Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

IP-Paketschutz

Einige Angreifer können die IP-Optionsfelder missbrauchen, deren ursprüngliche Absicht darin bestand (und immer noch besteht), spezielle Routing-Kontrollen, Diagnosetools und Sicherheit bereitzustellen. Durch eine falsche Konfiguration dieser Optionen erzeugen Angreifer entweder unvollständige oder fehlerhafte Felder innerhalb eines Pakets. Angreifer können diese fehlerhaften Pakete verwenden, um Hosts im Netzwerk zu kompromittieren. Weitere Informationen finden Sie in den folgenden Themen:

Grundlegendes zum Schutz von IP-Paketfragmenten

Da Pakete verschiedene Netzwerke durchlaufen, ist es manchmal notwendig, ein Paket basierend auf der maximalen Übertragungseinheit (MTU) jedes Netzwerks in kleinere Teile (Fragmente) aufzuteilen. IP-Fragmente können den Versuch eines Angreifers enthalten, die Schwachstellen im Paketreassemblierungscode bestimmter IP-Stack-Implementierungen auszunutzen. Wenn das Opfer diese Pakete erhält, können die Ergebnisse von einer fehlerhaften Verarbeitung der Pakete bis hin zum Absturz des gesamten Systems reichen. Siehe Abbildung 1.

Abbildung 1: IP-Paketfragmente IP Packet Fragments

Wenn Sie Junos OS aktivieren, um IP-Fragmente in einer Sicherheitszone abzulehnen, werden alle IP-Paketfragmente blockiert, die es an Schnittstellen empfängt, die an diese Zone gebunden sind.

Hinweis:

Junos OS unterstützt den Schutz von IP-Fragmenten sowohl für IPv4- als auch für IPv6-Pakete.

In IPv6-Paketen sind keine Fragmentinformationen im IPv6-Header vorhanden. Die Fragmentinformationen sind im Fragmenterweiterungsheader vorhanden, der für die IPv6-Fragmentierung und -Reassemblierung verantwortlich ist. Der Quellknoten fügt den Fragmenterweiterungsheader zwischen dem IPv6-Header und dem Nutzlastheader ein, wenn eine Fragmentierung erforderlich ist. Siehe Abbildung 2.

Abbildung 2: IPv6-Paket IPv6 Packet

Das allgemeine Format des Fragmenterweiterungsheaders ist in Abbildung 3 dargestellt.

Abbildung 3: Header Fragment Extension Header der Fragmenterweiterung

Beispiel: Verwerfen fragmentierter IP-Pakete

In diesem Beispiel wird gezeigt, wie fragmentierte IP-Pakete verworfen werden.

Anforderungen

Bevor Sie beginnen, Grundlegendes zum Schutz von IP-Paketfragmenten. Weitere Informationen finden Sie unter Übersicht über verdächtige Paketattribute.

Übersicht

Wenn diese Funktion aktiviert ist, verweigert Junos OS IP-Fragmente in einer Sicherheitszone und blockiert alle IP-Paketfragmente, die an Schnittstellen empfangen werden, die an diese Zone gebunden sind.

In diesem Beispiel konfigurieren Sie den Blockfragmentbildschirm so, dass fragmentierte IP-Pakete, die aus der Sicherheitszone zone1 stammen, verworfen werden.

Topologie

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So verwerfen Sie fragmentierte IP-Pakete:

  1. Konfigurieren Sie den Bildschirm.

  2. Konfigurieren Sie die Sicherheitszone.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security screen statistics zone zone-name Befehl ein.

Grundlegendes zum Schutz schlechter IP-Optionen

Der IP-Standard RFC 791 ( Internet Protocol) spezifiziert eine Reihe von acht Optionen, die spezielle Routing-Steuerelemente, Diagnosetools und Sicherheit bereitstellen. Obwohl die ursprünglichen, beabsichtigten Verwendungszwecke für diese Optionen würdigen Zwecken dienten, haben die Menschen Wege gefunden, diese Optionen zu verdrehen, um weniger lobenswerte Ziele zu erreichen.

Absichtlich oder versehentlich konfigurieren Angreifer IP-Optionen manchmal falsch, was entweder zu unvollständigen oder fehlerhaften Feldern führt. Unabhängig von den Absichten der Person, die das Paket erstellt hat, ist die falsche Formatierung anomal und potenziell schädlich für den beabsichtigten Empfänger. Siehe Abbildung 4.

Abbildung 4: Falsch formatierte IP-Optionen Incorrectly Formatted IP Options

Wenn Sie die Option "Schutzbildschirm für ungültige IP-Adressen" aktivieren, blockiert Junos OS Pakete, wenn eine IP-Option im IP-Paket-Header falsch formatiert ist. Darüber hinaus zeichnet Junos OS das Ereignis im Ereignisprotokoll auf.

Hinweis:

Junos OS unterstützt schlechten IP-Optionsschutz sowohl für IPv4- als auch für IPv6-Pakete.

Beispiel: Blockieren von IP-Paketen mit falsch formatierten Optionen

Dieses Beispiel zeigt, wie große ICMP-Pakete mit falsch formatierten Optionen blockiert werden.

Anforderungen

Bevor Sie beginnen, Verstehen Sie den Schutz schlechter IP-Optionen. Weitere Informationen finden Sie unter Übersicht über verdächtige Paketattribute.

Übersicht

Wenn Sie die Option "Schutzbildschirm für ungültige IP-Adressen" aktivieren, blockiert Junos OS Pakete, wenn eine IP-Option im IP-Paket-Header falsch formatiert ist. Darüber hinaus zeichnet Junos OS das Ereignis im Ereignisprotokoll auf.

In diesem Beispiel konfigurieren Sie den Optionsbildschirm "IP bad", um große ICMP-Pakete zu blockieren, die aus der Sicherheitszone zone1 stammen.

Topologie

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So erkennen und blockieren Sie IP-Pakete mit falsch formatierten IP-Optionen:

  1. Konfigurieren Sie den Bildschirm.

    Hinweis:

    Derzeit ist diese Bildschirmoption nur für IPv4 verfügbar.

  2. Konfigurieren Sie eine Sicherheitszone.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security screen statistics zone zone-name Befehl ein.

Grundlegendes zum Schutz unbekannter Protokolle

Basierend auf dem neuesten IANA-Protokollnummerndokument sind die Protokolltypen mit ID-Nummern von 143 oder höher reserviert und zu diesem Zeitpunkt nicht definiert. Gerade weil diese Protokolle nicht definiert sind, gibt es keine Möglichkeit, im Voraus zu wissen, ob ein bestimmtes unbekanntes Protokoll gutartig oder bösartig ist.

Sofern Ihr Netzwerk kein nicht standardmäßiges Protokoll mit einer ID-Nummer von 143 oder höher verwendet, sollten Sie solche unbekannten Elemente daran hindern, in Ihr geschütztes Netzwerk einzudringen. Siehe Abbildung 5.

Abbildung 5: Unbekannte Protokolle Unknown Protocols

Wenn Sie die Option "Schutzbildschirm für unbekanntes Protokoll" aktivieren, verwirft Junos OS Pakete, wenn das Protokollfeld standardmäßig die Protokoll-ID-Nummer 143 oder höher enthält.

Hinweis:

Wenn Sie die Bildschirmoption "Schutz unbekannter Protokolle" für das IPv6-Protokoll aktivieren, verwirft Junos OS Pakete, wenn das Protokollfeld standardmäßig die Protokoll-ID-Nummer 143 oder höher enthält.

Beispiel: Verwerfen von Paketen mit einem unbekannten Protokoll

In diesem Beispiel wird gezeigt, wie Pakete mit einem unbekannten Protokoll verworfen werden.

Anforderungen

Bevor Sie beginnen, Verstehen des Schutzes unbekannter Protokolle. Weitere Informationen finden Sie unter Übersicht über verdächtige Paketattribute.

Übersicht

Wenn Sie die Option Schutzbildschirm für unbekannte Protokolle aktivieren, verwirft Junos OS Pakete, wenn das Protokollfeld standardmäßig die Protokoll-ID-Nummer 137 oder höher enthält.

In diesem Beispiel konfigurieren Sie den Bildschirm "Unbekanntes Protokoll" so, dass Pakete mit einem unbekannten Protokoll blockiert werden, die aus der Sicherheitszone zone1 stammen.

Topologie

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So verwerfen Sie Pakete, die ein unbekanntes Protokoll verwenden:

  1. Konfigurieren Sie den Bildschirm mit dem unbekannten Protokoll.

  2. Konfigurieren Sie eine Sicherheitszone.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security screen statistics zone zone-name Befehl ein.

Grundlegendes zu Zulassungslisten für den IP-Blockfragment-Bildschirm

Junos OS bietet die administrative Option zum Konfigurieren einer Zulassungsliste vertrauenswürdiger IP-Adressen auf dem Bildschirm des IP-Blockfragments. Wenn Sie die IP-Blockfragmentierung in einer Zone aktivieren, verweigert Junos OS IP-Fragmente und blockiert alle IP-Paketfragmente. Alle fragmentierten IP-Pakete werden verworfen. Um zu vermeiden, dass diese Pakete verworfen werden, und stattdessen zuzulassen, dass diese Pakete die Überprüfung der IP-Blockfragmentfragmentierung umgehen, müssen Sie die Zulassungsliste für IP-Blockfragmente konfigurieren.

Wenn Sie die Zulassungsliste auf dem Bildschirm "IP-Blockfragment" konfigurieren, umgeht der Datenverkehr von Quelladressen in den Zulassungslistengruppen die Überprüfung der IP-Blockfragmentierung. Die Zulassungsliste für IP-Blockfragmente unterstützt sowohl IPv4- als auch IPv6-Adressen, und in jeder Zulassungsliste können bis zu 32 IP-Adresspräfixe enthalten sein. Sie können eine einzelne Adresse oder eine Subnetzadresse konfigurieren.

Vorteile der IP-Blockfragment-Zulassungsliste

  • Die Zulassungsliste für IP-Blockfragmente umgeht die Überprüfung der IP-Blockfragmentierung, um fragmentierte IP-Pakete aus bestimmten Quellen zuzulassen.

Zugehörige Dokumentation