Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Screening-Optionen zur Erkennung und Verhinderung von Angriffen

Angriffserkennung und -prävention erkennt das Netzwerk und wehrt Angriffe ab. Mithilfe von Bildschirmoptionen können Junos-Sicherheitsplattformen vor verschiedenen internen und externen Angriffen schützen. Weitere Informationen finden Sie in den folgenden Themen:

Grundlegendes zu den Bildschirmoptionen auf Geräten der SRX-Serie

Bei allen Firewalls der SRX-Serie sind die Bildschirme in zwei Kategorien unterteilt:

Statistikbasierte Bildschirme

In Tabelle 1 sind alle statistikbasierten Bildschirmoptionen aufgeführt.

Tabelle 1: Statistikbasierte Bildschirmoptionen

Name der Bildschirmoption

Beschreibung

ICMP flood

Verwenden Sie die ICMP-Flood-IDS-Option zum Schutz vor ICMP-Flood-Angriffen. Ein ICMP-Flood-Angriff tritt in der Regel auf, wenn ICMP-Echoanforderungen alle Ressourcen für die Beantwortung verwenden, sodass gültiger Netzwerkverkehr nicht mehr verarbeitet werden kann.

Der Schwellenwert definiert die Anzahl der ICMP-Pakete pro Sekunde (pps), die an dieselbe Zieladresse gesendet werden dürfen, bevor das Gerät weitere ICMP-Pakete ablehnt.

UDP flood

Verwenden Sie die Option UDP-Flood-IDS, um sich vor UDP-Flood-Angriffen zu schützen. Ein UDP-Flood-Angriff liegt vor, wenn ein Angreifer IP-Pakete mit einem UDP-Datagramm sendet, um die Ressourcen zu verlangsamen, sodass keine gültigen Verbindungen mehr verarbeitet werden können.

Der Schwellenwert definiert die Anzahl der UDP-Pakete pro Sekunde, die an dieselbe Ziel-IP-Adresse gesendet werden dürfen. Wenn die Anzahl der Pakete diesen Wert innerhalb eines Zeitraums von 1 Sekunde überschreitet, generiert das Gerät einen Alarm und verwirft nachfolgende Pakete für den Rest dieser Sekunde.

TCP SYN flood source

Verwenden Sie die Option TCP SYN flood source ids, um den Schwellenwert für die Quelle festzulegen. Der Schwellenwert definiert die Anzahl der SYN-Segmente, die pro Sekunde empfangen werden sollen, bevor das Gerät mit dem Verwerfen von Verbindungsanforderungen beginnt.

Der anwendbare Bereich liegt zwischen 4 und 500.000 SYN pps.

TCP SYN flood destination

Verwenden Sie die SYN-Flood-Ziel-IDS-Option, um den Zielschwellenwert festzulegen. Der Schwellenwert definiert die Anzahl der SYN-Segmente, die pro Sekunde empfangen werden, bevor das Gerät mit dem Verwerfen von Verbindungsanforderungen beginnt.

Der anwendbare Bereich liegt zwischen 4 und 500.000 SYN pps.

TCP SYN flood

Verwenden Sie die Option TCP SYN Flood IDS, um SYN-Flood-Angriffe zu erkennen und zu verhindern. Solche Angriffe treten auf, wenn der Host, der eine Verbindung herstellt, kontinuierlich TCP SYN-Anforderungen sendet, ohne auf die entsprechenden ACK-Antworten zu antworten.

TCP port scan

Verwenden Sie die Option TCP-Port-Scan-IDS, um Port-Scan-Angriffe zu verhindern. Der Zweck dieses Angriffs besteht darin, die verfügbaren Dienste zu scannen, in der Hoffnung, dass mindestens ein Port antwortet, und so einen anvisierten Dienst zu identifizieren.

TCP SYN-ACK-ACK proxy

Verwenden Sie die Proxy-Bildschirmoption TCP SYN-ACK-ACK, um einen SYN-ACK-ACK-Angriff zu verhindern. Nachdem die Anzahl der Verbindungen von derselben IP-Adresse den SYN-ACK-ACK-Proxy-Schwellenwert erreicht hat, lehnen Firewalls der SRX-Serie mit Junos OS weitere Verbindungsanforderungen von dieser IP-Adresse ab.

ICMP IP sweep

Verwenden Sie die ICMP-Option IP-Sweep-IDS, um einen IP-Sweep-Angriff zu erkennen und zu verhindern. Ein IP-Sweep-Angriff liegt vor, wenn ein Angreifer ICMP-Echo-Anfragen (Pings) an mehrere Zieladressen sendet. Wenn ein Zielhost antwortet, verrät die Antwort dem Angreifer die IP-Adresse des Ziels. Wenn das Gerät innerhalb der in dieser Anweisung angegebenen Anzahl von Mikrosekunden 10 ICMP-Echoanforderungen empfängt, kennzeichnet es dies als IP-Sweep-Angriff und lehnt das elfte und alle weiteren ICMP-Pakete von diesem Host für den Rest der Sekunde ab.

Der Schwellenwert definiert die maximale Anzahl von Mikrosekunden, in denen bis zu 10 ICMP-Echoanfragen desselben Hosts in das Gerät zugelassen werden.

TCP SYN flood alarm

Verwenden Sie die Option TCP SYN Flood Alarm IDS, um den Alarmschwellenwert festzulegen. Der Schwellwert definiert die Anzahl der halbvollständigen Proxy-Verbindungen pro Sekunde, bei denen das Gerät Einträge im Ereignisalarmprotokoll vornimmt. Der Bereich liegt zwischen 1 und 500.000 Anforderungen pro Sekunde.

TCP SYN flood attack

Verwenden Sie die Option TCP SYN flood attack IDS, um den Schwellenwert für den Angriff festzulegen. Der Schwellenwert definiert die Anzahl der SYN-Pakete pro Sekunde, die erforderlich sind, um die SYN-Proxyantwort auszulösen. Der Bereich liegt zwischen 1 und 500.000 Proxy-pps.

UDP udp sweep

Verwenden Sie die UDP-UDP-Sweep-IDS-Option, um UDP-Sweep-Angriffe zu erkennen und zu verhindern. Bei einem UDP-Sweep-Angriff sendet ein Angreifer UDP-Pakete an das Zielgerät. Wenn das Gerät auf diese Pakete reagiert, erhält der Angreifer einen Hinweis darauf, dass ein Port im Zielgerät offen ist, was den Port anfällig für Angriffe macht. Wenn ein Remote-Host UDP-Pakete in 0,005 Sekunden (5000 Mikrosekunden) an 10 Adressen sendet, kennzeichnet das Gerät dies als UDP-Sweep-Angriff.

Wenn die alarm-without-drop Option nicht gesetzt ist, lehnt das Gerät das elfte und alle weiteren UDP-Pakete von diesem Host für den Rest des angegebenen Schwellenwertzeitraums ab.

Der Schwellenwert definiert die Anzahl der Mikrosekunden, für die das Gerät 10 UDP-Pakete von derselben entfernten Quelle an verschiedene Zieladressen akzeptiert.

Ab Junos OS Version 15.1X49-D20 und Junos OS Version 17.3R1 generiert die Firewall nur eine Protokollmeldung pro Sekunde, unabhängig von der Anzahl der Pakete, die das Quell- oder Zielsitzungslimit auslösen. Dieses Verhalten gilt für Hochwasserschutzbildschirme mit TCP-Synflood-src-based, TCP-Synflood-dst-basedund UDP-Hochwasserschutz.

Signaturbasierte Bildschirme

In Tabelle 2 sind alle signaturbasierten Bildschirmoptionen aufgeführt.

Tabelle 2: Signaturbasierte Bildschirmoptionen

Name der Bildschirmoption

Beschreibung

TCP Winnuke

Aktivieren oder deaktivieren Sie die IDS-Option für TCP WinNuke-Angriffe. WinNuke ist ein Denial-of-Service (DoS)-Angriff, der auf jeden Computer im Internet abzielt, auf dem Windows läuft.

TCP SYN fragment

Verwenden Sie die Option TCP SYN fragment attack IDS, um alle für den Angriff verwendeten Paketfragmente zu verwerfen. Bei einem SYN-Fragment-Angriff wird der Zielhost mit SYN-Paketfragmenten überflutet. Der Host speichert diese Fragmente im Cache und wartet auf das Eintreffen der verbleibenden Fragmente, damit er sie wieder zusammensetzen kann. Die Flut an Verbindungen, die nicht abgeschlossen werden können, füllt schließlich den Speicherpuffer des Hosts. Es sind keine weiteren Verbindungen möglich, und es kann zu Schäden am Betriebssystem des Hosts kommen.

TCP no flag

Verwenden Sie die Option TCP tcp no flag IDS, um illegale TCP-Pakete mit einem fehlenden oder falsch formatierten Flag-Feld zu verwerfen. Der Schwellenwert definiert die Anzahl der TCP-Header ohne gesetzte Flags. Für einen normalen TCP-Segment-Header ist mindestens ein Steuerflag gesetzt.

TCP SYN FIN

Verwenden Sie die Option TCP SYN FIN IDS, um eine unzulässige Kombination von Flags zu erkennen, die Angreifer verwenden können, um Sitzungen auf dem Zielgerät zu nutzen, was zu einem Denial-of-Service (DoS) führt.

TCP land

Aktivieren oder deaktivieren Sie die Option TCP Land Attack IDS. Landangriffe treten auf, wenn ein Angreifer gefälschte SYN-Pakete sendet, die die IP-Adresse des Opfers sowohl als Ziel- als auch als Quell-IP-Adresse enthalten.

TCP FIN no ACK

Verwenden Sie die Option FIN-Bit ohne ACK-Bit-IDS, um eine unzulässige Kombination von Flags zu erkennen und Pakete mit dieser Kombination abzulehnen.

ICMP ping of death

Verwenden Sie die IDS-Option "Ping of Death", um übergroße und irreguläre ICMP-Pakete zu erkennen und abzulehnen. Obwohl die TCP/IP-Spezifikation eine bestimmte Paketgröße erfordert, erlauben viele Ping-Implementierungen größere Paketgrößen. Größere Pakete können eine Reihe von unerwünschten Systemreaktionen auslösen, darunter Abstürze, Einfrieren und Neustart.

Ein Ping of Death tritt auf, wenn IP-Pakete gesendet werden, die die maximal zulässige Länge (65.535 Byte) überschreiten.

ICMP fragment

Verwenden Sie die Option ICMP-Fragment-IDS, um jeden ICMP-Frame zu erkennen und zu löschen, bei dem das Flag "Weitere Fragmente" festgelegt ist oder dessen Offset im offset Feld angegeben ist.

ICMP large

Verwenden Sie die Option ICMP large IDS, um ICMP-Frames mit einer IP-Länge von mehr als 1024 Byte zu erkennen und zu löschen.

IP unknown protocol

Verwenden Sie die IDS-Option für unbekanntes IP-Protokoll, um alle empfangenen IP-Frames mit Protokollnummern größer als 137 für IPv4 und 139 für IPv6 zu verwerfen. Solche Protokollnummern sind nicht definiert oder reserviert.

IP bad option

Verwenden Sie die Option IP bad IDS, um Pakete mit einer falsch formatierten IP-Option im IP-Paket-Header zu erkennen und zu verwerfen. Das Gerät zeichnet das Ereignis in der Liste der Bildschirmzähler für die Eingangsschnittstelle auf. Diese Bildschirmoption gilt für IPv4 und IPv6.

IP strict source route option

Verwenden Sie die Option IP-strikte Quellrouten-IDS, um Pakete zu erkennen, bei denen die IP-Option 9 ist (striktes Quell-Routing), und zeichnen Sie das Ereignis in der Bildschirmzählerliste für die Eingangsschnittstelle auf. Diese Option gibt die vollständige Routenliste für ein Paket an, das auf seiner Reise von der Quelle zum Ziel genommen werden soll. Die letzte Adresse in der Liste ersetzt die Adresse im Zielfeld. Derzeit ist diese Bildschirmoption nur für IPv4 verfügbar.

IP loose source route option

Verwenden Sie die Option IP Loose Source Route IDS, um Pakete zu erkennen, bei denen die IP-Option 3 ist (Loose Source Routing), und zeichnen Sie das Ereignis in der Bildschirmzählerliste für die Eingangsschnittstelle auf. Diese Option gibt eine Teilroutenliste für ein Paket an, das auf seiner Reise von der Quelle zum Ziel verwendet werden soll. Das Paket muss in der Reihenfolge der angegebenen Adressen fortgesetzt werden, darf jedoch andere Geräte zwischen den angegebenen Geräten passieren. Der Routing-Header vom Typ 0 der Option "Loose Source Route" ist der einzige zugehörige Header, der in IPv6 definiert ist.

IP source route option

Verwenden Sie die Option IP-Quellrouten-IDS, um Pakete zu erkennen und das Ereignis in der Bildschirmindikatorenliste für die Eingangsschnittstelle aufzuzeichnen.

IP stream option

Verwenden Sie die IP-Stream-IDS-Option, um Pakete zu erkennen, bei denen die IP-Option 8 (Stream-ID) ist, und zeichnen Sie das Ereignis in der Bildschirmzählerliste für die Eingangsschnittstelle auf. Diese Option bietet eine Möglichkeit, die 16-Bit-SATNET-Stream-ID durch Netzwerke zu übertragen, die keine Streams unterstützen. Derzeit ist diese Bildschirmoption nur für IPv4 verfügbar.

IP block fragment

Aktivieren oder deaktivieren Sie die Blockierung der IP-Paketfragmentierung. Wenn diese Funktion aktiviert ist, verweigert Junos OS IP-Fragmente in einer Sicherheitszone und blockiert alle IP-Paketfragmente, die an Schnittstellen empfangen werden, die an diese Zone gebunden sind.

IP record route option

Verwenden Sie die Option IP-Datensatz-Routen-IDS, um Pakete zu erkennen, bei denen die IP-Option 7 (Datensatzroute) ist, und zeichnen Sie das Ereignis in der Bildschirmindikatorenliste für die Eingangsschnittstelle auf. Mit dieser Option werden die IP-Adressen der Netzwerkgeräte entlang des Pfads aufgezeichnet, den das IP-Paket zurücklegt. Derzeit ist diese Bildschirmoption nur für IPv4 verfügbar.

IP timestamp option

Verwenden Sie die IP-Zeitstempel-IDS-Option, um Pakete zu erkennen, bei denen die IP-Optionsliste Option 4 (Internet-Zeitstempel) enthält, und zeichnen Sie das Ereignis in der Bildschirmzählerliste für die Eingangsschnittstelle auf. Mit dieser Option wird die Zeit (in Weltzeit) aufgezeichnet, zu der jedes Netzwerkgerät das Paket auf dem Weg vom Ursprungs- zum Zielpunkt empfängt. Derzeit ist diese Bildschirmoption nur für IPv4 verfügbar.

IP security option

Verwenden Sie die IP-Sicherheits-IDS-Option, um Pakete zu erkennen, bei denen die IP-Option 2 (Sicherheit) ist, und zeichnen Sie das Ereignis in der Liste der Bildschirmindikatoren für die Eingangsschnittstelle auf. Derzeit ist diese Bildschirmoption nur für IPv4 verfügbar.

IP spoofing

Verwenden Sie die IDS-Option für IP-Adress-Spoofing, um Spoofing-Angriffe zu verhindern. IP-Spoofing tritt auf, wenn eine ungültige Quelladresse in den Paketheader eingefügt wird, um den Anschein zu erwecken, dass das Paket von einer vertrauenswürdigen Quelle stammt.

IP tear drop

Verwenden Sie die IP-Teardrop-IDS-Option, um Teardrop-Angriffe zu blockieren. Teardrop-Angriffe treten auf, wenn sich fragmentierte IP-Pakete überlappen und den Host, der versucht, die Pakete wieder zusammenzusetzen, zum Absturz bringen. Die Tear-Drop-Option weist das Gerät an, alle Pakete zu verwerfen, die eine solche Diskrepanz aufweisen. Bei Teardrop-Angriffen wird die Wiederherstellung fragmentierter IP-Pakete ausgenutzt.

Grundlegendes zu Verbesserungen der Zentralpunktarchitektur für Bildschirme

Beginnend mit Junos OS Version 15.1X49-D30 und Junos OS Version 17.3R1 wird auf SRX5400-, SRX5600- und SRX5800 Geräten die Architektur der zentralen Punkte verbessert, um eine höhere Anzahl von Verbindungen pro Sekunde (CPS) zu erreichen. Aufgrund der Verbesserungen wurden die Central Point Session und die Central Point Packet Processing vom Central Point in die Services Processing Unit (SPU) verschoben.

Bisher hatte der zentrale Punkt ein Sitzungslimit und wenn keine Ressourcen (Sitzungsbegrenzungseinträge) verfügbar waren, wurde das Paket immer durch das Sitzungslimit zugelassen. Jetzt haben sowohl der zentrale Punkt als auch die SPU Sitzungsbeschränkungen. Wenn im zentralen Punkt keine Ressourcen verfügbar sind, aber Ressourcen in der SPU verfügbar sind, kann der zentrale Punkt die Sitzungen nicht einschränken, aber die SPU kann die Sitzungen begrenzen.

In den folgenden Szenarien wird beschrieben, wann der zentrale Punkt und die SPU entscheiden, ob ein Paket zugelassen oder verworfen werden soll.

  • Wenn der zentrale Punkt keinen Sitzungslimiteintrag hat und die SPU einen Sitzungslimiteintrag hat:

    1. Wenn der Sitzungslimitzähler der SPU größer als der Schwellenwert ist, wird das Paket verworfen.

    2. Wenn der Sitzungslimitzähler der SPU nicht größer als der Schwellenwert ist, wird das Paket zugelassen.

  • Wenn die SPU keinen Sitzungslimiteintrag hat:

    1. Wenn der Sitzungslimitzähler der SPU größer als der Schwellenwert ist, wird das Paket zugelassen.

    2. Wenn der Sitzungslimitzähler der SPU nicht größer als ththreshold ist, wird das Paket zugelassen.

Hinweis:

Eine zusätzliche Nachricht wird an den zentralen Punkt gesendet, um eine genaue Sitzungsanzahl aufrechtzuerhalten, die sich möglicherweise auf die Anzahl der Verbindungen pro Sekunde (CPS) für Bildschirme auswirkt. Dies wirkt sich auf das Limit der Quell- oder Zielsitzung aus.

Globale Datenverkehrsstatistiken, denen ein zentraler Punkt fehlt, können sich auf einige globale Ansichtsbildschirme auswirken. Nur das SYN-Cookie hat keine globale Ansicht, und die globalen Datenverkehrsstatistiken werden von der SPU verarbeitet, sodass der Zähler möglicherweise nicht mehr so genau ist wie zuvor. Bei anderen statistikbasierten Bildschirmen, die sowohl vom zentralen Punkt als auch von der SPU verarbeitet werden, sind die Zähler genau.

Bisher wurden statistikbasierte Bildschirme nur von der zentralen Stelle gehandhabt und das Protokoll und der SNMP-Trap konnten streng begrenzt werden. Jetzt können sowohl der zentrale Punkt als auch die SPU das Protokoll und den SNMP-Trap unabhängig voneinander generieren. Daher können das Protokoll und der SNMP-Trap größer sein als zuvor.

Implementierung von Bildschirmoptionen auf Geräten der SRX-Serie

In der folgenden Tabelle sind alle Bildschirmoptionen aufgeführt, die in Firewalls der SRX-Serie implementiert sind und von allen Firewalls der SRX-Serie unterstützt werden.

Tabelle 3: Implementierte Bildschirmoptionen auf Geräten der SRX-Serie

Bildschirme

Implementiert auf NP/CP/SPU

Unterstützung im Hash-Modus

Unterstützung im SOF-Modus

icmp-flood

NP

Ja

Ja

udp-flood

NP

Ja

Ja

winnuke

NP

Ja

Ja

tcp-port-scan

CP+SPU

Ja

Ja

udp-port-scan

CP+SPU

Ja

Ja

address-sweep

CP+SPU

Ja

Ja

tcp-sweep

CP+SPU

Ja

Ja

udp-sweep

CP+SPU

Ja

Ja

tear-drop

SPU

Ja

NEIN

syn-flood

SPU

Ja

Ja

syn-flood-src

NP

Ja

Ja

syn-flood-dst

NP

Ja

Ja

ip-spoofing

SPU

Ja

Ja

ping-of-death

NP

Ja

Ja

ip-option-src-route

NP

Ja

Ja

land

NP

Ja

Ja

syn-fragment

NP

Ja

Ja

tcp-no-flag

NP

Ja

Ja

unknown-protocol

NP

Ja

Ja

ip-option-bad

NP

Ja

Ja

ip-option-record-route

NP

Ja

Ja

ip-option-timestamp

NP

Ja

Ja

ip-option-security

NP

Ja

Ja

ip-option-loose-src-route

NP

Ja

Ja

ip-option-strict-src-route

NP

Ja

Ja

ip-option-stream

NP

Ja

Ja

icmp-fragment

NP

Ja

Ja

icmp-large-pkt

NP

Ja

Ja

syn-fin

NP

Ja

Ja

fin-no-ack

NP

Ja

Ja

src-session-limit

CP+SPU

Ja

Ja

syn-ack-ack-proxy

SPU

Ja

Ja

block-fragment

NP

Ja

Ja

dst-session-limit

CP+SPU

Ja

Ja

ipv6-ext-header

SPU

Ja

Nein

ipv6-ext-hbyh-option

SPU

Ja

Nein

ipv6-ext-dst-option

SPU

Ja

Nein

ipv6-ext-header-limit

SPU

Ja

Nein

ipv6-malformed-header

SPU

Ja

Nein

icmpv6-malformed-packet

SPU

Ja

Nein

ip-tunnel-summary

SPU

Ja

Nein
Hinweis:

Alle Bildschirmfunktionen, die auf der IOC1-Karte unterstützt werden, werden auch auf den IOC2- und IOC3-Karten unterstützt. Bei den Geräten der SRX5000-Reihe und beim SRX4600 Gerät wird die Network Processor Unit (NPU) in einer IOC2-Karte durch die Lookup Unit (LU) ersetzt.

Beispiel: Konfigurieren mehrerer Screening-Optionen

In diesem Beispiel wird gezeigt, wie Sie ein IDS-Profil (Intrusion Detection Service) für mehrere Screening-Optionen erstellen.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Übersicht

In einer Sicherheitszone können Sie ein IDS-Profil auf mehrere Screening-Optionen anwenden. In diesem Beispiel konfigurieren wir die folgenden Screening-Optionen:

  • ICMP-Screening

  • IP-Screening

  • TCP-Screening

  • UDP-Screening

Diese Screening-Optionen werden einer nicht vertrauenswürdigen Zone zugewiesen.

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Geben Sie den Befehl aus dem Konfigurationsmodus ein commit .

Verfahren

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie Using the CLI Editor in Configuration Mode in .Junos OS CLI User Guide

So konfigurieren Sie ein IDS-Profil für mehrere Screening-Optionen:

  1. Konfigurieren Sie die ICMP-Screening-Optionen.

  2. Konfigurieren Sie die IP-Screening-Optionen.

  3. Konfigurieren Sie die TCP-Screening-Optionen.

  4. Konfigurieren Sie die UDP-Screening-Optionen.

  5. Hängen Sie das IDS-Profil an die Zone an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security screen ids-option screen-config Befehle und show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Überprüfung

Verifizieren des IDS-Profils für mehrere Screening-Optionen

Zweck

Stellen Sie sicher, dass das IDS-Profil für mehrere Screening-Optionen ordnungsgemäß konfiguriert ist.

Aktion

Geben Sie den show security screen ids-option screen-config Screen object status Befehl and show security zones aus dem Betriebsmodus ein.

Hinweis:

Bei allen Firewalls der SRX-Serie gibt der Schwellenwert für den TCP-Synchronisierungsflutalarm nicht die Anzahl der verworfenen Pakete an, der Wert zeigt jedoch die Paketinformationen an, nachdem der Alarmschwellenwert erreicht wurde.

Der Synchronisierungscookie oder -proxy verwirft niemals Pakete. Daher wird die alarm-without-drop Aktion (nicht drop) im Systemprotokoll angezeigt.

Grundlegendes zu den Bildschirmoptionen auf dem SRX5000-Modul-Portkonzentrator

Der SRX5000 Module Port Concentrator (SRX5K-MPC) unterstützt die Bildschirmoptionen von Junos OS. Bildschirmoptionen sichern eine Zone, indem sie alle Verbindungsversuche, die das Überqueren einer an diese Zone gebundenen Schnittstelle erfordern, überprüfen und dann zulassen oder verweigern.

Mithilfe von Bildschirmoptionen kann Ihr Sicherheitsgerät vor verschiedenen internen und externen Angriffen schützen, einschließlich SYN-Flood-Angriffen, UDP-Flood-Angriffen und Port-Scan-Angriffen. Junos OS führt vor der Verarbeitung der Sicherheitsrichtlinien Bildschirmprüfungen auf den Datenverkehr durch, was zu einer geringeren Ressourcenauslastung führt.

Die Bildschirmoptionen sind in die folgenden zwei Kategorien unterteilt:

  • Statistikbasierte Bildschirme

  • Signaturbasierte Bildschirme

Statistikbasierte Bildschirme

Alle Bildschirmfunktionen, die auf einem SRX5K-MPC implementiert sind, sind unabhängig vom Layer-2- oder Layer-3-Modus. Der Flood-Schutz wird zur Abwehr von SYN-Flood-Angriffen, Session-Table-Flood-Angriffen, Firewall-Denial-of-Service-Angriffen (DoS) und Netzwerk-DoS-Angriffen verwendet.

Die folgenden vier Arten von schwellenwertbasiertem Überflutungsschutz werden auf jedem Prozessor sowohl für IPv4 als auch für IPv6 ausgeführt:

  • UDP-basierter Hochwasserschutz

  • ICMP-basierter Hochwasserschutz

  • TCP-quellenbasierter SYN-Flood-Schutz

  • TCP-zielbasierter SYN-Überschwemmungsschutz

Hinweis:

Wenn eine der beiden Arten von TCP-SYN-Flood-Schutz für eine Zone konfiguriert ist, wird die zweite Art von TCP-SYN-Flood-Schutz automatisch für dieselbe Zone aktiviert. Diese beiden Arten von Schutzmaßnahmen arbeiten immer zusammen.

Jede Art von Hochwasserschutz ist schwellenwertbasiert, und der Schwellenwert wird pro Zone auf jedem Mikroprozessor berechnet. Wenn die Flood auf einem Mikroprozessorchip erkannt wird, ergreift dieser Mikroprozessor basierend auf der Konfiguration Maßnahmen gegen die betreffenden Pakete:

  • Standardaktion (Melden und Löschen): Die Bildschirmprotokollierung und Berichterstellung erfolgt auf einer SPU, sodass anstößige Pakete zu diesem Zweck an den zentralen Punkt oder die SPU weitergeleitet werden müssen. Um SPUs vor Überflutung zu schützen, wird nur das erste anstößige Paket für jeden Bildschirm in einer Zone zur Protokollierung und Berichterstellung in jeder Sekunde an die SPU gesendet. Der Rest der anstößigen Pakete wird gezählt und in einem Mikroprozessor verworfen.

    Angenommen, UDP-Flooding ist an einer logischen Schnittstelle mit einem Schwellenwert von 5000 Paketen pro Sekunde konfiguriert. Wenn UDP-Pakete mit einer Rate von 20.000 pro Sekunde eingehen, werden pro Sekunde etwa 5000 UDP-Pakete an den zentralen Punkt oder die SPU weitergeleitet, und die verbleibenden Pakete werden als Flooding erkannt. Es wird jedoch nur ein UDP-Flooding-Paket pro Sekunde zur Protokollierung und Berichterstellung an die SPU gesendet. Die restlichen Pakete werden im Mikroprozessor verworfen.

  • Nur Alarm (alarm-without-drop): Ein anstößiges Paket, das vom Bildschirmschutz erkannt wird, wird nicht verworfen. Er überspringt den Rest der Bildschirmprüfungen und wird an den zentralen Punkt oder die SPU weitergeleitet, wobei das Bildschirmergebnis in den Meta-Header kopiert wird. Es wird nicht als verworfenes Paket gezählt.

Unterschiede zwischen IOC1 und IOC2

Das Verhalten von Bildschirmen ist dasselbe, unabhängig davon, ob das Gerät über eine IOC1- oder eine IOC2-Karte verfügt. Es gibt jedoch Unterschiede in den Schwellenwerten für die statistikbasierten Bilder. Tabelle 4 listet die statistikbasierten Bildschirmoptionen und das Verhalten der Bildschirme auf, je nachdem, ob das Gerät entweder über eine IOC1- oder eine IOC2-Karte verfügt.

Tabelle 4: Statistikbasierte Bildschirmoptionen

Name der Bildschirmoption

Beschreibung

IOC1

IOC2

ICMP flood

Legt den ICMP-Flood-Schwellenwert fest. Die ICMP-Flood-Screen-Option wird zum Schutz vor ICMP-Flood-Angriffen verwendet. Ein ICMP-Flood-Angriff tritt in der Regel auf, wenn ICMP-Echoanforderungen alle Ressourcen für die Beantwortung verwenden, sodass gültiger Netzwerkverkehr nicht mehr verarbeitet werden kann.

Der Schwellenwert definiert die Anzahl der ICMP-Pakete pro Sekunde, die dieselbe Zieladresse anpingen dürfen, bevor das Gerät weitere ICMP-Pakete ablehnt.

Wenn der eingehende Datenverkehr den Schwellenwert pps überschreitet, werden entweder die Pakete verworfen oder ein Alarm ausgelöst.

Bei SRX5000-Line-Geräten mit IOC2-Karte gibt es eine Änderung in der Bildschirmkonfiguration für Lookup-Chips (LU). In jeder IOC2-Karte befinden sich vier LU-Chips. Wenn der eingehende Datenverkehr den Schwellenwert pps überschreitet, werden die Pakete verworfen. Wenn der Benutzer beispielsweise den Schwellenwert von 1000 pps angibt, konfigurieren wir intern 250 pps auf jedem LU-Chip, sodass der Schwellenwert von 1000 pps gleichmäßig auf die 4 LU-Chips verteilt wird. Als erwartetes Ergebnis erhält der Benutzer den Gesamtschwellenwert von 1000 pps.

Wenn sich die IOC2-Karte auf SRX5000-Line-Geräten im Service-Offload-Modus befindet, funktioniert nur ein LU-Chip. Wenn die Rate des eingehenden Datenverkehrs den Schwellenwert überschreitet, werden die Pakete aufgrund des erwarteten Verhaltens verworfen.

UDP flood

Legt den UDP-Flood-Schwellenwert fest. Die UDP-Flood-Screen-Option wird verwendet, um sich vor UDP-Flood-Angriffen zu schützen. Ein UDP-Flood-Angriff tritt auf, wenn ein Angreifer IP-Pakete mit UDP-Datagrammen sendet, um die Ressourcen zu verlangsamen, sodass gültige Verbindungen nicht mehr verarbeitet werden können.

Der Schwellenwert definiert die Anzahl der UDP-pps, die zum Pingen desselben Ziel-IP-Adressen/Port-Paares zulässig sind. Wenn die Anzahl der Pakete diesen Wert innerhalb eines Zeitraums von 1 Sekunde überschreitet, generiert das Gerät einen Alarm und verwirft nachfolgende Pakete für den Rest dieser Sekunde.

Wenn der eingehende Datenverkehr den Schwellenwert pps überschreitet, werden entweder die Pakete verworfen oder ein Alarm ausgelöst.

Bei SRX5000-Line-Geräten mit IOC2-Karte gibt es eine Änderung in der Bildschirmkonfiguration für Lookup-Chips (LU). In jeder IOC2-Karte befinden sich vier LU-Chips. Wenn der eingehende Datenverkehr den Schwellenwert pps überschreitet, werden die Pakete verworfen. Wenn der Benutzer beispielsweise den Schwellenwert von 1000 pps angibt, konfigurieren wir intern 250 pps auf jedem LU-Chip, sodass der Schwellenwert von 1000 pps gleichmäßig auf die 4 LU-Chips verteilt wird. Als erwartetes Ergebnis erhält der Benutzer den Gesamtschwellenwert von 1000 pps.

Wenn sich die IOC2-Karte auf SRX5000-Line-Geräten im Service-Offload-Modus befindet, funktioniert nur ein LU-Chip. Wenn die Rate des eingehenden Datenverkehrs den Schwellenwert überschreitet, werden die Pakete aufgrund des erwarteten Verhaltens verworfen.

TCP SYN flood source

Legt den Schwellenwert für die TCP-SYN-Flood-Quelle fest. Der Schwellenwert definiert die Anzahl der SYN-Segmente, die pro Sekunde empfangen werden sollen, bevor das Gerät mit dem Verwerfen von Verbindungsanforderungen beginnt.

Der anwendbare Bereich liegt zwischen 4 und 500.000 SYN pps.

Wenn der eingehende Datenverkehr den Schwellenwert pps überschreitet, werden entweder die Pakete verworfen oder ein Alarm ausgelöst.

Bei SRX5000-Line-Geräten mit IOC2-Karte gibt es eine Änderung in der Bildschirmkonfiguration für Lookup-Chips (LU). In jeder IOC2-Karte befinden sich vier LU-Chips. Wenn der eingehende Datenverkehr den Schwellenwert pps überschreitet, werden die Pakete verworfen. Wenn der Benutzer beispielsweise den Schwellenwert von 1000 pps angibt, konfigurieren wir intern 250 pps auf jedem LU-Chip, sodass der Schwellenwert von 1000 pps gleichmäßig auf die 4 LU-Chips verteilt wird. Als erwartetes Ergebnis erhält der Benutzer den Gesamtschwellenwert von 1000 pps.

Wenn sich die IOC2-Karte auf SRX5000-Line-Geräten im Service-Offload-Modus befindet, funktioniert nur ein LU-Chip. Wenn die Rate des eingehenden Datenverkehrs den Schwellenwert überschreitet, werden die Pakete aufgrund des erwarteten Verhaltens verworfen.

TCP SYN flood destination

Legt den Schwellenwert für das TCP-SYN-Flood-Ziel fest. Der Schwellenwert definiert die Anzahl der SYN-Segmente, die pro Sekunde empfangen werden, bevor das Gerät mit dem Verwerfen von Verbindungsanforderungen beginnt.

Der anwendbare Bereich liegt zwischen 4 und 500.000 SYN pps.

Wenn der eingehende Datenverkehr den Schwellenwert pps überschreitet, werden entweder die Pakete verworfen oder ein Alarm ausgelöst.

Bei SRX5000-Line-Geräten mit IOC2-Karte gibt es eine Änderung in der Bildschirmkonfiguration für Lookup-Chips (LU). In jeder IOC2-Karte befinden sich vier LU-Chips. Wenn der eingehende Datenverkehr den Schwellenwert pps überschreitet, werden die Pakete verworfen. Wenn der Benutzer beispielsweise den Schwellenwert von 1000 pps angibt, konfigurieren wir intern 250 pps auf jedem LU-Chip, sodass der Schwellenwert von 1000 pps gleichmäßig auf die 4 LU-Chips verteilt wird. Als erwartetes Ergebnis erhält der Benutzer den Gesamtschwellenwert von 1000 pps.

Wenn sich die IOC2-Karte auf SRX5000-Line-Geräten im Service-Offload-Modus befindet, funktioniert nur ein LU-Chip. Wenn die Rate des eingehenden Datenverkehrs den Schwellenwert überschreitet, werden die Pakete aufgrund des erwarteten Verhaltens verworfen.
Hinweis:

Auf Geräten mit SRX5400-, SRX5600- und SRX5800-Leitung wird der Bildschirmschwellenwert für jeden IOC im Prüfling für die untergeordneten LAG/LACP- und RLAG/RETH-Verbindungen festgelegt. Wenn Sie untergeordnete IOC-übergreifende Schnittstellen als Teil von LAG/LACP- oder RETH/RLAG-Schnittstellen haben und der eingehende Datenverkehr auch mehrere untergeordnete Links über IOCs durchläuft, legen Sie den Schwellenwert so fest, dass er mit der Gesamtzahl der Pakete, die vom Bildschirm von mehreren IOCs übergeben werden, mit der erwarteten Gesamtzahl der Pakete pro Sekunde (pps) an der Ausgangsschnittstelle übereinstimmt.

Signaturbasierte Bildschirme

Der SRX5K-MPC bietet signaturbasierte Bildschirmoptionen sowie Plausibilitätsprüfungen des empfangenen Pakets.

Manchmal sind vom Gerät empfangene Pakete falsch formatiert oder ungültig und können Schäden am Gerät und am Netzwerk verursachen. Diese Pakete müssen in den ersten Phasen der Verarbeitung verworfen werden.

Sowohl für signaturbasierte Bildschirmoptionen als auch für Plausibilitätsprüfungen wird der Paketinhalt, einschließlich Paket-Header, Status- und Steuerbits sowie Erweiterungs-Header (für IPv6), untersucht. Sie können die Bildschirme nach Ihren Anforderungen konfigurieren, wobei standardmäßig Paket-Plausibilitätsprüfungen durchgeführt werden.

Die Paketintegritätsprüfungen und Bildschirmoptionen werden für Pakete durchgeführt, die an Eingangsschnittstellen empfangen werden.

Der Prozessor führt Plausibilitätsprüfungen durch und führt einige Bildschirmfunktionen aus, um die fehlerhaften und bösartigen eingehenden Pakete zu erkennen, die von physischen Schnittstellen empfangen werden. Pakete, die eine Plausibilitätsprüfung nicht bestehen, werden gezählt und verworfen.

Die folgenden Paket-Plausibilitätsprüfungen werden unterstützt:

  • IPv4-Plausibilitätsprüfung

  • IPv6-Plausibilitätsprüfung

Die folgenden Bildschirmfunktionen werden unterstützt:

  • IP-basierter Bildschirm

  • UDP-basierter Bildschirm

  • TCP-basierter Bildschirm

  • ICMP-basierter Bildschirm

Die Bildschirmfunktionen gelten sowohl für IPv4- als auch für IPv6-Pakete, mit Ausnahme der IP-Optionsbildschirme, die nur für IPv4-Pakete gelten. Wenn ein Paket von einer Bildschirmoption erkannt wird, überspringt es die restlichen Bildschirmprüfungen und wird zur Protokollierung und Statistikerfassung an den zentralen Punkt oder die Services Processing Unit (SPU) weitergeleitet.

Hinweis:

Auf SRX5400-, SRX5600- und SRX5800-Geräten wird zuerst der erste Pfadsignaturbildschirm ausgeführt, gefolgt vom Bildschirm für den schnellen Pfad bad-inner-header .

Grundlegendes zur IPv6-Unterstützung für Bildschirme

Juniper Networks bietet verschiedene Erkennungs- und Abwehrmechanismen auf Zonen- und Richtlinienebene, um Exploits in allen Phasen ihrer Ausführung zu bekämpfen. Die Bildschirmoptionen befinden sich auf Zonenebene. Die Bildschirmoptionen von Junos OS sichern eine Zone, indem sie sie überprüfen und dann alle Verbindungsversuche zulassen oder verweigern, die das Überqueren einer an diese Zone gebundenen Schnittstelle erfordern.

Sie können Bildschirmoptionen konfigurieren, um Pakete basierend auf IPv6-Erweiterungsheadern, Paket-Headern und ICMPv6-Datenverkehr zu überprüfen und zu filtern. Je nach Konfiguration kann der Bildschirm Pakete verwerfen, Protokolle erstellen und erweiterte Statistiken für den IPv6-Datenverkehr bereitstellen.

Überprüfung und Filterung von IPv6-Erweiterungsheadern

Sie können die ipv6-extension-header Anweisung verwenden, um selektiv einen oder mehrere Erweiterungsheader zu überprüfen. In Tabelle 5 sind allgemeine IPv6-Erweiterungsheader und ihre Typwerte aufgeführt.

Tabelle 5: IPv6-Erweiterungsheader und Typwerte

Name des Headers

Header-Typ-Wert

Internet-Standards

Authentifizierung

51

RFC 2460

Kapselung der Sicherheitsnutzlast

50

RFC 2460

Host Identify-Protokoll

139

RFC 5201

Zieloptionen

  • ILNP-Nonce-Option

  • Option für Privatadressen

  • Möglichkeit der Linienidentifikation

  • Option für Tunnelkapselungsbegrenzung

60

RFC 2460

Fragment

44

RFC 2460

Hop-by-Hop-Optionen

  • CALIPSO-Option

  • RPL-Option

  • SFM DPD-Option

  • Jumbo-Nutzlastoption

  • Schnellstart-Option

  • Router-Warnoption

0

RFC 2460

Mobilität

135

RFC 6275

Nein weiter

59

RFC 2460

Routing

43

RFC 2460

Unterlegscheibe 6

140

RFC 5533

Maximale Anzahl von Erweiterungsheadern

Sie können die maximal zulässige Anzahl von Erweiterungsheadern in einem Paket angeben, indem Sie die ipv6-extension-header-limit Anweisung verwenden. Obwohl die maximale Anzahl von Erweiterungsheadern in einem Paket nicht explizit angegeben wird, wird die Reihenfolge der Erweiterungsheader in RFC 2460 empfohlen:

  1. Kopfzeile "Hop-by-Hop-Optionen"

  2. Kopfzeile "Zieloptionen"

  3. Routing-Header

  4. Header der Fragmenterweiterung

  5. Authentifizierungs-Header

  6. Kapselung des Security Payload-Headers

  7. Kopfzeile "Zieloptionen"

Jeder Erweiterungsheader sollte höchstens einmal vorkommen, mit Ausnahme des Zieloptionsheaders, der höchstens zweimal vorkommen sollte (einmal vor einem Routing-Header und einmal vor dem Protokollheader der oberen Schicht).

Die maximale Anzahl der Erweiterungsheader basierend auf RFC 2460 beträgt 7. Andere Erweiterungsheader wurden durch nachfolgende RFCs definiert. Es wird empfohlen, dass die maximale Anzahl der Erweiterungsheader im Bereich von 0 bis 32 liegt.

Ungültige Optionserweiterungs-Header

Sie können Bildschirme so konfigurieren, dass Pakete mit einer falsch formatierten IP-Option im IP-Paket-Header (IPv4 oder IPv6) erkannt und verworfen werden. Das Gerät zeichnet das Ereignis in der Liste der Bildschirmzähler für die Eingangsschnittstelle auf. Tabelle 6 listet die wichtigsten Kriterien auf, die das Gerät verwendet, um Pakete auf ungültige Optionen zu überprüfen.

Tabelle 6: Screening-Kriterien für schlechte Optionserweiterungen

Screening-Kriterien

Internet-Standards

Beschreibung

Der Header der Routingerweiterung befindet sich nach dem Fragmentheader

RFC 2460

Die Reihenfolge der Erweiterungsheader in einem Paket wird definiert. Dementsprechend muss sich der Fragmenterweiterungsheader nach dem Routingheader befinden.

Falscher Router-Alarmparameter

RFC 2711

Diese Option befindet sich im Hop-by-Hop-Header und in der Junos OS-Implementierung:

  • Es kann nur eine Option dieses Typs pro Hop-by-Hop-Header geben

  • Die Kopfzeilenlänge muss 2 sein.

  • Es kann nur eine Router-Warnoption in einem Erweiterungsheader geben.

Mehr als eine Back-to-Back-Pad-Option

draft-krishnan-ipv6-hopbyhop-00

Diese Art von Datenverkehr wird als Fehlerpakete überprüft.

Nutzlast ungleich Null in der PadN-Option

RFC 4942

Das System prüft, ob das PadN nur null Oktette in seiner Nutzlast hat.

Auffüllung über die nächste Acht-Oktett-Grenze hinaus

RFC 4942

Das System prüft, ob die Auffüllung über die nächste Grenze von acht Oktetten hinausgeht. Es gibt keinen legitimen Grund, über die nächste Acht-Oktett-Grenze hinaus aufzufüllen.

Jumbo-Nutzlast mit IPv6-Header-Nutzlast ungleich Null

RFC 2675

Das Feld für die Nutzlastlänge im IPv6-Header muss in jedem Paket, das die Jumbo-Nutzlastoption enthält, auf Null gesetzt werden.

ICMPv6-Prüfung und -Filterung

Sie können die ICMPv6-Überprüfung und -Filterung aktivieren. Das System prüft dann, ob das empfangene ICMPv6-Paket den definierten Kriterien entspricht, und führt die angegebene Aktion bei übereinstimmenden Paketen aus. Einige der wichtigsten definierten Kriterien sind wie folgt:

  • Informationsnachricht unbekannten Typs: Es werden viele Typen von ICMPv6-Informationsnachrichten definiert, z. B. Echoanforderung (Wert 128), Echoantwort (Wert 129) und Routeranforderung (Wert 133). Die maximale Typdefinition beträgt 149. Jeder Wert, der höher als 149 ist, wird als unbekannter Typ behandelt und entsprechend überprüft.

  • Erfüllt nicht die ICMPv6 ND packet format rules (RFC 4861)—Es gibt Standardregeln, z. B. dass das Feld für das IP-Hop-Limit den Wert 255 hat, die ICMP-Prüfsumme gültig sein muss, der ICMP-Code 0 sein muss usw.

  • Fehlerhafte ICMPv6-Paketfilterung: Beispielsweise ist das ICMPv6-Paket zu groß (Nachrichtentyp 2), der nächste Header wird auf Routing (43) und der Routing-Header auf Hop-by-Hop festgelegt.

IPv6-Paket-Header-Prüfung und -Filterung

Sie können die Überprüfung und Filterung von IPv6-Paketheadern mit der ipv6-malformed-header Anweisung aktivieren. Nach der Aktivierung überprüft das System jedes eingehende IPv6-Paket, um zu prüfen, ob es eines der definierten Kriterien erfüllt. Das System führt dann die angegebene Aktion (Drop oder Alarm-ohne-Drop) für übereinstimmende Pakete aus. Tabelle 7 listet die wichtigsten Kriterien auf, die das Gerät zum Überprüfen von Paketen verwendet.

Tabelle 7: IPv6-Kriterien für das Packet Header Screening

Screening-Kriterien

Internet-Standards

Beschreibung

Veraltete standortlokale Quell- und Zieladressen

RFC 3879

Das standortlokale IPv6-Unicastpräfix (1111111011 binary oder FEC0::/10) wird nicht unterstützt.

Ungültige Multicastadressbereichswerte

RFC 4291

Die nicht zugewiesenen Multicastadressbereichswerte werden als unzulässig behandelt.

Nur-Dokumentations-Präfix (2001:DB8::/32)

RFC 3849

Die IANA soll die Zuweisung des globalen IPv6-Unicast-Adresspräfixes (2001:DB8::/32) als reines Dokumentationspräfix in der IPv6-Adressregistrierung aufzeichnen. Diese Adresse soll keinem Endparteien zugewiesen werden.

Veraltete IPv4-kompatible IPv6-Quell- und Zieladressen (::/96)

RFC 4291

Die IPv4-kompatible IPv6-Adresse ist veraltet und wird nicht unterstützt.

ORCHID Quell- und Zieladressen (2001:10::/28)

RFC 5156

Adressen der Overlay Routable Cryptographic Hash Identifiers (2001:10::/28) werden als Bezeichner verwendet und können nicht für das Routing auf der IP-Ebene verwendet werden. Adressen innerhalb dieses Blocks dürfen nicht im öffentlichen Internet erscheinen.

Eine IPv4-Adresse, die in die IPv6-Adresse (64:ff9b::/96) eingebettet ist, ist eine illegale, inakzeptable IPv4-Adresse

RFC 6052

Die IPv6-Adresse 64:ff9b::/96 ist als "Well-known Prefix" für die Verwendung im algorithmischen Mapping reserviert.

Grundlegendes zur IPv6-Tunneling-Steuerung auf dem Bildschirm

Es werden mehrere IPv6-Übergangsmethoden bereitgestellt, um das Tunneling von IPv6-Paketen über IPv4-Netzwerke zu nutzen, die IPv6 nicht unterstützen. Aus diesem Grund verwenden diese Methoden öffentliche Gateways und umgehen die Richtlinien des Betreibers.

Die Sicherheit von getunnelten Paketen ist für Service Provider ein wichtiges Anliegen, da Angreifer leicht auf getunnelte Pakete zugreifen können. Es wurden zahlreiche IPv6-Übergangsmethoden entwickelt, um getunnelte Pakete über ein Netzwerk zu senden. Da einige von ihnen jedoch auf öffentlichen Gateways betrieben werden, umgehen sie die Richtlinien des Betreibers. Dies bedeutet, dass die Paketübertragung Angreifern ausgesetzt ist. Um die Übertragung von Paketen zu überwinden und zu sichern, müssen die IPv6-Endknoten die gekapselten Datenpakete entkapseln. Screen ist eine der neuesten verfügbaren Technologien zum Blockieren oder Zulassen von Tunneling-Datenverkehr basierend auf Benutzereinstellungen.

Sie können die folgenden Bildschirmoptionen konfigurieren, um Pakete basierend auf IPv6-Erweiterungsheadern, Paketheadern und IPv6- oder IPv4-Adressvalidierungen mit Bad-Inner-Header zu überprüfen und zu filtern. Je nach Konfiguration kann der Bildschirm Pakete verwerfen, Protokolle erstellen und erweiterte Statistiken für IP-Tunneling bereitstellen.

  • GRE 4in4-Tunnel: Der GRE 4in4-Tunnelbildschirm entspricht der folgenden Signatur: | IPv4 outer header | GRE header | IPv4 inner header

    Ein äußerer IPv4-Header muss Protocol 47 GRE Encapsulation sein. Ein GRE-Header muss das Protokoll E-Typ 0x0800 IPv4 aufweisen. Wenn diese Bedingungen erfüllt sind, wird dieses Paket als GRE 4in4-Tunnelsignatur klassifiziert.

  • GRE 4in6-Tunnel: Der GRE 4in6-Tunnelbildschirm entspricht der folgenden Signatur: IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv4 inner header

    Ein äußerer IPv6-Hauptheader oder ein IPv6-Erweiterungsheader muss für GREE über einen Next-Header mit dem Wert 47 verfügen. Ein GRE-Header muss das Protokoll E-Typ 0x0800 IPv4 aufweisen. Wenn diese Bedingungen erfüllt sind, wird dieses Paket als GRE 4in6-Tunnelsignatur klassifiziert.

  • GRE 6in4-Tunnel: Der GRE 6in4-Tunnelbildschirm entspricht der folgenden Signatur: IPv4 outer header | GRE header | IPv6 inner header

    Ein äußerer IPv4-Header muss Protocol 47 GRE Encapsulation sein. Ein GRE-Header muss das Protokoll E-Typ 0x086DD IPv6 aufweisen. Wenn diese Bedingungen erfüllt sind, wird dieses Paket als GRE 6in4-Tunnelsignatur klassifiziert.

  • GRE 6in6-Tunnel: Der GRE 6in6-Tunnelbildschirm entspricht der folgenden Signatur:IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv6 inner header

    Ein äußerer IPv6-Hauptheader oder ein IPv6-Erweiterungsheader muss für GREE über einen Next-Header mit dem Wert 47 verfügen. Ein GRE-Header muss das Protokoll E-Typ 0x086DD' IPv6 aufweisen. Wenn diese Bedingungen erfüllt sind, wird dieses Paket als GRE 6in6-Tunnelsignatur klassifiziert.

  • IPinIP 6to4relay-Tunnel : Der IPinIP 6to4relay-Tunnelbildschirm entspricht der folgenden Signatur: | IPv4 outer header | IPv6 inner header

    Ein äußerer IPv4-Header muss Protocol 41 IPv6 Encapsulation sein. Eine äußere Header-Quell- oder Zieladresse muss sich im Netzwerk 192.88.99.0/24 befinden. Eine innere IPv6-Header-Quell- oder Zieladresse muss sich im Netzwerk 2002:/16 befinden. Wenn diese Bedingungen erfüllt sind, wird dieses Paket als IPinIP 6to4relay-Tunnelsignatur klassifiziert.

  • IPinIP 6in4-Tunnel : Der IPinIP 6in4-Tunnelbildschirm entspricht der folgenden Signatur: | IPv4 outer header | IPv6 inner header

    Ein äußerer IPv4-Header muss Protocol 41 IPv6 Encapsulation sein. Wenn diese Bedingung erfüllt ist, wird dieses Paket als IPinIP 6in4-Tunnelsignatur klassifiziert.

    Hinweis:

    Wenn IPv6-Pakete in einem kompletten IPv4-Netzwerk transportiert werden müssen, verwenden die IPv6-Pakete in der Regel einen Punkt-zu-Punkt-6-in4-Tunnel.

  • IPinIP 6over4-Tunnel : Der IPinIP 6over4-Tunnelbildschirm entspricht der folgenden Signatur: | IPv4 outer header | IPv6 inner header

    Ein äußerer IPv4-Header muss Protocol 41 IPv6 Encapsulation:W sein. Eine innere Header-Quell- oder Zieladresse muss sich im fe80::/64-Netzwerk befinden. Wenn diese Bedingungen erfüllt sind, wird dieses Paket als IPinIP 6over4-Tunnelsignatur klassifiziert.

  • IPinIP 4-in6-Tunnel : Der IPinIP 4-in6-Tunnel-Bildschirm entspricht der folgenden Signatur: | IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    Ein äußerer IPv6-Header oder ein IPv6-Erweiterungsheader muss für IPv4 über einen Next-Header mit dem Wert 04 verfügen. Wenn diese Bedingungen erfüllt sind, wird dieses Paket als IPinIP 4in6-Tunnelsignatur klassifiziert.

  • IPinIP ISATAP Tunnel: Der IPinIP ISATAP Tunnel-Bildschirm entspricht der folgenden Signatur: | IPv6 outer main header | IPv6 inner header

    Ein äußerer IPv4-Header muss Protocol 41 IPv6 Encapsulation sein. Eine innere IPv6-Header-Quell- oder Zieladresse muss sich im Netzwerk fe80::200:5efe/96 oder fe80::5efe/96 befinden. Wenn diese Bedingungen erfüllt sind, wird dieses Paket als IPinIP ISATAP-Tunnelsignatur klassifiziert.

  • IPinIP DS-Lite-Tunnel: Der IPinIP DS-Lite-Tunnelbildschirm entspricht der folgenden Signatur: | IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    Ein äußerer IPv6-Header oder ein IPv6-Erweiterungsheader muss für IPv4 über einen Next-Header mit dem Wert 04 verfügen. Eine innere IPv4-Quell- oder Zieladresse muss sich im Netzwerk 192.0.0.0/29 befinden. Wenn diese Bedingungen erfüllt sind, wird dieses Paket als IPinIP DS-Lite-Tunnelsignatur klassifiziert.

  • IPinIP 6-in6-Tunnel: Der IPinIP 6-in6-Tunnel-Bildschirm entspricht der folgenden Signatur:| IPv6 outer main header | IPv6 extension header(s) | IPv6 inner main header

    Ein äußerer IPv6-Hauptheader oder ein IPv6-Erweiterungsheader muss einen Next-Header mit dem Wert 41 für IPv6 haben. Ein innerer IPv6-Hauptheader muss Version 6 sein. Wenn diese beiden Bedingungen erfüllt sind, wird dieses Paket als IPinIP 6in6-Tunnelsignatur klassifiziert.

  • IPinIP 4-in4-Tunnel: Der IPinIP 4-in4-Tunnel-Bildschirm entspricht der folgenden Signatur: | IPv6 outer header | IPv4 inner header . Ein äußerer IPv4-Header muss ein Protokoll mit dem Wert 04 für IPv4 haben. Ein innerer IPv4-Header muss Version 4 sein.

  • IPinUDP-Teredo-Tunnel: Der IPinUDP-Teredo-Tunnel entspricht der folgenden Signatur: IPv4 outer header | UDP header | IPv6 inner header

    Ein äußerer IPv4-Header muss für die UDP-Nutzlast das Protokoll 17 aufweisen. Der Quell- oder Zielport eines UDP-Headers muss 3544 sein. Eine innere IPv6-Header-Quell- oder Zieladresse muss sich im Netzwerk 2001:0000:/32 befinden.

  • Prüfung auf fehlerhaften inneren Header des IP-Tunnels: Auf dem Bildschirm "Fehlerhafter innerer Header-Tunnel" werden die Informationen zum inneren Header des Tunneldatenverkehrs auf Konsistenz überprüft. Das Paket wird verworfen, wenn einer der folgenden Punkte erkannt wird:

    • Die innere Kopfzeile stimmt nicht mit der äußeren Kopfzeile überein.

    • Die TTL oder Hop-Grenze des inneren Headers darf nicht 0 oder 255 sein.

    • Überprüfung der IPv6-Adresse des inneren Headers.

    • Überprüfung der IPv4-Adresse im inneren Header.

    • Überprüfung der Länge des äußeren und inneren Headers:

    • Überprüfung der Länge des inneren Headers IPv4 und IPv6 TCP/UDP/ICMP-Header:

      Die Länge des TCP/UDP/ICMP-Headers muss in die innere Länge des IPv4/IPv6/EH6-Headers passen, wenn die innere IP-Adresse (v4/v6) kein erstes, nächstes oder letztes Fragment ist.

    • TCP: Die minimale TCP-Headergröße muss in die vorherige Kapselungslänge passen.

    • ICMP: Die minimale ICMP-Header-Größe muss in die vorherige Kapselungslänge passen.

    • Fragmentierte Pakete: Wenn bei fragmentierten Paketen die Tunnelinformationen auf einen Bildschirm überprüft werden müssen und sich nicht im ersten Fragment befinden, wird die Überprüfung nur für die Teile der Tunnelkapselung durchgeführt, die im ersten Fragment enthalten sind. Längenprüfungen werden für Pakete des ersten Fragments unter Verwendung der tatsächlichen Paketpufferlänge durchgeführt, die Längenprüfungen werden jedoch ignoriert, da der innere Header größer als der äußere Header ist.

      • Wenn der äußere Header das erste Fragment ist, untersuchen Sie nicht die vergangene physische Paketlänge des Fragments.

      • Wenn es sich bei der inneren Kopfzeile um ein erstes Fragment handelt, untersuchen Sie nicht die vergangene Länge des Fragments.

      Bei Paketen, die nicht das erste Fragment sind, wird die Überprüfung im Bildschirm "Bad Inner Header Tunnel" nicht durchgeführt.

    • Wenn es sich bei dem äußeren Header um ein nicht erstes Fragment handelt, untersuchen Sie das Paket auf Bildschirme, die nur IP-Headersignaturen verwenden, da die Nutzlast nicht untersucht werden kann.

    • Wenn es sich bei dem inneren Header um ein nicht erstes Fragment handelt, untersuchen Sie das nächste Paket nicht.

    • Der innere IPv4-Header überprüft, ob der IPv4-Header zwischen 20 und 50 Byte groß ist.

Hinweis:

Wenn auf allen Firewalls der SRX-Serie eine Paketzulass- oder -verwerfungssitzung eingerichtet wird, wird für jedes Paket der Bildschirm "Bad-Inner-Header" ausgeführt, da es sich bei diesem Bildschirm um einen Bildschirm für schnelle Pfade handelt.

Auf SRX300-, SRX320-, SRX340-, SRX345-, SRX380-, SRX1500-, SRX4100-, SRX4200-Geräten und vSRX Virtual Firewall-Instanzen wird der Fast-Path-Bildschirm "Bad-Inner-Header" immer zuerst ausgeführt, gefolgt vom ersten Pfadsignaturbildschirm.

Ab Junos OS Version 12.3X48-D10 und Junos OS Version 17.3R1 wurden die Syslog-Meldungen RT_SCREEN_IP und RT_SCREEN_IP_LS der IP-Tunneling-Bildschirm aktualisiert. Die aktualisierten Meldungen enthalten die Tunnelbildschirmangriffe und die Protokollierungskriterien ohne Ablage. Die folgende Liste zeigt einige Beispiele für diese neuen Systemprotokollmeldungen für jeden der Tunneltypen:

  • RT_SCREEN_IP: Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP: Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP: Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

Beispiel: Verbessern der Sicherheit des Tunneldatenverkehrs mit IP-Tunneling-Bildschirmoptionen

In diesem Beispiel wird gezeigt, wie die Tunnelbildschirme konfiguriert werden, damit die Bildschirme den Transit von getunneltem Datenverkehr steuern, zulassen oder blockieren können.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Eine Firewall der SRX-Serie

  • Junos OS Version 12.3X48-D10 und höher

Bevor Sie beginnen:

Übersicht

Sie können die folgenden IP-Tunneling-Bildschirmoptionen konfigurieren, um Pakete basierend auf IPv6-Erweiterungsheadern, Paket-Headern und IPv6- oder IPv4-Adressvalidierungen mit schlechtem innerem Header zu überprüfen und zu filtern. Je nach Konfiguration kann der Bildschirm Pakete verwerfen, Protokolle erstellen und erweiterte Statistiken für IP-Tunneling bereitstellen. Die folgenden Optionen für den Tunneling-Bildschirm sind einer nicht vertrauenswürdigen Zone zugewiesen.

  • GRE 4in4 Tunnel

  • GRE 4in6 Tunnel

  • GRE 6in4 Tunnel

  • GRE 6in6 Tunnel

  • IPinUDP Teredo-Tunnel

  • IPinIP 4-in-4-Tunnel

  • IPinIP 4-in-6-Tunnel

  • IPinIP 6-in-4-Tunnel

  • IPinIP 6-in-6-Tunnel

  • IPinIP 6over4-Tunnel

  • IPinIP 6to4relay-Tunnel

  • IPinIP ISATAP-Tunnel

  • IPinIP DS-Lite-Tunnel

  • Fehlerhafter innerer Kopftunnel

Konfiguration

Führen Sie die folgenden Aufgaben aus, um die Bildschirmoptionen für den IP-Tunneling zu konfigurieren:

Konfigurieren von GRE-Tunnelbildschirmen

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie Using the CLI Editor in Configuration Mode in .CLI User Guide

So konfigurieren Sie einen GRE-Tunnelbildschirm:

  1. Konfigurieren Sie einen GRE-Tunnelbildschirm, um die internen Header-Informationen des Tunneldatenverkehrs auf Konsistenz zu überprüfen und den Bildschirm für den Signaturtyp zu validieren.

  2. Konfigurieren Sie die Bildschirme in den Sicherheitszonen.

Konfigurieren eines IPinUDP-Teredo-Tunnelbildschirms

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie Using the CLI Editor in Configuration Mode in .CLI User Guide

So konfigurieren Sie einen IPinUDP-Teredo-Tunnelbildschirm:

  1. Konfigurieren Sie einen IPinUDP-Teredo-Tunnelbildschirm, um die inneren Headerinformationen des Tunneldatenverkehrs auf Konsistenz zu überprüfen und den Bildschirm für den Signaturtyp zu validieren.

  2. Konfigurieren Sie die Bildschirme in den Sicherheitszonen.

Konfigurieren eines IPinIP-Tunnelbildschirms

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie einen IPinIP-Tunnelbildschirm:

  1. Konfigurieren Sie einen IPinIP-Tunnelbildschirm, um die inneren Headerinformationen des Tunneldatenverkehrs auf Konsistenz zu überprüfen und den Bildschirm für den Signaturtyp zu validieren.

  2. Konfigurieren Sie die Bildschirme in den Sicherheitszonen.

Konfigurieren eines Tunnelbildschirms mit fehlerhaftem innerem Header

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren.

So konfigurieren Sie einen Tunnelbildschirm mit fehlerhaftem innerem Header:

  1. Konfigurieren Sie einen Tunnelbildschirm mit fehlerhaftem innerem Header, um die Informationen zum inneren Header des Tunneldatenverkehrs auf Konsistenz zu überprüfen.

  2. Konfigurieren Sie die Bildschirme in den Sicherheitszonen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security screen Befehle und show security screen statistics zone untrust ip tunnel eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Der Kürze halber enthält diese show Ausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Konfiguration des Sicherheitsbildschirms

Zweck

Zeigen Sie die Konfigurationsinformationen zum Sicherheitsbildschirm an.

Aktion

Geben Sie im Betriebsmodus den show security screen ids-option screen1 Befehl ein.

Bedeutung

Der show security screen ids-option screen1 Befehl zeigt den Status des Bildschirmobjekts als aktiviert an.

Überprüfen von IP-Tunnel-Bildschirmen in den Sicherheitszonen

Zweck

Vergewissern Sie sich, dass die Optionen für den IP-Tunneling-Bildschirm in den Sicherheitszonen richtig konfiguriert sind.

Aktion

Geben Sie im Betriebsmodus den show security screen statistics zone untrust ip tunnel Befehl ein.

Bedeutung

Der show security screen statistics zone untrust ip tunnel Befehl zeigt die Zusammenfassung der Statistiken des IP-Tunnelbildschirms an.

Tabelle "Änderungshistorie"

Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
15.1X49-D30
Beginnend mit Junos OS Version 15.1X49-D30 und Junos OS Version 17.3R1 wird auf SRX5400-, SRX5600- und SRX5800 Geräten die Architektur der zentralen Punkte verbessert, um eine höhere Anzahl von Verbindungen pro Sekunde (CPS) zu erreichen.
15.1X49-D20
Ab Junos OS Version 15.1X49-D20 und Junos OS Version 17.3R1 generiert die Firewall nur eine Protokollmeldung pro Sekunde, unabhängig von der Anzahl der Pakete, die das Quell- oder Zielsitzungslimit auslösen. Dieses Verhalten gilt für Hochwasserschutzbildschirme mit TCP-Synflood-src-based, TCP-Synflood-dst-basedund UDP-Hochwasserschutz.
12.3X48-D10
Ab Junos OS Version 12.3X48-D10 und Junos OS Version 17.3R1 wurden die Syslog-Meldungen RT_SCREEN_IP und RT_SCREEN_IP_LS der IP-Tunneling-Bildschirm aktualisiert.