En este tema se describe cómo configurar la detección de un ataque de análisis de puerto UDP.
Estos ataques analizan las direcciones IP de destino en busca de servicios abiertos, de escucha o responsivos mediante la segmentación de varios protocolos o puertos en una o más direcciones IP de destino mediante patrones obvios (numerados secuencialmente) del protocolo de destino o números de puerto. Los patrones se derivan aleatorizando los números de protocolo o puerto y aleatorizando los retrasos de tiempo entre las transmisiones.
Para habilitar la detección de un ataque de análisis de puerto UDP:
- Configure interfaces y asigne una dirección IP a las interfaces.
[edit]
user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 198.51.100.0/24
- Configure zonas de
trustZone
seguridad y untrustZone
asigne interfaces a ellas.
[edit]
user@host# set security zones security-zone trustZone host-inbound-traffic system-services all
user@host# set security zones security-zone trustZone host-inbound-traffic protocols all
user@host# set security zones security-zone trustZone interfaces ge-0/0/1.0
user@host# set security zones security-zone untrustZone host-inbound-traffic system-services all
user@host# set security zones security-zone untrustZone host-inbound-traffic protocols all
user@host# set security zones security-zone untrustZone interfaces ge-0/0/3.0
- Configure políticas de seguridad de
untrustZone
a trustZone
.
[edit]
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match source-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match destination-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match application any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then permit
user@host# set security policies default-policy deny-all
- Configure las pantallas de seguridad y adjúntelos a
untrustZone
.
[edit]
user@host# set security screen ids-option untrustScreen udp port-scan
user@host# set security screen ids-option untrustScreen alarm-without-drop
user@host# set security zones security-zone untrustZone screen untrustScreen
- Configure syslog.
[edit]
user@host# set system syslog file syslog any any
user@host# set system syslog file syslog archive size 10000000
user@host# set system syslog file syslog structured-data
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-init
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-close
- Confirme la configuración.