Telas opções para detecção e prevenção de ataques
A detecção e prevenção de ataques detecta e defende a rede contra ataques. Usando opções de tela, as plataformas de segurança Junos podem se proteger contra diferentes ataques internos e externos Para obter mais informações, veja os seguintes tópicos:
Entendendo as opções de telas em dispositivos da Série SRX
Em todos os firewalls da Série SRX, as telas são divididas em duas categorias:
- Telas baseadas em estatísticas
- Telas baseadas em assinatura
- Entendendo os aprimoramentos da arquitetura de pontos centrais para telas
- Implementação de opções de tela em dispositivos da Série SRX
Telas baseadas em estatísticas
A Tabela 1 lista todas as opções de tela baseadas em estatísticas.
Nome da opção de tela |
Descrição |
---|---|
|
Use a opção IDS de inundação do ICMP para se proteger contra ataques de inundação do ICMP. Um ataque de inundação do ICMP normalmente ocorre quando as solicitações de eco do ICMP usam todos os recursos na resposta, de modo que o tráfego de rede válido não possa mais ser processado. O valor limite define o número de pacotes ICMP por segundo (pps) autorizados a serem enviados para o mesmo endereço de destino antes que o dispositivo rejeite outros pacotes ICMP. |
|
Use a opção UDP flood IDS para proteger contra ataques de inundação UDP. Um ataque de inundação de UDP ocorre quando um invasor envia pacotes IP contendo um datagrama UDP com a finalidade de diminuir a velocidade dos recursos, de modo que conexões válidas não possam mais ser tratadas. O valor limite define o número de pacotes UDP por segundo autorizados a serem enviados para o mesmo endereço IP de destino. Quando o número de pacotes excede esse valor em qualquer período de 1 segundo, o dispositivo gera um alarme e derruba pacotes subseqüentes pelo resto desse segundo. |
|
Use a opção de IDS de fonte de inundação TCP SYN para definir o valor limite de origem. O valor limite define o número de segmentos SYN a serem recebidos por segundo antes que o dispositivo comece a soltar as solicitações de conexão. A faixa aplicável é de 4 a 500.000 SYN pps. |
|
Use a opção de IDS de destino de inundação SYN para definir o valor limite de destino. O valor limite define o número de segmentos SYN recebidos por segundo antes que o dispositivo comece a soltar as solicitações de conexão. A faixa aplicável é de 4 a 500.000 SYN pps. |
|
Use a opção TCP SYN flood IDS para detectar e evitar ataques de inundação SYN. Esses ataques ocorrem quando o host de conexão envia continuamente solicitações de SYN do TCP sem responder às respostas ACK correspondentes. |
|
Use a opção IDS de digitalização de portas TCP para evitar ataques de verificação de porta. O objetivo deste ataque é escanear os serviços disponíveis na esperança de que pelo menos uma porta responda, identificando assim um serviço ao alvo. |
|
Use a opção de tela de proxy TCP SYN-ACK-ACK para evitar ataques SYN-ACK-ACK. Após o número de conexões do mesmo endereço IP atingir o limite de proxy SYN-ACK-ACK, os firewalls da Série SRX que executam o Junos OS rejeitam novas solicitações de conexão desse endereço IP. |
|
Use a opção IDS de varrer IP do ICMP para detectar e evitar um ataque de varredura de IP. Um ataque de varredura de IP ocorre quando um invasor envia solicitações de eco (pings) do ICMP para vários endereços de destino. Se um host alvo responder, a resposta revela o endereço IP do alvo para o invasor. Se o dispositivo receber 10 solicitações de eco do ICMP dentro do número de microssegundos especificados nesta declaração, ele sinaliza isso como um ataque de varredura de IP, e rejeita o 11º e todos os pacotes de ICMP adicionais desse host para o restante do segundo. O valor limite define o número máximo de microssegundos durante os quais até 10 solicitações de eco de ICMP do mesmo host são permitidas no dispositivo. |
|
Use a opção de IDS de alarme de inundação TCP SYN para definir o valor do limiar do alarme. O valor limite define o número de conexões proxy semi-completas por segundo em que o dispositivo faz entradas no log de alarme de caso. A faixa é de 1 a 500.000 solicitações por segundo. |
|
Use a opção de IDS de ataque de inundação TCP SYN para definir o valor limite de ataque. O valor limite define o número de pacotes SYN por segundo necessários para acionar a resposta de proxy SYN. A faixa é de 1 a 500.000 pps de proxyd. |
|
Use a opção UDP udp sweep IDS para detectar e evitar ataques de varredura de UDP. Em um ataque de varredura de UDP, um invasor envia pacotes UDP para o dispositivo alvo. Se o dispositivo responder a esses pacotes, o invasor recebe uma indicação de que uma porta no dispositivo alvo está aberta, o que torna a porta vulnerável a ataques. Se um host remoto enviar pacotes UDP a 10 endereços em 0,005 segundos (5000 microssegundos), o dispositivo sinalizará isso como um ataque de varredura de UDP. Se a opção O valor limite define o número de microssegundos para os quais o dispositivo aceita 10 pacotes UDP da mesma fonte remota para diferentes endereços de destino. |
Começando com o Junos OS Release 15.1X49-D20 e o Junos OS Release 17.3R1, o firewall gera apenas uma mensagem de log a cada segundo, independentemente do número de pacotes que desencadeiam o limite de sessão de origem ou destino. Esse comportamento se aplica a telas de proteção contra enchentes com TCP-Synflood-src-based
TCP-Synflood-dst-based
proteção contra enchentes e UDP.
Telas baseadas em assinatura
A Tabela 2 lista todas as opções de tela baseadas em assinatura.
Nome da opção de tela |
Descrição |
---|---|
|
Habilite ou desabite a opção de IDS de ataques TCP WinNuke. WinNuke é um ataque de negação de serviço (DoS) direcionado a qualquer computador na Internet que executa o Windows. |
|
Use a opção de IDS de ataque de fragmentoS de SYN do TCP para soltar quaisquer fragmentos de pacotes usados para o ataque. Um ataque de fragmento SYN inunda o host alvo com fragmentos de pacoteS SYN. O host armazena esses fragmentos, esperando a chegada dos fragmentos restantes para que ele possa remontá-los. A inundação de conexões que não podem ser concluídas eventualmente enche o buffer de memória do host. Nenhuma conexão adicional é possível, e danos ao sistema operacional do host podem ocorrer. |
|
Use a opção TCP tcp sem bandeira IDS para soltar pacotes TCP ilegais com um campo de bandeira ausente ou malformado. O valor limite define o número de cabeçalhos TCP sem o conjunto de bandeiras. Um cabeçalho de segmento TCP normal tem pelo menos um conjunto de bandeiras de controle. |
|
Use a opção TCP SYN FIN IDS para detectar uma combinação ilegal de bandeiras que os invasores podem usar para consumir sessões no dispositivo alvo, resultando assim em uma condição de negação de serviço (DoS). |
|
Habilite ou desabite a opção de IDS de ataque de terra do TCP. Ataques de terra ocorrem quando um invasor envia pacotes SYN falsificados contendo o endereço IP da vítima como o destino e o endereço IP de origem. |
|
Use a bit FIN sem opção de IDS de bit ACK para detectar uma combinação ilegal de bandeiras e rejeitar pacotes que tenham essa combinação. |
|
Use a opção ping de IDS de morte para detectar e rejeitar pacotes ICMP superdimensionados e irregulares. Embora a especificação TCP/IP exija um tamanho de pacote específico, muitas implementações de ping permitem tamanhos de pacotes maiores. Pacotes maiores podem desencadear uma série de reações adversas ao sistema, incluindo a quebra, o congelamento e a reinicialização. O ping de morte ocorre quando são enviados pacotes IP que excedem o comprimento legal máximo (65.535 bytes). |
|
Use a opção IDS de fragmento de ICMP para detectar e soltar qualquer quadro de ICMP com o conjunto de bandeiras Mais Fragmentos ou com uma compensação indicada no |
|
Use a opção IDS grande do ICMP para detectar e soltar qualquer quadro de ICMP com um comprimento de IP superior a 1024 bytes. |
|
Use a opção IDS de protocolo desconhecido de IP para descartar todos os quadros IP recebidos com números de protocolo superiores a 137 para IPv4 e 139 para IPv6. Esses números de protocolo são indefinidos ou reservados. |
|
Use a opção IDS ruim de IP para detectar e soltar qualquer pacote com uma opção de IP formatada incorretamente no cabeçalho de pacote IP. O dispositivo registra o evento na lista de contadores de tela para a interface de entrada. Esta opção de tela é aplicável ao IPv4 e IPv6. |
|
Use a opção IDS de rota de origem rigorosa de IP para detectar pacotes onde a opção de IP é 9 (roteamento de origem rigoroso) e registrar o evento na lista de contadores de tela para a interface de entrada. Essa opção especifica a lista de rotas completa para um pacote realizar sua jornada de origem ao destino. O último endereço da lista substitui o endereço no campo de destino. Atualmente, essa opção de tela é aplicável apenas ao IPv4. |
|
Use a opção IDS de rota de origem solta ip para detectar pacotes onde a opção IP é 3 (roteamento de origem frouxa) e registrar o evento na lista de contadores de tela para a interface de entrada. Essa opção especifica uma lista parcial de rotas para um pacote realizar sua jornada de origem a destino. O pacote deve prosseguir na ordem dos endereços especificados, mas ele pode passar por outros dispositivos entre os especificados. O cabeçalho de roteamento tipo 0 da opção de rota de origem frouxa é o único cabeçalho relacionado definido no IPv6. |
|
Use a opção IDS de rota de origem IP para detectar pacotes e registrar o evento na lista de contadores de tela para a interface de entrada. |
|
Use a opção IDS de fluxo IP para detectar pacotes onde a opção de IP é 8 (ID de fluxo) e registrar o evento na lista de contadores de tela para a interface de entrada. Essa opção oferece uma maneira de o identificador de fluxo SATNET de 16 bits ser transportado por redes que não suportam fluxos. Atualmente, essa opção de tela é aplicável apenas ao IPv4. |
|
Habilite ou desabile o bloqueio de fragmentação de pacotes IP. Quando esse recurso é habilitado, o Junos OS nega fragmentos de IP em uma zona de segurança e bloqueia todos os fragmentos de pacotes IP que são recebidos em interfaces vinculadas a essa zona. |
|
Use a opção IDS de rota de registro IP para detectar pacotes onde a opção de IP é 7 (rota de registro) e registrar o evento na lista de contadores de tela para a interface de entrada. Essa opção registra os endereços IP dos dispositivos de rede ao longo do caminho que o pacote IP viaja. Atualmente, essa opção de tela é aplicável apenas ao IPv4. |
|
Use a opção IDS de data e hora ip para detectar pacotes onde a lista de opções de IP inclui a opção 4 (data e hora da Internet) e registre o evento na lista de contadores de tela para a interface de entrada. Essa opção registra o tempo (em Tempo Universal) em que cada dispositivo de rede recebe o pacote durante sua viagem do ponto de origem ao seu destino. Atualmente, essa opção de tela é aplicável apenas ao IPv4. |
|
Use a opção IDS de segurança IP para detectar pacotes onde a opção de IP é 2 (segurança) e registrar o evento na lista de contadores de tela para a interface de entrada. Atualmente, essa opção de tela é aplicável apenas ao IPv4. |
|
Use a opção de spoofing de endereço IP IDS para evitar ataques spoofing. A spoofing de IP ocorre quando um endereço de origem inválido é inserido no cabeçalho do pacote para fazer com que o pacote pareça vir de uma fonte confiável. |
|
Use a opção IDS de queda de tear IP para bloquear ataques de tears. Ataques de tearped ocorrem quando pacotes ip fragmentados se sobrepõem e fazem com que o host tente remontar os pacotes para falhar. A opção de queda de lágrimas orienta o dispositivo a soltar quaisquer pacotes que tenham tal discrepância. Ataques de tears exploram a remontagem de pacotes IP fragmentados. |
Entendendo os aprimoramentos da arquitetura de pontos centrais para telas
Começando com o Junos OS Release 15.1X49-D30 e o Junos OS Release 17.3R1, em dispositivos SRX5400, SRX5600 e SRX5800, a arquitetura de ponto central é aprimorada para alcançar um número maior de conexões por segundo (CPS). Devido aos aprimoramentos, a sessão de ponto central e o processamento de pacotes de ponto central foram transferidos do ponto central para a Unidade de Processamento de Serviços (SPU).
Anteriormente, o ponto central tinha um limite de sessão e se não houvesse recursos (entradas de limite de sessão) disponíveis, o pacote sempre era permitido pelo limite da sessão. Agora, tanto o ponto central quanto a SPU têm limites de sessão. Se não houver recursos disponíveis no ponto central, mas os recursos estiverem disponíveis na SPU, o ponto central não pode limitar as sessões, mas a SPU pode limitar as sessões.
Os cenários a seguir descrevem quando o ponto central e a SPU determinam se permitem ou derrubam um pacote.
Quando o ponto central não tem entrada no limite de sessão e a SPU tem uma entrada de limite de sessão:
Se o contador de limite de sessão da SPU for maior do que o valor limite, o pacote será descartado.
Se o contador de limite de sessão da SPU não for maior do que o valor limite, o pacote será permitido.
Quando a SPU não tiver uma entrada de limite de sessão:
Se o contador de limite de sessão da SPU for maior do que o valor limite, o pacote será permitido.
Se o contador de limite de sessão da SPU não for maior do que o threshold, o pacote será permitido.
Uma mensagem extra é enviada ao ponto central para manter contagens de sessão precisas que podem afetar o número de conexões por segundo (CPS) para as telas. Isso afeta o limite de sessão de origem ou destino.
Estatísticas de tráfego globais sem um ponto central podem afetar algumas telas de visão globais. Apenas o cookie SYN não tem visão global, e as estatísticas de tráfego globais são tratadas pela SPU, de modo que o contador pode não ser preciso como antes. Para outras telas baseadas em estatísticas, tratadas tanto pelo ponto central quanto pela SPU, os contadores são precisos.
Anteriormente, as telas baseadas em estatísticas eram tratadas apenas pelo ponto central e o log e a armadilha SNMP poderiam ser estritamente limitados por taxa. Agora, tanto o ponto central quanto a SPU podem gerar o log e a armadilha SNMP de forma independente. Portanto, o log e a armadilha SNMP podem ser maiores do que antes.
Implementação de opções de tela em dispositivos da Série SRX
A tabela abaixo lista todas as opções de tela implementadas em firewalls da Série SRX e são suportadas em todos os firewalls da Série SRX.
Telas |
Implementado em NP/CP/SPU |
Suporte no modo Hash |
Suporte no modo SOF |
---|---|---|---|
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
CP+SPU |
Sim |
Sim |
|
CP+SPU |
Sim |
Sim |
|
CP+SPU |
Sim |
Sim |
|
CP+SPU |
Sim |
Sim |
|
CP+SPU |
Sim |
Sim |
|
SPU |
Sim |
NÃO |
|
SPU |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
SPU |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
CP+SPU |
Sim |
Sim |
|
SPU |
Sim |
Sim |
|
NP |
Sim |
Sim |
|
CP+SPU |
Sim |
Sim |
|
SPU |
Sim |
Não |
|
SPU |
Sim |
Não |
|
SPU |
Sim |
Não |
|
SPU |
Sim |
Não |
|
SPU |
Sim |
Não |
|
SPU |
Sim |
Não |
|
SPU |
Sim |
Não |
Todas as funcionalidades de tela suportadas na placa IOC1 são suportadas nas placas IOC2 e IOC3. Na linha SRX5000 de dispositivos e no dispositivo SRX4600, a unidade de processador de rede (NPU) em uma placa IOC2 é substituída pela Unidade de Lookup (LU).
Exemplo: configuração de várias opções de triagem
Este exemplo mostra como criar um perfil de serviço de detecção de intrusão (IDS) para várias opções de triagem.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Em uma zona de segurança, você pode aplicar um perfil de IDS a várias opções de triagem. Neste exemplo, estamos configurando as seguintes opções de triagem:
Triagem do ICMP
Triagem de IP
Triagem de TCP
Triagem de UDP
Essas opções de triagem são atribuídas a uma zona não confiável.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security screen ids-option screen-config icmp ip-sweep threshold 1000 set security screen ids-option screen-config icmp fragment set security screen ids-option screen-config icmp large set security screen ids-option screen-config icmp flood threshold 200 set security screen ids-option screen-config icmp ping-death set security screen ids-option screen-config ip bad-option set security screen ids-option screen-config ip stream-option set security screen ids-option screen-config ip spoofing set security screen ids-option screen-config ip strict-source-route-option set security screen ids-option screen-config ip unknown-protocol set security screen ids-option screen-config ip tear-drop set security screen ids-option screen-config tcp syn-fin set security screen ids-option screen-config tcp tcp-no-flag set security screen ids-option screen-config tcp syn-frag set security screen ids-option screen-config tcp port-scan threshold 1000 set security screen ids-option screen-config tcp syn-ack-ack-proxy threshold 500 set security screen ids-option screen-config tcp syn-flood alarm-threshold 500 set security screen ids-option screen-config tcp syn-flood attack-threshold 500 set security screen ids-option screen-config tcp syn-flood source-threshold 50 set security screen ids-option screen-config tcp syn-flood destination-threshold 1000 set security screen ids-option screen-config tcp syn-flood timeout 10 set security screen ids-option screen-config tcp land set security screen ids-option screen-config tcp winnuke set security screen ids-option screen-config tcp tcp-sweep threshold 1000 set security screen ids-option screen-config udp flood threshold 500 set security screen ids-option screen-config udp udp-sweep threshold 1000 set security zones security-zone untrust screen screen-config
Entre no commit
modo de configuração.
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Using the CLI Editor in Configuration Mode no Junos OS CLI User Guide.
Para configurar um perfil IDS para várias opções de triagem:
Configure as opções de triagem do ICMP.
[edit security screen ids-option screen-config] user@host# set icmp ip-sweep threshold 1000 user@host# set icmp fragment user@host# set icmp large user@host# set icmp flood threshold 200 user@host# set icmp ping-death
Configure as opções de triagem de IP.
[edit security screen ids-option screen-config] user@host# set ip bad-option user@host# set ip stream-option user@host# set ip spoofing user@host# set ip strict-source-route-option user@host# set ip unknown-protocol user@host# set ip tear-drop
Configure as opções de triagem de TCP.
[edit security screen ids-option screen-config] user@host# set tcp syn-fin user@host# set tcp tcp-no-flag user@host# set tcp syn-frag user@host# set tcp port-scan threshold 1000 user@host# set tcp syn-ack-ack-proxy threshold 500 user@host# set tcp syn-flood alarm-threshold 500 user@host# set tcp syn-flood attack-threshold 500 user@host# set tcp syn-flood source-threshold 50 user@host# set tcp syn-flood destination-threshold 1000 user@host# set tcp syn-flood timeout 10 user@host# set tcp land user@host# set tcp winnuke user@host# set tcp tcp-sweep threshold 1000
Configure as opções de triagem de UDP.
[edit security screen ids-option screen-config] user@host# set udp flood threshold 500 user@host# set udp udp-sweep threshold 1000
Conecte o perfil do IDS à zona.
[edit] user@host# set security zones security-zone untrust screen screen-config
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security screen ids-option screen-config
comandos e show security zones
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security screen ids-option screen-config icmp { ip-sweep threshold 1000; fragment; large; flood threshold 200; ping-death; } ip { bad-option; stream-option; spoofing; strict-source-route-option; unknown-protocol; tear-drop; } tcp { syn-fin; tcp-no-flag; syn-frag; port-scan threshold 1000; syn-ack-ack-proxy threshold 500; syn-flood { alarm-threshold 500; attack-threshold 500; source-threshold 50; destination-threshold 1000; timeout 10; } land; winnuke; tcp-sweep threshold 1000; } udp { flood threshold 500; udp-sweep threshold 1000; }
[edit] user@host# show security zones security-zone untrust { screen screen-config; }
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificando o perfil do IDS para várias opções de triagem
Propósito
Verifique se o perfil do IDS para várias opções de triagem está configurado corretamente.
Ação
Insira o comando e show security zones
entre no show security screen ids-option screen-config Screen object status
modo operacional.
user@host> show security screen ids-option screen-config Screen object status: Name Value ICMP flood threshold 200 UDP flood threshold 500 TCP winnuke enabled TCP port scan threshold 1000 ICMP address sweep threshold 1000 TCP sweep threshold 1000 UDP sweep threshold 1000 IP tear drop enabled TCP SYN flood attack threshold 500 TCP SYN flood alarm threshold 500 TCP SYN flood source threshold 50 TCP SYN flood destination threshold 1000 TCP SYN flood timeout 10 IP spoofing enabled ICMP ping of death enabled TCP land attack enabled TCP SYN fragment enabled TCP no flag enabled IP unknown protocol enabled IP bad options enabled IP strict source route option enabled IP stream option enabled ICMP fragmentation enabled ICMP large packet enabled TCP SYN FIN enabled TCP SYN-ACK-ACK proxy threshold 500 user@host> show security zones Security zone: untrust Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: screen-config Interfaces bound: 0 Interfaces:
Em todos os firewalls da Série SRX, o valor do limiar de alarme de inundação de sincronização de TCP não indica que o número de pacotes caiu, no entanto, o valor mostra as informações do pacote após o limiar de alarme ter sido atingido.
O cookie ou proxy de sincronização nunca descarta pacotes; portanto, a ação alarm-without-drop
(não drop
) é mostrada no log do sistema.
Entendendo as opções de tela no concentrador de portas do módulo de SRX5000
O concentrador de portas de módulo de linha SRX5000 (SRX5K-MPC) oferece suporte a opções de tela do Junos OS. As opções de tela protegem uma zona inspecionando e, em seguida, permitindo ou negando, todas as tentativas de conexão que exigem atravessar uma interface vinculada a essa zona.
Usando opções de tela, seu dispositivo de segurança pode se proteger contra diferentes ataques internos e externos, incluindo ataques de inundação SYN, ataques de inundação de UDP e ataques de verificação de portas. O Junos OS aplica verificações de tela ao tráfego antes do processamento da política de segurança, resultando em menos utilização de recursos.
As opções de tela são divididas nas seguintes duas categorias:
Telas baseadas em estatísticas
Telas baseadas em assinatura
Telas baseadas em estatísticas
Todos os recursos de tela implementados em um SRX5K-MPC são independentes do modo Camada 2 ou Camada 3. As proteções contra inundações são usadas para se defender contra ataques de inundação SYN, ataques de inundação na tabela de sessão, ataques de negação de serviço (DoS) e ataques do DoS da rede.
Os quatro tipos seguintes de proteção contra inundações baseadas em limiar são executados em cada processador para IPv4 e IPv6:
Proteção contra enchentes baseada em UDP
Proteção contra enchentes baseada em ICMP
Proteção contra inundações SYN baseada em fonte TCP
Proteção contra inundações SYN baseada em destino TCP
Se um dos dois tipos de proteções contra inundações TCP SYN estiver configurado em uma zona, o segundo tipo de proteção contra inundações TCP SYN será automaticamente habilitado na mesma zona. Esses dois tipos de proteções sempre funcionam juntos.
Cada tipo de proteção contra enchentes é baseada em limiares, e o limiar é calculado por zona em cada microprocessador. Se a inundação for detectada em um chip de microprocessador, esse microprocessador em particular agirá contra os pacotes ofensivos com base na configuração:
Ação padrão (relatório e queda)— o registro de tela e relatórios são feitos em uma SPU, portanto, os pacotes ofensivos precisam ser encaminhados para o ponto central ou SPU para essa finalidade. Para proteger as SPUs contra inundações, apenas o primeiro pacote ofensivo para cada tela em uma zona é enviado à SPU para registro e relatórios em cada segundo. O resto dos pacotes ofensivos são contados e descartados em um microprocessador.
Por exemplo, suponha que a inundação de UDP esteja configurada em uma interface lógica com um limite definido para 5000 pacotes por segundo. Se os pacotes UDP chegam à taxa de 20.000 por segundo, cerca de 5000 pacotes UDP são encaminhados para o ponto central ou SPU a cada segundo, e os pacotes restantes são detectados como inundação. No entanto, apenas um pacote de inundação UDP é enviado à SPU para registro e relatórios em cada segundo. Os pacotes restantes são descartados no microprocessador.
Somente alarme (alarme sem quedas)— um pacote ofensivo detectado pela proteção da tela não é descartado. Ele ignora o resto das verificações de tela e é encaminhado para o ponto central ou SPU com o resultado da tela copiado para seu meta-cabeçalho. Não é contado como um pacote perdido.
Diferenças entre IOC1 e IOC2
O comportamento das telas é o mesmo, quer o dispositivo tenha IOC1 ou uma placa IOC2. No entanto, há diferenças nos valores limiares para as telas baseadas em estatísticas. A Tabela 4 lista as opções de tela baseadas em estatísticas e o comportamento das telas, dependendo se o dispositivo tem uma placa IOC1 ou IOC2.
Nome da opção de tela |
Descrição |
IOC1 |
IOC2 |
---|---|---|---|
|
Define o valor limite de inundação do ICMP. A opção de tela de inundação do ICMP é usada para proteger contra ataques de inundação do ICMP. Um ataque de inundação do ICMP normalmente ocorre quando as solicitações de eco do ICMP usam todos os recursos na resposta, de modo que o tráfego de rede válido não possa mais ser processado. O valor limite define o número de pacotes ICMP por segundo autorizados a ping no mesmo endereço de destino antes que o dispositivo rejeite outros pacotes ICMP. |
Se o tráfego de entrada exceder o limite de pps, os pacotes serão descartados ou um alarme será levantado. |
Em SRX5000 dispositivos de linha com placa IOC2, há uma mudança na configuração da tela para chips de busca (LU). Há quatro chips LU em cada placa IOC2. Se o tráfego de entrada exceder o valor limite pps, os pacotes serão descartados. Por exemplo, se o usuário especificar o valor limite de 1000 pps, configuramos 250 pps em cada chip LU internamente, para que o valor limite de 1000 pps seja distribuído igualmente entre os 4 chips LU. Como resultado esperado, o usuário recebe o valor limite global de 1000 pps. Em SRX5000 dispositivos de linha, quando a placa IOC2 estiver no modo de descarregamento de serviços, apenas um chip LU funcionará. Se a taxa de tráfego de entrada exceder o valor limite, os pacotes serão descartados como resultado do comportamento esperado. |
|
Define o valor limite de inundação do UDP. A opção de tela de inundação UDP é usada para proteger contra ataques de inundação de UDP. O ataque de inundação de UDP ocorre quando um invasor envia pacotes IP contendo datagramas de UDP com a finalidade de diminuir a velocidade dos recursos, de modo que conexões válidas não possam mais ser tratadas. O valor limite define o número de UDP pps permitidos para ping no mesmo endereço IP de destino/par de porta. Quando o número de pacotes excede esse valor em qualquer período de 1 segundo, o dispositivo gera um alarme e derruba pacotes subseqüentes pelo resto desse segundo. |
Se o tráfego de entrada exceder o limite de pps, os pacotes serão descartados ou um alarme será levantado. |
Em SRX5000 dispositivos de linha com placa IOC2, há uma mudança na configuração da tela para chips de busca (LU). Há quatro chips LU em cada placa IOC2. Se o tráfego de entrada exceder o valor limite pps, os pacotes serão descartados. Por exemplo, se o usuário especificar o valor limite de 1000 pps, configuramos 250 pps em cada chip LU internamente, para que o valor limite de 1000 pps seja distribuído igualmente entre os 4 chips LU. Como resultado esperado, o usuário recebe o valor limite global de 1000 pps. Em SRX5000 dispositivos de linha, quando a placa IOC2 estiver no modo de descarregamento de serviços, apenas um chip LU funcionará. Se a taxa de tráfego de entrada exceder o valor limite, os pacotes serão descartados como resultado do comportamento esperado. |
|
Define o valor limite de fonte de inundação TCP SYN. O valor limite define o número de segmentos SYN a serem recebidos por segundo antes que o dispositivo comece a soltar as solicitações de conexão. A faixa aplicável é de 4 a 500.000 SYN pps. |
Se o tráfego de entrada exceder o limite de pps, os pacotes serão descartados ou um alarme será levantado.. |
Em SRX5000 dispositivos de linha com placa IOC2, há uma mudança na configuração da tela para chips de busca (LU). Há quatro chips LU em cada placa IOC2. Se o tráfego de entrada exceder o valor limite pps, os pacotes serão descartados. Por exemplo, se o usuário especificar o valor limite de 1000 pps, configuramos 250 pps em cada chip LU internamente, para que o valor limite de 1000 pps seja distribuído igualmente entre os 4 chips LU. Como resultado esperado, o usuário recebe o valor limite global de 1000 pps. Em SRX5000 dispositivos de linha, quando a placa IOC2 estiver no modo de descarregamento de serviços, apenas um chip LU funcionará. Se a taxa de tráfego de entrada exceder o valor limite, os pacotes serão descartados como resultado do comportamento esperado. |
|
Define o valor limite de destino de inundação do TCP SYN. O valor limite define o número de segmentos SYN recebidos por segundo antes que o dispositivo comece a soltar as solicitações de conexão. A faixa aplicável é de 4 a 500.000 SYN pps. |
Se o tráfego de entrada exceder o limite de pps, os pacotes serão descartados ou um alarme será levantado. |
Em SRX5000 dispositivos de linha com placa IOC2, há uma mudança na configuração da tela para chips de busca (LU). Há quatro chips LU em cada placa IOC2. Se o tráfego de entrada exceder o valor limite pps, os pacotes serão descartados. Por exemplo, se o usuário especificar o valor limite de 1000 pps, configuramos 250 pps em cada chip LU internamente, para que o valor limite de 1000 pps seja distribuído igualmente entre os 4 chips LU. Como resultado esperado, o usuário recebe o valor limite global de 1000 pps. Em SRX5000 dispositivos de linha, quando a placa IOC2 estiver no modo de descarregamento de serviços, apenas um chip LU funcionará. Se a taxa de tráfego de entrada exceder o valor limite, os pacotes serão descartados como resultado do comportamento esperado. |
Em dispositivos de linha SRX5400, SRX5600 e SRX5800, o valor limite da tela é definido para cada IOC no DUT para os links infantis LAG/LACP e RLAG/RETH. Quando você tem interfaces infantis entre IOC como parte das interfaces LAG/LACP ou RETH/RLAG e o tráfego de entrada também está atravessando vários links infantis por IOCs, defina o valor limite para corresponder ao número total de pacotes passados pela tela de vários IOCs com o número total esperado de pacotes por segundo (pps) na interface de saída.
Telas baseadas em assinatura
O SRX5K-MPC oferece opções de tela baseadas em assinatura, juntamente com verificações de sanidade no pacote recebido.
Às vezes, os pacotes recebidos pelo dispositivo são malformados ou inválidos, e podem causar danos ao dispositivo e à rede. Esses pacotes devem ser descartados durante as fases iniciais de processamento.
Para opções de tela baseadas em assinatura e verificações de sanidade, o conteúdo do pacote, incluindo cabeçalho de pacotes, bits de status e controle e cabeçalhos de extensão (para IPv6), são analisados. Você pode configurar as telas de acordo com seus requisitos, enquanto as verificações de sanidade de pacotes são realizadas por padrão.
As verificações de sanidade de pacotes e as opções de tela são realizadas em pacotes recebidos em interfaces de entrada.
O processador faz verificações de sanidade e executa alguns recursos de tela para detectar os pacotes de entrada malformados e maliciosos recebidos de interfaces físicas. Os pacotes que falham em uma verificação de sanidade são contados e descartados.
As verificações de sanidade de pacotes a seguir são suportadas:
Verificação de sanidade do IPv4
Verificação de sanidade do IPv6
Os recursos de tela a seguir são suportados:
Tela baseada em IP
Tela baseada em UDP
Tela baseada em TCP
Tela baseada em ICMP
Os recursos de tela são aplicáveis a pacotes IPv4 e IPv6, com exceção das telas de opções de IP, que só se aplicam a pacotes IPv4. Se um pacote for detectado por uma opção de tela, ele ignora o resto das verificações de tela e é encaminhado ao ponto central ou unidade de processamento de serviços (SPU) para registro e coleta de estatísticas.
Em dispositivos de SRX5400, SRX5600 e SRX5800, a tela de assinatura do primeiro caminho é executada primeiro, seguida pela tela de caminho bad-inner-header
rápido.
Entendendo o suporte IPv6 para telas
A Juniper Networks fornece vários mecanismos de detecção e defesa nos níveis de zona e política para combater explorações em todas as fases de sua execução. As opções de tela estão no nível da zona. As opções de tela do Junos OS protegem uma zona inspecionando-a e, em seguida, permitindo ou negando todas as tentativas de conexão que exigem atravessar uma interface vinculada a essa zona.
Você pode configurar opções de tela para verificar e filtrar pacotes com base em cabeçalhos de extensão IPv6, cabeçalhos de pacotes e tráfego ICMPv6. Com base em sua configuração, a tela pode soltar pacotes, criar logs e fornecer estatísticas maiores para o tráfego IPv6.
- Verificação e filtragem de cabeçalho de extensão IPv6
- Número máximo de cabeçalhos de extensão
- Cabeçalhos de extensão de opção ruim
- Verificação e filtragem ICMPv6
- Verificação e filtragem de cabeçalho de pacote IPv6
Verificação e filtragem de cabeçalho de extensão IPv6
Você pode usar a ipv6-extension-header
declaração para selecionar seletivamente um ou mais cabeçalhos de extensão. A Tabela 5 lista cabeçalhos de extensão IPv6 comuns e seus valores de tipo.
Nome do cabeçalho |
Valor do tipo de cabeçalho |
Padrões de Internet |
---|---|---|
Autenticação |
51 |
RFC 2460 |
Encapsulando o Security Payload |
50 |
RFC 2460 |
Protocolo de identificação de host |
139 |
RFC 5201 |
Opções de destino
|
60 |
RFC 2460 |
Fragmento |
44 |
RFC 2460 |
Opções de salto por salto
|
0 |
RFC 2460 |
Mobilidade |
135 |
RFC 6275 |
Não vem a seguir |
59 |
RFC 2460 |
Roteamento |
43 |
RFC 2460 |
Shim6 |
140 |
RFC 5533 |
Número máximo de cabeçalhos de extensão
Você pode especificar o número máximo de cabeçalhos de extensão permitidos em um pacote usando a ipv6-extension-header-limit
declaração. Embora o número máximo de cabeçalhos de extensão em um pacote não seja explicitamente especificado, a ordem de cabeçalhos de extensão é recomendada na RFC 2460:
Cabeçalho de opções hop-by-hop
Cabeçalho de opções de destino
Cabeçalho de roteamento
Cabeçalho de extensão de fragmento
Cabeçalho de autenticação
Encapsulando o cabeçalho security payload
Cabeçalho de opções de destino
Cada cabeçalho de extensão deve ocorrer no máximo uma vez, com exceção do cabeçalho de opções de destino, que deve ocorrer no máximo duas vezes (uma vez antes de um cabeçalho de roteamento e uma vez antes do cabeçalho de protocolo da camada superior).
O número máximo de cabeçalho de extensão baseado no RFC 2460 é 7. Outros cabeçalhos de extensão foram definidos por RFCs subseqüentes. Recomendamos que o número máximo de cabeçalho de extensão esteja na faixa de 0 a 32.
Cabeçalhos de extensão de opção ruim
Você pode configurar telas para detectar e soltar qualquer pacote com uma opção de IP formatada incorretamente no cabeçalho de pacote IP (IPv4 ou IPv6). O dispositivo registra o evento na lista de contadores de tela para a interface de entrada. A Tabela 6 lista os principais critérios que o dispositivo usa para testar pacotes para obter opções ruins.
Critérios de triagem |
Padrões de Internet |
Descrição |
---|---|---|
Cabeçalho de extensão de roteamento é após cabeçalho de fragmento |
RFC 2460 |
A ordem de cabeçalhos de extensão em um pacote é definida; portanto, o cabeçalho de extensão de fragmento deve ser após o cabeçalho de roteamento. |
Parâmetro de alerta de roteador errado |
RFC 2711 |
Essa opção está localizada no cabeçalho hop-by-hop e na implementação do Junos OS:
|
Mais de uma opção de back-to-back pad |
draft-krishnan-ipv6-hopbyhop-00 |
Esse tipo de tráfego é exibido como pacotes de erro. |
Carga não zero na opção PadN |
RFC 4942 |
O sistema verifica se o PadN só tem zero octets em sua carga. |
Padding além do próximo limite de oito octets |
RFC 4942 |
O sistema verifica o preenchimento além do próximo limite de oito octets. Não há nenhuma razão legítima para padding além do próximo limite de oito octets. |
Carga útil jumbo com carga de cabeçalho IPv6 não zero |
RFC 2675 |
O campo de comprimento de carga no cabeçalho IPv6 deve ser definido para zero em cada pacote que transporta a opção de carga jumbo. |
Verificação e filtragem ICMPv6
Você pode habilitar a verificação e a filtragem do ICMPv6. Em seguida, o sistema verifica se o pacote ICMPv6 recebido corresponde aos critérios definidos e realiza a ação especificada em pacotes correspondentes. Alguns dos principais critérios definidos são os seguintes:
Mensagem de informação de tipo desconhecido — Muitos tipos de mensagens de informação de ICMPv6 são definidas, como a solicitação de eco (valor 128), resposta de eco (valor 129) e solicitação de roteador (valor 133). A definição de tipo máximo é 149. Qualquer valor superior a 149 é tratado como um tipo desconhecido e exibido em conformidade.
Não atende às regras de formato de pacote ICMPv6 ND (RFC 4861)— Existem regras padrão, como o campo limite de IP Hop tem um valor de 255, o checksum do ICMP deve ser válido, o código ICMP deve ser 0 e assim por diante.
Filtragem malformada de pacotes ICMPv6 — Por exemplo, o pacote ICMPv6 é muito grande (tipo de mensagem 2), o próximo cabeçalho é definido para roteamento (43), e o cabeçalho de roteamento é definido para hop-by-hop.
Verificação e filtragem de cabeçalho de pacote IPv6
Você pode habilitar a verificação e a filtragem de cabeçalhos de pacoteS IPv6 usando a ipv6-malformed-header
declaração. Uma vez habilitado, o sistema verifica qualquer pacote IPv6 de entrada para verificar se ele corresponde a algum dos critérios definidos. Em seguida, o sistema executa a ação especificada (queda ou alarme sem queda) em pacotes correspondentes. A Tabela 7 lista os principais critérios que o dispositivo usa para testar pacotes.
Critérios de triagem |
Padrões de Internet |
Descrição |
---|---|---|
Endereços de origem e destino local desprecados |
RFC 3879 |
O prefixo unicast local-local IPv6 (1111111011 binário ou FEC0::/10) não é suportado. |
Valores de escopo de endereço multicast ilegais |
RFC 4291 |
Os valores de escopo de endereço multicast não assinados são tratados como ilegais. |
Prefixo somente com documentação (2001:DB8:/32) |
RFC 3849 |
A IANA deve registrar a alocação do prefixo global de endereço unicast IPv6 (2001:DB8:/32) como um prefixo somente de documentação no registro de endereço IPv6. Nenhuma parte final deve ser atribuída a este endereço. |
Endereços de origem e destino IPv6 compatíveis com IPv4 desprecados (::/96) |
RFC 4291 |
O endereço IPv6 compatível com IPv4 foi preterido e não tem suporte. |
Endereços de origem e destino da ORCHID (2001:10:/28) |
RFC 5156 |
Os endereços dos identificadores de hash criptográficos roteáveis overlay (2001:10:/28) são usados como identificadores e não podem ser usados para roteamento na camada IP. Os endereços neste bloco não devem aparecer na Internet pública. |
Um endereço IPv4 embutido no endereço IPv6 (64:ff9b::/96) é um endereço IPv4 ilegal e inaceitável |
RFC 6052 |
O endereço IPv6, 64:ff9b:/96, está reservado como "Prefixo bem conhecido" para uso em mapeamento algorítmico. |
Entendendo o controle de tunelamento IPv6 de tela
Várias metodologias de transição IPv6 são fornecidas para utilizar o tunelamento de pacotes IPv6 em redes IPv4 que não oferecem suporte ao IPv6. Por esse motivo, esses métodos usam gateways públicos e ignoram as políticas da operadora.
A segurança de pacotes em túneis é uma grande preocupação para os provedores de serviços, pois os pacotes em túnel são facilmente acessados pelos invasores. Inúmeras metodologias de transição IPv6 evoluíram para o envio de pacotes em túneis por uma rede; no entanto, como alguns deles operam em gateways públicos, eles ignoram as políticas da operadora. Isso significa que a transmissão de pacotes é exposta a invasores. Para superar e proteger a transferência de pacotes, os nós finais do IPv6 são necessários para des capsular os pacotes de dados encapsulados. A tela é uma das mais recentes tecnologias disponíveis para bloquear ou permitir o tráfego de tunelamento com base nas preferências do usuário.
Você pode configurar as seguintes opções de tela para verificar e filtrar pacotes com base em cabeçalhos de extensão IPv6, cabeçalhos de pacotes e validação de endereços IPv6 ou IPv4 de cabeçalho interno ruim. Com base em sua configuração, a tela pode soltar pacotes, criar logs e fornecer estatísticas maiores para tunelamento IP.
Túnel GRE 4in4: A tela do túnel GRE 4in4 combina com a seguinte assinatura:
| IPv4 outer header | GRE header | IPv4 inner header
Um cabeçalho IPv4 externo deve ser o encapsulamento do Protocolo 47 GRE. Um cabeçalho GRE deve ter protocolo E-type 0x0800 IPv4. Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel GRE 4in4.
Túnel GRE 4in6: A tela do túnel GRE 4in6 combina com a seguinte assinatura:
IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv4 inner header
Um cabeçalho principal IPv6 externo ou um cabeçalho de extensão IPv6 devem ter um Cabeçalho Próximo de valor 47 para GRE. Um cabeçalho GRE deve ter protocolo E-type 0x0800 IPv4. Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel GRE 4in6.
Túnel GRE 6in4: A tela do túnel GRE 6in4 combina com a seguinte assinatura:
IPv4 outer header | GRE header | IPv6 inner header
Um cabeçalho IPv4 externo deve ser o encapsulamento do Protocolo 47 GRE. Um cabeçalho GRE deve ter protocolo E-type 0x086DD IPv6 . Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel GRE 6in4.
Túnel GRE 6in6: A tela do túnel GRE 6in6 combina com a seguinte assinatura:
IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv6 inner header
Um cabeçalho principal IPv6 externo ou um cabeçalho de extensão IPv6 devem ter um Cabeçalho Próximo de valor 47 para GRE. Um cabeçalho GRE deve ter protocolo E-type 0x086DD' IPv6. Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel GRE 6in6.
Túnel IPinIP 6to4relay : A tela do túnel IPinIP 6to4relay combina com a seguinte assinatura:
| IPv4 outer header | IPv6 inner header
Um cabeçalho IPv4 externo deve ser o encapsulamento do Protocolo 41 IPv6. Um endereço de origem ou endereço de destino externo deve estar na rede 192.88.99.0/24. Um endereço de origem de cabeçalho IPv6 interno ou endereço de destino deve estar na rede 2002:/16. Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel IPinIP 6to4relay.
Túnel IPinIP 6in4 : A tela do túnel IPinIP 6in4 combina com a seguinte assinatura:
| IPv4 outer header | IPv6 inner header
Um cabeçalho IPv4 externo deve ser o encapsulamento do Protocolo 41 IPv6. Se essa condição for atendida, este pacote é classificado como assinatura de túnel IPinIP 6in4.
Nota:Normalmente, quando os pacotes IPv6 precisam ser transportados em uma rede IPv4 completa, os pacotes IPv6 utilizam um túnel 6in4 ponto a ponto.
Túnel IPinIP 6over4 : A tela do túnel IPinIP 6over4 combina com a seguinte assinatura:
| IPv4 outer header | IPv6 inner header
Um cabeçalho IPv4 externo deve ser o Protocolo 41 IPv6 Encapsulation:W. Um endereço de origem ou endereço de destino de cabeçalho interno deve estar na rede fe80:/64 . Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel IPinIP 6over4.
Túnel IPinIP 4in6 : A tela do túnel IPinIP 4in6 combina com a seguinte assinatura:
| IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header
Um cabeçalho IPv6 externo ou um cabeçalho de extensão IPv6 devem ter um Cabeçalho Próximo de valor 04 para IPv4. Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel IPinIP 4in6.
Túnel ISATAP IPinIP: a tela do túnel ISATAP IPinIP combina com a seguinte assinatura:
| IPv6 outer main header | IPv6 inner header
Um cabeçalho IPv4 externo deve ser o encapsulamento do Protocolo 41 IPv6. Um endereço de origem de cabeçalho IPv6 interno ou endereço de destino deve estar na rede fe80:200:5efe/96 ou fe80:5efe/96 . Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel ISATAP IPinIP.
Túnel IPinIP DS-Lite: A tela do túnel DS-Lite IPinIP combina com a seguinte assinatura:
| IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header
Um cabeçalho IPv6 externo ou um cabeçalho de extensão IPv6 devem ter um Cabeçalho Próximo de valor 04 para IPv4. Um endereço de origem ou endereço de destino IPv4 interno deve estar na rede 192.0.0/29 . Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel IPinIP DS-Lite.
Túnel IPinIP 6in6: A tela do túnel IPinIP 6in6 combina com a seguinte assinatura:
| IPv6 outer main header | IPv6 extension header(s) | IPv6 inner main header
Um cabeçalho principal IPv6 externo ou um cabeçalho de extensão IPv6 devem ter um Cabeçalho Próximo de valor 41 para IPv6. Um cabeçalho principal IPv6 interno deve ser a Versão 6. Se essas duas condições forem atendidas, este pacote será classificado como assinatura de túnel IPinIP 6in6.
Túnel IPinIP 4in4: A tela do túnel IPinIP 4in4 combina com a seguinte assinatura:
| IPv6 outer header | IPv4 inner header
. Um cabeçalho IPv4 externo deve ter um protocolo de valor 04 para IPv4. Um cabeçalho IPv4 interno deve ser a Versão 4.Túnel teredo IPinUDP: o túnel teredo IPinUDP combina com a seguinte assinatura:
IPv4 outer header | UDP header | IPv6 inner header
Um cabeçalho IPv4 externo deve ter um protocolo de 17 para carga de UDP. Uma fonte de cabeçalho UDP ou porta de destino deve ser 3544. Um endereço de origem de cabeçalho IPv6 interno ou endereço de destino deve estar na rede 2001:0000:/32.
Verificação de cabeçalho interno ruim do túnel IP: a tela de túnel de cabeçalho interno do túnel verifica a consistência do cabeçalho interno do tráfego do túnel. O pacote cai quando qualquer um dos seguintes é detectado:
Cabeçalho interno não combina com cabeçalho externo.
O cabeçalho interno TTL ou o Limite de Salto não devem ser 0 ou 255.
Verificação de endereço IPv6 de cabeçalho interno.
Verificação de endereço IPv4 de cabeçalho interno.
Verificações de comprimento do cabeçalho externo e interno:
Verificação do comprimento do cabeçalho interno IPv4 e IPv6 TCP/UDP/ICMP:
O comprimento do cabeçalho de TCP/UDP/ICMP deve se encaixar no comprimento interno do cabeçalho IPv4/IPv6/EH6 quando o IP interno (v4/v6) não é um primeiro, próximo ou último fragmento.
TCP: O tamanho mínimo de cabeçalho de TCP deve se encaixar no comprimento de encapsulamento anterior.
ICMP: O tamanho mínimo do cabeçalho ICMP deve se encaixar no comprimento de encapsulamento anterior.
Pacotes fragmentados: Para pacotes fragmentados, se as informações do túnel precisarem ser verificadas para uma tela e não estiver no primeiro fragmento, então a verificação não é realizada, exceto as partes do encapsulamento do túnel que estão incluídas no primeiro fragmento. Verificações de comprimento são realizadas em pacotes de primeiro fragmento usando o comprimento real do buffer de pacote, mas as verificações de comprimento são ignoradas porque o cabeçalho interno é maior que o cabeçalho externo.
Quando o cabeçalho externo é o primeiro fragmento, não examine o comprimento de pacote físico passado do fragmento.
Quando o cabeçalho interno é um primeiro fragmento, não examine o comprimento passado do fragmento.
Para pacotes de fragmentos que não são os primeiros, a verificação não é realizada na tela do túnel de cabeçalho interno ruim.
Quando o cabeçalho externo é um fragmento não-primeiro, examine o pacote em busca de telas que usem apenas assinaturas de cabeçalho IP, porque a carga não pode ser analisada.
Quando o cabeçalho interno é um fragmento não-primeiro, não examine o próximo pacote.
O cabeçalho interno IPv4 verifica se o cabeçalho IPv4 é de 20 a 50 bytes.
Em todos os firewalls da Série SRX, quando um pacote permite ou baixa sessão é estabelecido, a tela de cabeçalho interno ruim é executada em cada pacote, porque esta tela é uma tela de caminho rápido.
No SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX4100, SRX4200 dispositivos e instâncias de firewall virtual vSRX., a tela de cabeçalho interno de caminho rápido é sempre executada primeiro, seguida pela tela de assinatura do primeiro caminho.
Começando pelo Junos OS Release 12.3X48-D10 e Junos OS Release 17.3R1, as mensagens RT_SCREEN_IP
de syslog e RT_SCREEN_IP_LS
a tela de tunelamento IP foram atualizadas. As mensagens atualizadas incluem ataques de tela de túnel e critérios de log sem gota. A lista a seguir ilustra alguns exemplos dessas novas mensagens de log do sistema para cada um dos tipos de túnel:
RT_SCREEN_IP: Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop
RT_SCREEN_IP: Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop
RT_SCREEN_IP: Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop
RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop
RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop
RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop
Exemplo: melhoria da segurança de tráfego de túnel com opções de tela de tunelamento IP
Este exemplo mostra como configurar as telas de túnel para permitir que as telas controlem, permitam ou bloqueiem o trânsito de tráfego em túneis.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um firewall da Série SRX
Versão Junos OS 12.3X48-D10 e posterior
Antes de começar:
Entenda o controle de tunelamento IPv6. Veja a compreensão do controle de tunelamento IPv6 da tela.
Visão geral
Você pode configurar as seguintes opções de tela de tunelamento IP para verificar e filtrar pacotes, com base em cabeçalhos de extensão IPv6, cabeçalhos de pacotes e validação de endereçoS IPv6 ou IPv4 com cabeçalhos internos ruins. Com base em sua configuração, a tela pode soltar pacotes, criar logs e fornecer estatísticas maiores para tunelamento IP. As seguintes opções de tela de tunelamento são atribuídas a uma zona não confiável.
Túnel GRE 4in4
Túnel GRE 4in6
Túnel GRE 6in4
Túnel GRE 6in6
Túnel Teredo IPinUDP
Túnel IPinIP 4in4
Túnel IPinIP 4in6
Túnel IPinIP 6in4
Túnel IPinIP 6in6
Túnel IPinIP 6over4
Túnel IPinIP 6to4relay
Túnel ISATAP IPinIP
Túnel IPinIP DS-Lite
Túnel de cabeçalho interno ruim
Configuração
Para configurar as opções de tela de tunelamento IP, execute essas tarefas:
- Configuração de telas de túnel GRE
- Configuração de uma tela de túnel teredo IPinUDP
- Configuração de uma tela de túnel IPinIP
- Configuração de uma tela de túnel de cabeçalho interno ruim
- Resultados
Configuração de telas de túnel GRE
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security screen ids-option screen1 ip tunnel gre gre-4in4 set security screen ids-option screen1 ip tunnel gre gre-4in6 set security screen ids-option screen1 ip tunnel gre gre-6in4 set security screen ids-option screen1 ip tunnel gre gre-6in6 set security zones security-zone untrust screen screen1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Using the CLI Editor in Configuration Mode no CLI User Guide.
Para configurar uma tela de túnel GRE:
Configure uma tela de túnel GRE para verificar as informações de cabeçalho interno do tráfego de túnel para obter consistência e validar a tela do tipo de assinatura.
[edit security screen ids-option screen1 ip tunnel gre] user@host# set gre-4in4 user@host# set gre-4in6 user@host# set gre-6in4 user@host# set gre gre-6in6
Configure as telas nas zonas de segurança.
user@host#set security zones security-zone untrust screen screen1
Configuração de uma tela de túnel teredo IPinUDP
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security screen ids-option screen1 ip tunnel ip-in-udp teredo set security zones security-zone untrust screen screen1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Using the CLI Editor in Configuration Mode no CLI User Guide.
Para configurar uma tela de túnel Teredo IPinUDP:
Configure uma tela de túnel IPinUDP Teredo para verificar as informações de cabeçalho interno do tráfego de túnel para obter consistência e validar a tela do tipo de assinatura.
[edit security screen ids-option screen1 ip tunnel] user@host# set ip-in-udp teredo
Configure as telas nas zonas de segurança.
user@host# set security zones security-zone untrust screen screen1
Configuração de uma tela de túnel IPinIP
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security screen ids-option screen1 ip tunnel ipip dslite set security screen ids-option screen1 ip tunnel ipip ipip-4in4 set security screen ids-option screen1 ip tunnel ipip ipip-4in6 set security screen ids-option screen1 ip tunnel ipip ipip-6in4 set security screen ids-option screen1 ip tunnel ipip ipip-6in6 set security screen ids-option screen1 ip tunnel ipip ipip-6over4 set security screen ids-option screen1 ip tunnel ipip ipip-6to4relay set security screen ids-option screen1 ip tunnel ipip isatap set security zones security-zone untrust screen screen1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar uma tela de túnel IPinIP:
Configure uma tela de túnel IPinIP para verificar as informações de cabeçalho interno do tráfego de túnel para obter consistência e validar a tela do tipo de assinatura.
[edit security screen ids-option screen1 ip tunnel ipip] user@host# set dslite user@host# set ipip-4in4 user@host# set ipip-4in6 user@host# set ipip-6in4 user@host# set ipip-6in6 user@host# set ipip-6over4 user@host# set ipip-6to4relay user@host# set ipip-isatap
Configure as telas nas zonas de segurança.
user@host# set security zones security-zone untrust screen screen1
Configuração de uma tela de túnel de cabeçalho interno ruim
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security screen ids-option screen1 ip tunnel bad-inner-header set security zones security-zone untrust screen screen1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.
Para configurar uma tela de túnel de cabeçalho interno ruim:
Configure uma tela de túnel de cabeçalho interno ruim para verificar as informações de cabeçalho interno do tráfego do túnel para obter consistência.
[edit security screen ids-option screen1 ip tunnel] user@host# set bad-inner-header
Configure as telas nas zonas de segurança.
user@host# set security zones security-zone untrust screen screen1
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security screen
comandos e show security screen statistics zone untrust ip tunnel
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Para a brevidade, essa show
saída inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).
[edit] user@host# show security screen ... ids-option screen1 { ip{ tunnel { gre { gre-4in4; gre-4in6; gre-6in4; gre-6in6; } ip-in-udp { teredo; } ipip { ipip-4in4; ipip-4in6; ipip-6in4; ipip-6in6; ipip-6over4; ipip-6to4relay; isatap; dslite; } bad-inner-header; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando a configuração da tela de segurança
- Verificação de telas de túnel IP nas zonas de segurança
Verificando a configuração da tela de segurança
Propósito
Exibir as informações de configuração sobre a tela de segurança.
Ação
A partir do modo operacional, entre no show security screen ids-option screen1
comando.
user@host> show security screen ids-option screen1 show security screen ids-option screen1: Name Value IP Tunnel Bad Inner Header enabled IP Tunnel GRE 6in4 enabled IP Tunnel GRE 4in6 enabled IP Tunnel GRE 6in6 enabled IP Tunnel GRE 4in4 enabled IP Tunnel IPinUDP Teredo enabled IP Tunnel IPIP 6to4 Relay enabled IP Tunnel IPIP 6in4 enabled IP Tunnel IPIP 6over4 enabled IP Tunnel IPIP 4in6 enabled IP Tunnel IPIP 4in4 enabled IP Tunnel IPIP 6in6 enabled IP Tunnel IPIP ISATAP enabled IP Tunnel IPIP DS-Lite enabled
Significado
O show security screen ids-option screen1
comando exibe o status do objeto da tela conforme habilitado.
Verificação de telas de túnel IP nas zonas de segurança
Propósito
Verifique se as opções de tela de tunelamento IP estão configuradas corretamente nas zonas de segurança.
Ação
A partir do modo operacional, entre no show security screen statistics zone untrust ip tunnel
comando.
user@host> show security screen statistics zone untrust ip tunnel IP Tunnel Screen statistics: IDS attack type Statistics IP tunnel GRE 6in4 0 IP tunnel GRE 4in6 0 IP tunnel GRE 6in6 0 IP tunnel GRE 4in4 0 IP tunnel IPIP 6to4 relay 0 IP tunnel IPIP 6in4 0 IP tunnel IPIP 6over4 0 IP tunnel IPIP 4in6 0 IP tunnel IPIP 4in4 0 IP tunnel IPIP 6in6 0 IP tunnel IPIP ISATAP 0 IP tunnel IPIP DS-Lite 0 IP tunnel IPinUDP Teredo 0 IP tunnel bad inner header 0
Significado
O show security screen statistics zone untrust ip tunnel
comando exibe o resumo das estatísticas da tela do túnel IP.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
TCP-Synflood-src-based
TCP-Synflood-dst-based
proteção contra enchentes e UDP.
RT_SCREEN_IP
de syslog e
RT_SCREEN_IP_LS
a tela de tunelamento IP foram atualizadas.