Cette rubrique décrit comment configurer la détection d’une attaque de balayage IP.
Un nettoyage d’adresse se produit lorsqu’une adresse IP source envoie un nombre défini de paquets ICMP à différents hôtes dans un intervalle de temps défini (5 000 microsecondes est la valeur par défaut). L’objectif de cette attaque est d’envoyer des paquets ICMP (généralement des requêtes en écho) à divers hôtes dans l’espoir qu’au moins un d’entre eux réponde, et ainsi découvrir une adresse à la cible.
Pour permettre la détection d’une attaque de ratissage IP :
- Configurez les interfaces et attribuez une adresse IP aux interfaces.
[edit]
user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 198.51.100.0/24
- Configurez les zones
trustZone de sécurité et untrustZone leur attribuez des interfaces.
[edit]
user@host# set security zones security-zone trustZone host-inbound-traffic system-services all
user@host# set security zones security-zone trustZone host-inbound-traffic protocols all
user@host# set security zones security-zone trustZone interfaces ge-0/0/1.0
user@host# set security zones security-zone untrustZone host-inbound-traffic system-services all
user@host# set security zones security-zone untrustZone host-inbound-traffic protocols all
user@host# set security zones security-zone untrustZone interfaces ge-0/0/3.0
- Configurez les stratégies de sécurité de
untrustZone à trustZone.
[edit]
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match source-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match destination-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match application any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then permit
user@host# set security policies default-policy deny-all
- Configurez les écrans de sécurité et attachez-les à
untrustZone.
[edit]
user@host# set security screen ids-option untrustScreen icmp ip-sweep
user@host# set security screen ids-option untrustScreen alarm-without-drop
user@host# set security zones security-zone untrustZone screen untrustScreen
- Configurez syslog.
[edit]
user@host# set system syslog file syslog any any
user@host# set system syslog file syslog archive size 10000000
user@host# set system syslog file syslog structured-data
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-init
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-close
- Validez la configuration.
