Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Telas opções para detecção e prevenção de ataques

A detecção e prevenção de ataques detecta e defende a rede contra ataques. Usando opções de tela, as plataformas de segurança Junos podem se proteger contra diferentes ataques internos e externos Para obter mais informações, veja os seguintes tópicos:

Entendendo as opções de telas em dispositivos da Série SRX

Em todos os firewalls da Série SRX, as telas são divididas em duas categorias:

Telas baseadas em estatísticas

A Tabela 1 lista todas as opções de tela baseadas em estatísticas.

Tabela 1: Opções de tela baseadas em estatísticas

Nome da opção de tela

Descrição

ICMP flood

Use a opção IDS de inundação do ICMP para se proteger contra ataques de inundação do ICMP. Um ataque de inundação do ICMP normalmente ocorre quando as solicitações de eco do ICMP usam todos os recursos na resposta, de modo que o tráfego de rede válido não possa mais ser processado.

O valor limite define o número de pacotes ICMP por segundo (pps) autorizados a serem enviados para o mesmo endereço de destino antes que o dispositivo rejeite outros pacotes ICMP.

UDP flood

Use a opção UDP flood IDS para proteger contra ataques de inundação UDP. Um ataque de inundação de UDP ocorre quando um invasor envia pacotes IP contendo um datagrama UDP com a finalidade de diminuir a velocidade dos recursos, de modo que conexões válidas não possam mais ser tratadas.

O valor limite define o número de pacotes UDP por segundo autorizados a serem enviados para o mesmo endereço IP de destino. Quando o número de pacotes excede esse valor em qualquer período de 1 segundo, o dispositivo gera um alarme e derruba pacotes subseqüentes pelo resto desse segundo.

TCP SYN flood source

Use a opção de IDS de fonte de inundação TCP SYN para definir o valor limite de origem. O valor limite define o número de segmentos SYN a serem recebidos por segundo antes que o dispositivo comece a soltar as solicitações de conexão.

A faixa aplicável é de 4 a 500.000 SYN pps.

TCP SYN flood destination

Use a opção de IDS de destino de inundação SYN para definir o valor limite de destino. O valor limite define o número de segmentos SYN recebidos por segundo antes que o dispositivo comece a soltar as solicitações de conexão.

A faixa aplicável é de 4 a 500.000 SYN pps.

TCP SYN flood

Use a opção TCP SYN flood IDS para detectar e evitar ataques de inundação SYN. Esses ataques ocorrem quando o host de conexão envia continuamente solicitações de SYN do TCP sem responder às respostas ACK correspondentes.

TCP port scan

Use a opção IDS de digitalização de portas TCP para evitar ataques de verificação de porta. O objetivo deste ataque é escanear os serviços disponíveis na esperança de que pelo menos uma porta responda, identificando assim um serviço ao alvo.

TCP SYN-ACK-ACK proxy

Use a opção de tela de proxy TCP SYN-ACK-ACK para evitar ataques SYN-ACK-ACK. Após o número de conexões do mesmo endereço IP atingir o limite de proxy SYN-ACK-ACK, os firewalls da Série SRX que executam o Junos OS rejeitam novas solicitações de conexão desse endereço IP.

ICMP IP sweep

Use a opção IDS de varrer IP do ICMP para detectar e evitar um ataque de varredura de IP. Um ataque de varredura de IP ocorre quando um invasor envia solicitações de eco (pings) do ICMP para vários endereços de destino. Se um host alvo responder, a resposta revela o endereço IP do alvo para o invasor. Se o dispositivo receber 10 solicitações de eco do ICMP dentro do número de microssegundos especificados nesta declaração, ele sinaliza isso como um ataque de varredura de IP, e rejeita o 11º e todos os pacotes de ICMP adicionais desse host para o restante do segundo.

O valor limite define o número máximo de microssegundos durante os quais até 10 solicitações de eco de ICMP do mesmo host são permitidas no dispositivo.

TCP SYN flood alarm

Use a opção de IDS de alarme de inundação TCP SYN para definir o valor do limiar do alarme. O valor limite define o número de conexões proxy semi-completas por segundo em que o dispositivo faz entradas no log de alarme de caso. A faixa é de 1 a 500.000 solicitações por segundo.

TCP SYN flood attack

Use a opção de IDS de ataque de inundação TCP SYN para definir o valor limite de ataque. O valor limite define o número de pacotes SYN por segundo necessários para acionar a resposta de proxy SYN. A faixa é de 1 a 500.000 pps de proxyd.

UDP udp sweep

Use a opção UDP udp sweep IDS para detectar e evitar ataques de varredura de UDP. Em um ataque de varredura de UDP, um invasor envia pacotes UDP para o dispositivo alvo. Se o dispositivo responder a esses pacotes, o invasor recebe uma indicação de que uma porta no dispositivo alvo está aberta, o que torna a porta vulnerável a ataques. Se um host remoto enviar pacotes UDP a 10 endereços em 0,005 segundos (5000 microssegundos), o dispositivo sinalizará isso como um ataque de varredura de UDP.

Se a opção alarm-without-drop não for definida, o dispositivo rejeita o 11º e todos os pacotes UDP adicionais desse host pelo restante do período limite especificado.

O valor limite define o número de microssegundos para os quais o dispositivo aceita 10 pacotes UDP da mesma fonte remota para diferentes endereços de destino.

Começando com o Junos OS Release 15.1X49-D20 e o Junos OS Release 17.3R1, o firewall gera apenas uma mensagem de log a cada segundo, independentemente do número de pacotes que desencadeiam o limite de sessão de origem ou destino. Esse comportamento se aplica a telas de proteção contra enchentes com TCP-Synflood-src-basedTCP-Synflood-dst-basedproteção contra enchentes e UDP.

Telas baseadas em assinatura

A Tabela 2 lista todas as opções de tela baseadas em assinatura.

Tabela 2: Opções de tela baseadas em assinatura

Nome da opção de tela

Descrição

TCP Winnuke

Habilite ou desabite a opção de IDS de ataques TCP WinNuke. WinNuke é um ataque de negação de serviço (DoS) direcionado a qualquer computador na Internet que executa o Windows.

TCP SYN fragment

Use a opção de IDS de ataque de fragmentoS de SYN do TCP para soltar quaisquer fragmentos de pacotes usados para o ataque. Um ataque de fragmento SYN inunda o host alvo com fragmentos de pacoteS SYN. O host armazena esses fragmentos, esperando a chegada dos fragmentos restantes para que ele possa remontá-los. A inundação de conexões que não podem ser concluídas eventualmente enche o buffer de memória do host. Nenhuma conexão adicional é possível, e danos ao sistema operacional do host podem ocorrer.

TCP no flag

Use a opção TCP tcp sem bandeira IDS para soltar pacotes TCP ilegais com um campo de bandeira ausente ou malformado. O valor limite define o número de cabeçalhos TCP sem o conjunto de bandeiras. Um cabeçalho de segmento TCP normal tem pelo menos um conjunto de bandeiras de controle.

TCP SYN FIN

Use a opção TCP SYN FIN IDS para detectar uma combinação ilegal de bandeiras que os invasores podem usar para consumir sessões no dispositivo alvo, resultando assim em uma condição de negação de serviço (DoS).

TCP land

Habilite ou desabite a opção de IDS de ataque de terra do TCP. Ataques de terra ocorrem quando um invasor envia pacotes SYN falsificados contendo o endereço IP da vítima como o destino e o endereço IP de origem.

TCP FIN no ACK

Use a bit FIN sem opção de IDS de bit ACK para detectar uma combinação ilegal de bandeiras e rejeitar pacotes que tenham essa combinação.

ICMP ping of death

Use a opção ping de IDS de morte para detectar e rejeitar pacotes ICMP superdimensionados e irregulares. Embora a especificação TCP/IP exija um tamanho de pacote específico, muitas implementações de ping permitem tamanhos de pacotes maiores. Pacotes maiores podem desencadear uma série de reações adversas ao sistema, incluindo a quebra, o congelamento e a reinicialização.

O ping de morte ocorre quando são enviados pacotes IP que excedem o comprimento legal máximo (65.535 bytes).

ICMP fragment

Use a opção IDS de fragmento de ICMP para detectar e soltar qualquer quadro de ICMP com o conjunto de bandeiras Mais Fragmentos ou com uma compensação indicada no offset campo.

ICMP large

Use a opção IDS grande do ICMP para detectar e soltar qualquer quadro de ICMP com um comprimento de IP superior a 1024 bytes.

IP unknown protocol

Use a opção IDS de protocolo desconhecido de IP para descartar todos os quadros IP recebidos com números de protocolo superiores a 137 para IPv4 e 139 para IPv6. Esses números de protocolo são indefinidos ou reservados.

IP bad option

Use a opção IDS ruim de IP para detectar e soltar qualquer pacote com uma opção de IP formatada incorretamente no cabeçalho de pacote IP. O dispositivo registra o evento na lista de contadores de tela para a interface de entrada. Esta opção de tela é aplicável ao IPv4 e IPv6.

IP strict source route option

Use a opção IDS de rota de origem rigorosa de IP para detectar pacotes onde a opção de IP é 9 (roteamento de origem rigoroso) e registrar o evento na lista de contadores de tela para a interface de entrada. Essa opção especifica a lista de rotas completa para um pacote realizar sua jornada de origem ao destino. O último endereço da lista substitui o endereço no campo de destino. Atualmente, essa opção de tela é aplicável apenas ao IPv4.

IP loose source route option

Use a opção IDS de rota de origem solta ip para detectar pacotes onde a opção IP é 3 (roteamento de origem frouxa) e registrar o evento na lista de contadores de tela para a interface de entrada. Essa opção especifica uma lista parcial de rotas para um pacote realizar sua jornada de origem a destino. O pacote deve prosseguir na ordem dos endereços especificados, mas ele pode passar por outros dispositivos entre os especificados. O cabeçalho de roteamento tipo 0 da opção de rota de origem frouxa é o único cabeçalho relacionado definido no IPv6.

IP source route option

Use a opção IDS de rota de origem IP para detectar pacotes e registrar o evento na lista de contadores de tela para a interface de entrada.

IP stream option

Use a opção IDS de fluxo IP para detectar pacotes onde a opção de IP é 8 (ID de fluxo) e registrar o evento na lista de contadores de tela para a interface de entrada. Essa opção oferece uma maneira de o identificador de fluxo SATNET de 16 bits ser transportado por redes que não suportam fluxos. Atualmente, essa opção de tela é aplicável apenas ao IPv4.

IP block fragment

Habilite ou desabile o bloqueio de fragmentação de pacotes IP. Quando esse recurso é habilitado, o Junos OS nega fragmentos de IP em uma zona de segurança e bloqueia todos os fragmentos de pacotes IP que são recebidos em interfaces vinculadas a essa zona.

IP record route option

Use a opção IDS de rota de registro IP para detectar pacotes onde a opção de IP é 7 (rota de registro) e registrar o evento na lista de contadores de tela para a interface de entrada. Essa opção registra os endereços IP dos dispositivos de rede ao longo do caminho que o pacote IP viaja. Atualmente, essa opção de tela é aplicável apenas ao IPv4.

IP timestamp option

Use a opção IDS de data e hora ip para detectar pacotes onde a lista de opções de IP inclui a opção 4 (data e hora da Internet) e registre o evento na lista de contadores de tela para a interface de entrada. Essa opção registra o tempo (em Tempo Universal) em que cada dispositivo de rede recebe o pacote durante sua viagem do ponto de origem ao seu destino. Atualmente, essa opção de tela é aplicável apenas ao IPv4.

IP security option

Use a opção IDS de segurança IP para detectar pacotes onde a opção de IP é 2 (segurança) e registrar o evento na lista de contadores de tela para a interface de entrada. Atualmente, essa opção de tela é aplicável apenas ao IPv4.

IP spoofing

Use a opção de spoofing de endereço IP IDS para evitar ataques spoofing. A spoofing de IP ocorre quando um endereço de origem inválido é inserido no cabeçalho do pacote para fazer com que o pacote pareça vir de uma fonte confiável.

IP tear drop

Use a opção IDS de queda de tear IP para bloquear ataques de tears. Ataques de tearped ocorrem quando pacotes ip fragmentados se sobrepõem e fazem com que o host tente remontar os pacotes para falhar. A opção de queda de lágrimas orienta o dispositivo a soltar quaisquer pacotes que tenham tal discrepância. Ataques de tears exploram a remontagem de pacotes IP fragmentados.

Entendendo os aprimoramentos da arquitetura de pontos centrais para telas

Começando com o Junos OS Release 15.1X49-D30 e o Junos OS Release 17.3R1, em dispositivos SRX5400, SRX5600 e SRX5800, a arquitetura de ponto central é aprimorada para alcançar um número maior de conexões por segundo (CPS). Devido aos aprimoramentos, a sessão de ponto central e o processamento de pacotes de ponto central foram transferidos do ponto central para a Unidade de Processamento de Serviços (SPU).

Anteriormente, o ponto central tinha um limite de sessão e se não houvesse recursos (entradas de limite de sessão) disponíveis, o pacote sempre era permitido pelo limite da sessão. Agora, tanto o ponto central quanto a SPU têm limites de sessão. Se não houver recursos disponíveis no ponto central, mas os recursos estiverem disponíveis na SPU, o ponto central não pode limitar as sessões, mas a SPU pode limitar as sessões.

Os cenários a seguir descrevem quando o ponto central e a SPU determinam se permitem ou derrubam um pacote.

  • Quando o ponto central não tem entrada no limite de sessão e a SPU tem uma entrada de limite de sessão:

    1. Se o contador de limite de sessão da SPU for maior do que o valor limite, o pacote será descartado.

    2. Se o contador de limite de sessão da SPU não for maior do que o valor limite, o pacote será permitido.

  • Quando a SPU não tiver uma entrada de limite de sessão:

    1. Se o contador de limite de sessão da SPU for maior do que o valor limite, o pacote será permitido.

    2. Se o contador de limite de sessão da SPU não for maior do que o threshold, o pacote será permitido.

Nota:

Uma mensagem extra é enviada ao ponto central para manter contagens de sessão precisas que podem afetar o número de conexões por segundo (CPS) para as telas. Isso afeta o limite de sessão de origem ou destino.

Estatísticas de tráfego globais sem um ponto central podem afetar algumas telas de visão globais. Apenas o cookie SYN não tem visão global, e as estatísticas de tráfego globais são tratadas pela SPU, de modo que o contador pode não ser preciso como antes. Para outras telas baseadas em estatísticas, tratadas tanto pelo ponto central quanto pela SPU, os contadores são precisos.

Anteriormente, as telas baseadas em estatísticas eram tratadas apenas pelo ponto central e o log e a armadilha SNMP poderiam ser estritamente limitados por taxa. Agora, tanto o ponto central quanto a SPU podem gerar o log e a armadilha SNMP de forma independente. Portanto, o log e a armadilha SNMP podem ser maiores do que antes.

Implementação de opções de tela em dispositivos da Série SRX

A tabela abaixo lista todas as opções de tela implementadas em firewalls da Série SRX e são suportadas em todos os firewalls da Série SRX.

Tabela 3: Opções de tela implementadas em dispositivos da Série SRX

Telas

Implementado em NP/CP/SPU

Suporte no modo Hash

Suporte no modo SOF

icmp-flood

NP

Sim

Sim

udp-flood

NP

Sim

Sim

winnuke

NP

Sim

Sim

tcp-port-scan

CP+SPU

Sim

Sim

udp-port-scan

CP+SPU

Sim

Sim

address-sweep

CP+SPU

Sim

Sim

tcp-sweep

CP+SPU

Sim

Sim

udp-sweep

CP+SPU

Sim

Sim

tear-drop

SPU

Sim

NÃO

syn-flood

SPU

Sim

Sim

syn-flood-src

NP

Sim

Sim

syn-flood-dst

NP

Sim

Sim

ip-spoofing

SPU

Sim

Sim

ping-of-death

NP

Sim

Sim

ip-option-src-route

NP

Sim

Sim

land

NP

Sim

Sim

syn-fragment

NP

Sim

Sim

tcp-no-flag

NP

Sim

Sim

unknown-protocol

NP

Sim

Sim

ip-option-bad

NP

Sim

Sim

ip-option-record-route

NP

Sim

Sim

ip-option-timestamp

NP

Sim

Sim

ip-option-security

NP

Sim

Sim

ip-option-loose-src-route

NP

Sim

Sim

ip-option-strict-src-route

NP

Sim

Sim

ip-option-stream

NP

Sim

Sim

icmp-fragment

NP

Sim

Sim

icmp-large-pkt

NP

Sim

Sim

syn-fin

NP

Sim

Sim

fin-no-ack

NP

Sim

Sim

src-session-limit

CP+SPU

Sim

Sim

syn-ack-ack-proxy

SPU

Sim

Sim

block-fragment

NP

Sim

Sim

dst-session-limit

CP+SPU

Sim

Sim

ipv6-ext-header

SPU

Sim

Não

ipv6-ext-hbyh-option

SPU

Sim

Não

ipv6-ext-dst-option

SPU

Sim

Não

ipv6-ext-header-limit

SPU

Sim

Não

ipv6-malformed-header

SPU

Sim

Não

icmpv6-malformed-packet

SPU

Sim

Não

ip-tunnel-summary

SPU

Sim

Não

Nota:

Todas as funcionalidades de tela suportadas na placa IOC1 são suportadas nas placas IOC2 e IOC3. Na linha SRX5000 de dispositivos e no dispositivo SRX4600, a unidade de processador de rede (NPU) em uma placa IOC2 é substituída pela Unidade de Lookup (LU).

Exemplo: configuração de várias opções de triagem

Este exemplo mostra como criar um perfil de serviço de detecção de intrusão (IDS) para várias opções de triagem.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Em uma zona de segurança, você pode aplicar um perfil de IDS a várias opções de triagem. Neste exemplo, estamos configurando as seguintes opções de triagem:

  • Triagem do ICMP

  • Triagem de IP

  • Triagem de TCP

  • Triagem de UDP

Essas opções de triagem são atribuídas a uma zona não confiável.

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Entre no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Using the CLI Editor in Configuration Mode no Junos OS CLI User Guide.

Para configurar um perfil IDS para várias opções de triagem:

  1. Configure as opções de triagem do ICMP.

  2. Configure as opções de triagem de IP.

  3. Configure as opções de triagem de TCP.

  4. Configure as opções de triagem de UDP.

  5. Conecte o perfil do IDS à zona.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security screen ids-option screen-config comandos e show security zones os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando o perfil do IDS para várias opções de triagem

Propósito

Verifique se o perfil do IDS para várias opções de triagem está configurado corretamente.

Ação

Insira o comando e show security zones entre no show security screen ids-option screen-config Screen object status modo operacional.

Nota:

Em todos os firewalls da Série SRX, o valor do limiar de alarme de inundação de sincronização de TCP não indica que o número de pacotes caiu, no entanto, o valor mostra as informações do pacote após o limiar de alarme ter sido atingido.

O cookie ou proxy de sincronização nunca descarta pacotes; portanto, a ação alarm-without-drop (não drop) é mostrada no log do sistema.

Entendendo as opções de tela no concentrador de portas do módulo de SRX5000

O concentrador de portas de módulo de linha SRX5000 (SRX5K-MPC) oferece suporte a opções de tela do Junos OS. As opções de tela protegem uma zona inspecionando e, em seguida, permitindo ou negando, todas as tentativas de conexão que exigem atravessar uma interface vinculada a essa zona.

Usando opções de tela, seu dispositivo de segurança pode se proteger contra diferentes ataques internos e externos, incluindo ataques de inundação SYN, ataques de inundação de UDP e ataques de verificação de portas. O Junos OS aplica verificações de tela ao tráfego antes do processamento da política de segurança, resultando em menos utilização de recursos.

As opções de tela são divididas nas seguintes duas categorias:

  • Telas baseadas em estatísticas

  • Telas baseadas em assinatura

Telas baseadas em estatísticas

Todos os recursos de tela implementados em um SRX5K-MPC são independentes do modo Camada 2 ou Camada 3. As proteções contra inundações são usadas para se defender contra ataques de inundação SYN, ataques de inundação na tabela de sessão, ataques de negação de serviço (DoS) e ataques do DoS da rede.

Os quatro tipos seguintes de proteção contra inundações baseadas em limiar são executados em cada processador para IPv4 e IPv6:

  • Proteção contra enchentes baseada em UDP

  • Proteção contra enchentes baseada em ICMP

  • Proteção contra inundações SYN baseada em fonte TCP

  • Proteção contra inundações SYN baseada em destino TCP

Nota:

Se um dos dois tipos de proteções contra inundações TCP SYN estiver configurado em uma zona, o segundo tipo de proteção contra inundações TCP SYN será automaticamente habilitado na mesma zona. Esses dois tipos de proteções sempre funcionam juntos.

Cada tipo de proteção contra enchentes é baseada em limiares, e o limiar é calculado por zona em cada microprocessador. Se a inundação for detectada em um chip de microprocessador, esse microprocessador em particular agirá contra os pacotes ofensivos com base na configuração:

  • Ação padrão (relatório e queda)— o registro de tela e relatórios são feitos em uma SPU, portanto, os pacotes ofensivos precisam ser encaminhados para o ponto central ou SPU para essa finalidade. Para proteger as SPUs contra inundações, apenas o primeiro pacote ofensivo para cada tela em uma zona é enviado à SPU para registro e relatórios em cada segundo. O resto dos pacotes ofensivos são contados e descartados em um microprocessador.

    Por exemplo, suponha que a inundação de UDP esteja configurada em uma interface lógica com um limite definido para 5000 pacotes por segundo. Se os pacotes UDP chegam à taxa de 20.000 por segundo, cerca de 5000 pacotes UDP são encaminhados para o ponto central ou SPU a cada segundo, e os pacotes restantes são detectados como inundação. No entanto, apenas um pacote de inundação UDP é enviado à SPU para registro e relatórios em cada segundo. Os pacotes restantes são descartados no microprocessador.

  • Somente alarme (alarme sem quedas)— um pacote ofensivo detectado pela proteção da tela não é descartado. Ele ignora o resto das verificações de tela e é encaminhado para o ponto central ou SPU com o resultado da tela copiado para seu meta-cabeçalho. Não é contado como um pacote perdido.

Diferenças entre IOC1 e IOC2

O comportamento das telas é o mesmo, quer o dispositivo tenha IOC1 ou uma placa IOC2. No entanto, há diferenças nos valores limiares para as telas baseadas em estatísticas. A Tabela 4 lista as opções de tela baseadas em estatísticas e o comportamento das telas, dependendo se o dispositivo tem uma placa IOC1 ou IOC2.

Tabela 4: Opções de tela baseadas em estatísticas

Nome da opção de tela

Descrição

IOC1

IOC2

ICMP flood

Define o valor limite de inundação do ICMP. A opção de tela de inundação do ICMP é usada para proteger contra ataques de inundação do ICMP. Um ataque de inundação do ICMP normalmente ocorre quando as solicitações de eco do ICMP usam todos os recursos na resposta, de modo que o tráfego de rede válido não possa mais ser processado.

O valor limite define o número de pacotes ICMP por segundo autorizados a ping no mesmo endereço de destino antes que o dispositivo rejeite outros pacotes ICMP.

Se o tráfego de entrada exceder o limite de pps, os pacotes serão descartados ou um alarme será levantado.

Em SRX5000 dispositivos de linha com placa IOC2, há uma mudança na configuração da tela para chips de busca (LU). Há quatro chips LU em cada placa IOC2. Se o tráfego de entrada exceder o valor limite pps, os pacotes serão descartados. Por exemplo, se o usuário especificar o valor limite de 1000 pps, configuramos 250 pps em cada chip LU internamente, para que o valor limite de 1000 pps seja distribuído igualmente entre os 4 chips LU. Como resultado esperado, o usuário recebe o valor limite global de 1000 pps.

Em SRX5000 dispositivos de linha, quando a placa IOC2 estiver no modo de descarregamento de serviços, apenas um chip LU funcionará. Se a taxa de tráfego de entrada exceder o valor limite, os pacotes serão descartados como resultado do comportamento esperado.

UDP flood

Define o valor limite de inundação do UDP. A opção de tela de inundação UDP é usada para proteger contra ataques de inundação de UDP. O ataque de inundação de UDP ocorre quando um invasor envia pacotes IP contendo datagramas de UDP com a finalidade de diminuir a velocidade dos recursos, de modo que conexões válidas não possam mais ser tratadas.

O valor limite define o número de UDP pps permitidos para ping no mesmo endereço IP de destino/par de porta. Quando o número de pacotes excede esse valor em qualquer período de 1 segundo, o dispositivo gera um alarme e derruba pacotes subseqüentes pelo resto desse segundo.

Se o tráfego de entrada exceder o limite de pps, os pacotes serão descartados ou um alarme será levantado.

Em SRX5000 dispositivos de linha com placa IOC2, há uma mudança na configuração da tela para chips de busca (LU). Há quatro chips LU em cada placa IOC2. Se o tráfego de entrada exceder o valor limite pps, os pacotes serão descartados. Por exemplo, se o usuário especificar o valor limite de 1000 pps, configuramos 250 pps em cada chip LU internamente, para que o valor limite de 1000 pps seja distribuído igualmente entre os 4 chips LU. Como resultado esperado, o usuário recebe o valor limite global de 1000 pps.

Em SRX5000 dispositivos de linha, quando a placa IOC2 estiver no modo de descarregamento de serviços, apenas um chip LU funcionará. Se a taxa de tráfego de entrada exceder o valor limite, os pacotes serão descartados como resultado do comportamento esperado.

TCP SYN flood source

Define o valor limite de fonte de inundação TCP SYN. O valor limite define o número de segmentos SYN a serem recebidos por segundo antes que o dispositivo comece a soltar as solicitações de conexão.

A faixa aplicável é de 4 a 500.000 SYN pps.

Se o tráfego de entrada exceder o limite de pps, os pacotes serão descartados ou um alarme será levantado..

Em SRX5000 dispositivos de linha com placa IOC2, há uma mudança na configuração da tela para chips de busca (LU). Há quatro chips LU em cada placa IOC2. Se o tráfego de entrada exceder o valor limite pps, os pacotes serão descartados. Por exemplo, se o usuário especificar o valor limite de 1000 pps, configuramos 250 pps em cada chip LU internamente, para que o valor limite de 1000 pps seja distribuído igualmente entre os 4 chips LU. Como resultado esperado, o usuário recebe o valor limite global de 1000 pps.

Em SRX5000 dispositivos de linha, quando a placa IOC2 estiver no modo de descarregamento de serviços, apenas um chip LU funcionará. Se a taxa de tráfego de entrada exceder o valor limite, os pacotes serão descartados como resultado do comportamento esperado.

TCP SYN flood destination

Define o valor limite de destino de inundação do TCP SYN. O valor limite define o número de segmentos SYN recebidos por segundo antes que o dispositivo comece a soltar as solicitações de conexão.

A faixa aplicável é de 4 a 500.000 SYN pps.

Se o tráfego de entrada exceder o limite de pps, os pacotes serão descartados ou um alarme será levantado.

Em SRX5000 dispositivos de linha com placa IOC2, há uma mudança na configuração da tela para chips de busca (LU). Há quatro chips LU em cada placa IOC2. Se o tráfego de entrada exceder o valor limite pps, os pacotes serão descartados. Por exemplo, se o usuário especificar o valor limite de 1000 pps, configuramos 250 pps em cada chip LU internamente, para que o valor limite de 1000 pps seja distribuído igualmente entre os 4 chips LU. Como resultado esperado, o usuário recebe o valor limite global de 1000 pps.

Em SRX5000 dispositivos de linha, quando a placa IOC2 estiver no modo de descarregamento de serviços, apenas um chip LU funcionará. Se a taxa de tráfego de entrada exceder o valor limite, os pacotes serão descartados como resultado do comportamento esperado.

Nota:

Em dispositivos de linha SRX5400, SRX5600 e SRX5800, o valor limite da tela é definido para cada IOC no DUT para os links infantis LAG/LACP e RLAG/RETH. Quando você tem interfaces infantis entre IOC como parte das interfaces LAG/LACP ou RETH/RLAG e o tráfego de entrada também está atravessando vários links infantis por IOCs, defina o valor limite para corresponder ao número total de pacotes passados pela tela de vários IOCs com o número total esperado de pacotes por segundo (pps) na interface de saída.

Telas baseadas em assinatura

O SRX5K-MPC oferece opções de tela baseadas em assinatura, juntamente com verificações de sanidade no pacote recebido.

Às vezes, os pacotes recebidos pelo dispositivo são malformados ou inválidos, e podem causar danos ao dispositivo e à rede. Esses pacotes devem ser descartados durante as fases iniciais de processamento.

Para opções de tela baseadas em assinatura e verificações de sanidade, o conteúdo do pacote, incluindo cabeçalho de pacotes, bits de status e controle e cabeçalhos de extensão (para IPv6), são analisados. Você pode configurar as telas de acordo com seus requisitos, enquanto as verificações de sanidade de pacotes são realizadas por padrão.

As verificações de sanidade de pacotes e as opções de tela são realizadas em pacotes recebidos em interfaces de entrada.

O processador faz verificações de sanidade e executa alguns recursos de tela para detectar os pacotes de entrada malformados e maliciosos recebidos de interfaces físicas. Os pacotes que falham em uma verificação de sanidade são contados e descartados.

As verificações de sanidade de pacotes a seguir são suportadas:

  • Verificação de sanidade do IPv4

  • Verificação de sanidade do IPv6

Os recursos de tela a seguir são suportados:

  • Tela baseada em IP

  • Tela baseada em UDP

  • Tela baseada em TCP

  • Tela baseada em ICMP

Os recursos de tela são aplicáveis a pacotes IPv4 e IPv6, com exceção das telas de opções de IP, que só se aplicam a pacotes IPv4. Se um pacote for detectado por uma opção de tela, ele ignora o resto das verificações de tela e é encaminhado ao ponto central ou unidade de processamento de serviços (SPU) para registro e coleta de estatísticas.

Nota:

Em dispositivos de SRX5400, SRX5600 e SRX5800, a tela de assinatura do primeiro caminho é executada primeiro, seguida pela tela de caminho bad-inner-header rápido.

Entendendo o suporte IPv6 para telas

A Juniper Networks fornece vários mecanismos de detecção e defesa nos níveis de zona e política para combater explorações em todas as fases de sua execução. As opções de tela estão no nível da zona. As opções de tela do Junos OS protegem uma zona inspecionando-a e, em seguida, permitindo ou negando todas as tentativas de conexão que exigem atravessar uma interface vinculada a essa zona.

Você pode configurar opções de tela para verificar e filtrar pacotes com base em cabeçalhos de extensão IPv6, cabeçalhos de pacotes e tráfego ICMPv6. Com base em sua configuração, a tela pode soltar pacotes, criar logs e fornecer estatísticas maiores para o tráfego IPv6.

Verificação e filtragem de cabeçalho de extensão IPv6

Você pode usar a ipv6-extension-header declaração para selecionar seletivamente um ou mais cabeçalhos de extensão. A Tabela 5 lista cabeçalhos de extensão IPv6 comuns e seus valores de tipo.

Tabela 5: Cabeçalhos de extensão IPv6 e valores de tipo

Nome do cabeçalho

Valor do tipo de cabeçalho

Padrões de Internet

Autenticação

51

RFC 2460

Encapsulando o Security Payload

50

RFC 2460

Protocolo de identificação de host

139

RFC 5201

Opções de destino

  • Opção de nonce do ILNP

  • Opção de endereço residencial

  • Opção de identificação de linha

  • Opção de limite de encapsulamento de túneis

60

RFC 2460

Fragmento

44

RFC 2460

Opções de salto por salto

  • Opção CALIPSO

  • Opção de RPL

  • Opção de DPD SFM

  • Opção de carga jumbo

  • Opção de início rápido

  • Opção de alerta de roteador

0

RFC 2460

Mobilidade

135

RFC 6275

Não vem a seguir

59

RFC 2460

Roteamento

43

RFC 2460

Shim6

140

RFC 5533

Número máximo de cabeçalhos de extensão

Você pode especificar o número máximo de cabeçalhos de extensão permitidos em um pacote usando a ipv6-extension-header-limit declaração. Embora o número máximo de cabeçalhos de extensão em um pacote não seja explicitamente especificado, a ordem de cabeçalhos de extensão é recomendada na RFC 2460:

  1. Cabeçalho de opções hop-by-hop

  2. Cabeçalho de opções de destino

  3. Cabeçalho de roteamento

  4. Cabeçalho de extensão de fragmento

  5. Cabeçalho de autenticação

  6. Encapsulando o cabeçalho security payload

  7. Cabeçalho de opções de destino

Cada cabeçalho de extensão deve ocorrer no máximo uma vez, com exceção do cabeçalho de opções de destino, que deve ocorrer no máximo duas vezes (uma vez antes de um cabeçalho de roteamento e uma vez antes do cabeçalho de protocolo da camada superior).

O número máximo de cabeçalho de extensão baseado no RFC 2460 é 7. Outros cabeçalhos de extensão foram definidos por RFCs subseqüentes. Recomendamos que o número máximo de cabeçalho de extensão esteja na faixa de 0 a 32.

Cabeçalhos de extensão de opção ruim

Você pode configurar telas para detectar e soltar qualquer pacote com uma opção de IP formatada incorretamente no cabeçalho de pacote IP (IPv4 ou IPv6). O dispositivo registra o evento na lista de contadores de tela para a interface de entrada. A Tabela 6 lista os principais critérios que o dispositivo usa para testar pacotes para obter opções ruins.

Tabela 6: Critérios de triagem de cabeçalho de extensão de opção ruim

Critérios de triagem

Padrões de Internet

Descrição

Cabeçalho de extensão de roteamento é após cabeçalho de fragmento

RFC 2460

A ordem de cabeçalhos de extensão em um pacote é definida; portanto, o cabeçalho de extensão de fragmento deve ser após o cabeçalho de roteamento.

Parâmetro de alerta de roteador errado

RFC 2711

Essa opção está localizada no cabeçalho hop-by-hop e na implementação do Junos OS:

  • Só pode haver uma opção desse tipo por cabeçalho hop-by-hop

  • O comprimento do cabeçalho deve ser 2.

  • Só pode haver uma opção de alerta de roteador em um cabeçalho de extensão.

Mais de uma opção de back-to-back pad

draft-krishnan-ipv6-hopbyhop-00

Esse tipo de tráfego é exibido como pacotes de erro.

Carga não zero na opção PadN

RFC 4942

O sistema verifica se o PadN só tem zero octets em sua carga.

Padding além do próximo limite de oito octets

RFC 4942

O sistema verifica o preenchimento além do próximo limite de oito octets. Não há nenhuma razão legítima para padding além do próximo limite de oito octets.

Carga útil jumbo com carga de cabeçalho IPv6 não zero

RFC 2675

O campo de comprimento de carga no cabeçalho IPv6 deve ser definido para zero em cada pacote que transporta a opção de carga jumbo.

Verificação e filtragem ICMPv6

Você pode habilitar a verificação e a filtragem do ICMPv6. Em seguida, o sistema verifica se o pacote ICMPv6 recebido corresponde aos critérios definidos e realiza a ação especificada em pacotes correspondentes. Alguns dos principais critérios definidos são os seguintes:

  • Mensagem de informação de tipo desconhecido — Muitos tipos de mensagens de informação de ICMPv6 são definidas, como a solicitação de eco (valor 128), resposta de eco (valor 129) e solicitação de roteador (valor 133). A definição de tipo máximo é 149. Qualquer valor superior a 149 é tratado como um tipo desconhecido e exibido em conformidade.

  • Não atende às regras de formato de pacote ICMPv6 ND (RFC 4861)— Existem regras padrão, como o campo limite de IP Hop tem um valor de 255, o checksum do ICMP deve ser válido, o código ICMP deve ser 0 e assim por diante.

  • Filtragem malformada de pacotes ICMPv6 — Por exemplo, o pacote ICMPv6 é muito grande (tipo de mensagem 2), o próximo cabeçalho é definido para roteamento (43), e o cabeçalho de roteamento é definido para hop-by-hop.

Verificação e filtragem de cabeçalho de pacote IPv6

Você pode habilitar a verificação e a filtragem de cabeçalhos de pacoteS IPv6 usando a ipv6-malformed-header declaração. Uma vez habilitado, o sistema verifica qualquer pacote IPv6 de entrada para verificar se ele corresponde a algum dos critérios definidos. Em seguida, o sistema executa a ação especificada (queda ou alarme sem queda) em pacotes correspondentes. A Tabela 7 lista os principais critérios que o dispositivo usa para testar pacotes.

Tabela 7: Critérios de triagem de cabeçalho de pacoteS IPv6

Critérios de triagem

Padrões de Internet

Descrição

Endereços de origem e destino local desprecados

RFC 3879

O prefixo unicast local-local IPv6 (1111111011 binário ou FEC0::/10) não é suportado.

Valores de escopo de endereço multicast ilegais

RFC 4291

Os valores de escopo de endereço multicast não assinados são tratados como ilegais.

Prefixo somente com documentação (2001:DB8:/32)

RFC 3849

A IANA deve registrar a alocação do prefixo global de endereço unicast IPv6 (2001:DB8:/32) como um prefixo somente de documentação no registro de endereço IPv6. Nenhuma parte final deve ser atribuída a este endereço.

Endereços de origem e destino IPv6 compatíveis com IPv4 desprecados (::/96)

RFC 4291

O endereço IPv6 compatível com IPv4 foi preterido e não tem suporte.

Endereços de origem e destino da ORCHID (2001:10:/28)

RFC 5156

Os endereços dos identificadores de hash criptográficos roteáveis overlay (2001:10:/28) são usados como identificadores e não podem ser usados para roteamento na camada IP. Os endereços neste bloco não devem aparecer na Internet pública.

Um endereço IPv4 embutido no endereço IPv6 (64:ff9b::/96) é um endereço IPv4 ilegal e inaceitável

RFC 6052

O endereço IPv6, 64:ff9b:/96, está reservado como "Prefixo bem conhecido" para uso em mapeamento algorítmico.

Entendendo o controle de tunelamento IPv6 de tela

Várias metodologias de transição IPv6 são fornecidas para utilizar o tunelamento de pacotes IPv6 em redes IPv4 que não oferecem suporte ao IPv6. Por esse motivo, esses métodos usam gateways públicos e ignoram as políticas da operadora.

A segurança de pacotes em túneis é uma grande preocupação para os provedores de serviços, pois os pacotes em túnel são facilmente acessados pelos invasores. Inúmeras metodologias de transição IPv6 evoluíram para o envio de pacotes em túneis por uma rede; no entanto, como alguns deles operam em gateways públicos, eles ignoram as políticas da operadora. Isso significa que a transmissão de pacotes é exposta a invasores. Para superar e proteger a transferência de pacotes, os nós finais do IPv6 são necessários para des capsular os pacotes de dados encapsulados. A tela é uma das mais recentes tecnologias disponíveis para bloquear ou permitir o tráfego de tunelamento com base nas preferências do usuário.

Você pode configurar as seguintes opções de tela para verificar e filtrar pacotes com base em cabeçalhos de extensão IPv6, cabeçalhos de pacotes e validação de endereços IPv6 ou IPv4 de cabeçalho interno ruim. Com base em sua configuração, a tela pode soltar pacotes, criar logs e fornecer estatísticas maiores para tunelamento IP.

  • Túnel GRE 4in4: A tela do túnel GRE 4in4 combina com a seguinte assinatura: | IPv4 outer header | GRE header | IPv4 inner header

    Um cabeçalho IPv4 externo deve ser o encapsulamento do Protocolo 47 GRE. Um cabeçalho GRE deve ter protocolo E-type 0x0800 IPv4. Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel GRE 4in4.

  • Túnel GRE 4in6: A tela do túnel GRE 4in6 combina com a seguinte assinatura: IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv4 inner header

    Um cabeçalho principal IPv6 externo ou um cabeçalho de extensão IPv6 devem ter um Cabeçalho Próximo de valor 47 para GRE. Um cabeçalho GRE deve ter protocolo E-type 0x0800 IPv4. Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel GRE 4in6.

  • Túnel GRE 6in4: A tela do túnel GRE 6in4 combina com a seguinte assinatura: IPv4 outer header | GRE header | IPv6 inner header

    Um cabeçalho IPv4 externo deve ser o encapsulamento do Protocolo 47 GRE. Um cabeçalho GRE deve ter protocolo E-type 0x086DD IPv6 . Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel GRE 6in4.

  • Túnel GRE 6in6: A tela do túnel GRE 6in6 combina com a seguinte assinatura: IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv6 inner header

    Um cabeçalho principal IPv6 externo ou um cabeçalho de extensão IPv6 devem ter um Cabeçalho Próximo de valor 47 para GRE. Um cabeçalho GRE deve ter protocolo E-type 0x086DD' IPv6. Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel GRE 6in6.

  • Túnel IPinIP 6to4relay : A tela do túnel IPinIP 6to4relay combina com a seguinte assinatura: | IPv4 outer header | IPv6 inner header

    Um cabeçalho IPv4 externo deve ser o encapsulamento do Protocolo 41 IPv6. Um endereço de origem ou endereço de destino externo deve estar na rede 192.88.99.0/24. Um endereço de origem de cabeçalho IPv6 interno ou endereço de destino deve estar na rede 2002:/16. Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel IPinIP 6to4relay.

  • Túnel IPinIP 6in4 : A tela do túnel IPinIP 6in4 combina com a seguinte assinatura: | IPv4 outer header | IPv6 inner header

    Um cabeçalho IPv4 externo deve ser o encapsulamento do Protocolo 41 IPv6. Se essa condição for atendida, este pacote é classificado como assinatura de túnel IPinIP 6in4.

    Nota:

    Normalmente, quando os pacotes IPv6 precisam ser transportados em uma rede IPv4 completa, os pacotes IPv6 utilizam um túnel 6in4 ponto a ponto.

  • Túnel IPinIP 6over4 : A tela do túnel IPinIP 6over4 combina com a seguinte assinatura: | IPv4 outer header | IPv6 inner header

    Um cabeçalho IPv4 externo deve ser o Protocolo 41 IPv6 Encapsulation:W. Um endereço de origem ou endereço de destino de cabeçalho interno deve estar na rede fe80:/64 . Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel IPinIP 6over4.

  • Túnel IPinIP 4in6 : A tela do túnel IPinIP 4in6 combina com a seguinte assinatura: | IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    Um cabeçalho IPv6 externo ou um cabeçalho de extensão IPv6 devem ter um Cabeçalho Próximo de valor 04 para IPv4. Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel IPinIP 4in6.

  • Túnel ISATAP IPinIP: a tela do túnel ISATAP IPinIP combina com a seguinte assinatura: | IPv6 outer main header | IPv6 inner header

    Um cabeçalho IPv4 externo deve ser o encapsulamento do Protocolo 41 IPv6. Um endereço de origem de cabeçalho IPv6 interno ou endereço de destino deve estar na rede fe80:200:5efe/96 ou fe80:5efe/96 . Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel ISATAP IPinIP.

  • Túnel IPinIP DS-Lite: A tela do túnel DS-Lite IPinIP combina com a seguinte assinatura: | IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    Um cabeçalho IPv6 externo ou um cabeçalho de extensão IPv6 devem ter um Cabeçalho Próximo de valor 04 para IPv4. Um endereço de origem ou endereço de destino IPv4 interno deve estar na rede 192.0.0/29 . Se essas condições forem atendidas, este pacote é classificado como assinatura de túnel IPinIP DS-Lite.

  • Túnel IPinIP 6in6: A tela do túnel IPinIP 6in6 combina com a seguinte assinatura: | IPv6 outer main header | IPv6 extension header(s) | IPv6 inner main header

    Um cabeçalho principal IPv6 externo ou um cabeçalho de extensão IPv6 devem ter um Cabeçalho Próximo de valor 41 para IPv6. Um cabeçalho principal IPv6 interno deve ser a Versão 6. Se essas duas condições forem atendidas, este pacote será classificado como assinatura de túnel IPinIP 6in6.

  • Túnel IPinIP 4in4: A tela do túnel IPinIP 4in4 combina com a seguinte assinatura: | IPv6 outer header | IPv4 inner header . Um cabeçalho IPv4 externo deve ter um protocolo de valor 04 para IPv4. Um cabeçalho IPv4 interno deve ser a Versão 4.

  • Túnel teredo IPinUDP: o túnel teredo IPinUDP combina com a seguinte assinatura: IPv4 outer header | UDP header | IPv6 inner header

    Um cabeçalho IPv4 externo deve ter um protocolo de 17 para carga de UDP. Uma fonte de cabeçalho UDP ou porta de destino deve ser 3544. Um endereço de origem de cabeçalho IPv6 interno ou endereço de destino deve estar na rede 2001:0000:/32.

  • Verificação de cabeçalho interno ruim do túnel IP: a tela de túnel de cabeçalho interno do túnel verifica a consistência do cabeçalho interno do tráfego do túnel. O pacote cai quando qualquer um dos seguintes é detectado:

    • Cabeçalho interno não combina com cabeçalho externo.

    • O cabeçalho interno TTL ou o Limite de Salto não devem ser 0 ou 255.

    • Verificação de endereço IPv6 de cabeçalho interno.

    • Verificação de endereço IPv4 de cabeçalho interno.

    • Verificações de comprimento do cabeçalho externo e interno:

    • Verificação do comprimento do cabeçalho interno IPv4 e IPv6 TCP/UDP/ICMP:

      O comprimento do cabeçalho de TCP/UDP/ICMP deve se encaixar no comprimento interno do cabeçalho IPv4/IPv6/EH6 quando o IP interno (v4/v6) não é um primeiro, próximo ou último fragmento.

    • TCP: O tamanho mínimo de cabeçalho de TCP deve se encaixar no comprimento de encapsulamento anterior.

    • ICMP: O tamanho mínimo do cabeçalho ICMP deve se encaixar no comprimento de encapsulamento anterior.

    • Pacotes fragmentados: Para pacotes fragmentados, se as informações do túnel precisarem ser verificadas para uma tela e não estiver no primeiro fragmento, então a verificação não é realizada, exceto as partes do encapsulamento do túnel que estão incluídas no primeiro fragmento. Verificações de comprimento são realizadas em pacotes de primeiro fragmento usando o comprimento real do buffer de pacote, mas as verificações de comprimento são ignoradas porque o cabeçalho interno é maior que o cabeçalho externo.

      • Quando o cabeçalho externo é o primeiro fragmento, não examine o comprimento de pacote físico passado do fragmento.

      • Quando o cabeçalho interno é um primeiro fragmento, não examine o comprimento passado do fragmento.

      Para pacotes de fragmentos que não são os primeiros, a verificação não é realizada na tela do túnel de cabeçalho interno ruim.

    • Quando o cabeçalho externo é um fragmento não-primeiro, examine o pacote em busca de telas que usem apenas assinaturas de cabeçalho IP, porque a carga não pode ser analisada.

    • Quando o cabeçalho interno é um fragmento não-primeiro, não examine o próximo pacote.

    • O cabeçalho interno IPv4 verifica se o cabeçalho IPv4 é de 20 a 50 bytes.

Nota:

Em todos os firewalls da Série SRX, quando um pacote permite ou baixa sessão é estabelecido, a tela de cabeçalho interno ruim é executada em cada pacote, porque esta tela é uma tela de caminho rápido.

No SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX4100, SRX4200 dispositivos e instâncias de firewall virtual vSRX., a tela de cabeçalho interno de caminho rápido é sempre executada primeiro, seguida pela tela de assinatura do primeiro caminho.

Começando pelo Junos OS Release 12.3X48-D10 e Junos OS Release 17.3R1, as mensagens RT_SCREEN_IP de syslog e RT_SCREEN_IP_LS a tela de tunelamento IP foram atualizadas. As mensagens atualizadas incluem ataques de tela de túnel e critérios de log sem gota. A lista a seguir ilustra alguns exemplos dessas novas mensagens de log do sistema para cada um dos tipos de túnel:

  • RT_SCREEN_IP: Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP: Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP: Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

Exemplo: melhoria da segurança de tráfego de túnel com opções de tela de tunelamento IP

Este exemplo mostra como configurar as telas de túnel para permitir que as telas controlem, permitam ou bloqueiem o trânsito de tráfego em túneis.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um firewall da Série SRX

  • Versão Junos OS 12.3X48-D10 e posterior

Antes de começar:

Visão geral

Você pode configurar as seguintes opções de tela de tunelamento IP para verificar e filtrar pacotes, com base em cabeçalhos de extensão IPv6, cabeçalhos de pacotes e validação de endereçoS IPv6 ou IPv4 com cabeçalhos internos ruins. Com base em sua configuração, a tela pode soltar pacotes, criar logs e fornecer estatísticas maiores para tunelamento IP. As seguintes opções de tela de tunelamento são atribuídas a uma zona não confiável.

  • Túnel GRE 4in4

  • Túnel GRE 4in6

  • Túnel GRE 6in4

  • Túnel GRE 6in6

  • Túnel Teredo IPinUDP

  • Túnel IPinIP 4in4

  • Túnel IPinIP 4in6

  • Túnel IPinIP 6in4

  • Túnel IPinIP 6in6

  • Túnel IPinIP 6over4

  • Túnel IPinIP 6to4relay

  • Túnel ISATAP IPinIP

  • Túnel IPinIP DS-Lite

  • Túnel de cabeçalho interno ruim

Configuração

Para configurar as opções de tela de tunelamento IP, execute essas tarefas:

Configuração de telas de túnel GRE

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Using the CLI Editor in Configuration Mode no CLI User Guide.

Para configurar uma tela de túnel GRE:

  1. Configure uma tela de túnel GRE para verificar as informações de cabeçalho interno do tráfego de túnel para obter consistência e validar a tela do tipo de assinatura.

  2. Configure as telas nas zonas de segurança.

Configuração de uma tela de túnel teredo IPinUDP

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Using the CLI Editor in Configuration Mode no CLI User Guide.

Para configurar uma tela de túnel Teredo IPinUDP:

  1. Configure uma tela de túnel IPinUDP Teredo para verificar as informações de cabeçalho interno do tráfego de túnel para obter consistência e validar a tela do tipo de assinatura.

  2. Configure as telas nas zonas de segurança.

Configuração de uma tela de túnel IPinIP

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar uma tela de túnel IPinIP:

  1. Configure uma tela de túnel IPinIP para verificar as informações de cabeçalho interno do tráfego de túnel para obter consistência e validar a tela do tipo de assinatura.

  2. Configure as telas nas zonas de segurança.

Configuração de uma tela de túnel de cabeçalho interno ruim

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.

Para configurar uma tela de túnel de cabeçalho interno ruim:

  1. Configure uma tela de túnel de cabeçalho interno ruim para verificar as informações de cabeçalho interno do tráfego do túnel para obter consistência.

  2. Configure as telas nas zonas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security screen comandos e show security screen statistics zone untrust ip tunnel os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Para a brevidade, essa show saída inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando a configuração da tela de segurança

Propósito

Exibir as informações de configuração sobre a tela de segurança.

Ação

A partir do modo operacional, entre no show security screen ids-option screen1 comando.

Significado

O show security screen ids-option screen1 comando exibe o status do objeto da tela conforme habilitado.

Verificação de telas de túnel IP nas zonas de segurança

Propósito

Verifique se as opções de tela de tunelamento IP estão configuradas corretamente nas zonas de segurança.

Ação

A partir do modo operacional, entre no show security screen statistics zone untrust ip tunnel comando.

Significado

O show security screen statistics zone untrust ip tunnel comando exibe o resumo das estatísticas da tela do túnel IP.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Lançamento
Descrição
15,1X49-D30
Começando com o Junos OS Release 15.1X49-D30 e o Junos OS Release 17.3R1, em dispositivos SRX5400, SRX5600 e SRX5800, a arquitetura de ponto central é aprimorada para alcançar um número maior de conexões por segundo (CPS).
15,1X49-D20
Começando com o Junos OS Release 15.1X49-D20 e o Junos OS Release 17.3R1, o firewall gera apenas uma mensagem de log a cada segundo, independentemente do número de pacotes que desencadeiam o limite de sessão de origem ou destino. Esse comportamento se aplica a telas de proteção contra enchentes com TCP-Synflood-src-based TCP-Synflood-dst-basedproteção contra enchentes e UDP.
12,3X48-D10
Começando pelo Junos OS Release 12.3X48-D10 e Junos OS Release 17.3R1, as mensagens RT_SCREEN_IP de syslog e RT_SCREEN_IP_LS a tela de tunelamento IP foram atualizadas.