Balayage des adresses IP et analyse des ports
Un balayage d’adresses se produit lorsqu’une adresse IP source envoie un nombre prédéfini de paquets ICMP à différents hôtes dans un intervalle de temps prédéfini. L’analyse des ports se produit lorsqu’une adresse IP source envoie des paquets IP contenant des segments TCP SYN à un nombre prédéfini de ports différents à la même adresse IP de destination dans un intervalle de temps prédéfini. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre la reconnaissance réseau à l’aide des options IP
La norme IP RFC 791, Protocole Internet, spécifie un ensemble d’options permettant de fournir des contrôles de routage, des outils de diagnostic et de sécurité spéciaux.
La RFC 791 stipule que ces options sont « inutiles pour les communications les plus courantes » et, en réalité, elles apparaissent rarement dans les en-têtes de paquets IP. Ces options apparaissent après l’adresse de destination dans un en-tête de paquet IP, comme illustré sur la Figure 1. Lorsqu’ils apparaissent, ils sont souvent utilisés de manière illégitime.
de routage
Cette rubrique contient les sections suivantes :
- Utilisations des options d’en-tête de paquet IP
- Options d’écran pour détecter les options IP utilisées pour la reconnaissance
Utilisations des options d’en-tête de paquet IP
Le tableau 1 répertorie les options IP et les attributs qui les accompagnent.
Type |
Classe |
Nombre |
Longueur |
Utilisation conforme à l’usage prévu |
Utilisation néfaste |
|---|---|---|---|---|---|
Fin des options |
0* |
0 |
0 |
Indique la fin d’une ou plusieurs options IP. |
Aucun. |
Pas d’options |
0 |
1 |
0 |
Indique qu’il n’y a pas d’options IP dans l’en-tête. |
Aucun. |
Sécurité |
0 |
2 |
11 embouts |
Fournit aux hôtes un moyen d’envoyer des paramètres de sécurité, TCC (groupe d’utilisateurs fermés) et des codes de restriction de gestion compatibles avec les exigences du ministère de la Défense (DoD). (Cette option, telle que spécifiée dans la RFC 791, Protocole Internet , et la RFC 1038, Option de sécurité IP révisée, est obsolète.) Actuellement, cette option d’écran ne s’applique qu’à IPv4. |
Inconnu. Cependant, comme il est obsolète, sa présence dans un en-tête IP est suspecte. |
Route source lâche |
0 |
3 |
Varie |
Spécifie une liste partielle de routages pour qu’un paquet effectue son voyage de la source à la destination. Le paquet doit se dérouler dans l’ordre des adresses spécifié, mais il est autorisé à passer par d’autres périphériques entre ceux spécifiés. |
Évasion fiscale. L’attaquant peut utiliser les routes spécifiées pour masquer la véritable source d’un paquet ou pour accéder à un réseau protégé. |
Enregistrer l’itinéraire |
0 |
7 |
Varie |
Enregistre les adresses IP des périphériques réseau le long du chemin parcouru par le paquet IP. La machine de destination peut alors extraire et traiter les informations d’itinéraire. (En raison de la limitation de taille de 40 octets pour l’option et l’espace de stockage, cela ne peut enregistrer que jusqu’à 9 adresses IP.) Actuellement, cette option d’écran ne s’applique qu’à IPv4. |
Reconnaissance. Si l'hôte de destination est une machine compromise sous le contrôle de l'attaquant, celui-ci peut glaner des informations sur la topologie et le schéma d'adressage du réseau par lequel le paquet est passé. |
ID de flux |
0 |
8 |
4 embouts |
(Obsolète) A fourni un moyen pour l’identificateur de flux SATNET 16 bits d’être transporté à travers des réseaux qui ne prenaient pas en charge le concept de flux. Actuellement, cette option d’écran ne s’applique qu’à IPv4. |
Inconnu. Cependant, comme il est obsolète, sa présence dans un en-tête IP est suspecte. |
Route source stricte |
0 |
9 |
Varie |
Spécifie la liste complète des routes qu’un paquet doit effectuer pour son voyage de la source à la destination. La dernière adresse de la liste remplace l’adresse dans le champ de destination. Actuellement, cette option d’écran ne s’applique qu’à IPv4. |
Évasion fiscale. Un attaquant peut utiliser les routes spécifiées pour masquer la véritable source d’un paquet ou pour accéder à un réseau protégé. |
Timestamp |
2** |
4 |
|
Enregistre l’heure (en temps universel coordonné [UTC]***) pendant laquelle chaque équipement réseau reçoit le paquet au cours de son trajet du point d’origine à sa destination. Les périphériques réseau sont identifiés par leur adresse IP. Cette option développe une liste d’adresses IP des périphériques le long du chemin du paquet et la durée de transmission entre chacun d’eux. Actuellement, cette option d’écran ne s’applique qu’à IPv4. |
Reconnaissance. Si l'hôte de destination est une machine compromise sous le contrôle de l'attaquant, celui-ci peut glaner des informations sur la topologie et le schéma d'adressage du réseau par lequel le paquet est passé. |
* La classe d’options identifiée comme 0 a été conçue pour fournir un contrôle supplémentaire des paquets ou du réseau. ** La classe d’options identifiée comme 2 a été conçue pour le diagnostic, le débogage et la mesure. L’horodatage utilise le nombre de millisecondes écoulées depuis minuit UTC. UTC est également connu sous le nom de temps moyen de Greenwich (GMT), qui est la base de l’étalon horaire international. |
|||||
Options d’écran pour détecter les options IP utilisées pour la reconnaissance
Les options d’écran suivantes détectent les options IP qu’un attaquant peut utiliser à des fins de reconnaissance ou à des fins inconnues mais suspectes :
Route d’enregistrement : Junos OS détecte les paquets pour lesquels l’option IP est 7 (route d’enregistrement) et enregistre l’événement dans la liste des compteurs d’écran de l’interface entrante. Actuellement, cette option d’écran ne s’applique qu’à IPv4.
Horodatage : Junos OS détecte les paquets pour lesquels la liste des options IP inclut l’option 4 (horodatage Internet) et enregistre l’événement dans la liste des compteurs d’écran de l’interface entrante. Actuellement, cette option d’écran ne s’applique qu’à IPv4.
Sécurité : Junos OS détecte les paquets pour lesquels l’option IP est 2 (sécurité) et enregistre l’événement dans la liste des compteurs d’écran de l’interface entrante. Actuellement, cette option d’écran ne s’applique qu’à IPv4.
ID de flux : Junos OS détecte les paquets pour lesquels l’option IP est 8 (ID de flux) et enregistre l’événement dans la liste des compteurs d’écran de l’interface entrante. Actuellement, cette option d’écran ne s’applique qu’à IPv4.
Si un paquet avec l’une des options IP précédentes est reçu, Junos OS signale cela comme une attaque de reconnaissance réseau et enregistre l’événement pour l’interface entrante.
Exemple : détection de paquets qui utilisent les options d’écran IP pour la reconnaissance
Cet exemple montre comment détecter les paquets qui utilisent les options d’écran IP pour la reconnaissance.
Exigences
Avant de commencer, comprenez le fonctionnement de la reconnaissance réseau. Reportez-vous à la section Comprendre la reconnaissance réseau à l’aide des options IP.
Aperçu
La RFC 791, Protocole Internet , spécifie un ensemble d’options permettant de fournir des contrôles de routage, des outils de diagnostic et de sécurité spéciaux. Les options de l’écran détectent les options IP qu’un attaquant peut utiliser pour la reconnaissance, notamment l’itinéraire d’enregistrement, l’horodatage, la sécurité et l’ID de flux.
Dans cet exemple, vous configurez un écran IP screen-1 et l’activez dans une zone de sécurité appelée zone-1.
Vous ne pouvez activer qu’un seul écran dans une zone de sécurité.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour détecter rapidement des paquets à l’aide des options d’écran IP de route d’enregistrement, d’horodatage, de sécurité et d’ID de flux, copiez les commandes suivantes et collez-les dans l’interface de ligne de commande.
[edit] set security screen ids-option screen-1 ip record-route-option set security screen ids-option screen-1 ip timestamp-option set security screen ids-option screen-1 ip security-option set security screen ids-option screen-1 ip stream-option set security zones security-zone zone-1 screen screen-1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour détecter les paquets qui utilisent les options d’écran IP pour la reconnaissance :
Configurez les options de l’écran IP.
Note:Actuellement, ces options d’écran ne prennent en charge qu’IPv4.
[edit security screen] user@host# set ids-option screen-1 ip record-route-option user@host# set ids-option screen-1 ip timestamp-option user@host# set ids-option screen-1 ip security-option user@host# set ids-option screen-1 ip stream-option
Activez l’écran dans la zone de sécurité.
[edit security zones ] user@host# set security-zone zone-1 screen screen-1
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security screen commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
[user@host]show security screen
ids-option screen-1 {
ip {
record-route-option;
timestamp-option;
security-option;
stream-option;
}
}
[edit]
[user@host]show security zones
zones {
security-zone zone-1 {
screen screen-1;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des écrans dans la zone de sécurité
- Vérification de la configuration de l’écran de sécurité
Vérification des écrans dans la zone de sécurité
But
Vérifiez que l’écran est activé dans la zone de sécurité.
Action
À partir du mode opérationnel, entrez la show security zones commande.
[edit]
user@host> show security zones
Security zone: zone-1
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: screen-1
Interfaces bound: 1
Interfaces:
ge-1/0/0.0
Vérification de la configuration de l’écran de sécurité
But
Affichez les informations de configuration sur l’écran de sécurité.
Action
À partir du mode opérationnel, entrez la show security screen ids-option screen-name commande.
[edit]
user@host> show security screen ids-option screen-1
Screen object status:
Name Value
IP record route option enabled
IP timestamp option enabled
IP security option enabled
IP stream option enabled
Comprendre les balayages d’adresses IP
Un balayage d’adresses se produit lorsqu’une adresse IP source envoie un nombre défini de paquets ICMP envoyés à différents hôtes dans un intervalle défini (5000 microsecondes est la valeur par défaut). Le but de cette attaque est d’envoyer des paquets ICMP (généralement des requêtes d’écho) à différents hôtes dans l’espoir qu’au moins l’un d’entre eux réponde, découvrant ainsi une adresse à cibler.
Junos OS consigne en interne le nombre de paquets ICMP à différentes adresses à partir d’une source distante. En utilisant les paramètres par défaut, si un hôte distant envoie du trafic ICMP à 10 adresses en 0,005 seconde (5 000 microsecondes), l’équipement signale cela comme une attaque par balayage d’adresse et rejette tous les autres paquets ICMP de cet hôte pour le reste de la période de seuil spécifiée. Reportez-vous à la figure 2.
Envisagez d’activer cette option d’écran pour une zone de sécurité uniquement s’il existe une stratégie autorisant le trafic ICMP à partir de cette zone. Sinon, vous n’avez pas besoin d’activer l’option écran. L’absence d’une telle stratégie prive tout le trafic ICMP de cette zone, ce qui empêche un attaquant d’effectuer un balayage d’adresse IP de toute façon.
Junos OS prend également en charge cette option d’écran pour ICMPv6 trafffic.
Exemple : Blocage des balayages d’adresses IP
Cet exemple décrit comment configurer un écran pour bloquer un balayage d’adresse IP provenant d’une zone de sécurité.
Exigences
Avant de commencer :
Comprendre comment fonctionnent les balayages d’adresses IP. Reportez-vous à la section Comprendre les balayages d’adresses IP.
Configurez les zones de sécurité. Reportez-vous à la section Vue d’ensemble des zones de sécurité.
Aperçu
Vous devez activer un écran pour une zone de sécurité si vous avez configuré une stratégie qui autorise le trafic ICMP à partir de cette zone. Si vous n’avez pas configuré une telle stratégie, votre système refuse tout le trafic ICMP de cette zone, et l’attaquant ne peut de toute façon pas effectuer un balayage d’adresse IP avec succès.
Dans cet exemple, vous configurez un 5000-ip-sweep écran pour bloquer les balayages d’adresses IP provenant de la zone de sécurité zone-1.
Topologie
Configuration
Procédure
Procédure étape par étape
Pour configurer un écran afin de bloquer les balayages d’adresses IP :
Configurez un écran.
[edit] user@host# set security screen ids-option 5000-ip-sweep icmp ip-sweep threshold 5000
Activez l’écran dans la zone de sécurité.
[edit] user@host# set security zones security-zone zone-1 screen 5000-ip-sweep
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des écrans dans la zone de sécurité
- Vérification de la configuration de l’écran de sécurité
Vérification des écrans dans la zone de sécurité
But
Vérifiez que l’écran est activé dans la zone de sécurité.
Action
À partir du mode opérationnel, entrez la show security zones commande.
[edit]
user@host> show security zones
Security zone: zone-1
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: 5000-ip-sweep
Interfaces bound: 1
Interfaces:
ge-1/0/0.0
Vérification de la configuration de l’écran de sécurité
But
Affichez les informations de configuration sur l’écran de sécurité.
Action
À partir du mode opérationnel, entrez la show security screen ids-option screen-name commande.
[edit] user@host> show security screen ids-option 5000-ip-sweep Screen object status: Name Value ICMP address sweep threshold 5000
Comprendre l’analyse des ports TCP
Une analyse de port se produit lorsqu’une adresse IP source envoie des paquets IP contenant des segments TCP SYN à 10 ports de destination différents dans un intervalle défini (5000 microsecondes est la valeur par défaut). Le but de cette attaque est d’analyser les services disponibles dans l’espoir qu’au moins un port réponde, identifiant ainsi un service à cibler.
Junos OS enregistre en interne le nombre de ports différents analysés à partir d’une source distante. En utilisant les paramètres par défaut, si un hôte distant analyse 10 ports en 0,005 seconde (5 000 microsecondes), l’équipement signale cela comme une attaque d’analyse de port et rejette tous les autres paquets de la source distante, quelle que soit l’adresse IP de destination, pour le reste de la période d’expiration spécifiée. Reportez-vous à la figure 3.
des ports
Junos OS prend en charge l’analyse des ports pour le trafic IPv4 et IPv6.
Comprendre l’analyse des ports UDP
L’analyse des ports UDP fournit des informations statistiques sur un seuil de session. Au fur et à mesure que les paquets entrants traversent l’écran, les sessions sont établies. Le seuil de nombre de sessions appliqué dépend de la zone, de l’adresse IP source et de la période de seuil. Il n’autorise pas plus de 10 nouvelles sessions au cours de la période de seuil configurée, pour chaque zone et adresse IP source. L’analyse des ports UDP est désactivée par défaut. Lorsque l’analyse des ports UDP est activée, la période de seuil par défaut est de 5000 microsecondes. Cette valeur peut être réglée manuellement sur une plage de 1000 à 1 000 000 microsecondes. Cette fonctionnalité protège certains services UDP publics exposés contre les attaques DDoS. Reportez-vous à la figure 4.
des ports UDP
Amélioration de la gestion du trafic en bloquant les scans de ports
Cet exemple montre comment améliorer la gestion du trafic en configurant un écran pour bloquer les analyses de ports provenant d’une zone de sécurité particulière.
Exigences
Avant de commencer, comprenez comment fonctionne l’analyse des ports. Reportez-vous à la section Comprendre l’analyse des ports TCP.
Aperçu
Vous pouvez utiliser une analyse des ports pour bloquer les paquets IP contenant des segments TCP, SYN ou UDP envoyés à différents ports à partir de la même adresse source dans un intervalle défini. Le but de cette attaque est d’analyser les services disponibles dans l’espoir qu’au moins un port réponde. Dès qu’un port répond, il est identifié comme service à cibler.
Dans cet exemple, vous configurez un écran d’analyse de port 5000 pour bloquer les analyses de ports provenant d’une zone de sécurité particulière, puis affectez l’écran à la zone appelée zone-1.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security screen ids-option 5000-port-scan tcp port-scan threshold 5000 set security screen ids-option 10000-port-scan udp port-scan threshold 10000 set security zones security-zone zone-1 screen 5000-port-scan
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer un écran afin de bloquer les analyses de ports :
Configurez l’écran.
[edit security] user@host# set security screen ids-option 5000-port-scan tcp port-scan threshold 5000 user@host#set security screen ids-option 10000-port-scan udp port-scan threshold 10000
Activez l’écran dans la zone de sécurité.
[edit security] user@host# set security zones security-zone zone-1 screen 5000-port-scan
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security screen ids-option 5000-port-scan commandes et show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security screen ids-option 5000-port-scan
tcp {
port-scan threshold 5000;
}
udp {
port-scan threshold 10000;
}
[edit]
user@host# show security zones
security-zone zone-1 {
screen 5000-port-scan;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des écrans dans la zone de sécurité
- Vérification de la configuration de l’écran de sécurité
Vérification des écrans dans la zone de sécurité
But
Vérifiez que l’écran est activé dans la zone de sécurité.
Action
À partir du mode opérationnel, entrez la show security zones commande.
[edit] user@host> show security zones Security zone: zone-1 Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: 5000-port-scan Interfaces bound: 0 Interfaces:
Sens
L’exemple de sortie montre que l’écran de la zone 1 est activé pour le blocage de l’analyse des ports.
Vérification de la configuration de l’écran de sécurité
But
Vérifiez les informations de configuration sur l’écran de sécurité.
Action
À partir du mode opérationnel, entrez la show security screen ids-option screen-name commande.
[edit] user@host> show security screen ids-option 5000-port-scan Screen object status: Name Value TCP port scan threshold 5000 UDP port scan threshold 10000
Sens
L’exemple de sortie montre que le blocage de l’analyse des ports est opérationnel avec les seuils TCP et UDP.