que haga referencia a múltiples grupos de objetos de ataqudiferente. Si el dispositivo NetScreen detecta simultáneamente múltiples ataques queobjetos de ataque diferentes, aplicará la acción más severa que haya especificado u
Ejemplo: Acciones de ataque – Close Server, Close, Close CliEn este ejemplo hay tres zonas: Trust, Untrust y DMZ. Supongamos que ha terminadllegado a la conclusión de que necesita las tres directivas siguientes:
• ID de directiva 1: Permitir tráfico HTTP, HTTPS, PING y FTP-GET procedenzona Untrust y dirigido a los servidores web (websrv1 y websrv2) de la zona
Ajuste de ataque para la directiva con ID 1:– CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS
– HIGH:HTTP:ANOM, HIGH:HTTP:SIGS
– MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS
– CRITICAL:FTP:SIGS
– Acción para todos los grupos de objetos de ataque: Close Server
– Logging: Enabled (ajuste predeterminado)
Capítulo 5 Deep Inspection Acciones de ataque
defensa 166
e a los servidores web sted prevé recibir ataques de la
de cualquier dirección de la MZ.
clientes como a los servidores rsos sin importar el nivel de
cualquier dirección de la zona
clientes protegidos para que e prevé un ataque procedente
tScreen activa Deep Inspection de enrutamiento trust-vr.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Decide interrumpir la conexión y enviar una notificación TCP RST solamentprotegidos para que puedan terminar sus sesiones y borrar sus recursos. Uzona Untrust.
• Directiva con ID 2: Permitir tráfico HTTP, HTTPS, PING y FTP procedentezona Trust y dirigido a los servidores web (websrv1 y websrv2) de la zona D
Ajuste de ataque para la directiva con ID 2:– CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS– HIGH:HTTP:ANOM, HIGH:HTTP:SIGS– MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS– CRITICAL:FTP:SIGS– Acción para todos los grupos de objetos de ataque: Close– Registro: Activado (ajuste predeterminado)
Decide interrumpir la conexión y enviar una notificación TCP RST tanto a losprotegidos para que ambos puedan terminar sus sesiones y borrar sus recugravedad del ataque.
• Directiva con ID 3: Permitir el tráfico FTP-GET, HTTP, HTTPS, PING desdeTrust a cualquier dirección de la zona Untrust.
Ajuste de ataque para la directiva con ID 3:– CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS– HIGH:HTTP:ANOM, HIGH:HTTP:SIGS– MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS– CRITICAL:FTP:SIGS– Acción para todos los grupos de objetos de ataque: Close Client– Logging: Enabled (ajuste predeterminado)
Optará por interrumpir la conexión y enviar una notificación TCP RST a los ambos puedan terminar sus sesiones y borrar sus recursos. En este caso, sde un servidor HTTP o FTP no fiable.
Aunque las directivas permiten HTTP, HTTPS, Ping, FTP-Get o FTP, el dispositivo Nesolamente para el tráfico HTTP y FTP. Todas las zonas se encuentran en el dominio
Capítulo 5 Deep Inspection Acciones de ataque
defensa 167
s y haga clic en Apply :
e)
OK :
websrv11.2.2.5/24
websrv21.2.2.6/24
Zona DMZ
DI (Trust -> DMZ)HTTP:Crit, High, Med;FTP:Crit;Action:Close
DI (Untrust -> DMZ)HTTP:Crit, High, Med;FTP:CritAction:Close-server
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
WebUI1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Service Options:
Management Services: (seleccione todos)
Other services: Ping
ethernet21.2.2.1/24
ethernet31.1.1.1/24
ethernet110.1.1.1/24
Zona Trust
Zona Untrust
DI (Trust -> Untrust)HTTP:Crit, High, Med;FTP:Crit;Action:Close-client
Capítulo 5 Deep Inspection Acciones de ataque
defensa 168
s y haga clic en OK :
e)
s y haga clic en OK :
e)
lic en OK :
lic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone Name: DMZ
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.2.2.1/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: websrv1
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: DMZ
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: websrv2
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.6/32
Zone: DMZ
3. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Capítulo 5 Deep Inspection Acciones de ataque
defensa 169
haga clic en OK :
y haga clic en OK para a de directivas.
, HTTPS , PING y haga clic en ción básica de directivas.
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
4. ID de directiva 1Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), websrv1
> Haga clic en Multiple , seleccione websrv2regresar a la página de configuración básic
Service: HTTP
> Haga clic en Multiple , seleccione FTP-GET OK para regresar a la página de configura
Action: Permit
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Group: CRITICAL:HTTP :ANOM
Action: Close Server
Log: (seleccione)
Group: CRITICAL:HTTP :SIGS
Action: Close Server
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close Server
Log: (seleccione)
Capítulo 5 Deep Inspection Acciones de ataque
defensa 170
ga clic en OK :
y haga clic en OK para a de directivas.
, HTTPS , PING y haga clic en ción básica de directivas.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Group: HIGH:HTTP:SIGS
Action: Close Server
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Action: Close Server
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close Server
Log: (seleccione)
Group: CRITICAL:FTP :SIGS
Action: Close Server
Log: (seleccione)
5. ID de directiva 2Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), websrv1
> Haga clic en Multiple , seleccione websrv2regresar a la página de configuración básic
Service: HTTP
> Haga clic en Multiple , seleccione FTP-GET OK para regresar a la página de configura
Action: Permit
Capítulo 5 Deep Inspection Acciones de ataque
defensa 171
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Group: CRITICAL:HTTP :ANOM
Action: Close
Log: (seleccione)
Group: CRITICAL:HTTP :SIGS
Action: Close
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close
Log: (seleccione)
Group: HIGH:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Action: Close
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: CRITICAL:FTP :SIGS
Action: Close
Log: (seleccione)
Capítulo 5 Deep Inspection Acciones de ataque
defensa 172
haga clic en OK :
, HTTPS , PING y haga clic en ción básica de directivas.
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
6. ID de directiva 3Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
> Haga clic en Multiple , seleccione FTP-GET OK para regresar a la página de configura
Action: Permit
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Group: CRITICAL:HTTP :ANOM
Action: Close Client
Log: (seleccione)
Group: CRITICAL:HTTP :SIGS
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP :ANOM
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP :SIGS
Action: Close Client
Log: (seleccione)
Capítulo 5 Deep Inspection Acciones de ataque
defensa 173
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques yGroup: MEDIUM:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: CRITICAL:FTP :SIGS
Action: Close Client
Log: (seleccione)
Capítulo 5 Deep Inspection Acciones de ataque
defensa 174
gateway 1.1.1.250
mit attack
e-serverrverrverserverserver-server
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 manageset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet2 zone dmzset interface ethernet2 ip 2.1.1.1/24
2. Direccionesset address dmz websrv1 1.2.2.5/32set address dmz websrv2 1.2.2.6/32
3. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
4. ID de directiva 1set policy id 1 from untrust to dmz any websrv1 http per
CRITICAL:HTTP:ANOM action close-serverset policy id 1ns(policy:1)-> set dst-address websrv2ns(policy:1)-> set service ftp-getns(policy:1)-> set service httpsns(policy:1)-> set service pingns(policy:1)-> set attack CRITICAL:HTTP:SIGS action closns(policy:1)-> set attack HIGH:HTTP:ANOM action close-sens(policy:1)-> set attack HIGH:HTTP:SIGS action close-sens(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-ns(policy:1)-> set attack CRITICAL:FTP:SIGS action closens(policy:1)-> exit
Capítulo 5 Deep Inspection Acciones de ataque
defensa 175
t attack
e
t attack
e-clientientientclientclient-client
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
5. ID de directiva 2set policy id 2 from trust to dmz any websrv1 http permi
CRITICAL:HTTP:ANOM action closeset policy id 2ns(policy:2)-> set dst-address websrv2ns(policy:2)-> set service ftpns(policy:2)-> set service httpsns(policy:2)-> set service pingns(policy:2)-> set attack CRITICAL:HTTP:SIGS action closns(policy:2)-> set attack HIGH:HTTP:ANOM action closens(policy:2)-> set attack HIGH:HTTP:SIGS action closens(policy:2)-> set attack MEDIUM:HTTP:ANOM action closens(policy:2)-> set attack MEDIUM:HTTP:SIGS action closens(policy:2)-> set attack CRITICAL:FTP:SIGS action closens(policy:2)-> exit
6. ID de directiva 3set policy id 3 from trust to untrust any any http permi
CRITICAL:HTTP:ANOM action close-clientset policy id 3ns(policy:3)-> set service ftp-getns(policy:3)-> set service httpsns(policy:3)-> set service pingns(policy:3)-> set attack CRITICAL:HTTP:SIGS action closns(policy:3)-> set attack HIGH:HTTP:ANOM action close-clns(policy:3)-> set attack HIGH:HTTP:SIGS action close-clns(policy:3)-> set attack MEDIUM:HTTP:ANOM action close-ns(policy:3)-> set attack MEDIUM:HTTP:SIGS action close-ns(policy:3)-> set attack CRITICAL:FTP:SIGS action closens(policy:3)-> exitsave
Capítulo 5 Deep Inspection Registro de ataques
defensa 176
a. Es decir, dentro de la misma stro de los ataques detectados
registro de los ataques que odos, desactivando el registro
no tiene pensado mirar.
irectiva y habilita el registro
vidor de correo llamado “mail1” s anteriores coincide con un s entradas de registro para los s.
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
REGISTRO DE ATAQUESPuede habilitar el registro de ataques detectados por grupo de ataque y por directivdirectiva, puede aplicar múltiples grupos de ataque y habilitar selectivamente el regisólo para algunos de ellos.
De forma predeterminada, el registro está activado. Puede que desee desactivar el tengan menos prioridad para usted y a los que no presta mucha atención. De todos mde esos ataques, ayuda a evitar que el registro de eventos se llene de entradas que
Ejemplo: Desactivar el registro por grupo de ataquesEn este ejemplo, hace referencia a los cinco grupos siguientes de ataques en una dsolamente para los dos primeros:
• HIGH:IMAP:ANOM
• HIGH:IMAP:SIGS
• MEDIUM:IMAP:ANOM
• LOW:IMAP:ANOM
• INFO:IMAP:ANOM
La directiva se aplica al tráfico IMAP desde todos los hosts de la zona fiable a un seren el DMZ. Si alguno de los objetos de ataque IMAP predefinidos de los cinco grupoataque, el dispositivo NetScreen cierra la conexión. Sin embargo, crea solamente laataques detectados que coincidan con objetos de ataque en los primeros dos grupo
WebUI
1. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: mail1
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.10/32
Zone: DMZ
Capítulo 5 Deep Inspection Registro de ataques
defensa 177
ga clic en OK :
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
2. DirectivaPolicies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail1
Service: IMAP
Action: Permit
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Group: HIGH:IMAP:ANOM
Action: Close
Log: (seleccione)
Group: HIGH:IMAP:SIGS
Action: Close
Log: (seleccione)
Group: MEDIUM:IMAP:ANOM
Action: Close
Log: (anule la selección)
Group: LOW:IMAP:ANOM
Action: Close
Log: (anule la selección)
Group: INFO:IMAP:ANOM
Action: Close
Log: (anule la selección)
Capítulo 5 Deep Inspection Registro de ataques
defensa 178
rmit attack
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
1. Direcciónset address dmz mail1 1.2.2.10/32
2. Directivans-> set policy id 1 from trust to dmz any mail1 imap pe
HIGH:IMAP:ANOM action closens-> set policy id 1ns(policy:1)-> set attack HIGH:IMAP:SIGS action closens(policy:1)-> set attack MEDIUM:IMAP:ANOM action closens(policy:1)-> unset attack MEDIUM:IMAP:ANOM loggingns(policy:1)-> set attack LOW:IMAP:ANOM action closens(policy:1)-> unset attack LOW:IMAP:ANOM loggingns(policy:1)-> set attack INFO:IMAP:ANOM action closens(policy:1)-> unset attack INFO:IMAP:ANOM loggingns(policy:1)-> exitns-> save
Capítulo 5 Deep Inspection Asignación de servicios personalizados a aplicaciones
defensa 179
ep Inspection (DI), deberá a que el módulo DI pueda a que se ejecute en un número lizado en una directiva de la
-port 2121-2121m-ftp permit
al servicio personalizado, el rto no estándar.
m-ftp permit attack
FTP se está ejecutando en el ón (“Application Layer”) a un iación se puede realizar a nivel
t
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
ASIGNACIÓN DE SERVICIOS PERSONALIZADOS A APLICACIONESCuando utilice un servicio personalizado en una directiva con un componente de Deespecificar explícitamente qué aplicación se está ejecutando sobre ese servicio parfuncionar correctamente. Por ejemplo, si crea un servicio personalizado de FTP parde puerto no estándar como el 2121, puede hacer referencia a ese servicio personasiguiente forma:
set service ftp-custom protocol tcp src-port 0-65535 dstset policy id 1 from untrust to trust any ftp-srv1 custo
Sin embargo, si incluye un componente de DI en una directiva que haga referencia módulo de DI no podrá reconocer la aplicación, porque se utiliza un número de pue
set policy id 1 from untrust to trust any ftp-srv1 custoCRITICAL:FTP:SIGS action close-server
Para evitar este problema, es necesario informar al módulo DI de que la aplicación puerto 2121. Esencialmente, consiste en asignar el protocolo de la capa de aplicacinúmero de puerto específico en la capa de transporte (“Transport Layer”). Esta asocde directivas:
set policy id 1 application ftp
custom-ftp (puerto 2121)
FTP (puerto 21) ftp-srv1
Zona TrusZona Untrust
Internet
Sin embargo, el módulo DI comprueba si hay ataques CRITICAL:FTP en el puerto 21, que no está siendo utilizado.
El cortafuegos de NetScreen permite tráfico custom-ftp en el puerto 2121.
Capítulo 5 Deep Inspection Asignación de servicios personalizados a aplicaciones
defensa 180
igura DI para que examine el ITICAL:FTP:SIGS en una l puerto 2121.
m-ftp permit attack
puerto de destino 8080. a el tráfico HTTP1 desde a DMZ. A continuación aplica
ajustes del Deep Inspection
ftp-srv1
ona Trust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Cuando se asigna la aplicación FTP al servicio personalizado “custom-ftp” y se conftráfico FTP en busca de los ataques definidos en el grupo de objetos de ataque CRdirectiva que haga referencia a “custom-ftp”, el módulo DI realiza su inspección en e
set policy id 1 from untrust to trust any ftp-srv1 custoCRITICAL:FTP:SIGS action close-server
set policy id 1 application ftp
Ejemplo: Asignar una aplicación a un servicio personalizadoEn este ejemplo definirá un servicio personalizado llamado “HTTP1” que utilizará elAsignará la aplicación HTTP al servicio personalizado para una directiva que permitcualquier dirección de la zona Untrust a un servidor web llamado “server1” en la zonDeep Inspection al tráfico de HTTP permitido que se ejecuta en el puerto 8080. Lospara esta directiva son los siguientes:
• Grupos de objetos de ataque:
– CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS
– HIGH:HTTP:ANOM, HIGH:HTTP:SIGS
– MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS
• Acción para todos los grupos de objetos de ataque: Close Server
• Logging: Enabled (ajuste predeterminado)
custom-ftp (puerto 2121)
ZZona Untrust
Internet
El cortafuegos de NetScreen permite tráfico custom-ftp en el puerto 2121.
El módulo DI comprueba si hay ataques CRITICAL:FTP:SIGS en el puerto 2121.
Capítulo 5 Deep Inspection Asignación de servicios personalizados a aplicaciones
defensa 181
clic en OK :
lic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
WebUI
1. Servicio personalizadoObjects > Services > Custom > New: Introduzca los siguientes datos y haga
Service Name: HTTP1
Transport Protocol: TCP (seleccione)
Source Port Low: 0
Source Port High: 65535
Destination Port Low: 8080
Destination Port High: 8080
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: server1
IP Address/Domain Name:
IP/Netmask: 1.2.2.5/32
Zone: DMZ
3. DirectivaPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), server1
Service: HTTP1
Application: HTTP
Action: Permit
Capítulo 5 Deep Inspection Asignación de servicios personalizados a aplicaciones
defensa 182
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Group: CRITICAL:HTTP :ANOM
Action: Close Server
Log: (seleccione)
Group: CRITICAL:HTTP :SIGS
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Capítulo 5 Deep Inspection Asignación de servicios personalizados a aplicaciones
defensa 183
8080-8080
P1 permit attack
e-serverrverrverserverserver
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
1. Servicio personalizadoset service HTTP1 protocol tcp src-port 0-65535 dst-port
2. Direcciónset address dmz server1 1.2.2.5/32
3. Directivans-> set policy id 1 from untrust to dmz any server1 HTT
CRITICAL:HTTP:ANOM action close-serverns-> set policy id 1ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action closns(policy:1)-> set attack HIGH:HTTP:ANOM action close-sens(policy:1)-> set attack HIGH:HTTP:SIGS action close-sens(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-ns(policy:1)-> exitns-> set policy id 1 application httpsave
Capítulo 5 Deep Inspection Asignación de servicios personalizados a aplicaciones
defensa 184
e HTTP redactar este documento, hay
MEDIUM:HTTP:SIGS)
CRITICAL:HTTP:SIGS)
TP el tráfico TCP en el puerto , no lo reconocerá como HTTP. no podrá detectarlos si se sando el puerto 8000.
para detectar los ataques
clic en OK :
puerto no estándar en su red y o estándar al servicio.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Asignación de aplicación a servicio para ataques dAlgunos ataques de HTTP conocidos utilizan el puerto 8000 TCP. En el momento dedos ataques en la base de datos de objetos de ataque de Deep Inspection (DI):
• 3656, App: HP Web JetAdmin Framework Infoleak
DOS:NETDEV:WEBJET-FW-INFOLEAK (en el grupo de objetos de ataque
• 3638, App: HP Web JetAdmin WriteToFile Vulnerability,
DOS:NETDEV:WEBJET-WRITETOFILE (en el grupo de objetos de ataque
Sin embargo, de forma predeterminada, ScreenOS solamente considera que es HT80. Por lo tanto, si el dispositivo NetScreen recibe tráfico TCP usando el puerto 8000Por lo tanto, el motor DI no explorará ese tráfico HTTP para buscar estos ataques yproducen, a menos que asigne HTTP como aplicación a un servicio personalizado u
En este ejemplo, asociará el tráfico usando el puerto no estándar de 8000 con HTTPanteriores.
WebUI
1. Servicio personalizadoObjects > Services > Custom > New: Introduzca los siguientes datos y haga
Service Name: HTTP2
Transport Protocol: TCP (seleccione)
Source Port Low: 0
Source Port High: 65535
Destination Port Low: 8000
Destination Port High: 8000
Nota: Generalmente, si está ejecutando algunos servicios usando los números de desea que el motor de DI explore ese tráfico, deberá asociar el número de puerto n
Capítulo 5 Deep Inspection Asignación de servicios personalizados a aplicaciones
defensa 185
haga clic en OK :
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
2. DirectivaPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP2
Application: HTTP
Action: Permit
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Group: CRITICAL:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close
Log: (seleccione)
Capítulo 5 Deep Inspection Asignación de servicios personalizados a aplicaciones
defensa 186
8000-8000
ermit attack
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
1. Servicio personalizadoset service HTTP2 protocol tcp src-port 0-65535 dst-port
2. Directivans-> set policy id 1 from untrust to dmz any any HTTP2 p
CRITICAL:HTTP:SIGS action closens-> set policy id 1ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action closens(policy:1)-> exitns-> set policy id 1 application httpsave
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 187
r la aplicación Deep Inspection efinidos por el usuario pueden . Puede ajustar también varios los.
suariora crear un objeto de ataque,
os por el usuario deben
una lista completa de todos los ice A, “Contextos para firmas
188, examina las expresiones
sobre niveles de gravedad,
po de objetos de ataque
jetos de ataque definidos por el ataque predefinidos y definidos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
OBJETOS DE ATAQUE Y GRUPOS PERSONALIZADOSUsted puede definir nuevos objetos de ataque y grupos de objetos para personaliza(DI) con el fin de resolver lo mejor posible sus necesidades. Los objetos de ataque dser firmas completas o -en el dispositivo NetScreen-5000- firmas de secuencias TCPparámetros para modificar objetos de ataques predefinidos de anomalías de protoco
Objetos de ataque de firma completa definidos por el uSe puede crear un objeto de ataque de firma completa para FTP, HTTP y SMTP. Parealice los pasos siguientes:
• Asigne un nombre el objeto de ataque. (Todos los objetos de ataque definidcomenzar con “CS:”).
• Establezca el contexto para la búsqueda de Deep Inspection. (Para obtenercontextos que puede utilizar al crear objetos de ataques, consulte el Apénddefinidas por el usuario”).
• Defina la firma. (La sección siguiente, “Expresiones regulares” en la páginaregulares que puede utilizar al definir las firmas).
• Asigne un nivel de gravedad al objeto de ataque. (Para obtener informaciónconsulte “Cambio de los niveles de gravedad” en la página 159).
A continuación deberá colocar un objeto de ataque definido por el usuario en un grudefinido por el usuario para su utilización en directivas.
Nota: Un grupo de objetos de ataque definido por el usuario sólo puede contener obusuario. En el mismo grupo de objetos de ataque no se pueden mezclar objetos de por el usuario.
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 188
racteres normales para buscar para ampliar las posibles guientes expresiones regulares:
do
exactamente con este número 2”.
s coincidencias exactas con estos eros hexadecimales: 00”.
s caracteres contenidos en “cat” ar si están en letras mayúsculas o s.
-cualquier carácter-t”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Expresiones regularesPara introducir el texto de una firma, puede escribir una cadena alfanumérica de cacoincidencias exactas carácter por carácter, o puede utilizar expresiones regulares coincidencias de la búsqueda a conjuntos de caracteres. ScreenOS reconoce las si
Finalidad Metacaracteres Ejemplo Significa
Coincidencia binaria directa (octal)*
\O octal_number \0162
Coincide con:162
Coincidir octal: “16
Coincidencia binaria directa (hexadecimal)†
\X hexadecimal_number \X \X01 A5 00 00\X
Coincide con:01 A5 00 00
Buscar lacinco núm“01 A5 00
Coincidencias sin distinguir mayúsculas de minúsculas
\[ characters \] \[cat\]
Coincide con:Cat, cAt, caTCAt, CaT, CATcat, cAt
Buscar losin importminúscula
Coincidencia con cualquier carácter
. c . t
Coincide con:cat, cbt, cct, … cztcAt, cBt, cCt, … cZtc1t, c2t, c3t, … c9t
Buscar “c
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 189
1 o más ocurrencias de “a”, por 1 o más ocurrencias de “b” y por una ocurrencia de “c”.
o más ocurrencias de “a”, por 1 o más ocurrencias de “b” y currencia de “c”.
rop-packet” o “droppacket”.
rop” o “packet”.
do
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Buscar el carácter anterior 0 o más veces, en lugar de sólo una vez seguida.
* a*b+c
Coincide con:bcbbcabcaaabbbbc
Buscar 0,seguidas seguidas
Buscar 1 o más ocurrencias del carácter anterior.
+ a+b+c
Coincide con:abcaabcaaabbbbc
Buscar 1 seguidas por una o
Busca el carácter anterior 0 veces o 1 vez.
? drop-?packet
Coincide con:drop-packetdroppacket
Buscar “d
Expresiones de grupos ( )
El carácter anterior o el siguiente. Se suele utilizar con ( )
| (drop | packet)
Coincide con:droppacket
Buscar “d
Finalidad Metacaracteres Ejemplo Significa
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 190
do lo que comience con “c”, “d”, enga la letra central “a” y la última “t”.
tras minúsculas.
e representan dígitos hexadecimales
do
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Rango de caracteres [ start - end ] [ c - f ] a (d | t)
Coincide con:cad, catdad, datead, eatfad, fat
Buscar to“e” o “f”, tletra “d” o
Negación del carácter siguiente.
[^characters ] [ ̂ 0 - 9A-Z ]
Coincide con:a, b, c, d, e, … z
Buscar le
* Octal es el sistema numérico en base 8 que utiliza solamente los dígitos 0-7.† Hexadecimal es un sistema numérico en base 16 que utiliza los dígitos 0–9 habituales más las letras A–F, qu
equivalentes a los valores decimales 10–15.
Finalidad Metacaracteres Ejemplo Significa
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 191
r el usuario la zona DMZ. Definirá los
rio llamado “DMZ DI”, al que ores en la zona DMZ.
clic en OK :
clic en OK :
vidor FTP.
nicio de sesión “dmartin”.
n cualquier petición HTTP.
r cuenta del dominio
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Objetos de ataque de firma completa definidos poEn este ejemplo tendrá un servidor FTP, un servidor web y un servidor de correo ensiguientes objetos de ataque para los usos siguientes:
A continuación los organizará en un grupo de objetos de ataque definido por el usuahará referencia en una directiva que permita el tráfico de la zona Untrust a los servid
WebUI1. Objeto de ataque 1: ftp-stor
Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga
Attack Name: cs:ftp-stor
Attack Context: FTP Command
Attack Severity: Medium
Attack Pattern: STOR
2. Objeto de ataque 2: ftp-user-dmObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga
Attack Name: cs:ftp-user-dm
Attack Context: FTP User Name
Attack Severity: Low
Attack Pattern: dmartin
Nombre del objeto de ataque
Puede utilizarlo para
cs:ftp-stor impedir que alguien pueda colocar archivos en su ser
cs:ftp-user-dm denegar el acceso FTP al usuario con el nombre de i
cs:url-index bloquear los paquetes HTTP con una URL definida e
cs:spammer bloquear el correo electrónico procedente de cualquie“spam.com”.
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 192
clic en OK :
clic en OK :
de grupo, mueva los siguientes
ara mover la dirección de la “Selected Members”.
<< para mover la dirección de na “Selected Members”.
para mover la dirección de la “Selected Members”.
para mover la dirección de la “Selected Members”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
3. Objeto de ataque 3: url-indexObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga
Attack Name: cs:url-index
Attack Context: HTTP URL Parsed
Attack Severity: High
Attack Pattern: .*index.html.*
4. Objeto de ataque 4: spammerObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga
Attack Name: cs:spammer
Attack Context: SMTP From
Attack Severity: Info
Attack Pattern: .*@spam.com
5. Grupo de objetos de ataqueObjects > Attacks > Custom Groups > New: Introduzca el siguiente nombre objetos de ataque personalizados y haga clic en OK :
Group Name: CS:DMZ DI
Seleccione cs:ftp-stor y utilice el botón << pcolumna “Available Members” a la columna
Seleccione cs:ftp-user-dm y utilice el botón la columna “Available Members” a la colum
Seleccione cs:url-index y utilice el botón <<columna “Available Members” a la columna
Seleccione cs:spammer y utilice el botón <<columna “Available Members” a la columna
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 193
haga clic en OK :
ga clic en OK para regresar a ivas.
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
6. DirectivaPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
> Haga clic en Multiple , seleccione FTP y hala página de configuración básica de direct
Action: Permit
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Group: CS:DMZ DI
Action: Close Server
Log: (seleccione)
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 194
low
ity high
o
attack “CS:DMZ DI”
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
1. Objeto de ataque 1: ftp-storset attack cs:ftp-stor ftp-command STOR severity medium
2. Objeto de ataque 2: ftp-user-dmset attack cs:ftp-user-dm ftp-username dmartin severity
3. Objeto de ataque 3: url-indexset attack cs:url-index http-url-parsed index.html sever
4. Objeto de ataque 4: spammerset attack cs:spammer smtp-from .*@spam.com severity inf
5. Grupo de objetos de ataqueset attack group “CS:DMZ DI”set attack group “CS:DMZ DI” add cs:ftp-storset attack group “CS:DMZ DI” add cs:ftp-user-dmset attack group “CS:DMZ DI” add cs:url-indexset attack group “CS:DMZ DI” add cs:spammer
6. Directivaset policy id 1 from untrust to dmz any any http permit
action close-serverset policy id 1ns(policy:1)-> set service ftpns(policy:1)-> exitsave
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 195
un nombre de usuario de FTP ones en cualquier lugar y en
ecesario definirlos. Al crear un
usuario deben comenzar con
NetScreen-5000.
dad
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Objetos de ataque de la firma de la secuencia TCPLas firmas completas dependen de los contextos de aplicaciones específicas, comoo un campo de encabezado de SMTP. Las firmas de la secuencia TCP buscan patrcualquier tipo de tráfico TCP sin importar el protocolo de aplicación utilizado.
Dado que no hay objetos de ataque de firma de la secuencia TCP predefinidos, es nobjeto de ataque de firma, defina los siguientes componentes:
• Nombre del objeto de ataque (Todos los objetos de ataque definidos por el “CS:”)
• Tipo de objeto (secuencia o “stream”)
• Definición de patrón
• Nivel de gravedad
Nota: Las firmas de secuencias TCP sólo se pueden definir en sistemas de la serie
Tipo Definición Nivel de grave
Ejemplo de un objeto de ataque de firma de secuencia TCP
Nombre
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 196
por el usuariobre como “CS:A1” y su nivel de te a grupos de objetos de te, definirá una directiva que
ión y enviar TCP RST al cliente
clic en OK :
y haga clic en OK :
embers” y haga clic en << ers”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Objeto de ataque de firma de secuencia definido En este ejemplo definirá el objeto de firma de secuencia “.*satori.*”. Definirá su nomgravedad como crítico. Debido a que una directiva puede hacer referencia solamenataque, creará un grupo llamado “CS:Gr1” y luego le agregará este objeto. Finalmenhaga referencia a CS:Gr1 y que ordene al dispositivo NetScreen interrumpir la conexsi el patrón aparece en algún tráfico al que sea aplicable la directiva.
WebUI
1. Objeto de ataque de firma de secuencia
Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga
Attack Name: CS:A1
Attack Context: Stream
Attack Severity: Critical
Attack Pattern: .*satori.*
2. Grupo de objetos de ataque de firma de secuencia
Objects > Attacks > Custom Groups > New: Introduzca los siguientes datos
Group Name: CS:Gr1
Seleccione CS:A1 en la columna “Available Mpara moverlo a la columna “Selected Memb
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 197
haga clic en OK :
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
ck CS:Gr1 action
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
3. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Group: CS:Gr1
Action: Close Client
Log: (seleccione)
CLI
1. Objeto de ataque de firma de secuenciaset attack “CS:A1” stream “.*satori.*” severity critical
2. Grupo de ataques de firma de secuenciaset attack group “CS:Gr1”set attack group “CS:Gr1” add “CS:A1”
3. Directivaset policy from trust to untrust any any any permit atta
close-clientsave
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 198
lo. Aunque Juniper define ándares de protocolo definidos len estos estándares. Si otocolo está produciendo jor al uso aceptado de ese
ucir el número de positivos
ortamiento anómalo que el
lte el comando di en el
ado Nuevo8 errores
10 saltos
ado Nuevo5.000 bytes
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Parámetros configurables de anomalías de protocolosPuede modificar ciertos parámetros de un objeto de ataque de anomalía de protocoobjetos de ataque de anomalía de protocolo para buscar las desviaciones de los esten las extensiones de RFCs y RFC comunes, no todas las implementaciones cumpencuentra que la aplicación de un determinado objeto de ataque de anomalía de prnumerosos positivos falsos, puede modificar sus parámetros para que se ajuste meprotocolo en su red.
Ejemplo: Modificación de parámetrosEn este ejemplo, establece valores más altos en los parámetros siguientes para redfalsos que se produjeron con los ajustes predeterminados:
Para los parámetros siguientes, establezca valores más bajos para detectar el compdispositivo NetScreen no detectó con los ajustes predeterminados:
Nota: Para obtener una lista completa de todos los parámetros configurables, consuNetScreen CLI Reference Guide.
Parámetro de protocolo PredeterminSMB – Número máximo de errores de inicio de sesión por minuto 4 errores
Gnutella – Número máximo de saltos “time-to-live” (TTL) 8 saltos
Parámetro de protocolo PredeterminAOL Instant Messenger (AIM) – Longitud máxima del nombre de archivo OFT (transferencia de archivos OSCAR)OSCAR = Sistema abierto para la comunicación en tiempo real, el protocolo que utilizan los clientes AIM.
10.000 bytes
Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados
defensa 199
5.000 bytes
tocolo.
ado Nuevo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
WebUI
CLI
set di service smb failed_logins 8set di service gnutella max_ttl_hops 10set di service aim max_flap_length 5000set di service aim max_oft_frame 5000save
AOL Instant Messenger – Longitud máxima de un marco FLAP (encabezado FLAP, que es siempre 6 bytes, más datos)OSCAR usa el protocolo FLAP para establecer conexiones y abrir canales entre los clientes AIM.
10.000 bytes
Nota: Debe utilizar el CLI para modificar los parámetros de anomalía de pro
Parámetro de protocolo Predetermin
Capítulo 5 Deep Inspection Negación
defensa 200
os de una actividad malévola o e una actividad benigna o ide con un patrón determinado. ión.
os de inicio de sesión con ícil definir todos los nombres de ión aplicar la negación para objeto de ataque especificado.
usuario correcto requerido para a la negación a ambos objetos
de sesión en ese servidor que objetos de ataque.
ftp1 .
osts en las zonas Untrust y
trust-vr.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
NEGACIÓNNormalmente, se utilizan objetos de ataque para buscar patrones que sean indicativanómala. Sin embargo, también puede utilizarlos para buscar patrones indicativos dlegítima. Con este método, solamente es sospechoso el tipo de tráfico que no coincPara utilizar objetos de ataques de esta manera, ha de aplicar el concepto de negac
Una aplicación útil de la negación del objeto de ataque sería bloquear todos los intentexcepción de los que tengan el nombre de usuario y la contraseña correctos. Sería difusuario y contraseñas no válidos, pero es muy fácil definir los correctos y a continuacinvertir lo que el dispositivo NetScreen considere un ataque; es decir, todo excepto el
Ejemplo: Negación del objeto de ataqueEn este ejemplo definiremos dos objetos de ataque: uno que especifique el nombre deiniciar una sesión en un servidor FTP y otro con la contraseña correcta. Luego le aplicde ataques, de modo que el dispositivo NetScreen bloquee cualquier intento de inicioutilice cualquier otro nombre de usuario o contraseña diferentes a las definidas en los
El ejemplo utiliza los ajustes siguientes:
• El nombre de usuario y la contraseña correctos son admin1 y pass1 .
• El servidor FTP está en 1.2.2.5 en la zona DMZ. Su nombre de dirección es
• Aplica el Deep Inspection en el tráfico de FTP al servidor desde todos los hTrust.
• Todas las zonas de seguridad se encuentran en el dominio de enrutamiento
Crerá los dos objetos de ataques siguientes:
Objeto de ataque 1:
– Name: CS:FTP1_USR_OK
– Negation: enabled
– Context: ftp-username
– Pattern: admin1
– Severity: high
Capítulo 5 Deep Inspection Negación
defensa 201
:FTP1_LOGIN y hará o FTP desde las zonas Trust y
Zservidor
FTP“ftp1”
1.2.2.5
esión:admin1
esión:admin1
N
yor claridad, no se muestra el rno de la zona Untrust. Su 1.1.250.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Objeto de ataque 2:
– Name: CS:FTP1_PASS_OK
– Negation: enabled
– Context: ftp-password
– Pattern: pass1
– Severity: high
A continuación pondrá ambos objetos en un grupo de objetos de ataque llamado CSreferencia a ese grupo de objetos de ataque en dos directivas que permiten el tráficUntrust a ftp1 en la zona DMZ.
Untrust
Internet
Trust
DM
ethernet110.1.1.1/24
ethernet31.1.1.1/24
ethernet21.2.2.1/24
Intento de inicio de sNombre de usuario: Contraseña: pass1
Intento de inicio de sNombre de usuario: Contraseña: pass1
Intento de inicio de sesión:Nombre de usuario: anonContraseña: logos
Intento de inicio de sesión:Nombre de usuario: 123456Contraseña: 123456
LA
LAN
Nota: Para maenrutador extedirección es 1.
Capítulo 5 Deep Inspection Negación
defensa 202
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
s y haga clic en OK :
e)
pción ya está habilitada para las
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT (seleccione)13
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone Name: DMZ
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
13. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará en modo NAT. Por lo tanto, esta ointerfaces asociadas a la zona Trust.
Capítulo 5 Deep Inspection Negación
defensa 203
lic en OK :
clic en OK :
clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: ftp1
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: DMZ
3. Objeto de ataque 1: CS:FTP1_USR_OKObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga
Attack Name: CS:FTP1_USR_OK
Attack Context: ftp-username
Attack Severity: High
Attack Pattern: admin1
Pattern Negation: (seleccione)
4. Objeto de ataque 2: CS:FTP1_PASS_OKObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga
Attack Name: CS:FTP1_PASS_OK
Attack Context: ftp-password
Attack Severity: High
Attack Pattern: pass1
Pattern Negation: (seleccione)
Capítulo 5 Deep Inspection Negación
defensa 204
de grupo, mueva los siguientes
tón << para mover la dirección umna “Selected Members”.
otón << para mover la bers” a la columna “Selected
es datos y haga clic en OK :
0
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
5. Grupo de objetos de ataqueObjects > Attacks > Custom Groups > New: Introduzca el siguiente nombre objetos de ataque personalizados y haga clic en OK :
Group Name: CS:FTP1_LOGIN
Seleccione CS:FTP1_USR_OK y utilice el bode la columna “Available Members” a la col
Seleccione CS:FTP1_PASS_OK y utilice el bdirección desde la columna “Available MemMembers”.
6. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: (seleccione) 1.1.1.25
7. DirectivasPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), ftp1
Service: FTP
Action: Permit
Capítulo 5 Deep Inspection Negación
defensa 205
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
ga clic en OK :
lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Group: CS:FTP1_LOGIN
Action: Drop
Log: (seleccione)
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), ftp1
Service: FTP
Action: Permit
> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con
Group: CS:FTP1_LOGIN
Action: Drop
Log: (seleccione)
Capítulo 5 Deep Inspection Negación
defensa 206
ty highty high
gateway 1.1.1.250
k CS:FTP1_LOGIN action
CS:FTP1_LOGIN action
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direcciónset address dmz ftp1 1.2.2.5/32
3. Objetos de ataqueset attack CS:FTP1_USR_OK ftp-username not admin1 severiset attack CS:FTP1_PASS_OK ftp-password not pass1 severiset attack group CS:FTP1_LOGINset attack group CS:FTP1_LOGIN add CS:FTP1_USR_OKset attack group CS:FTP1_LOGIN add CS:FTP1_PASS_OK
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivasset policy from untrust to dmz any ftp1 ftp permit attac
drop set policy from trust to dmz any ftp1 ftp permit attack
dropsave
Capítulo 5 Deep Inspection Bloqueo granular de los componentes de HTTP
defensa 207
lets de Java, archivos .zip y n a la seguridad de una red es lar una aplicación en los hosts
seguridad, el dispositivo sa zona. Comprueba si el tipo de destino se encuentra en la reen está configurado para uete. Si el tipo de contenido
ivo NetScreen examina el tipo creen está configurado para
bloquea todos los paquetes s ActiveX, applets de Java,
b dinámicas e interactivas. Los entre sí. Por ejemplo, ActiveX desde una base de datos s tales como applets de Java, o
ea los applets de Java, o si no.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
BLOQUEO GRANULAR DE LOS COMPONENTES DE HTTPUn dispositivo NetScreen puede bloquear selectivamente controles de ActiveX, apparchivos .exe enviados a través de HTTP. El peligro que estos componentes planteaque proporcionan a los interlocutores no fiables un medio para cargar y luego controde una red protegida.
Cuando se habilita el bloqueo de uno o más de estos componentes en una zona deNetScreen examina cada encabezado HTTP que llegue a una interfaz asociada a ede contenido detallado en el encabezado indica que cualquiera de los componentescarga del paquete. Si el tipo de contenido es Java, .exe o .zip y el dispositivo NetScbloquear esos tipos de componentes HTTP, el dispositivo NetScreen bloquea el paqsólo detalla “octet stream” en lugar de un tipo específico de componente, el dispositde archivo en la carga. Si el tipo de archivo es Java, .exe, o .zip y el dispositivo NetSbloquear esos tipos de componentes, el dispositivo NetScreen bloquea el paquete.
Cuando se habilita el bloqueo de los controles de ActiveX, el dispositivo NetScreen HTTP que contienen cualquier tipo de componente HTTP en sus controles (controlearchivos .exe o archivos .zip).
Controles ActiveXLa tecnología ActiveX de Microsoft permite a los diseñadores web crear páginas wecontroles ActiveX son componentes que permiten a diversos programas interactuarpermite a su explorador web abrir una hoja de cálculo o mostrar su cuenta personalbackend. Los componentes de ActiveX también pueden contener otros componentearchivos como .exe y .zip.
Nota: Cuando el bloqueo de ActiveX está habilitado, el dispositivo NetScreen bloquarchivos .exe y archivos .zip tanto si están contenidos en un control de ActiveX com
Capítulo 5 Deep Inspection Bloqueo granular de los componentes de HTTP
defensa 208
roles de ActiveX al equipo. o del programador que
ncia del código, puede iniciar la
or haya previsto. Si es código r todo su correo electrónico
ionalidad de las páginas web al a máquina virtual de Java (VM) plets interactuaran con otros nes para proporcionar mayor ursos locales fuera de la VM. a de la VM, plantean la misma
t, no existe garantía de que ario malintencionado podría sponder con un archivo .exe
contiene unos o más archivos ción anterior que trata sobre ntener archivos .exe.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Cuando se visita un sitio web con ActiveX habilitado, el sitio pide descargar los contMicrosoft proporciona un mensaje emergente que muestra el nombre de la empresaautenticó el código ActiveX que se ofrece para su descarga. Si confia en la procededescarga de los controles. Si no confía en el origen, puede rechazarlos.
Si descarga un control ActiveX a su equipo, éste podrá hacer con él lo que su creadmalévolo, podrá volver a formatear su disco duro, eliminar todos sus archivos, enviapersonal a su jefe, etcétera.
Applets de JavaCon una finalidad parecida a ActiveX, los applets de Java también aumentan la funcpermitirles interactuar con otros programas. Los applets de Java se descargan a unen su equipo. En la versión inicial de Java, la máquina virtual no permitía que los aprecursos de su equipo. A partir de Java 1.1, se relajaron algunas de estas restricciofuncionalidad. Consecuentemente, los applets de Java ahora pueden acceder a recDebido a que un atacante puede programar los applets de Java para funcionar fueramenaza a la seguridad que los controles de ActiveX.
Archivos EXEEn los archivos ejecutables (archivos con la extensión .exe) descargados de Internepuedan ejecutarse sin riesgo. Aunque el sitio de descarga sea de confianza, un usuestar rastreando las peticiones de descarga de ese sitio, interceptar su petición y remanipulado con código dañino.
Archivos ZIPUn archivo ZIP (es decir, un archivo con la extensión .zip) es un tipo de archivo quecomprimidos. El peligro de descargar un archivo .exe como el presentado en la secarchivos “.exe” también puede aplicarse a los archivos .zip, ya que éstos pueden co
Capítulo 5 Deep Inspection Bloqueo granular de los componentes de HTTP
defensa 209
hivos .exe en los paquetes que
Block EXE Component y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Bloquear applets de Java y archivos .exeEn este ejemplo bloqueará todo el tráfico HTTP que contenga applets de Java y arclleguen a una interfaz de la zona Untrust.
WebUI
Screening > Screen (Zone: Untrust): Seleccione Block Java Component yhaga clic en Apply .
CLI
set zone untrust screen javaset zone untrust screen exesave
Capítulo 5 Deep Inspection Bloqueo granular de los componentes de HTTP
defensa 210
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y6
y defensa 211
Capítulo 6
s
os paquetes para que realicen ” o DoS). A veces resulta difícil é manipulado induce a EEN presentadas en este as:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques
Atributos de los paquetes sospechoso
Según se indica en otros capítulos de este volumen, un atacante puede manipular ltareas de reconocimiento o ataques de denegación de servicios (“Denial of Servicedeterminar la intención de un paquete manipulado, pero el mismo hecho de que estsospechar que se está incluyendo con algún fin insidioso. Todas las opciones SCRcapítulo bloquean los paquetes sospechosos que pueden contener amenazas ocult
• “Fragmentos ICMP” en la página 212
• “Paquetes ICMP grandes” en la página 214
• “Opciones IP incorrectas” en la página 216
• “Protocolos desconocidos” en la página 218
• “Fragmentos de paquetes IP” en la página 220
• “Fragmentos SYN” en la página 222
Capítulo 6 Atributos de los paquetes sospechosos Fragmentos ICMP
defensa 212
” o ICMP) ofrece posibilidades ntienen mensajes muy cortos,
s. Cuando un paquete ICMP es REEN “ICMP Fragment flag “More Fragments” activado
bación del encabezado
otal del paquete n bytes)azamiento agmento
comprobación
correlativo
nts” o hay un valor distinto de cero en el campo de desplazamiento del fragmento …
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
FRAGMENTOS ICMPEl protocolo de mensajes de control de Internet (“Internet Control Message Protocolde comunicación de errores y de sondeo de redes. Dado que los paquetes ICMP cono existe ningún motivo legítimo para que los paquetes ICMP resulten fragmentadotan grande que necesita fragmentarse, hay algún problema. Si habilita la opción SCProtection”, el dispositivo NetScreen bloquea cualquier paquete ICMP que tenga el o que contenga algún valor en el campo de desplazamiento (“offset”).
Versión
Suma de compro
Dirección de destino
Opciones
Encabezado ICMP (carga del paquete IP)
Encabezado IP
Dirección de origen
Identificación
Tamaño del encabezado Tipo de servicio Tamaño t
(e
0 D M Despldel fr
Tiempo de vida (“Time to Live” o TTL) Protocolo (ICMP = 1)
Tipo Código Suma de
NúmeroIdentificador
Datos
y el flag “More Fragmeestá activado …
Si el tipo de protocolo es 1 para ICMP…
… el dispositivo NetScreen bloquea el paquete.
Capítulo 6 Atributos de los paquetes sospechosos Fragmentos ICMP
defensa 213
os, donde la zona de seguridad
P Fragment Protection y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para bloquear los paquetes ICMP fragmentados, utilice uno de los siguientes métodespecificada es la zona en la que se originaron los fragmentos:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione ICMhaga clic en Apply .
CLI
set zone zone screen icmp-fragment
Capítulo 6 Atributos de los paquetes sospechosos Paquetes ICMP grandes
defensa 214
otocolo de mensajes de control unicación de errores y sondeo
ingún motivo legítimo para que ente grande, hay algún nsajes secretos. La presencia do como agente de Loki.
probación del encabezado
del paquete (en ytes)miento del fragmento
mprobación
correlativo
y este valor es > 1024, …
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
PAQUETES ICMP GRANDESSegún lo indicado en la sección anterior “Fragmentos ICMP” en la página 212, el prde Internet (“Internet Control Message Protocol” o ICMP) ofrece posibilidades de comde redes. Dado que los paquetes ICMP contienen mensajes muy cortos, no existe nse generen paquetes ICMP de gran tamaño. Si un paquete ICMP es extraordinariamproblema. Por ejemplo, el programa Loki utiliza ICMP como canal para transmitir mede paquetes ICMP grandes podría dejar al descubierto a un equipo que esté actuanTambién podría indicar algún otro tipo de actividad ilegítima.
Versión
Suma de com
Dirección de destino
Opciones
Encabezado ICMP (carga de paquete IP)
Encabezado IP
Dirección de origen
Identificación
Tamaño del encabezado Tipo de servicio Tamaño total
b0 D M Desplaza
Tiempo de vida (“Time to Live” o TTL) Protocolo (ICMP = 1)
Tipo Código Suma de co
Número Identificador
Datos
Cuando el tipo de protocolo es 1 para ICMP …
… el dispositivo NetScreen bloquea el paquete.
Capítulo 6 Atributos de los paquetes sospechosos Paquetes ICMP grandes
defensa 215
ositivo NetScreen descarta los
odos, donde la zona de
ge Size ICMP Packet (Size >
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Cuando se habilita la opción SCREEN “Large Size ICMP Packet Protection”, el disppaquetes ICMP con un tamaño superior a 1024 bytes.
Para bloquear los paquetes ICMP de gran tamaño, utilice uno de los siguientes métseguridad especificada es la zona en la que se originaron los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Lar1024) Protection y haga clic en Apply .
CLI
set zone zone screen icmp-large
Capítulo 6 Atributos de los paquetes sospechosos Opciones IP incorrectas
defensa 216
nto de ocho opciones que as de seguridad. Aunque la allado la forma de explotarlas e las opciones IP que los en la página 12).
an las opciones IP y generan ersona que manipuló el ara el destinatario.
Screen bloquea los paquetes tScreen registra el evento en el
l encabezado
e (en bytes)
ragmento
ositivo NetScreen a interfaz de entrada.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
OPCIONES IP INCORRECTASLa norma del protocolo de Internet ““RFC 791, Internet Protocol” especifica un conjuofrecen controles de enrutamiento especiales, herramientas de diagnóstico y medidfinalidad original prevista para estas opciones era legítima, algunas personas han hpara lograr objetivos menos loables. (Para ver un resumen de las vulnerabilidades datacantes pueden explotar, consulte “Reconocimiento de red mediante opciones IP”
Ya sea de forma intencionada o accidental, en ocasiones los atacantes desconfigurcampos incompletos o mal formados. Con independencia de las intenciones de la ppaquete, un formato incorrecto es de por sí algo anómalo y potencialmente dañino p
Cuando se habilita la opción SCREEN “Bad IP Option Protection”, el dispositivo Netcuyo encabezado IP contenga cualquier opción IP mal formateada. El dispositivo Neregistro de eventos.
Versión
Suma de comprobación de
Dirección de destino
Opciones
Carga de datos
Encabezado IP
Dirección de origen
Identificación
Tamaño del encabezado Tipo de servicio Tamaño total del paquet
0 D M Desplazamiento del f
Tiempo de vida (“Time to Live” o TTL) Protocolo
Si las opciones IP están mal formateadas, el dispregistra el evento en los contadores SCREEN de l
Capítulo 6 Atributos de los paquetes sospechosos Opciones IP incorrectas
defensa 217
tilice uno de los siguientes l paquete:
d IP Option Protection y haga
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para detectar y bloquear paquetes con opciones IP incorrectamente formateadas, umétodos, donde la zona de seguridad especificada es la zona en la que se originó e
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Baclic en Apply .
CLI
set zone zone screen ip-bad-option
Capítulo 6 Atributos de los paquetes sospechosos Protocolos desconocidos
defensa 218
erior están reservados y no ede saber por adelantado si un un protocolo no estándar con pedir que esos elementos
NetScreen descarta los olo 137 o superior.
l encabezado
te (en bytes)
ragmento
es
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
PROTOCOLOS DESCONOCIDOSPor el momento, los tipos de protocolos con los números de identificación 137 o supdefinidos. Debido precisamente a que estos protocolos no están definidos, no se pudeterminado protocolo desconocido es legítimo o malévolo. Salvo que su red utiliceun número de identificación 137 o superior, una buena medida de precaución es imdesconocidos puedan entrar en su red protegida.
Cuando se habilita la opción SCREEN “Unknown Protocol Protection”, el dispositivopaquetes cuyo campo de protocolo contenga un número de identificación de protoc
Versión
Suma de comprobación de
Dirección de destino
Opciones
Carga de datos
Encabezado IP
Dirección de origen
Identificación
Tamaño del encabezado Tipo de servicio Tamaño total del paque
0 D M Desplazamiento del f
Tiempo de vida (“Time to Live” o TTL) Protocolo
Si el número de identificación del protocolo137 o superior, el dispositivo NetScreen bloquea el paquete.
Capítulo 6 Atributos de los paquetes sospechosos Protocolos desconocidos
defensa 219
s siguientes métodos, donde la
known Protocol Protection y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para descartar los paquetes que utilicen un protocolo desconocido, utilice uno de lozona de seguridad especificada es la zona en la que se originan los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Unhaga clic en Apply .
CLI
set zone zone screen unknown-protocol
Capítulo 6 Atributos de los paquetes sospechosos Fragmentos de paquetes IP
defensa 220
necesario dividirlos en trozos xima (“Maximum Transmission ntar explotar las das implementaciones de pilas riar desde un procesamiento
na de seguridad, el dispositivo s a esa zona.
encabezado
ete (en bytes)
iento del nto
ay un valor distinto de cero el campo de desplazamiento l fragmento …
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
FRAGMENTOS DE PAQUETES IPA medida que los paquetes van pasando por diferentes redes, en ocasiones resultamás pequeños (fragmentos) para adaptar su tamaño a la unidad de transmisión máUnit” o MTU) de cada red. Aprovechando los fragmentos IP, un atacante puede intevulnerabilidades existentes en el código de reensamblaje de paquetes de determinaIP (“IP stacks”). Cuando la víctima recibe estos paquetes, los resultados pueden vaincorrecto de los paquetes hasta la caída total del sistema.
Cuando se habilita el dispositivo NetScreen para rechazar fragmentos IP en una zobloquea todos los fragmentos de paquetes IP que reciba en las interfaces asociada
Versión
Suma de comprobación del
Dirección de destino
Opciones
Carga de datos
Encabezado IP
Dirección de origen
Identificación
Tamaño del encabezado Tipo de servicio Tamaño total del paqu
0 D M Desplazamfragme
Tiempo de vida (“Time to Live” o TTL) Protocolo
Si el flag de más fragmentos está activado …
o hende
… el dispositivo NetScreen bloquea el paquete.
Capítulo 6 Atributos de los paquetes sospechosos Fragmentos de paquetes IP
defensa 221
, donde la zona de seguridad
ck Fragment Traffic y haga
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Para descartar los paquetes IP fragmentados, utilice uno de los siguientes métodosespecificada es la zona de origen de los fragmentos:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Bloclic en Apply .
CLI
set zone zone screen block-frag
Capítulo 6 Atributos de los paquetes sospechosos Fragmentos SYN
defensa 222
de transmisiones TCP. Dado que la finalidad de sta, el segmento SYN
motivo legítimo para su echoso. Como medida gida.
tScreen detecta los paquetes stá activado en el encabezado de la interfaz de entrada.
iguientes métodos, donde la
Fragment Protection y haga
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
FRAGMENTOS SYNEl protocolo de Internet (IP) encapsula los segmentos SYN del protocolo de control (“Transmission Control Protocol” o TCP) en el paquete IP que inicia una conexión deeste paquete es iniciar una conexión e invocar un segmento SYN/ACK como respuegeneralmente no contiene datos. Como el paquete IP es pequeño, no existe ningúnfragmentación. Un paquete SYN fragmentado es algo anómalo y, por lo tanto, sosppreventiva, impida que tales elementos desconocidos puedan entrar en su red prote
Cuando se habilita la opción SCREEN “SYN Fragment Detection”, el dispositivo Necuyo encabezado IP indique que el paquete se ha fragmentado y que el flag SYN eTCP. El dispositivo NetScreen registra el evento en la lista de contadores SCREEN
Para descartar los paquetes IP que contengan fragmentos SYN, utilice uno de los szona de seguridad especificada es la zona en la que se originan los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYNclic en Apply .
CLI
set zone zone screen syn-frag
Capítulo 6 Atributos de los paquetes sospechosos Fragmentos SYN
defensa 223
destino de 16 bits
de 16 bits
na de 16 bits
ción del encabezado
uete (en bytes)
plazamiento l fragmento
tos o hay un valor distinto de cero en el campo de desplazamiento del fragmento …
creen te.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Número de puerto de origen de 16 bits Número de puerto de
Número de secuencia de 32 bits
Número de reconocimiento de 32 bits
U R G
A C K
P S H
R S T
Suma de comprobación de TCP de 16 bits Indicador urgente
Tamaño de ventaTamaño de encabezado
Reservado(6 bits)
Opciones (si las hay)
Datos (si los hay)
S Y N
F I N
Encabezado TCP
… y el flag SYN está activado …
Versión
Suma de comproba
Dirección de destino
Opciones (si las hay)
Encabezado IP
Dirección de origen
Identificación
Tamaño del encabezado Tipo de servicio Tamaño total del paq
0 D M Desde
Tiempo de vida (“Time to Live” o TTL) Protocolo
Si el flag de más fragmenestá activado …
… el dispositivo NetSdescarta el paque
Capítulo 6 Atributos de los paquetes sospechosos Fragmentos SYN
defensa 224
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y7
y defensa 225
Capítulo 7
ración
n de GPRS (servicio general de n-5000 admiten esta función.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques
Prevención de ataques de sobrefactude GPRS
Puede configurar los dispositivos NetScreen para evitar ataques de sobrefacturacióradio por paquetes). Solamente los dispositivos de serie NetScreen-500 y NetScree
Este capítulo contiene las siguientes secciones:
• “Descripción del ataque de sobrefacturación” en la página 226
• “Solución al ataque de sobrefacturación” en la página 228
– “Módulo de NSGP” en la página 228
– “Protocolo Gatekeeper de NetScreen” en la página 228
Capítulo 7 Prevención de ataques de sobrefacturación de GPRS Descripción del ataque de sobrefacturación
defensa 226
s estaciones móviles (MS) sobrefacturación puede devuelve su dirección IP al ción IP, que es vulnerable e la dirección IP, sin ser te, a expensas del suscriptor
eda disponible y es reasignada vocando, por lo tanto, que se etalladamente esta situación.
Internet
Servidor
Cortafuegos de Gi
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
DESCRIPCIÓN DEL ATAQUE DE SOBREFACTURACIÓNAntes de explicar qué es un ataque de sobrefacturación, es importante saber que laobtienen su dirección IP de un conjunto de direcciones IP. Dicho esto, un ataque deproducirse de varias maneras. A saber, puede ocurrir cuando un suscriptor legítimoconjunto de direcciones IP. En ese momento, un atacante puede secuestrar la direcporque la sesión todavía sigue abierta. Cuando el atacante se hace con el control ddetectado e informado, el atacante puede descargar datos gratis (o más exactamenlegítimo) o enviar datos a otros suscriptores.
El ataque de sobrefacturación puede producirse también cuando una dirección IP qua otro MS. El tráfico iniciado por la MS anterior podría reenviarse a la nueva MS, profacture a la nueva MS el tráfico no solicitado. Las ilustraciones siguientes explican d
SGSN GGSNCortafuegos de GTP
MS malévola (MS1: 2.2.1.2/32)
Túnel de GTP
MS1 obtiene una dirección IP y solicita un túnel GTP al GGSN. El SGSN genera un túnel GTP por cada petición de MS1. MS1 inicia una sesión con el servidor.
PLMN 1
Capítulo 7 Prevención de ataques de sobrefacturación de GPRS Descripción del ataque de sobrefacturación
defensa 227
Internet
SN
Servidor
Cortafuegos de Gi
Internet
SN Cortafuegos de Gi
Servidor
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
SGSN GGCortafuegos de GTP
MS1 solicita la eliminación del túnel de GTP y abandona la sesión.
PLMN 1Cuando el servidor comienza a enviar paquetes a MS1, MS1 envía simultáneamente una petición al SGSN para eliminar el túnel de GTP, pero deja la sesión abierta al servidor en el cortafuegos de Gi. El servidor continúa enviando paquetes al GGSN. El cortafuegos de Gi, desconociendo que el túnel de GTP fue eliminado, reenvía los paquetes al GGSN. El GGSN descarta los paquetes porque el túnel de GTP ya no existe.
SGSN GGCortafuegos de GTP
Estación móvil nueva (MS2: 2.2.1.2/32)
Nuevo túnel de GTP
PLMN 1
Una nueva estación móvil, MS2 (la víctima), envía una petición al SGSN de un túnel de GTP al GGSN y recibe una dirección IP de 2.2.1.2/32 (la misma dirección IP que utiliza MS1). El SGSN crea un nuevo túnel de GTP al GGSN.En el momento de la detección del nuevo túnel de GTP para la dirección IP de destino 2.2.1.2, el GGSN, que continuó recibiendo paquetes para la antigua sesión con la misma dirección IP de destino pero MS diferente (MS1), reenvía ahora estos paquetes a MS2.Aunque MS2 no solicitó este tráfico previsto para MS1, se le factura a MS2.
Capítulo 7 Prevención de ataques de sobrefacturación de GPRS Solución al ataque de sobrefacturación
defensa 228
es de sobrefacturación se colo de equipo selector
de ScreenOS admite el o NetScreen para que haga de cido como cortafuegos de GTP para obtener más información,
lementa en la interfaz Gi de puerta de enlace GPRS) e
se implementa entre GGSN y
d entre el cliente y el servidor ente el tipo de “sesión” de
a una zona de seguridad e
e contexto en cada dispositivo. incluir la identificación del ar sesión”, el servidor busca la
l cortafuegos Gi cuando se e borre las sesiones gos GTP de que se ha o no solicitado.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
SOLUCIÓN AL ATAQUE DE SOBREFACTURACIÓNPara proteger a los suscriptores de una PLMN (red móvil terrestre pública) de ataqurequieren dos dispositivos NetScreen y la participación de los módulos NSGP (protoNetScreen) y NSGP.
Módulo de NSGPEl módulo de NSGP incluye dos componentes: el cliente y el servidor. Esta versión componente del servidor de NSGP, que significa que puede configurar un dispositivservidor, también conocido como cortafuegos Gi. El dispositivo cliente, también cono(Protocolo de tunelación GPRS), debe ejecutar el firmware ScreenOS 5.0.0 GPRS (consulte el ScreenOS 5.0.0 GPRS Reference Guide).
Hacemos referencia a un dispositivo NetScreen como cortafuegos Gi cuando se impuna red GPRS. La interfaz Gi es la conexión entre un GGSN (nodo de soporte de laInternet o las redes de destino conectadas con un PLMN.
Hacemos referencia a un dispositivo NetScreen como cortafuegos de GTP cuando SGSN (nodo de soporte de servicio GPRS) dentro del mismo PLMN.
Protocolo Gatekeeper de NetScreenNSGP utiliza el protocolo de control de transmisión (TCP) y supervisa la conectividaenviando mensajes de saludo a intervalos determinados. NSGP sólo admite actualmcontexto, que es un espacio que mantiene información de usuario-sesión, asociadoidentificado por un número único (ID de contexto).
Al configurar NSGP en los dispositivos cliente y servidor, debe utilizar el mismo ID dCuando el cliente envía una petición de “borrar sesión” al servidor, la petición debe contexto y la dirección IP del servidor. En el momento de recibir el mensaje de “borridentificación del contexto y borra la sesión de su tabla.
Configure NSGP en el cortafuegos de GTP para habilitarlo de forma que notifique aelimine un túnel de GTP y configure NSGP en el cortafuegos Gi y habilítelo para quautomáticamente siempre que el cortafuegos Gi reciba una notificación del cortafueeliminado un túnel de GTP. Al borrar las sesiones, el cortafuegos Gi detiene el tráfic
Capítulo 7 Prevención de ataques de sobrefacturación de GPRS Solución al ataque de sobrefacturación
defensa 229
s ataques de sobrefacturación.
Internet
ServidorN
otifica al inación
El cortafuegos Gi está ejecutando el firmware ScreenOS 5.1.0 NSGP.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
La ilustración siguiente describe cómo pueden impedir los dispositivos NetScreen lo
Después de iniciar una sesión con el servidor y cuando el servidor comienza a enviar los paquetes a MS1, MS1 envía una petición al SGSN para eliminar el túnel de GTP y abandonar la sesión. Con la eliminación del túnel, el cortafuegos de GTP notifica inmediatamente al cortafuegos Gi de la eliminación del túnel GTP. El cortafuegos Gi elimina la sesión de su tabla.Posteriormente, cuando el servidor intenta enviar paquetes al GGSN, el cortafuegos Gi los intercepta y los descarta.En consecuencia, una nueva MS, aunque sea usando la misma dirección IP que la MS anterior, no puede recibir el tráfico que no ha iniciado ni se le puede facturar por ello.
PLMN 1
SGSN GGS
El cortafuegos de GTP ncortafuegos Gi de la elim
MS1 solicita la eliminación del túnel de GTP y abandona la sesión.
El cortafuegos GTP está ejecutando el firmware ScreenOS 5.1.0 GPRS.
Capítulo 7 Prevención de ataques de sobrefacturación de GPRS Solución al ataque de sobrefacturación
defensa 230
ues de
Screen para habilitar el
aga clic en Apply :
de GTP (cliente) y el cortafuegos Gi GP en una interfaz física de ethernet.
fuegos 2.1.4/24
ernet
Servidor
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Ejemplo: Configuración de la función de prevención de ataqsobrefacturaciónEn este ejemplo, establece la opción Overbilling en una interfaz1 del dispositivo Netintercambio de información de ataques Overbilling y configura NSGP.
WebUI
Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y h
Zone Name: Untrust (seleccione)
IP Address/Netmask: 2.2.1.4/24
Management Services: Telnet (seleccione)
Other Services: Overbilling (seleccione)
1. Para emplear esta función, debe habilitarla en una interfaz en cada uno de los dispositivos NetScreen: el cortafuegos(servidor). La interfaz para el cliente y el servidor deben tener direcciones IP distintas. Además, sólo puede habilitar NS
Cortafuegos de GTP
1.1.2.5/24CortaGi 2.
Int
PLMN 1
Capítulo 7 Prevención de ataques de sobrefacturación de GPRS Solución al ataque de sobrefacturación
defensa 231
ga clic en Add y, a
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Configuration > Advanced > NSGP (Overbilling): Introduzca lo siguiente, hacontinuación, haga clic en OK :
Context ID: 2
Zone: Untrust
CLI
ns500-> set interface ethernet1/2 zone Untrustns500-> set interface ethernet1/2 ip 2.2.1.4/24ns500-> set interface ethernet1/2 manage telnetns500-> set interface ethernet1/2 nsgpns500-> set nsgp context 2 type session zone untrustsave
Capítulo 7 Prevención de ataques de sobrefacturación de GPRS Solución al ataque de sobrefacturación
defensa 232
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques yA
y defensa A-I
Apéndice A
l usuariop Inspection (DI) busca una de firma completa, puede e ataque, debe colocarlo en un
jetos de ataque definidos por el ataque predefinidos con otros
ontexto como...)
sión de America Online Instant
AIM o ICQ
transfiriendo desde un interlocutor
transfiriendo a un interlocutor
Q
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques
Contextos para firmas definidas por eEl contexto define la ubicación dentro del paquete donde el módulo NetScreen Deefirma que coincida con el patrón del objeto de ataque. Al definir un objeto de ataqueespecificar cualquier contexto de las listas siguientes. Después de definir un objeto dgrupo de objetos de ataque definido por el usuario para su uso en las directivas.
Nota: Un grupo de objetos de ataque definido por el usuario sólo puede contener obusuario. En el mismo grupo de objetos de ataque no se pueden mezclar objetos deobjetos de ataque definidos por el usuario.
Protocolo Contexto Descripción (establece el c
AIM aim-chat-room-desc
la descripción de una sala de chat en una seMessenger (AIM) o ICQ (I Seek You)
aim-chat-room-name
el nombre de una sala de chat en una sesión
aim-get-file el nombre de un archivo que un usuario está
aim-nick-name el alias de un usuario de AIM o ICQ
aim-put-file el nombre de un archivo que un usuario está
aim-screen-name el nombre en pantalla de un usuario AIM o IC
Apéndice A Contextos para firmas definidas por el usuario
defensa A-II
n o respuesta de sistema de ine en la norma RFC 1035, ification”.
la norma RFC 959, “File Transfer
er comando FTP
una sesión en un servidor FTP
ella intenta descargar
ificados a partir de un encabezado tal y como se especifica en la ol – HTTP/1.0”
petición HTTP (cuando los po proporcionan información
a línea de estado es un código de nte para comunicarle el estado de “Unauthorized” y 404 quiere decir
n HTTP
ontexto como...)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
DNS dns-cname el CNAME (nombre canónico) en una peticiónombre de dominio (DNS), tal y como se def“Domain Names – Implementation and Spec
FTP ftp-command uno de los comandos FTP especificados en Protocol (FTP)”
ftp-password una contraseña de inicio de sesión de FTP
ftp-pathname un directorio o nombre de archivo en cualqui
ftp-username el nombre que un usuario introduce al iniciar
Gnutella gnutella-http-get-filename
el nombre de un archivo que un cliente Gnut
HTTP http-authorization el nombre de usuario y la contraseña descod“Authorization: Basic” en una petición HTTP,norma RFC 1945, “Hypertext Transfer Protoc
http-header-user-agent
el campo user-agent del encabezado de unausuarios visitan una página web, en este camsobre sus exploradores).
http-request una línea de petición HTTP
http-status la línea de estado en una respuesta HTTP (ltres cifras que un servidor web envía a un clieuna conexión. Por ejemplo, 401 quiere decir “Not found”).
http-text-html el texto, o los datos HTML, de una transacció
Protocolo Contexto Descripción (establece el c
Apéndice A Contextos para firmas definidas por el usuario
defensa A-III
una petición HTTP tal y como
cada a partir de una cadena HTTP
común (CGI) descodificada en la
TE de Internet Mail Access de mecanismo de autenticación plos de ello son KERBEROS_V4,
eric Security Service Application
onsulte las normas RFCs 1730, 4”, y RFC 1731, “IMAP4
to sin formato en un comando
SELECT de IMAP
de IMAP
n de mensajería instantánea de
tá descargando desde un
enviando a un interlocutor
e un usuario de la mensajería
ontexto como...)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
http-url el localizador de recurso uniforme (URL) de aparece en la secuencia de datos
http-url-parsed una cadena de texto “normalizada” descodifiunicode que comprende la URL utilizada en
http-url-variable-parsed
una variable de interfaz de puerta de enlace URL de una petición HTTP-GET
IMAP imap-authenticate un argumento en un comando AUTHENTICAProtocol (IMAP). El argumento indica el tipo que el cliente IMAP propone al servidor. EjemGSSAPI (consulte la norma RFC 1508, “GenProgram Interface”) y SKEY.Para obtener información acerca de IMAP, c“Internet Message Access Protocol - VersionAuthentication Mechanisms”.
imap-login el nombre de usuario o la contraseña con texLOGIN de IMAP
imap-mailbox la cadena de texto del buzón en un comando
imap-user el nombre de usuario en un comando LOGIN
MSN Messenger
msn-display-name el nombre visible de un usuario en una sesióMicrosoft Network (MSN)
msn-get-file el nombre de un archivo que un cliente se esinterlocutor
msn-put-file el nombre de un archivo que un cliente está
msn-sign-in-name el nombre en pantalla (nombre de usuario) dinstantánea MSN
Protocolo Contexto Descripción (establece el c
Apéndice A Contextos para firmas definidas por el usuario
defensa A-IV
fice Protocol, versión 3 (POP3) onsulte la norma RFC 1939, “Post
” (remitente) de un correo
abezado de un correo electrónico
t:” (asunto) de un correo
estinatario) de un correo
hivo adjunto Multipurpose Internet
Blocks (SMB) en una petición B
NECT_ANDX de una sesión SMB
tición TREE_CONNECT_ANDX
PY de una sesión SMB
ETE de una sesión SMB
_CREATE_ANDX y OPEN_ANDX
ontexto como...)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
POP3 pop3-auth el comando AUTH en una sesión de Post OfPara obtener información acerca de POP3, cOffice Protocol – Version 3”
pop3-header-from la cadena de texto en el encabezado “From:electrónico en una transacción POP3
pop3-header-line la cadena de texto de cualquier línea de encen una transacción POP3
pop3-header-subject
la cadena de texto en el encabezado “Subjecelectrónico en una transacción POP3
pop3-header-to la cadena de texto en el encabezado “To:” (delectrónico en una transacción POP3
pop3-mime-content-filename
el nombre del archivo de contenido de un arcMail Extensions (MIME) en una sesión POP3
pop3-user el nombre de usuario en una sesión POP3
SMB smb-account-name el nombre de una cuenta de Server MessageSESSION_SETUP_ANDX de una sesión SM
smb-connect-path la ruta de conexión en la petición TREE_CON
smb-connect-service
el nombre del servicio de conexión en una pede una sesión SMB
smb-copy-filename el nombre de un archivo en una petición CO
smb-delete-filename
el nombre de un archivo en una petición DEL
smb-open-filename
el nombre de un archivo en las peticiones NTde una sesión SMB
Protocolo Contexto Descripción (establece el c
Apéndice A Contextos para firmas definidas por el usuario
defensa A-V
s “MAIL FROM” de una sesión omo se describe en la norma RFC
(remitente) de una sesión SMTP
abezado de una sesión SMTP
t:” (asunto) de una sesión SMTP
estinatario) de una sesión SMTP
hivo adjunto Multipurpose Internet
“RCPT TO” de una sesión SMTP
datos TCP reensamblada y
con el usuario principal de un !
na sala de chat de mensajería
instantánea de Yahoo!
nea de Yahoo!
ontexto como...)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
SMTP smtp-from la cadena de texto en una línea de comandoSimple Mail Transfer Protocol (SMTP), tal y c2821, “Simple Mail Transfer Protocol”
smtp-header-from la cadena de texto en el encabezado “From:”
smtp-header-line la cadena de texto en cualquier línea de enc
smtp-header-subject
la cadena de texto en el encabezado “Subjec
smtp-header-to la cadena de texto en el encabezado “To:” (d
smtp-mime-content-filename
el nombre del archivo de contenido de un arcMail Extensions (MIME) en una sesión SMTP
smtp-rcpt la cadena de texto en la línea de comandos
– stream256 los primeros 256 bytes de una secuencia de normalizada
Yahoo! Messenger
ymsg-alias el nombre identificativo alternativo asociado usuario de mensajería instantánea de Yahoo
ymsg-chatroom-message
el texto de los mensajes intercambiados en uinstantánea de Yahoo!
ymsg-chatroom-name
el nombre de una sala de chat de mensajería
ymsg-nickname el alias de un usuario de mensajería instantá
Protocolo Contexto Descripción (establece el c
Apéndice A Contextos para firmas definidas por el usuario
defensa A-VI
terlocutor de mensajería e descargar dicho archivo
terlocutor de mensajería scargar dicho archivo
ontexto como...)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y
Yahoo! Messenger
(cont)
ymsg-p2p-get-filename-url
la ubicación de un archivo en un equipo de ininstantánea de Yahoo! desde la cual se pued
ymsg-p2p-put-filename-url
la ubicación de un archivo en un equipo de ininstantánea de Yahoo! a la cual se puede de
Protocolo Contexto Descripción (establece el c
Índice
ensa IX-I
datos de objetos de ataque 141–148gravedad 159 Ines regulares 188–190mpletas 156 secuencias 157rsonalizadas 188–194e objetos de ataque 158r objetos de ataque 163 del objeto de ataque 200e ataque 138e ataque personalizados 187e grupos de objetos de ataque 176
personalizados 179–186eral 137activar objetos de ataque 163e serviciooSn, análisis antivirus 106
140e URL 131entral 24, 139
specífico del sistema operativo 73–78os 42–51
ón de la tabla de sesiones 25, 422ute 28
to agresivo 46–49to de conexión en tres fases 528
aquesegulares 188–190
ntenidos 79–134quetes dinámico 3L 111, 126–134n en el nivel de dispositivo 131n de perfiles a directivas 120n en el nivel de directivas 13125s URL 115ento 132el servidor 131 112
Juniper Networks NetScreen conceptos y ejemplos – Volume 4: Mecanismos de detección de ataques y def
ÍndiceAacciones de ataque 164–175
close 164close client 164close server 164drop 164drop packet 164ignore 165none 165
AIM 152ALG 82America Online Instant Messaging
véase AIM 152análisis antivirus 86–110
correo web HTTP 91descompresión 106FTP 87goteo HTTP 109HTTP 89HTTP “keep-alive” 108IMAP 92MIME 90modo de fallo 108POP3 92recursos de AV por cliente 107SMTP 94suscripción 96
análisis de puertos 10análisis FIN 22anomalías del protocolo 157
ALGs 154aplicaciones de mensajería inmediata 152aplicaciones P2P 153configuración de parámetros 198protocolos admitidos 151–155protocolos de red básicos 151
applets Java, bloquear 208archivos exe, bloquear 208archivos zip, bloquear 208ataque de sobrefacturación
descripción 226solución 228
ataque “Teardrop” 75ataque terrestre 71ataque WinNuke 77ataques
ataque terrestre 71direcciones MAC desconocidas 58etapas 2fragmentos de paquetes IP 220fragmentos ICMP 212
fragmentos SYN 222–223inundación de la tabla de sesiones 25, 42inundación ICMP 67inundación SYN 52–58inundación UDP 69objetivos comunes 1opciones de detección y defensa 3–5paquetes ICMP grandes 214“Ping of Death” 73protocolos desconocidos 218“Teardrop” 75WinNuke 77
AV, análisisvéase análisis antivirus
Bbarrido de direcciones 8base de datos de objetos de ataque 141–148
actualización automática 141, 144actualización inmediata 141, 142actualización manual 142, 147cambiar la URL predeterminada 147notificación automática y actualización
manual 142, 145
CCLI
convenciones viicloque de mensajes de servidor
véase SMBcomprobación de SYN 22, 23–26
agujero de reconocimiento 25enrutamiento asimétrico 24interrupción de sesión 24inundación de la tabla de sesiones 25
conjuntos de caracteres compatibles con ScreenOS xi
controles ActiveX, bloqueo 207convenciones
CLI viiilustración xnombres xiWebUI viii
DDDoS 41Deep Inspection 159–194
acciones de ataque 164–175anomalías del protocolo 157
base de cambiar contextoexpresiofirmas cofirmas defirmas pegrupos dinhabilitanegaciónobjetos dobjetos dregistro dserviciosvista genvolver a
denegación d véase D
descompresiódirectivas
contextofiltrado dsección c
DoS 41–78ataque ecortafueginundacired 52–7
drop-no-rpf-ro
Eenvejecimienestablecimienevasión 22–3exploits
véase atexpresiones r
Ffiltrado de cofiltrado de pafiltrado de UR
activacióaplicacióaplicaciócaché 1categoríaenrutamiestado dintegrada
Índice
efensa IX-II
e ruta de origen estricta 14, 36–38 12–15
os 12–14eadas incorrectamente 216ión de ruta 13, 15ecuencia 14, 15
de hora 14, 15 origen 36 origen abierta 13, 36–38 origen estricta 14, 36–38
dad 13, 15
ent 1533ey 153ack 153lla 153 153key 154 15454 154ath” 73 de ataques de sobrefacturaciónración 230
de ataques de sobrefacturación de 225–231contra URL maliciosas 81–85frente a ataquese directivas 5e zona de seguridad 5desconocidos 218nlace en la capa de aplicaciónALGntoP2P
s abiertos 10
as operativos 16–20ento 7–38s de puertos 10s FIN 22 de direcciones 8YN y FIN activados 16es IP 12te TCP sin flags 20je de fragmentos 81–85
de objetos de ataque 176
Juniper Networks NetScreen conceptos y ejemplos – Volume 4: Mecanismos de detección de ataques y d
introducir un contexto 113mensaje de URL bloqueada de NetScreen 130nombre del servidor SurfControl 129nombre del servidor Websense 129perfiles 117puerto del servidor SurfControl 129puerto del servidor Websense 129reenviar 126servidores CPA de SurfControl 112servidores por vsys 128servidores SurfControl 124SurfControl SCFP 128tiempo de espera de comunicaciones
communication timeout 129tipo de mensaje de URL bloqueada 130
FIN sin flag ACK 18firmas completas 156
definición 156firmas de secuencias 157flags SYN y FIN activados 16Fragmentos SYN 222–223
Ggrupos de objetos de ataque 158
aplicado en directivas 150cambiar gravedad 159niveles de gravedad 158registro 176URLs de ayuda 155
HHTTP
bloqueo de componentes 207–209goteo 109método “keep-alive” 108tiempo de espera de la sesión 48
IICMP
fragmentos 212paquetes grandes 214
ilustraciónconvenciones x
inspección de estado 3inundación de la tabla de sesiones 25, 42inundación del proxy SYN-ACK-ACK 50inundación ICMP 67inundación SYN 52–58
ataque 52descartar las direcciones MAC
desconocidas 58tamaño de la cola 58tiempo de espera 58
umbral 53umbral de alarma 56umbral de ataque 56umbral de destino 57umbral de origen 57
inundación UDP 69IP
fragmentos de paquetes 220
Llímites de sesiones 42–46
de destino 43, 46según sus orígenes 42, 45
Llamada a procedimientos remotos de Microsoftvéase MS-RPC 154
Mmensajería inmediata 152
AIM 152MSN Messenger 152Yahoo! Messenger 152
Microsoft Network Instant MessengerConsulte MSN Messenger
MIME, análisis AV 90modo de fallo 108modo transparente
descartar las direcciones MAC desconocidas 58
MSN Messenger 152MS-RPC 154
Nnegación, Deep Inspection 200NetBIOS 154nombres
convenciones xi
Oobjetos AV
tiempo de espera 103objetos de ataque 138, 149–157
anomalías del protocolo 157, 198desactivar 163firmas completas 156firmas de secuencias 157firmas de secuencias TCP 195negación 200volver a activar 163
opción de seguridad IP 13, 15opción IP de grabación de ruta 13, 15opción IP de ID de secuencia 14, 15opción IP de marca de hora 14, 15opción IP de ruta de origen abierta 13, 36–38
opción IP dopciones IP
atributformatgrabacID de smarcaruta deruta deruta deseguri
PP2P 153
BitTorrDC 15eDonkFastTrGnuteKaZaaMLdonSkypeSMB 1WinMX
“Ping of Deprevención
configuprevención
GPRSprotección protección
nivel dnivel d
protocolos puerta de e
véase punto a pu
véase
Rrastreo
puertored 8sistem
reconocimianálisianálisibarridoflags Sopcionpaque
reensamblaregistro
grupos
Índice
defensa IX-III
-no-rpf-route 28rol 112, 126
s de secuencias 195ete sin flags 20
po de espera de la sesión 47e espera de la sesiónP 48 47 48
po de espera de la sesión 48ferior 47uperior 47
essenger 152
gente 41, 43
Juniper Networks NetScreen conceptos y ejemplos – Volume 4: Mecanismos de detección de ataques y
RFCs1035, “Domain Names–Implementation and
Specification” II1038, “Revised IP Security Option” 131508, “Generic Security Service Application
Program Interface” III1730, “Internet Message Access Protocol -
Version 4” III1731, “IMAP4 Authentication Mechanisms” III1939, “Post Office Protocol –- Version 3” IV1945, “Hypertext Transfer Protocol–
HTTP/1.0” II2821, “Simple Mail Transfer Protocol” V791, “Internet Protocol” 12, 13, 73, 216792, “Internet Control Message Protocol” 73793, “Transmission Control Protocol” 18959, “File Transfer Protocol (FTP)” II
SSCREEN
análisis de puertos 10ataque terrestre 71ataque WinNuke 77barrido de direcciones 8descartar las direcciones MAC
desconocidas 58FIN sin ACK 22FIN sin flag ACK, descarte 18
flags SYN y FIN activados 16fragmentos de paquetes IP, bloquear 220fragmentos ICMP, bloquear 212fragmentos SYN, detectar 222–223inundación del proxy SYN-ACK-ACK 50inundación ICMP 67inundación SYN 52–58inundación UDP 69opción IP de ruta de origen abierta, detectar 38opción IP de ruta de origen estricta,
detectar 38opción IP de ruta de origen, denegar 38opciones IP 12opciones IP incorrectas, descartar 216paquete TCP sin flags, detectar 20paquetes ICMP grandes, bloquear 214“Ping of Death” 73protocolos desconocidos, descartar 218suplantación de IP 27–35“Teardrop” 75zonas VLAN y MGT 3
serviciospersonalizados 179
SMBNetBIOS 154
suplantación de IP 27–35capa 2 28, 34capa 3 27, 30
dropSurfCont
TTCP
firmapaqutiem
tiempo dHTTTCPUDP
UUDP
tiemumbral inumbral s
YYahoo! M
Zzombie, a
Índice
defensa IX-IV
Juniper Networks NetScreen conceptos y ejemplos – Volume 4: Mecanismos de detección de ataques y