Ataques de fragmentos ICMP y SYN
Una inundación ICMP suele ocurrir cuando los mensajes de solicitud de eco ICMP sobrecargan a la víctima, lo que hace que los recursos dejen de responder al tráfico válido. Un paquete SYN fragmentado es anómalo y, como tal, es sospechoso. Cuando una víctima recibe estos paquetes, los resultados pueden variar desde procesar paquetes incorrectamente hasta bloquear todo el sistema, Para obtener más información, consulte los temas siguientes:
Descripción de la protección de fragmentos de ICMP
El Protocolo de mensajes de control de Internet (ICMP) proporciona informes de errores y capacidades de sondeo de red. Debido a que los paquetes ICMP contienen mensajes muy cortos, no hay ninguna razón legítima para que los paquetes ICMP estén fragmentados. Si un paquete ICMP es tan grande que debe fragmentarse, algo anda mal.
Cuando se habilita la opción de pantalla de protección de fragmentos ICMP, Junos OS bloquea cualquier paquete ICMP que tenga el indicador Más fragmentos establecido o que tenga un valor de desplazamiento indicado en el campo de desplazamiento. Consulte la figura 1.
Junos OS admite la protección de fragmentos ICMP para paquetes ICMPv6.
Ejemplo: bloqueo de paquetes ICMP fragmentados
En este ejemplo se muestra cómo bloquear paquetes ICMP fragmentados.
Requisitos
Antes de comenzar, Comprender la protección de fragmentos de ICMP. Consulte Descripción general de atributos de paquetes sospechosos.
Visión general
Cuando se habilita la opción de pantalla de protección de fragmentos ICMP, Junos OS bloquea cualquier paquete ICMP que tenga el indicador más fragmentos establecido o que tenga un valor de desplazamiento indicado en el campo de desplazamiento.
En este ejemplo, se configura la pantalla de fragmentos ICMP para bloquear paquetes ICMP fragmentados que se originan en la zona de seguridad zone1.
Topología
Configuración
Procedimiento
Procedimiento paso a paso
Para bloquear paquetes ICMP fragmentados:
Configure la pantalla.
[edit] user@host# set security screen ids-option icmp-fragment icmp fragment
Configure una zona de seguridad.
[edit] user@host# set security zones security-zone zone1 screen icmp-fragment
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security screen statistics zone zone-name
comando.
Descripción de la protección de paquetes ICMP grandes
El Protocolo de mensajes de control de Internet (ICMP) proporciona informes de errores y capacidades de sondeo de red. Debido a que los paquetes ICMP contienen mensajes muy cortos, no hay ninguna razón legítima para los paquetes ICMP grandes. Si un paquete ICMP es inusualmente grande, algo anda mal.
Consulte la figura 2.
Cuando se habilita la opción de pantalla de protección de paquetes ICMP de gran tamaño, Junos OS descarta paquetes ICMP con una longitud superior a 1024 bytes.
Junos OS admite protección de paquetes ICMP de gran tamaño para paquetes ICMP e ICMPv6.
Ejemplo: bloqueo de paquetes ICMP grandes
En este ejemplo se muestra cómo bloquear paquetes ICMP grandes.
Requisitos
Antes de comenzar, comprenda la protección de paquetes ICMP grandes. Consulte Descripción general de atributos de paquetes sospechosos.
Visión general
Cuando se habilita la opción de pantalla de protección de paquetes ICMP grandes, Junos OS elimina paquetes ICMP mayores de 1024 bytes.
En este ejemplo, configure la pantalla grande ICMP para bloquear paquetes ICMP grandes que se originan en la zona de seguridad zone1.
Topología
Configuración
Procedimiento
Procedimiento paso a paso
Para bloquear paquetes ICMP grandes:
Configure la pantalla.
[edit] user@host# set security screen ids-option icmp-large icmp large
Configure una zona de seguridad.
[edit] user@host# set security zones security-zone zone1 screen icmp-large
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security screen statistics zone zone-name
comando.
Descripción de la protección de fragmentos SYN
La IP encapsula un segmento TCP SYN en el paquete IP que inicia una conexión TCP. Dado que el propósito de este paquete es iniciar una conexión e invocar un segmento SYN/ACK en respuesta, el segmento SYN normalmente no contiene ningún dato. Debido a que el paquete IP es pequeño, no hay ninguna razón legítima para que esté fragmentado.
Un paquete SYN fragmentado es anómalo y, como tal, es sospechoso. Para tener cuidado, bloquee estos elementos desconocidos para que no entren en su red protegida. Consulte la figura 3.
Cuando se habilita la opción de pantalla de detección de fragmentos SYN, Junos OS detecta paquetes cuando el encabezado IP indica que el paquete se fragmentó y el indicador SYN está establecido en el encabezado TCP. Junos OS registra el evento en la lista de contadores de pantalla de la interfaz de entrada.
Junos OS admite la protección de fragmentos SYN para paquetes IPv4 e IPv6.
Ejemplo: Colocación de paquetes IP que contienen fragmentos SYN
En este ejemplo se muestra cómo colocar paquetes IP que contienen fragmentos SYN.
Requisitos
Antes de comenzar, comprenda la protección de fragmentos de paquetes IP. Consulte Descripción general de atributos de paquetes sospechosos.
Visión general
Cuando se habilita la opción de pantalla de detección de fragmentos SYN, Junos OS detecta paquetes cuando el encabezado IP indica que el paquete se fragmentó y el indicador SYN está establecido en el encabezado TCP. Además, Junos OS registra el evento en la lista de contadores de pantalla de la interfaz de entrada.
En este ejemplo, se configura la pantalla de fragmentos SYN para colocar paquetes SYN fragmentados originados en la zona de seguridad zone1.
Topología
Configuración
Procedimiento
Procedimiento paso a paso
Para colocar paquetes IP que contengan fragmentos SYN:
Configure la pantalla.
[edit] user@host# set security screen ids-option syn-frag tcp syn-frag
Configure la zona de seguridad.
[edit] user@host# set security zones security-zone zone1 screen syn-frag
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security screen statistics zone zone-name
comando.