Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

공격 탐지 및 방지를 위한 스크린 옵션

공격 탐지 및 방지 기능은 공격을 탐지하고 네트워크로부터 방어합니다. Junos 보안 플랫폼은 화면 옵션을 사용하여 다양한 내부 및 외부 공격으로부터 보호할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.

SRX 시리즈 디바이스의 스크린 옵션 이해

모든 SRX 시리즈 방화벽에서 화면은 두 가지 범주로 나뉩니다.

통계 기반 화면

표 1 에는 모든 통계 기반 화면 옵션이 나열되어 있습니다.

표 1: 통계 기반 화면 옵션

화면 옵션 이름

설명

ICMP flood

ICMP 플러드 IDS 옵션을 사용하여 ICMP 플러드 공격으로부터 보호합니다. ICMP 플러드 공격은 일반적으로 ICMP 에코 요청이 응답에 모든 리소스를 사용하여 유효한 네트워크 트래픽을 더 이상 처리할 수 없을 때 발생합니다.

임계값은 디바이스가 추가 ICMP 패킷을 거부하기 전에 동일한 대상 주소로 전송할 수 있는 초당 ICMP 패킷(pps) 수를 정의합니다.

UDP flood

UDP 플러드 IDS 옵션을 사용하여 UDP 플러드 공격으로부터 보호합니다. UDP 플러드 공격은 공격자가 리소스 속도를 늦출 목적으로 UDP 데이터그램이 포함된 IP 패킷을 전송하여 유효한 연결을 더 이상 처리할 수 없도록 할 때 발생합니다.

임계값은 동일한 대상 IP 주소로 전송이 허용된 초당 UDP 패킷 수를 정의합니다. 패킷 수가 1초 내에 이 값을 초과하면 디바이스는 알람을 생성하고 해당 초의 나머지 부분에 대한 후속 패킷을 삭제합니다.

TCP SYN flood source

TCP SYN 플러드 소스 IDS 옵션을 사용하여 소스 임계값을 설정합니다. 임계값은 디바이스가 연결 요청 삭제를 시작하기 전에 초당 수신할 SYN 세그먼트 수를 정의합니다.

적용 가능한 범위는 4에서 500,000 SYN pps입니다.

TCP SYN flood destination

SYN 플러드 대상 IDS 옵션을 사용하여 대상 임계값을 설정합니다. 임계값은 디바이스가 연결 요청 삭제를 시작하기 전에 초당 수신되는 SYN 세그먼트 수를 정의합니다.

적용 가능한 범위는 4에서 500,000 SYN pps입니다.

TCP SYN flood

TCP SYN 플러드 IDS 옵션을 사용하여 SYN 플러드 공격을 탐지하고 방지합니다. 이러한 공격은 연결 호스트가 해당 ACK 응답에 응답하지 않고 TCP SYN 요청을 계속 보낼 때 발생합니다.

TCP port scan

TCP 포트 스캔 IDS 옵션을 사용하여 포트 스캔 공격을 방지합니다. 이 공격의 목적은 하나 이상의 포트가 응답하기를 바라며 사용 가능한 서비스를 스캔하여 대상 서비스를 식별하는 것입니다.

TCP SYN-ACK-ACK proxy

TCP SYN-ACK-ACK 프록시 화면 옵션을 사용하여 SYN-ACK-ACK 공격을 방지합니다. 동일한 IP 주소의 연결 수가 SYN-ACK-ACK 프록시 임계값에 도달한 후, Junos OS를 실행하는 SRX 시리즈 방화벽은 해당 IP 주소의 추가 연결 요청을 거부합니다.

ICMP IP sweep

ICMP IP 스윕 IDS 옵션을 사용하여 IP 스윕 공격을 탐지하고 방지합니다. IP 스윕 공격은 공격자가 여러 대상 주소에 ICMP 에코 요청(ping)을 보낼 때 발생합니다. 대상 호스트가 응답하면 응답은 공격자에게 대상의 IP 주소를 공개합니다. 디바이스가 이 문에 지정된 마이크로초 내에 10개의 ICMP 에코 요청을 수신하면 이를 IP 스윕 공격으로 표시하고 나머지 두 번째 ICMP 패킷 동안 해당 호스트의 11번째 및 모든 추가 ICMP 패킷을 거부합니다.

임계값은 동일한 호스트에서 최대 10개의 ICMP 에코 요청이 디바이스로 허용되는 최대 마이크로초 수를 정의합니다.

TCP SYN flood alarm

TCP SYN 플러드 알람 IDS 옵션을 사용하여 알람 임계값을 설정합니다. 임계값은 디바이스가 이벤트 알람 로그에 항목을 작성하는 초당 절반이 완료된 프록시 연결 수를 정의합니다. 범위는 초당 1개에서 500,000개 요청까지입니다.

TCP SYN flood attack

TCP SYN 플러드 공격 IDS 옵션을 사용하여 공격 임계값을 설정합니다. 임계값은 SYN 프록시 응답을 트리거하는 데 필요한 초당 SYN 패킷 수를 정의합니다. 범위는 1에서 500,000pps까지의 프록시된 pps입니다.

UDP udp sweep

UDP UDP 스윕 IDS 옵션을 사용하여 UDP 스윕 공격을 탐지하고 방지합니다. UDP 스윕 공격에서 공격자는 UDP 패킷을 대상 디바이스로 보냅니다. 디바이스가 이러한 패킷에 응답하면 공격자는 대상 디바이스의 포트가 열려 있다는 표시를 받게 되며, 이로 인해 포트가 공격에 취약해집니다. 원격 호스트가 0.005초(5000마이크로초) 내에 10개의 주소로 UDP 패킷을 전송하면 디바이스는 이를 UDP 스윕 공격으로 플래그를 지정합니다.

alarm-without-drop 옵션이 설정되지 않은 경우, 디바이스는 지정된 임계값 기간의 나머지 기간 동안 해당 호스트의 11번째 및 모든 추가 UDP 패킷을 거부합니다.

임계값은 디바이스가 동일한 원격 소스에서 다른 대상 주소로 10개의 UDP 패킷을 수락하는 마이크로초 수를 정의합니다.

Junos OS 릴리스 15.1X49-D20 및 Junos OS 릴리스 17.3R1부터 방화벽은 소스 또는 대상 세션 제한을 트리거하는 패킷 수에 관계없이 초당 하나의 로그 메시지만 생성합니다. 이 동작은 , TCP-Synflood-dst-based및 UDP 플러드 보호가 있는 TCP-Synflood-src-based플러드 보호 화면에 적용됩니다.

서명 기반 화면

표 2 에는 모든 서명 기반 화면 옵션이 나열되어 있습니다.

표 2: 서명 기반 화면 옵션

화면 옵션 이름

설명

TCP Winnuke

TCP WinNuke 공격 IDS 옵션을 사용하거나 사용하지 않도록 설정합니다. WinNuke는 Windows를 실행하는 인터넷의 모든 컴퓨터를 대상으로 하는 DoS(서비스 거부) 공격입니다.

TCP SYN fragment

TCP SYN 조각 공격 IDS 옵션을 사용하여 공격에 사용된 패킷 조각을 삭제합니다. SYN 단편 공격은 대상 호스트를 SYN 패킷 조각으로 플러딩합니다. 호스트는 이러한 프래그먼트를 캐시하고 나머지 프래그먼트가 도착할 때까지 기다렸다가 다시 어셈블할 수 있습니다. 완료할 수 없는 연결의 홍수는 결국 호스트의 메모리 버퍼를 채웁니다. 더 이상 연결할 수 없으며 호스트의 운영 체제가 손상될 수 있습니다.

TCP no flag

TCP tcp no flag IDS 옵션을 사용하여 누락되거나 잘못된 형식의 플래그 필드가 있는 불법 TCP 패킷을 삭제합니다. 임계값은 플래그가 설정되지 않은 TCP 헤더의 수를 정의합니다. 일반 TCP 세그먼트 헤더에는 하나 이상의 제어 플래그 집합이 있습니다.

TCP SYN FIN

TCP SYN FIN IDS 옵션을 사용하여 공격자가 대상 디바이스에서 세션을 소비하는 데 사용할 수 있는 잘못된 플래그 조합을 탐지하여 서비스 거부(DoS) 상태를 초래할 수 있습니다.

TCP land

TCP Land attack IDS 옵션을 활성화 또는 비활성화합니다. 토지 공격은 공격자가 피해자의 IP 주소가 포함된 스푸핑된 SYN 패킷을 대상 및 소스 IP 주소로 보낼 때 발생합니다.

TCP FIN no ACK

ACK 비트 IDS 옵션이 없는 FIN 비트를 사용하여 잘못된 플래그 조합을 감지하고 이 조합이 있는 패킷을 거부합니다.

ICMP ping of death

Ping of Death IDS 옵션을 사용하여 크기가 크고 불규칙한 ICMP 패킷을 탐지하고 거부합니다. TCP/IP 사양에는 특정 패킷 크기가 필요하지만 많은 ping 구현에서는 더 큰 패킷 크기를 허용합니다. 패킷이 클수록 충돌, 정지 및 재시작을 비롯한 다양한 시스템 부작용이 발생할 수 있습니다.

죽음의 ping은 IP 패킷이 최대 법적 길이(65,535바이트)를 초과하여 전송될 때 발생합니다.

ICMP fragment

ICMP fragment IDS 옵션을 사용하여 More Fragments 플래그가 설정되거나 필드에 표시된 offset 오프셋이 있는 ICMP 프레임을 탐지하고 삭제합니다.

ICMP large

ICMP 대형 IDS 옵션을 사용하여 IP 길이가 1024바이트보다 큰 ICMP 프레임을 탐지하고 삭제합니다.

IP unknown protocol

IPv4의 경우 137, IPv6의 경우 139보다 큰 프로토콜 번호를 가진 수신된 모든 IP 프레임을 삭제하려면 IP 알 수 없는 프로토콜 IDS 옵션을 사용합니다. 이러한 프로토콜 번호는 정의되지 않았거나 예약되어 있습니다.

IP bad option

IP 잘못된 IDS 옵션을 사용하여 IP 패킷 헤더에서 잘못된 형식의 IP 옵션이 있는 패킷을 감지하고 삭제합니다. 디바이스는 수신 인터페이스에 대한 화면 카운터 목록에 이벤트를 기록합니다. 이 화면 옵션은 IPv4 및 IPv6에 적용할 수 있습니다.

IP strict source route option

IP strict 소스 경로 IDS 옵션을 사용하여 IP 옵션이 9(엄격한 소스 라우팅)인 패킷을 감지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 이 옵션은 패킷이 출발지에서 목적지까지 이동하는 전체 경로 목록을 지정합니다. 목록의 마지막 주소가 목적지 필드의 주소를 대체합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다.

IP loose source route option

IP 느슨한 소스 경로 IDS 옵션을 사용하여 IP 옵션이 3(느슨한 소스 라우팅)인 패킷을 감지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 이 옵션은 패킷이 출발지에서 목적지까지 이동하는 여정에 대한 부분 경로 목록을 지정합니다. 패킷은 지정된 주소 순서대로 진행되어야 하지만 지정된 주소 사이에 있는 다른 디바이스를 통과할 수 있습니다. 느슨한 소스 경로 옵션의 유형 0 라우팅 헤더는 IPv6에 정의된 유일한 관련 헤더입니다.

IP source route option

IP 소스 경로 IDS 옵션을 사용하여 패킷을 탐지하고 수신 인터페이스의 스크린 카운터 목록에 이벤트를 기록합니다.

IP stream option

IP 스트림 IDS 옵션을 사용하여 IP 옵션이 8(스트림 ID)인 패킷을 감지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 이 옵션은 16비트 SATNET 스트림 식별자가 스트림을 지원하지 않는 네트워크를 통해 전달될 수 있는 방법을 제공합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다.

IP block fragment

IP 패킷 단편화 차단을 활성화하거나 비활성화합니다. 이 기능이 활성화되면 Junos OS는 보안 영역에서 IP 조각을 거부하고 해당 영역에 바인딩된 인터페이스에서 수신되는 모든 IP 패킷 조각을 차단합니다.

IP record route option

IP record route IDS 옵션을 사용하여 IP 옵션이 7(record route)인 패킷을 감지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 이 옵션은 IP 패킷이 이동하는 경로를 따라 네트워크 디바이스의 IP 주소를 기록합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다.

IP timestamp option

IP 타임스탬프 IDS 옵션을 사용하여 IP 옵션 목록에 옵션 4(인터넷 타임스탬프)가 포함된 패킷을 감지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 이 옵션은 각 네트워크 디바이스가 출발지에서 목적지까지 이동하는 동안 패킷을 수신하는 시간(세계시)을 기록합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다.

IP security option

IP 보안 IDS 옵션을 사용하여 IP 옵션이 2(보안)인 패킷을 탐지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다.

IP spoofing

스푸핑 공격을 방지하려면 IP 주소 스푸핑 IDS 옵션을 사용합니다. IP 스푸핑은 잘못된 소스 주소를 패킷 헤더에 삽입하여 패킷이 신뢰할 수 있는 소스에서 온 것처럼 보이게 할 때 발생합니다.

IP tear drop

IP 티어드롭 IDS 옵션을 사용하여 티어드롭 공격을 차단합니다. 티어드롭 공격은 단편화된 IP 패킷이 겹칠 때 발생하며, 이로 인해 패킷을 리어셈블하려는 호스트가 충돌합니다. 티어 드롭 옵션은 디바이스가 이러한 불일치가 있는 패킷을 삭제하도록 지시합니다. 티어드롭 공격은 단편화된 IP 패킷의 리어셈블리를 악용합니다.

스크린에 대한 Central Point 아키텍처 개선 사항 이해

Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 SRX5400, SRX5600 및 SRX5800 디바이스에서 중앙 지점 아키텍처가 향상되어 더 높은 초당 연결 수(CPS)를 달성할 수 있습니다. 향상된 기능으로 인해 중앙 지점 세션 및 중앙 지점 패킷 처리가 중앙 지점에서 SPU(Services Processing Unit)로 이동되었습니다.

이전에는 중앙 지점에 세션 제한이 있었으며 사용 가능한 리소스(세션 제한 항목)가 없는 경우 패킷은 항상 세션 제한에 의해 허용되었습니다. 이제 중앙 지점과 SPU 모두 세션 제한이 있습니다. 중앙 지점에서 사용할 수 있는 리소스가 없지만 SPU에서 리소스를 사용할 수 있는 경우 중앙 지점은 세션을 제한할 수 없지만 SPU는 세션을 제한할 수 있습니다.

다음 시나리오는 중앙 지점과 SPU가 패킷의 허용 또는 삭제 여부를 결정하는 시점을 설명합니다.

  • 중앙 지점에 세션 제한 항목이 없고 SPU에 세션 제한 항목이 있는 경우:

    1. SPU의 세션 제한 카운터가 임계값보다 크면 패킷이 드롭됩니다.

    2. SPU의 세션 제한 카운터가 임계값보다 크지 않으면 패킷이 허용됩니다.

  • SPU에 세션 제한 항목이 없는 경우:

    1. SPU의 세션 제한 카운터가 임계값보다 크면 패킷이 허용됩니다.

    2. SPU의 세션 제한 카운터가 임계값보다 크지 않으면 패킷이 허용됩니다.

참고:

정확한 세션 수를 유지하기 위해 추가 메시지가 중앙 지점으로 전송되면 화면의 CPS(초당 연결 수)에 영향을 줄 수 있습니다. 이는 원본 또는 대상 세션 제한에 영향을 줍니다.

중앙 지점이 없는 글로벌 트래픽 통계는 일부 글로벌 보기 화면에 영향을 줄 수 있습니다. 오직 SYN 쿠키만이 전역 보기가 없으며, 글로벌 트래픽 통계는 SPU에 의해 처리되므로, 카운터가 이전처럼 정확하지 않을 수 있습니다. 중앙 지점과 SPU 모두에서 처리되는 다른 통계 기반 화면의 경우, 카운터가 정확합니다.

이전에는 통계 기반 화면이 중앙 지점에서만 처리되었으며 로그와 SNMP 트랩은 엄격하게 속도를 제한할 수 있었습니다. 이제 중앙 지점과 SPU 모두 로그와 SNMP 트랩을 독립적으로 생성할 수 있습니다. 따라서 로그와 SNMP 트랩이 이전보다 커질 수 있습니다.

SRX 시리즈 디바이스의 화면 옵션 구현

아래 표에는 SRX 시리즈 방화벽에서 구현되고 모든 SRX 시리즈 방화벽에서 지원되는 모든 화면 옵션이 나와 있습니다.

표 3: SRX 시리즈 디바이스에 구현된 화면 옵션

화면

NP/CP/SPU에서 구현

해시 모드에서 지원

SOF 모드에서 지원

icmp-flood

Np

udp-flood

Np

winnuke

Np

tcp-port-scan

CP+SPU

udp-port-scan

CP+SPU

address-sweep

CP+SPU

tcp-sweep

CP+SPU

udp-sweep

CP+SPU

tear-drop

Spu

아니요

syn-flood

Spu

syn-flood-src

Np

syn-flood-dst

Np

ip-spoofing

Spu

ping-of-death

Np

ip-option-src-route

Np

land

Np

syn-fragment

Np

tcp-no-flag

Np

unknown-protocol

Np

ip-option-bad

Np

ip-option-record-route

Np

ip-option-timestamp

Np

ip-option-security

Np

ip-option-loose-src-route

Np

ip-option-strict-src-route

Np

ip-option-stream

Np

icmp-fragment

Np

icmp-large-pkt

Np

syn-fin

Np

fin-no-ack

Np

src-session-limit

CP+SPU

syn-ack-ack-proxy

Spu

block-fragment

Np

dst-session-limit

CP+SPU

ipv6-ext-header

Spu

아니요

ipv6-ext-hbyh-option

Spu

아니요

ipv6-ext-dst-option

Spu

아니요

ipv6-ext-header-limit

Spu

아니요

ipv6-malformed-header

Spu

아니요

icmpv6-malformed-packet

Spu

아니요

ip-tunnel-summary

Spu

아니요
참고:

IOC1 카드에서 지원되는 모든 화면 기능은 IOC2 및 IOC3 카드에서 지원됩니다. 디바이스의 SRX5000 라인과 SRX4600 디바이스에서 IOC2 카드의 NPU(Network Processor Unit)는 LU(Lookup Unit)로 대체됩니다.

예: 여러 스크리닝 옵션 구성

이 예에서는 여러 차단 옵션에 대해 하나의 침입 탐지 서비스(IDS) 프로필을 생성하는 방법을 보여 줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

보안 영역에서는 하나의 IDS 프로필을 여러 스크리닝 옵션에 적용할 수 있습니다. 이 예에서는 다음과 같은 스크리닝 옵션을 구성합니다.

  • ICMP 스크리닝

  • IP 스크리닝

  • TCP 스크리닝

  • UDP 스크리닝

이러한 스크리닝 옵션은 신뢰할 수 없는 영역에 할당됩니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

구성 모드에서 입력합니다 commit .

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 의 Junos OS CLI User Guide을 참조하십시오Using the CLI Editor in Configuration Mode.

여러 스크리닝 옵션에 대한 IDS 프로필을 구성하려면,

  1. ICMP 스크리닝 옵션을 구성합니다.

  2. IP 스크리닝 옵션을 구성합니다.

  3. TCP 차단 옵션을 구성합니다.

  4. UDP 스크리닝 옵션을 구성합니다.

  5. 영역에 IDS 프로필을 연결합니다.

결과

구성 모드에서 및 show security zones 명령을 입력하여 show security screen ids-option screen-config 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

여러 스크리닝 옵션에 대한 IDS 프로필 확인

목적

여러 스크리닝 옵션에 대한 IDS 프로필이 올바르게 구성되었는지 확인합니다.

작업

show security screen ids-option screen-config Screen object status 작동 모드에서 및 show security zones 명령을 입력합니다.

참고:

모든 SRX 시리즈 방화벽에서 TCP 동기화 플러드 알람 임계값은 손실된 패킷 수를 나타내지 않지만, 알람 임계값에 도달한 후의 패킷 정보를 표시합니다.

동기화 쿠키 또는 프록시는 패킷을 삭제하지 않습니다. alarm-without-drop 따라서 (NOT drop) 작업이 시스템 로그에 표시됩니다.

SRX5000 Module Port Concentrator의 화면 옵션 이해

SRX5000 라인 Module Port Concentrator(SRX5K-MPC)는 Junos OS 화면 옵션을 지원합니다. 화면 옵션은 해당 영역에 바인딩된 인터페이스를 통과해야 하는 모든 연결 시도를 검사한 다음 허용 또는 거부하여 영역을 보호합니다.

보안 디바이스는 화면 옵션을 사용하여 SYN 플러드 공격, UDP 플러드 공격, 포트 스캔 공격 등 다양한 내부 및 외부 공격으로부터 보호할 수 있습니다. Junos OS는 보안 정책을 처리하기 전에 트래픽에 화면 검사를 적용하므로 리소스 사용률이 줄어듭니다.

화면 옵션은 다음 두 가지 범주로 나뉩니다.

  • 통계 기반 화면

  • 서명 기반 화면

통계 기반 화면

SRX5K-MPC에 구현된 모든 화면 기능은 레이어 2 또는 레이어 3 모드와 독립적입니다. 플러드 보호는 SYN 플러드 공격, 세션 테이블 플러드 공격, 방화벽 DoS(Denial-of-Service) 공격 및 네트워크 DoS 공격을 방어하는 데 사용됩니다.

다음 네 가지 유형의 임계값 기반 플러드 보호가 IPv4 및 IPv6 모두에 대해 각 프로세서에서 수행됩니다.

  • UDP 기반 플러드 보호

  • ICMP 기반 홍수 방지

  • TCP 소스 기반 SYN 플러드 보호

  • TCP 대상 기반 SYN 플러드 보호

참고:

두 가지 유형의 TCP SYN 플러드 보호 중 하나가 영역에 구성된 경우 두 번째 유형의 TCP SYN 플러드 보호가 동일한 영역에서 자동으로 활성화됩니다. 이 두 가지 유형의 보호는 항상 함께 작동합니다.

각 유형의 홍수 방지는 임계값 기반이며 임계값은 각 마이크로프로세서의 영역별로 계산됩니다. 마이크로프로세서 칩에서 플러드가 감지되면 해당 특정 마이크로프로세서는 구성에 따라 문제가 되는 패킷에 대해 조치를 취합니다.

  • 기본 작업(보고 및 삭제) - 화면 로깅 및 보고는 SPU에서 수행되므로 이를 위해 위반 패킷을 중앙 지점 또는 SPU로 전달해야 합니다. SPU를 플러딩으로부터 보호하기 위해 영역의 각 스크린에 대한 첫 번째 위반 패킷만 SPU로 전송되어 매 초마다 로깅 및 보고됩니다. 문제가 되는 나머지 패킷은 마이크로프로세서에서 계산되고 삭제됩니다.

    예를 들어, UDP 플러딩이 초당 5,000패킷으로 설정된 임계값을 가진 논리적 인터페이스에서 구성되었다고 가정해 보겠습니다. UDP 패킷이 초당 20,000개의 속도로 들어오면 초당 약 5000개의 UDP 패킷이 중앙 지점 또는 SPU로 전달되고 나머지 패킷은 플러딩으로 감지됩니다. 그러나 매 초마다 하나의 UDP 플러딩 패킷만 로깅 및 보고를 위해 SPU로 전송됩니다. 나머지 패킷은 마이크로프로세서에서 삭제됩니다.

  • Alarm only(alarm-without-drop) - 화면 보호에 의해 탐지된 위반 패킷은 삭제되지 않습니다. 나머지 화면 검사를 건너뛰고 화면 결과가 메타 헤더에 복사된 중앙 지점 또는 SPU로 전달됩니다. 삭제된 패킷으로 계산되지 않습니다.

IOC1과 IOC2의 차이점

화면의 동작은 디바이스에 IOC1 또는 IOC2 카드가 있는지 여부에 관계없이 동일합니다. 그러나 통계 기반 화면의 임계값에는 차이가 있습니다. 표 4 에는 장치에 IOC1 또는 IOC2 카드가 있는지 여부에 따른 통계 기반 화면 옵션과 화면 동작이 나열되어 있습니다.

표 4: 통계 기반 화면 옵션

화면 옵션 이름

설명

IOC1

IOC2

ICMP flood

ICMP 플러드 임계값을 설정합니다. ICMP 플러드 스크린 옵션은 ICMP 플러드 공격으로부터 보호하는 데 사용됩니다. ICMP 플러드 공격은 일반적으로 ICMP 에코 요청이 응답에 모든 리소스를 사용하여 유효한 네트워크 트래픽을 더 이상 처리할 수 없을 때 발생합니다.

임계값은 디바이스가 추가 ICMP 패킷을 거부하기 전에 동일한 대상 주소를 ping할 수 있는 초당 ICMP 패킷 수를 정의합니다.

수신 트래픽이 임계값 pps를 초과하면 패킷이 손실되거나 알람이 발생합니다.

IOC2 카드가 있는 SRX5000 회선 디바이스에서는 룩업(LU) 칩의 화면 구성이 변경됩니다. 각 IOC2 카드에는 4개의 LU 칩이 있습니다. 들어오는 트래픽이 임계값 pps를 초과하면 패킷이 삭제됩니다. 예를 들어, 사용자가 임계값 1000pps를 지정하면 각 LU 칩에 내부적으로 250pps를 구성하여 임계값 1000pps가 4개의 LU 칩에 균등하게 분배되도록 합니다. 예상 결과로 사용자는 1000pps의 전체 임계값을 얻습니다.

SRX5000 라인 디바이스에서 IOC2 카드가 서비스 오프로드 모드에 있을 때 하나의 LU 칩만 작동합니다. 유입 트래픽 속도가 임계값을 초과하면 예상되는 동작의 결과로 패킷이 삭제됩니다.

UDP flood

UDP 플러드 임계값을 설정합니다. UDP 플러드 스크린 옵션은 UDP 플러드 공격으로부터 보호하는 데 사용됩니다. UDP 플러드 공격은 공격자가 리소스 속도를 늦출 목적으로 UDP 데이터그램이 포함된 IP 패킷을 전송하여 유효한 연결을 더 이상 처리할 수 없도록 할 때 발생합니다.

임계값은 동일한 대상 IP 주소/포트 쌍을 ping할 수 있는 UDP pps 수를 정의합니다. 패킷 수가 1초 내에 이 값을 초과하면 디바이스는 알람을 생성하고 해당 초의 나머지 부분에 대한 후속 패킷을 삭제합니다.

수신 트래픽이 임계값 pps를 초과하면 패킷이 손실되거나 알람이 발생합니다.

IOC2 카드가 있는 SRX5000 회선 디바이스에서는 룩업(LU) 칩의 화면 구성이 변경됩니다. 각 IOC2 카드에는 4개의 LU 칩이 있습니다. 들어오는 트래픽이 임계값 pps를 초과하면 패킷이 삭제됩니다. 예를 들어, 사용자가 임계값 1000pps를 지정하면 각 LU 칩에 내부적으로 250pps를 구성하여 임계값 1000pps가 4개의 LU 칩에 균등하게 분배되도록 합니다. 예상 결과로 사용자는 1000pps의 전체 임계값을 얻습니다.

SRX5000 라인 디바이스에서 IOC2 카드가 서비스 오프로드 모드에 있을 때 하나의 LU 칩만 작동합니다. 유입 트래픽 속도가 임계값을 초과하면 예상되는 동작의 결과로 패킷이 삭제됩니다.

TCP SYN flood source

TCP SYN 플러드 소스 임계값을 설정합니다. 임계값은 디바이스가 연결 요청 삭제를 시작하기 전에 초당 수신할 SYN 세그먼트 수를 정의합니다.

적용 가능한 범위는 4에서 500,000 SYN pps입니다.

수신 트래픽이 임계값 pps를 초과하면 패킷이 삭제되거나 알람이 발생합니다.

IOC2 카드가 있는 SRX5000 회선 디바이스에서는 룩업(LU) 칩의 화면 구성이 변경됩니다. 각 IOC2 카드에는 4개의 LU 칩이 있습니다. 들어오는 트래픽이 임계값 pps를 초과하면 패킷이 삭제됩니다. 예를 들어, 사용자가 임계값 1000pps를 지정하면 각 LU 칩에 내부적으로 250pps를 구성하여 임계값 1000pps가 4개의 LU 칩에 균등하게 분배되도록 합니다. 예상 결과로 사용자는 1000pps의 전체 임계값을 얻습니다.

SRX5000 라인 디바이스에서 IOC2 카드가 서비스 오프로드 모드에 있을 때 하나의 LU 칩만 작동합니다. 유입 트래픽 속도가 임계값을 초과하면 예상되는 동작의 결과로 패킷이 삭제됩니다.

TCP SYN flood destination

TCP SYN 플러드 대상 임계값을 설정합니다. 임계값은 디바이스가 연결 요청 삭제를 시작하기 전에 초당 수신되는 SYN 세그먼트 수를 정의합니다.

적용 가능한 범위는 4에서 500,000 SYN pps입니다.

수신 트래픽이 임계값 pps를 초과하면 패킷이 손실되거나 알람이 발생합니다.

IOC2 카드가 있는 SRX5000 회선 디바이스에서는 룩업(LU) 칩의 화면 구성이 변경됩니다. 각 IOC2 카드에는 4개의 LU 칩이 있습니다. 들어오는 트래픽이 임계값 pps를 초과하면 패킷이 삭제됩니다. 예를 들어, 사용자가 임계값 1000pps를 지정하면 각 LU 칩에 내부적으로 250pps를 구성하여 임계값 1000pps가 4개의 LU 칩에 균등하게 분배되도록 합니다. 예상 결과로 사용자는 1000pps의 전체 임계값을 얻습니다.

SRX5000 라인 디바이스에서 IOC2 카드가 서비스 오프로드 모드에 있을 때 하나의 LU 칩만 작동합니다. 유입 트래픽 속도가 임계값을 초과하면 예상되는 동작의 결과로 패킷이 삭제됩니다.
참고:

SRX5400, SRX5600 및 SRX5800 라인 디바이스에서 화면 임계값은 LAG/LACP 및 RLAG/RETH 하위 링크에 대한 DUT의 각 IOC에 대해 설정됩니다. LAG/LACP 또는 RETH/RLAG 인터페이스의 일부로 IOC 간 하위 인터페이스가 있고 수신 트래픽도 IOC를 통해 여러 하위 링크를 통과하는 경우, 여러 IOC에서 화면이 통과하는 총 패킷 수와 송신 인터페이스에서 예상되는 초당 총 패킷 수(pps)와 일치하도록 임계값을 설정합니다.

서명 기반 화면

SRX5K-MPC는 수신된 패킷에 대한 온전성 검사와 함께 서명 기반 화면 옵션을 제공합니다.

디바이스에서 수신한 패킷의 형식이 잘못되었거나 유효하지 않아 디바이스와 네트워크에 손상을 줄 수 있습니다. 이러한 패킷은 처리의 초기 단계에서 삭제되어야 합니다.

서명 기반 화면 옵션과 온전성 검사를 위해 패킷 헤더, 상태 및 제어 비트, 확장 헤더(IPv6용)를 포함한 패킷 내용을 검사합니다. 요구 사항에 따라 화면을 구성할 수 있지만, 패킷 온전성 검사는 기본적으로 수행됩니다.

패킷 온전성 검사 및 화면 옵션은 수신 인터페이스에서 수신된 패킷에 대해 수행됩니다.

프로세서는 온전성 검사를 수행하고 일부 화면 기능을 실행하여 물리적 인터페이스에서 수신된 잘못된 형식의 악의적인 수신 패킷을 감지합니다. 온전성 검사에 실패한 패킷은 카운트 및 삭제됩니다.

다음과 같은 패킷 온전성 검사가 지원됩니다.

  • IPv4 온전성 검사

  • IPv6 온전성 검사

지원되는 화면 기능은 다음과 같습니다.

  • IP 기반 화면

  • UDP 기반 화면

  • TCP 기반 화면

  • ICMP 기반 화면

화면 기능은 IPv4 패킷에만 적용되는 IP 옵션 화면을 제외하고 IPv4 및 IPv6 패킷 모두에 적용됩니다. 한 화면 옵션에서 패킷이 감지되면 나머지 화면 검사를 건너뛰고 로깅 및 통계 수집을 위해 중앙 지점 또는 서비스 처리 장치(SPU)로 전달됩니다.

참고:

SRX5400, SRX5600 및 SRX5800 디바이스에서는 첫 번째 경로 서명 화면이 먼저 수행된 다음 빠른 경로 bad-inner-header 화면이 수행됩니다.

화면에 대한 IPv6 지원 이해

주니퍼 네트웍스는 모든 실행 단계에서 익스플로잇을 방지하기 위해 영역 및 정책 수준에서 다양한 탐지 및 방어 메커니즘을 제공합니다. 화면 옵션은 영역 수준에 있습니다. Junos OS 화면 옵션은 영역을 검사한 다음 해당 영역에 바인딩된 인터페이스를 통과해야 하는 모든 연결 시도를 허용하거나 거부하여 영역을 보호합니다.

IPv6 확장 헤더, 패킷 헤더 및 ICMPv6 트래픽을 기반으로 패킷을 확인하고 필터링하도록 화면 옵션을 구성할 수 있습니다. 구성에 따라 화면에서 패킷을 삭제하고, 로그를 생성하고, IPv6 트래픽에 대한 증가된 통계를 제공할 수 있습니다.

IPv6 확장 헤더 검사 및 필터링

문을 사용하여 ipv6-extension-header 하나 이상의 확장 헤더를 선택적으로 차단할 수 있습니다. 표 5 에는 일반적인 IPv6 확장 헤더와 해당 유형 값이 나와 있습니다.

표 5: IPv6 확장 헤더 및 유형 값

헤더 이름

헤더 형식 값

인터넷 표준

인증

51

RFC 2460 (영문)

캡슐화 보안 페이로드

50

RFC 2460 (영문)

호스트 식별 프로토콜

139

RFC 5201 (영문)

대상 옵션

  • ILNP nonce 옵션

  • 집 주소 옵션

  • 라인 식별 옵션

  • 터널 캡슐화 제한 옵션

60

RFC 2460 (영문)

조각

44

RFC 2460 (영문)

홉 바이 홉(hop-by-hop) 옵션

  • CALIPSO 옵션

  • RPL 옵션

  • SFM DPD 옵션

  • 점보 페이로드 옵션

  • 빠른 시작 옵션

  • 라우터 경고 옵션

0

RFC 2460 (영문)

이동성

135

RFC 6275 (영문)

다음 없음

59

RFC 2460 (영문)

라우팅

43

RFC 2460 (영문)

심6

140

RFC 5533 (영문)

최대 확장 헤더 수

문을 사용하여 패킷에서 허용되는 확장 헤더의 최대 수를 지정할 수 있습니다 ipv6-extension-header-limit . 패킷의 최대 확장 헤더 수는 명시적으로 지정되지 않았지만 RFC 2460에서는 확장 헤더의 순서를 권장합니다.

  1. Hop-by-Hop 옵션 헤더

  2. 대상 옵션 헤더

  3. 라우팅 헤더

  4. 프래그먼트 확장 헤더

  5. 인증 헤더

  6. Encapsulating Security Payload 헤더

  7. 대상 옵션 헤더

각 확장 헤더는 최대 두 번(라우팅 헤더 앞에 한 번, 상위 레이어 프로토콜 헤더 앞에 한 번) 발생해야 하는 대상 옵션 헤더를 제외하고 최대 한 번 발생해야 합니다.

RFC 2460을 기준으로 하는 최대 확장 헤더 번호는 7입니다. 다른 확장 헤더는 후속 RFC에 의해 정의되었습니다. 최대 확장 헤더 번호는 0에서 32 사이를 사용하는 것이 좋습니다.

잘못된 옵션 확장 헤더

IP 패킷 헤더(IPv4 또는 IPv6)에서 잘못된 형식의 IP 옵션이 있는 패킷을 감지하고 삭제하도록 화면을 구성할 수 있습니다. 디바이스는 수신 인터페이스에 대한 화면 카운터 목록에 이벤트를 기록합니다. 표 6 에는 디바이스가 잘못된 옵션에 대한 패킷을 스크리닝하는 데 사용하는 주요 기준이 나와 있습니다.

표 6: 잘못된 옵션 확장 헤더 스크리닝 기준

심사 기준

인터넷 표준

설명

라우팅 확장 헤더는 프래그먼트 헤더 뒤에 있습니다.

RFC 2460 (영문)

패킷에서 확장 헤더의 순서가 정의됩니다. 따라서 프래그먼트 확장 헤더는 라우팅 헤더 뒤에 있어야 합니다.

잘못된 라우터 경고 매개 변수

RFC 2711 (영문)

이 옵션은 hop-by-hop 헤더와 Junos OS 구현에 있습니다.

  • 홉 바이 홉 헤더당 이 유형의 옵션은 하나만 있을 수 있습니다

  • 헤더 길이는 2여야 합니다.

  • 하나의 확장 헤더에는 라우터 경고 옵션이 하나만 있을 수 있습니다.

하나 이상의 백투백 패드 옵션

초안 크리슈난-IPv6-홉비홉-00

이러한 유형의 트래픽은 오류 패킷으로 스크리닝됩니다.

PadN 옵션의 0이 아닌 페이로드

RFC 4942 (영문)

시스템은 PadN의 페이로드에 옥텟이 0개만 있는지 확인합니다.

다음 8옥텟 경계를 넘어서는 안쪽 여백

RFC 4942 (영문)

시스템은 다음 8옥텟 경계를 넘어 패딩이 있는지 확인합니다. 다음 8옥텟 경계를 넘어 패딩해야 할 정당한 이유가 없습니다.

0이 아닌 IPv6 헤더 페이로드가 있는 점보 페이로드

RFC 2675 (영문)

IPv6 헤더의 페이로드 길이 필드는 점보 페이로드 옵션을 전달하는 모든 패킷에서 0으로 설정되어야 합니다.

ICMPv6 확인 및 필터링

ICMPv6 검사 및 필터링을 사용하도록 설정할 수 있습니다. 그런 다음 시스템은 수신된 ICMPv6 패킷이 정의된 기준과 일치하는지 확인하고 일치하는 패킷에 대해 지정된 작업을 수행합니다. 주요 정의 기준 중 일부는 다음과 같습니다.

  • 알 수 없는 유형의 정보 메시지 - 에코 요청(값 128), 에코 응답(값 129) 및 라우터 요청(값 133)과 같은 다양한 유형의 ICMPv6 정보 메시지가 정의됩니다. 최대 형식 정의는 149입니다. 149보다 큰 값은 알 수 없는 형식으로 처리되고 그에 따라 선별됩니다.

  • ICMPv6 ND 패킷 형식 규칙(RFC 4861)을 충족하지 않음 - IP Hop 제한 필드의 값이 255이고, ICMP 체크섬이 유효해야 하며, ICMP 코드가 0이어야 하는 등의 표준 규칙이 있습니다.

  • 잘못된 형식의 ICMPv6 패킷 필터링 - 예를 들어 ICMPv6 패킷이 너무 크고(메시지 유형 2), 다음 헤더가 라우팅(43)으로 설정되고, 라우팅 헤더가 홉 바이 홉으로 설정됩니다.

IPv6 패킷 헤더 검사 및 필터링

문을 사용하여 IPv6 패킷 헤더의 확인 및 필터링을 ipv6-malformed-header 활성화할 수 있습니다. 활성화되면 시스템은 들어오는 IPv6 패킷을 확인하여 정의된 기준과 일치하는지 확인합니다. 그런 다음 시스템은 일치하는 패킷에 대해 지정된 작업(삭제 또는 삭제 없는 알람)을 수행합니다. 표 7 에는 디바이스가 패킷을 스크리닝하는 데 사용하는 주요 기준이 나와 있습니다.

표 7: IPv6 패킷 헤더 스크리닝 기준

심사 기준

인터넷 표준

설명

더 이상 사용되지 않는 사이트-로컬 원본 및 대상 주소

RFC 3879 (영문)

IPv6 사이트-로컬 유니캐스트 접두사(1111111011 바이너리 또는 FEC0::/10)는 지원되지 않습니다.

잘못된 멀티캐스트 주소 범위 값

RFC 4291 (영문)

할당되지 않은 멀티캐스트 주소 범위 값은 잘못된 것으로 처리됩니다.

문서 전용 접두사 (2001:DB8::/32)

RFC 3849 (영문)

IANA는 IPv6 전역 유니캐스트 주소 접두사(2001:DB8::/32)의 할당을 IPv6 주소 레지스트리에 문서 전용 접두사로 기록합니다. 최종 당사자에게는 이 주소가 할당되지 않습니다.

더 이상 사용되지 않는 IPv4 호환 IPv6 소스 및 대상 주소(::/96)

RFC 4291 (영문)

IPv4 호환 IPv6 주소는 더 이상 사용되지 않으며 지원되지 않습니다.

ORCHID 소스 및 대상 주소 (2001:10::/28)

RFC 5156 (영문)

오버레이 라우팅 가능한 암호화 해시 식별자(2001:10::/28)의 주소는 식별자로 사용되며 IP 계층에서 라우팅하는 데 사용할 수 없습니다. 이 블록 내의 주소는 공용 인터넷에 나타나지 않아야 합니다.

IPv6 주소(64:ff9b::/96) 내에 포함된 IPv4 주소는 허용되지 않는 잘못된 IPv4 주소입니다

RFC 6052 (영문)

IPv6 주소 64:ff9b::/96은 알고리즘 매핑에 사용하기 위해 "Well-known Prefix"로 예약되어 있습니다.

화면 IPv6 터널링 제어 이해

IPv6을 지원하지 않는 IPv4 네트워크에서 IPv6 패킷의 터널링을 활용하기 위해 여러 가지 IPv6 전환 방법론이 제공됩니다. 이러한 이유로 이러한 방법은 공용 게이트웨이를 사용하고 운영자의 정책을 우회합니다.

터널링된 패킷은 공격자가 쉽게 액세스할 수 있기 때문에 터널링된 패킷의 보안은 서비스 프로바이더의 주요 관심사입니다. 네트워크를 통해 터널링된 패킷을 전송하기 위해 수많은 IPv6 전환 방법론이 발전해 왔습니다. 그러나 일부는 공용 게이트웨이에서 작동하기 때문에 운영자의 정책을 우회합니다. 이는 패킷 전송이 공격자에게 노출됨을 의미합니다. 패킷 전송을 극복하고 안전하게 전송하기 위해 IPv6 엔드 노드는 캡슐화된 데이터 패킷을 캡슐화 해제해야 합니다. 화면은 사용자 기본 설정에 따라 터널링 트래픽을 차단하거나 허용하는 데 사용할 수 있는 최신 기술 중 하나입니다.

다음 화면 옵션을 구성하여 IPv6 확장 헤더, 패킷 헤더 및 Bad-Inner-Header IPv6 또는 IPv4 주소 검증을 기반으로 패킷을 확인하고 필터링할 수 있습니다. 구성에 따라 화면에서 패킷을 삭제하고, 로그를 생성하고, IP 터널링에 대한 증가된 통계를 제공할 수 있습니다.

  • GRE 4in4 터널: GRE 4in4 터널 화면은 다음 서명과 일치합니다. | IPv4 outer header | GRE header | IPv4 inner header

    외부 IPv4 헤더는 프로토콜 47 GRE 캡슐화여야 합니다. GRE 헤더에는 프로토콜 E 유형 0x0800 IPv4가 있어야 합니다. 이러한 조건이 충족되면 이 패킷은 GRE 4in4 터널 서명으로 분류됩니다.

  • GRE 4in6 터널: GRE 4in6 터널 화면은 다음 서명과 일치합니다. IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv4 inner header

    외부 IPv6 기본 헤더 또는 IPv6 확장 헤더에는 GRE에 대한 값 47의 다음 헤더가 있어야 합니다. GRE 헤더에는 프로토콜 E 유형 0x0800 IPv4가 있어야 합니다. 이러한 조건이 충족되면 이 패킷은 GRE 4in6 터널 서명으로 분류됩니다.

  • GRE 6in4 터널: GRE 6in4 터널 화면은 다음 서명과 일치합니다. IPv4 outer header | GRE header | IPv6 inner header

    외부 IPv4 헤더는 프로토콜 47 GRE 캡슐화여야 합니다. GRE 헤더에는 프로토콜 E 유형 0x086DD IPv6 이 있어야 합니다. 이러한 조건이 충족되면 이 패킷은 GRE 6in4 터널 서명으로 분류됩니다.

  • GRE 6in6 터널: GRE 6in6 터널 화면은 다음 서명과 일치합니다. IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv6 inner header

    외부 IPv6 기본 헤더 또는 IPv6 확장 헤더에는 GRE에 대한 값 47의 다음 헤더가 있어야 합니다. GRE 헤더에는 프로토콜 E-type 0x086DD' IPv6이 있어야 합니다. 이러한 조건이 충족되면 이 패킷은 GRE 6in6 터널 서명으로 분류됩니다.

  • IPinIP 6to4relay 터널 : IPinIP 6to4relay 터널 화면은 다음 서명과 일치합니다. | IPv4 outer header | IPv6 inner header

    외부 IPv4 헤더는 프로토콜 41 IPv6 캡슐화여야 합니다. 외부 헤더 소스 주소 또는 대상 주소는 네트워크 192.88.99.0/24에 있어야 합니다. 내부 IPv6 헤더 소스 주소 또는 대상 주소는 네트워크 2002:/16에 있어야 합니다. 이러한 조건이 충족되면 이 패킷은 IPinIP 6to4relay 터널 서명으로 분류됩니다.

  • IPinIP 6in4 터널 : IPinIP 6in4 터널 화면은 다음 서명과 일치합니다. | IPv4 outer header | IPv6 inner header

    외부 IPv4 헤더는 프로토콜 41 IPv6 캡슐화여야 합니다. 이 조건이 충족되면 이 패킷은 IPinIP 6in4 터널 서명으로 분류됩니다.

    참고:

    일반적으로 IPv6 패킷을 완전한 IPv4 네트워크에서 전송해야 하는 경우 IPv6 패킷은 지점 간 6in4 터널을 사용합니다.

  • IPinIP 6over4 터널 : IPinIP 6over4 터널 화면은 다음 서명과 일치합니다. | IPv4 outer header | IPv6 inner header

    외부 IPv4 헤더는 프로토콜 41 IPv6 캡슐화:W여야 합니다. 내부 헤더 소스 주소 또는 대상 주소는 fe80::/64 네트워크에 있어야 합니다. 이러한 조건이 충족되면 이 패킷은 IPinIP 6over4 터널 서명으로 분류됩니다.

  • IPinIP 4in6 터널 : IPinIP 4in6 터널 화면은 다음 서명과 일치합니다. | IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    외부 IPv6 헤더 또는 IPv6 확장 헤더에는 IPv4에 대한 값 04의 다음 헤더가 있어야 합니다. 이러한 조건이 충족되면 이 패킷은 IPinIP 4in6 터널 서명으로 분류됩니다.

  • IPinIP ISATAP 터널: IPinIP ISATAP 터널 화면은 다음 서명과 일치합니다. | IPv6 outer main header | IPv6 inner header

    외부 IPv4 헤더는 프로토콜 41 IPv6 캡슐화여야 합니다. 내부 IPv6 헤더 소스 주소 또는 대상 주소는 fe80::200:5efe/96 또는 fe80::5efe/96 네트워크에 있어야 합니다. 이러한 조건이 충족되면 이 패킷은 IPinIP ISATAP 터널 서명으로 분류됩니다.

  • IPinIP DS-Lite 터널: IPinIP DS-Lite 터널 화면은 다음 서명과 일치합니다.| IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    외부 IPv6 헤더 또는 IPv6 확장 헤더에는 IPv4에 대한 값 04의 다음 헤더가 있어야 합니다. 내부 IPv4 소스 주소 또는 대상 주소는 192.0.0.0/29 네트워크에 있어야 합니다. 이러한 조건이 충족되면 이 패킷은 IPinIP DS-Lite 터널 시그니처로 분류됩니다.

  • IPinIP 6in6 터널: IPinIP 6in6 터널 화면은 다음 서명과 일치합니다.| IPv6 outer main header | IPv6 extension header(s) | IPv6 inner main header

    외부 IPv6 기본 헤더 또는 IPv6 확장 헤더에는 IPv6에 대한 값 41의 다음 헤더가 있어야 합니다. 내부 IPv6 기본 헤더는 버전 6이어야 합니다. 이 두 조건이 충족되면 이 패킷은 IPinIP 6in6 터널 서명으로 분류됩니다.

  • IPinIP 4in4 터널: IPinIP 4in4 터널 화면은 다음 서명| IPv6 outer header | IPv4 inner header 과 일치합니다. 외부 IPv4 헤더에는 IPv4에 대한 값 04의 프로토콜이 있어야 합니다. 내부 IPv4 헤더는 버전 4여야 합니다.

  • IPinUDP Teredo 터널: IPinUDP Teredo 터널은 다음 서명과 일치합니다.IPv4 outer header | UDP header | IPv6 inner header

    외부 IPv4 헤더는 UDP 페이로드를 위한 프로토콜 17을 가져야 합니다. UDP 헤더 소스 또는 대상 포트는 3544여야 합니다. 내부 IPv6 헤더 소스 주소 또는 대상 주소는 네트워크 2001:0000:/32에 있어야 합니다.

  • IP Tunnel Bad Inner-Header Check(IP 터널 불량 내부 헤더 검사): Bad Inner Header Tunnel(내부 헤더 터널) 화면은 터널 트래픽 내부 헤더 정보의 일관성을 확인합니다. 다음 중 하나라도 탐지되면 패킷이 삭제됩니다.

    • 내부 헤더가 외부 헤더와 일치하지 않습니다.

    • 내부 헤더 TTL 또는 홉 제한은 0 또는 255가 아니어야 합니다.

    • 내부 헤더 IPv6 주소 검사.

    • 내부 헤더 IPv4 주소 검사.

    • 외부 및 내부 헤더 길이 확인:

    • 내부 헤더 IPv4 및 IPv6 TCP/UDP/ICMP 헤더 길이 확인:

      내부 IP(v4/v6)가 첫 번째, 다음 또는 마지막 프래그먼트가 아닌 경우 TCP/UDP/ICMP 헤더 길이는 내부 IPv4/IPv6/EH6 헤더 길이에 맞아야 합니다.

    • TCP: 최소 TCP 헤더 크기는 이전 캡슐화 길이에 맞아야 합니다.

    • ICMP: 최소 ICMP 헤더 크기는 이전 캡슐화 길이에 맞아야 합니다.

    • 단편화된 패킷: 단편화된 패킷의 경우, 터널 정보가 화면을 확인해야 하는데 첫 번째 단편에 없는 경우, 첫 번째 단편에 포함된 터널 캡슐화 부분을 제외하고는 검사가 수행되지 않습니다. 길이 검사는 실제 패킷 버퍼 길이를 사용하여 첫 번째 조각 패킷에서 수행되지만 내부 헤더가 외부 헤더보다 크기 때문에 길이 검사는 무시됩니다.

      • 외부 헤더가 첫 번째 프래그먼트인 경우 프래그먼트의 과거 물리적 패킷 길이를 검사하지 마십시오.

      • 내부 헤더가 첫 번째 부분인 경우 조각의 과거 길이를 검사하지 마십시오.

      첫 번째가 아닌 프래그먼트 패킷의 경우, Bad Inner Header Tunnel 화면에서 검사가 수행되지 않습니다.

    • 외부 헤더가 첫 번째가 아닌 프래그먼트인 경우 페이로드를 검사할 수 없으므로 IP 헤더 서명만 사용하는 화면에 대한 패킷을 검사합니다.

    • 내부 헤더가 첫 번째가 아닌 부분이면 다음 패킷을 검사하지 마십시오.

    • IPv4 내부 헤더는 IPv4 헤더가 20바이트에서 50바이트 사이인지 확인합니다.

참고:

모든 SRX 시리즈 방화벽에서 패킷 허용 또는 삭제 세션이 설정되면 이 화면이 빠른 경로 화면이기 때문에 모든 패킷에 대해 잘못된 내부 헤더 화면이 수행됩니다.

SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX4100, SRX4200 디바이스 및 vSRX 가상 방화벽 인스턴스에서는 fast-path bad-inner-header 화면이 항상 먼저 수행되고 그 다음에 첫 번째 경로 서명 화면이 수행됩니다.

Junos OS 릴리스 12.3X48-D10 및 Junos OS 릴리스 17.3R1부터 IP 터널링 화면에 대한 syslog 메시지 RT_SCREEN_IPRT_SCREEN_IP_LS 가 업데이트되었습니다. 업데이트된 메시지에는 터널 화면 공격 및 삭제 없이 로그인 기준이 포함됩니다. 다음 목록에서는 각 터널 유형에 대한 이러한 새 시스템 로그 메시지의 몇 가지 예를 보여 줍니다.

  • RT_SCREEN_IP: Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP: Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP: Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

예: IP 터널링 화면 옵션으로 터널 트래픽 보안 개선

이 예는 스크린이 터널링된 트래픽의 전송을 제어, 허용 또는 차단할 수 있도록 터널 스크린을 구성하는 방법을 보여줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 시리즈 방화벽

  • Junos OS 릴리스 12.3X48-D10 이상

시작하기 전에:

개요

IPv6 확장 헤더, 패킷 헤더 및 잘못된 내부 헤더 IPv6 또는 IPv4 주소 검증을 기반으로 패킷을 확인하고 필터링하기 위해 다음과 같은 IP 터널링 화면 옵션을 구성할 수 있습니다. 구성에 따라 화면에서 패킷을 삭제하고, 로그를 생성하고, IP 터널링에 대한 증가된 통계를 제공할 수 있습니다. 다음 터널링 화면 옵션은 신뢰할 수 없는 영역에 할당됩니다.

  • GRE 4in4 터널

  • GRE 4in6 터널

  • GRE 6in4 터널

  • GRE 6in6 터널

  • IPinUDP Teredo 터널

  • IPinIP 4in4 터널

  • IPinIP 4in6 터널

  • IPinIP 6in4 터널

  • IPinIP 6in6 터널

  • IPinIP 6over4 터널

  • IPinIP 6to4relay 터널

  • IPinIP ISATAP 터널

  • IPinIP DS-Lite 터널

  • 내부 헤더 터널 불량

구성

IP 터널링 화면 옵션을 구성하려면 다음 작업을 수행합니다.

GRE 터널 스크린 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 의 CLI User Guide을 참조하십시오Using the CLI Editor in Configuration Mode.

GRE 터널 스크린을 구성하려면 다음을 수행합니다.

  1. GRE 터널 화면을 구성하여 터널 트래픽 내부 헤더 정보의 일관성을 확인하고 서명 유형 화면을 검증합니다.

  2. 보안 영역에서 화면을 구성합니다.

IPinUDP Teredo 터널 화면 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 의 CLI User Guide을 참조하십시오Using the CLI Editor in Configuration Mode.

IPinUDP Teredo 터널 화면을 구성하려면 다음을 수행합니다.

  1. IPinUDP Teredo 터널 화면을 구성하여 터널 트래픽 내부 헤더 정보의 일관성을 확인하고 서명 유형 화면의 유효성을 검사합니다.

  2. 보안 영역에서 화면을 구성합니다.

IPinIP 터널 화면 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

IPinIP 터널 화면을 구성하려면 다음을 수행합니다.

  1. IPinIP 터널 화면을 구성하여 터널 트래픽 내부 헤더 정보의 일관성을 확인하고 서명 유형 화면의 유효성을 검사합니다.

  2. 보안 영역에서 화면을 구성합니다.

내부 헤더가 잘못된 터널 화면 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다.

잘못된 내부 헤더 터널 화면을 구성하려면 다음을 수행합니다.

  1. 일관성을 위해 터널 트래픽 내부 헤더 정보를 확인하도록 잘못된 내부 헤더 터널 화면을 구성합니다.

  2. 보안 영역에서 화면을 구성합니다.

결과

구성 모드에서 및 show security screen statistics zone untrust ip tunnel 명령을 입력하여 show security screen 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

간결성을 위해 이 출력에는 이 show 예와 관련된 구성만 포함됩니다. 시스템의 다른 모든 구성은 줄임표(...)로 대체되었습니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

보안 화면 구성 확인

목적

보안 화면에 대한 구성 정보를 표시합니다.

작업

운영 모드에서 명령을 입력합니다 show security screen ids-option screen1 .

의미

show security screen ids-option screen1 명령은 화면 객체 상태를 enabled로 표시합니다.

보안 영역에서 IP 터널 화면 확인

목적

IP 터널링 화면 옵션이 보안 영역에서 올바르게 구성되었는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security screen statistics zone untrust ip tunnel .

의미

명령은 show security screen statistics zone untrust ip tunnel IP 터널 화면 통계 요약을 표시합니다.

변경 내역 테이블

기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

릴리스
설명
15.1X49-D30
Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 SRX5400, SRX5600 및 SRX5800 디바이스에서 중앙 지점 아키텍처가 향상되어 더 높은 초당 연결 수(CPS)를 달성할 수 있습니다.
15.1X49-D20
Junos OS 릴리스 15.1X49-D20 및 Junos OS 릴리스 17.3R1부터 방화벽은 소스 또는 대상 세션 제한을 트리거하는 패킷 수에 관계없이 초당 하나의 로그 메시지만 생성합니다. 이 동작은 , TCP-Synflood-dst-based및 UDP 플러드 보호가 있는 TCP-Synflood-src-based플러드 보호 화면에 적용됩니다.
12.3X48-깊이10
Junos OS 릴리스 12.3X48-D10 및 Junos OS 릴리스 17.3R1부터 IP 터널링 화면에 대한 syslog 메시지 RT_SCREEN_IPRT_SCREEN_IP_LS 가 업데이트되었습니다.