Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über die Erkennung und Verhinderung von Angriffen

Juniper Networks bietet verschiedene Erkennungs- und Abwehrmechanismen auf Zonen- und Richtlinienebene, um Exploits in allen Phasen ihrer Ausführung zu bekämpfen:

Angriffserkennung und -verhinderung, auch Stateful Firewall genannt, erkennt und verhindert Angriffe im Netzwerkverkehr. Bei einem Exploit kann es sich entweder um eine Untersuchung zum Sammeln von Informationen oder um einen Angriff handeln, der darauf abzielt, ein Netzwerk oder eine Netzwerkressource zu kompromittieren, zu deaktivieren oder zu beschädigen. In einigen Fällen kann die Unterscheidung zwischen den beiden Zielen eines Exploits unklar sein. Eine Flut von TCP-SYN-Segmenten kann beispielsweise ein IP-Adress-Sweep mit der Absicht sein, Antworten von aktiven Hosts auszulösen, oder es könnte sich um einen SYN-Flood-Angriff handeln, der darauf abzielt, ein Netzwerk so zu überlasten, dass es nicht mehr ordnungsgemäß funktionieren kann. Da ein Angreifer einem Angriff in der Regel vorausgeht, indem er das Ziel ausspäht, können wir die Bemühungen zur Informationsbeschaffung als Vorläufer eines bevorstehenden Angriffs betrachten – das heißt, sie stellen die erste Phase eines Angriffs dar. Der Begriff Exploit umfasst also sowohl Aufklärungs- als auch Angriffsaktivitäten, und die Unterscheidung zwischen den beiden ist nicht immer klar.

  • Bildschirmoptionen auf Zonenebene.

  • Firewall-Richtlinien auf der Richtlinienebene Inter-, Intra- und Super-Zone (Superzone bedeutet hier in globalen Richtlinien, in denen keine Sicherheitszonen referenziert werden).

Um alle Verbindungsversuche zu sichern, verwendet Junos OS eine dynamische Paketfiltermethode, die als Stateful Inspection bekannt ist. Mit dieser Methode identifiziert Junos OS verschiedene Komponenten in den Kopfzeilen der IP-Pakete und TCP-Segmente – Quell- und Ziel-IP-Adressen, Quell- und Zielportnummern sowie Paketsequenznummern – und verwaltet den Status jeder TCP-Sitzung und Pseudo-UDP-Sitzung, die die Firewall durchquert. (Junos OS ändert Sitzungszustände auch basierend auf sich ändernden Elementen, wie z. B. dynamischen Portänderungen oder Sitzungsbeendigung.) Wenn ein antwortendes TCP-Paket eintrifft, vergleicht Junos OS die in seinem Header gemeldeten Informationen mit dem Status der zugehörigen Sitzung, der in der Inspektionstabelle gespeichert ist. Wenn sie übereinstimmen, darf das antwortende Paket die Firewall passieren. Wenn die beiden nicht übereinstimmen, wird das Paket verworfen.

Die Bildschirmoptionen von Junos OS sichern eine Zone, indem sie alle Verbindungsversuche, die das Überqueren einer an diese Zone gebundenen Schnittstelle erfordern, überprüfen und dann zulassen oder verweigern.