IP 数据包保护
一些攻击者可以滥用 IP 选项字段,其初衷是(现在仍然是)提供特殊的路由控制、诊断工具和安全性。通过错误配置这些选项,攻击者会在数据包中生成不完整或格式错误的字段。攻击者可以使用这些格式错误的数据包来危害网络上的主机, 有关详细信息,请参阅以下主题:
了解 IP 数据包分段保护
当数据包遍历不同的网络时,有时需要根据每个网络的最大传输单元 (MTU) 将数据包分成更小的部分(片段)。IP 片段可能包含攻击者试图利用特定 IP 堆栈实现的数据包重组代码中的漏洞的尝试。当受害者收到这些数据包时,结果的范围可以从错误地处理数据包到使整个系统崩溃。参见 图 1。
启用 Junos OS 拒绝安全区域上的 IP 分段时,它将阻止在绑定到该区域的接口上接收的所有 IP 数据包分段。
Junos OS 支持 IPv4 和 IPv6 数据包的 IP 片段保护。
在 IPv6 数据包中,IPv6 报头中不存在片段信息。片段信息存在于片段扩展标头中,该标头负责 IPv6 分段和重组。如果需要分段,源节点会在 IPv6 标头和有效负载标头之间插入分段扩展标头。参见 图 2。
片段扩展标头的一般格式如图 3 所示。
示例:丢弃分段 IP 数据包
此示例说明如何丢弃分段的 IP 数据包。
要求
开始之前,请了解 IP 数据包分段保护。请参阅 可疑数据包属性概述。
概述
启用此功能后,Junos OS 将拒绝安全区域上的 IP 分段,并阻止在绑定到该区域的接口上接收的所有 IP 数据包分段。
在此示例中,您将块分片屏幕配置为丢弃源自 zone1 安全区域的分片 IP 数据包。
拓扑
配置
程序
分步过程
要丢弃分段的 IP 数据包:
配置屏幕。
[edit] user@host# set security screen ids-option block-frag ip block-frag
配置安全区域。
[edit] user@host# set security zones security-zone zone1 screen block-frag
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security screen statistics zone zone-name 命令。
了解不良 IP 选项保护
IP 标准 RFC 791( 互联网协议)指定了一组八个选项,这些选项提供特殊的路由控制、诊断工具和安全性。尽管这些选项的原始预期用途服务于有价值的目的,但人们已经找到了扭曲这些选项以实现不那么值得称赞的目标的方法。
攻击者有时会有意或无意地错误地配置 IP 选项,从而生成不完整或格式错误的字段。无论制作数据包的人员的意图如何,不正确的格式都是异常的,并且可能对预期收件人造成危害。参见 图 4。
格式不正确
启用错误 IP 选项保护屏幕选项时,当 IP 数据包标头中的任何 IP 选项格式不正确时,Junos OS 会阻止数据包。此外,Junos OS 还会在事件日志中记录事件。
Junos OS 支持 IPv4 和 IPv6 数据包的错误 IP 选项保护。
示例:使用格式不正确的选项阻止 IP 数据包
此示例说明如何使用格式不正确的选项阻止大型 ICMP 数据包。
要求
开始之前,请了解不良 IP 选项保护。请参阅 可疑数据包属性概述。
概述
启用错误 IP 选项保护屏幕选项时,当 IP 数据包标头中的任何 IP 选项格式不正确时,Junos OS 会阻止数据包。此外,Junos OS 还会在事件日志中记录事件。
在此示例中,您将 IP 错误选项屏幕配置为阻止来自 zone1 安全区域的大型 ICMP 数据包。
拓扑
配置
程序
分步过程
要检测并阻止 IP 选项格式不正确的 IP 数据包,请执行以下操作:
配置屏幕。
[edit] user@host# set security screen ids-option ip-bad-option ip bad-option
注意:目前,此屏幕选项仅适用于 IPv4。
配置安全区域。
[edit] user@host# set security zones security-zone zone1 screen ip-bad-option
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security screen statistics zone zone-name 命令。
了解未知协议保护
根据最新的 IANA 协议编号文档,ID 号为 143 或更大的协议类型目前处于保留状态且未定义。正是因为这些协议是未定义的,所以无法事先知道特定的未知协议是良性的还是恶意的。
除非您的网络使用ID号为143或更大的非标准协议,否则谨慎的立场是阻止此类未知元素进入受保护的网络。参见 图 5。
启用未知协议保护屏幕选项时,如果协议字段默认包含 143 或更大的协议 ID 号,Junos OS 将丢弃数据包。
为 IPv6 协议启用未知协议保护屏幕选项时,如果协议字段默认包含的协议 ID 号为 143 或更大,Junos OS 将丢弃数据包。
示例:使用未知协议丢弃数据包
此示例说明如何使用未知协议丢弃数据包。
要求
开始之前,请了解未知协议保护。请参阅 可疑数据包属性概述。
概述
启用未知协议保护屏幕选项时,如果协议字段默认包含或大于或更大的协议 ID 号,Junos OS 将丢弃数据包。
在此示例中,您将“未知协议”屏幕配置为阻止具有源自 zone1 安全区域的未知协议的数据包。
拓扑
配置
程序
分步过程
要丢弃使用未知协议的数据包:
配置未知协议屏幕。
[edit] user@host# set security screen ids-option unknown-protocol ip unknown-protocol
配置安全区域。
[edit] user@host# set security zones security-zone zone1 screen unknown-protocol
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security screen statistics zone zone-name 命令。
了解 IP 块片段屏幕的允许列表
Junos OS 提供了在 IP 块片段屏幕上配置可信 IP 地址允许列表的管理选项。在区域中启用 IP 块分段时,Junos OS 会拒绝 IP 分段并阻止所有 IP 数据包分段。所有分段的 IP 数据包都将被丢弃。要避免这些数据包丢弃并允许这些数据包绕过 IP 块分段检查,您必须配置 IP 块分段允许列表。
在 IP 阻止分段屏幕上配置允许列表时,来自允许列表组中源地址的流量会绕过 IP 阻止分段检查。IP 块片段允许列表同时支持 IPv4 和 IPv6 地址,在每个允许列表中,最多可以有 32 个 IP 地址前缀。您可以配置单个地址或子网地址。
IP 块片段允许列表的优势
- IP 块片段允许列表绕过 IP 块碎片检查,以允许来自特定源的分段 IP 数据包。