Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Opciones de pantallas para la detección y prevención de ataques

La detección y prevención de ataques detecta y defiende la red contra ataques. Mediante las opciones de pantalla, las plataformas de seguridad de Junos pueden proteger contra diferentes ataques internos y externos, Para obtener más información, consulte los temas siguientes:

Descripción de las opciones de pantallas en dispositivos de la serie SRX

En todos los firewalls de la serie SRX, las pantallas se dividen en dos categorías:

Pantallas basadas en estadísticas

La Tabla 1 enumera todas las opciones de pantalla basadas en estadísticas.

Tabla 1: Opciones de pantalla basadas en estadísticas

Nombre de la opción de pantalla

Descripción

ICMP flood

Utilice la opción IDS de inundación ICMP para protegerse contra ataques de inundación ICMP. Un ataque de inundación ICMP suele ocurrir cuando las solicitudes de eco ICMP utilizan todos los recursos para responder, de modo que ya no se puede procesar el tráfico de red válido.

El valor de umbral define el número de paquetes ICMP por segundo (pps) que se pueden enviar a la misma dirección de destino antes de que el dispositivo rechace más paquetes ICMP.

UDP flood

Utilice la opción IDS de inundación UDP para protegerse contra ataques de inundación UDP. Un ataque de inundación UDP se produce cuando un atacante envía paquetes IP que contienen un datagrama UDP con el propósito de ralentizar los recursos, de modo que ya no se puedan manejar conexiones válidas.

El valor de umbral define el número de paquetes UDP por segundo que se pueden enviar a la misma dirección IP de destino. Cuando el número de paquetes supera este valor en un período de 1 segundo, el dispositivo genera una alarma y descarta los paquetes siguientes durante el resto de ese segundo.

TCP SYN flood source

Utilice la opción IDS de origen de inundación TCP SYN para establecer el valor del umbral de origen. El valor de umbral define el número de segmentos SYN que se recibirán por segundo antes de que el dispositivo comience a descartar las solicitudes de conexión.

El intervalo aplicable es de 4 a 500 000 pps SYN.

TCP SYN flood destination

Utilice la opción IDS de destino de inundación SYN para establecer el valor del umbral de destino. El valor de umbral define el número de segmentos SYN recibidos por segundo antes de que el dispositivo comience a descartar las solicitudes de conexión.

El intervalo aplicable es de 4 a 500 000 pps SYN.

TCP SYN flood

Utilice la opción IDS de inundación TCP SYN para detectar y prevenir ataques de inundación SYN. Estos ataques se producen cuando el host que se conecta envía continuamente solicitudes TCP SYN sin responder a las respuestas ACK correspondientes.

TCP port scan

Utilice la opción IDS de escaneo de puertos TCP para evitar los ataques de escaneo de puertos. El propósito de este ataque es escanear los servicios disponibles con la esperanza de que al menos un puerto responda, identificando así un servicio al que apuntar.

TCP SYN-ACK-ACK proxy

Utilice la opción de pantalla de proxy TCP SYN-ACK-ACK para evitar el ataque SYN-ACK-ACK. Después de que el número de conexiones desde la misma dirección IP alcanza el umbral de proxy SYN-ACK-ACK, los firewalls de la serie SRX que ejecutan Junos OS rechazan otras solicitudes de conexión desde esa dirección IP.

ICMP IP sweep

Utilice la opción IDS de barrido de IP ICMP para detectar y prevenir un ataque de barrido de IP. Un ataque de barrido de IP se produce cuando un atacante envía solicitudes de eco (pings) de ICMP a varias direcciones de destino. Si un host de destino responde, la respuesta revela la dirección IP del objetivo al atacante. Si el dispositivo recibe 10 solicitudes de eco ICMP dentro del número de microsegundos especificado en esta instrucción, lo marca como un ataque de barrido IP y rechaza el undécimo y todos los demás paquetes ICMP de ese host durante el resto del segundo.

El valor de umbral define el número máximo de microsegundos durante los cuales se permiten hasta 10 solicitudes de eco ICMP del mismo host en el dispositivo.

TCP SYN flood alarm

Utilice la opción IDS de alarma de inundación TCP SYN para establecer el valor del umbral de alarma. El valor de umbral define el número de conexiones proxy medio completas por segundo en las que el dispositivo realiza entradas en el registro de alarma de eventos. El rango es de 1 a 500.000 solicitudes por segundo.

TCP SYN flood attack

Utilice la opción IDS de ataque de inundación TCP SYN para establecer el valor del umbral de ataque. El valor de umbral define el número de paquetes SYN por segundo necesarios para activar la respuesta de proxy SYN. El rango es de 1 a 500.000 pps proxy.

UDP udp sweep

Utilice la opción IDS de barrido UDP UDP para detectar y prevenir ataques de barrido UDP. En un ataque de barrido UDP, un atacante envía paquetes UDP al dispositivo de destino. Si el dispositivo responde a esos paquetes, el atacante obtiene una indicación de que un puerto en el dispositivo de destino está abierto, lo que hace que el puerto sea vulnerable a los ataques. Si un host remoto envía paquetes UDP a 10 direcciones en 0,005 segundos (5000 microsegundos), el dispositivo lo marca como un ataque de barrido UDP.

Si no se establece la alarm-without-drop opción, el dispositivo rechaza el undécimo paquete UDP y todos los demás paquetes UDP de ese host durante el resto del período de umbral especificado.

El valor de umbral define el número de microsegundos durante los cuales el dispositivo acepta 10 paquetes UDP desde el mismo origen remoto a diferentes direcciones de destino.

A partir de Junos OS versión 15.1X49-D20 y Junos OS versión 17.3R1, el firewall genera solo un mensaje de registro cada segundo, independientemente del número de paquetes que activen el límite de sesión de origen o destino. Este comportamiento se aplica a las pantallas de protección contra inundaciones con TCP-Synflood-src-basedprotección TCP-Synflood-dst-basedcontra inundaciones , y UDP.

Pantallas basadas en firmas

En la Tabla 2 se enumeran todas las opciones de pantalla basadas en firmas.

Tabla 2: Opciones de pantalla basadas en firmas

Nombre de la opción de pantalla

Descripción

TCP Winnuke

Active o deshabilite la opción TCP WinNuke ataca a IDS. WinNuke es un ataque de denegación de servicio (DoS) dirigido a cualquier equipo de Internet que ejecute Windows.

TCP SYN fragment

Utilice la opción IDS de ataque de fragmentos TCP SYN para eliminar cualquier fragmento de paquete utilizado para el ataque. Un ataque de fragmentos SYN inunda el host de destino con fragmentos de paquetes SYN. El host almacena en caché estos fragmentos, esperando que lleguen los fragmentos restantes para poder volver a ensamblarlos. La avalancha de conexiones que no se pueden completar finalmente llena el búfer de memoria del host. No es posible realizar más conexiones y pueden producirse daños en el sistema operativo del host.

TCP no flag

Utilice la opción TCP tcp no flag IDS para descartar paquetes TCP ilegales con un campo de indicador faltante o mal formado. El valor de umbral define el número de encabezados TCP sin indicadores establecidos. Un encabezado de segmento TCP normal tiene al menos un indicador de control establecido.

TCP SYN FIN

Utilice la opción TCP SYN FIN IDS para detectar una combinación ilegal de indicadores que los atacantes pueden usar para consumir sesiones en el dispositivo de destino, lo que resulta en una condición de denegación de servicio (DoS).

TCP land

Active o deshabilite la opción IDS de ataque terrestre TCP. Los ataques terrestres ocurren cuando un atacante envía paquetes SYN falsificados que contienen la dirección IP de la víctima como dirección IP de destino y de origen.

TCP FIN no ACK

Utilice la opción IDS de bit FIN sin bit ACK para detectar una combinación ilegal de indicadores y rechazar los paquetes que tengan esta combinación.

ICMP ping of death

Utilice la opción ID de ping de muerte para detectar y rechazar paquetes ICMP irregulares y de gran tamaño. Aunque la especificación TCP/IP requiere un tamaño de paquete específico, muchas implementaciones de ping permiten tamaños de paquete más grandes. Los paquetes más grandes pueden desencadenar una serie de reacciones adversas del sistema, como bloqueos, congelación y reinicio.

El ping de la muerte se produce cuando se envían paquetes IP que superan la longitud legal máxima (65.535 bytes).

ICMP fragment

Utilice la opción IDS de fragmentos ICMP para detectar y colocar cualquier trama ICMP con el indicador Más fragmentos establecido o con un desplazamiento indicado en el offset campo.

ICMP large

Utilice la opción ICMP large IDS para detectar y eliminar cualquier trama ICMP con una longitud IP superior a 1024 bytes.

IP unknown protocol

Utilice la opción IDS de protocolo IP desconocida para descartar todas las tramas IP recibidas con números de protocolo mayores que 137 para IPv4 y 139 para IPv6. Dichos números de protocolo no están definidos o están reservados.

IP bad option

Utilice la opción IP bad IDS para detectar y descartar cualquier paquete con una opción IP con formato incorrecto en el encabezado del paquete IP. El dispositivo registra el evento en la lista de contadores de pantalla para la interfaz de entrada. Esta opción de pantalla es aplicable a IPv4 e IPv6.

IP strict source route option

Utilice la opción IDS de ruta de origen estricta IP para detectar paquetes en los que la opción IP es 9 (enrutamiento de origen estricto) y registre el evento en la lista de contadores de pantalla de la interfaz de entrada. Esta opción especifica la lista de rutas completa para que un paquete realice su viaje desde el origen hasta el destino. La última dirección de la lista sustituye a la dirección del campo de destino. Actualmente, esta opción de pantalla solo es aplicable a IPv4.

IP loose source route option

Utilice la opción IDS de ruta IP de origen flexible para detectar paquetes en los que la opción IP es 3 (enrutamiento de origen flexible) y registre el evento en la lista de contadores de pantalla de la interfaz de entrada. Esta opción especifica una lista de rutas parciales para que un paquete realice su viaje desde el origen hasta el destino. El paquete debe proceder en el orden de direcciones especificado, pero se le permite pasar a través de otros dispositivos entre los especificados. El encabezado de enrutamiento de tipo 0 de la opción de ruta de origen flexible es el único encabezado relacionado definido en IPv6.

IP source route option

Utilice la opción IDS de ruta de origen IP para detectar paquetes y registrar el evento en la lista de contadores de pantalla de la interfaz de entrada.

IP stream option

Utilice la opción IDS de secuencia IP para detectar paquetes en los que la opción IP sea 8 (ID de flujo) y registre el evento en la lista de contadores de pantalla de la interfaz de entrada. Esta opción proporciona una manera para que el identificador de secuencia SATNET de 16 bits se transporte a través de redes que no admiten secuencias. Actualmente, esta opción de pantalla solo es aplicable a IPv4.

IP block fragment

Habilite o deshabilite el bloqueo de fragmentación de paquetes IP. Cuando esta función está habilitada, Junos OS deniega los fragmentos de IP en una zona de seguridad y bloquea todos los fragmentos de paquetes IP que se reciben en las interfaces enlazadas a esa zona.

IP record route option

Utilice la opción IDS de ruta de registro IP para detectar paquetes en los que la opción IP es 7 (ruta de registro) y registre el evento en la lista de contadores de pantalla de la interfaz de entrada. Esta opción registra las direcciones IP de los dispositivos de red a lo largo de la ruta por la que viaja el paquete IP. Actualmente, esta opción de pantalla solo es aplicable a IPv4.

IP timestamp option

Utilice la opción IDS de marca de tiempo IP para detectar paquetes en los que la lista de opciones IP incluye la opción 4 (marca de tiempo de Internet) y registre el evento en la lista de contadores de pantalla de la interfaz de entrada. Esta opción registra la hora (en hora universal) en que cada dispositivo de red recibe el paquete durante su viaje desde el punto de origen hasta su destino. Actualmente, esta opción de pantalla solo es aplicable a IPv4.

IP security option

Utilice la opción IDS de seguridad IP para detectar paquetes en los que la opción IP es 2 (seguridad) y registre el evento en la lista de contadores de pantalla de la interfaz de entrada. Actualmente, esta opción de pantalla solo es aplicable a IPv4.

IP spoofing

Utilice la opción IDS de suplantación de direcciones IP para evitar ataques de suplantación de identidad. La suplantación de IP se produce cuando se inserta una dirección de origen no válida en el encabezado del paquete para que parezca que el paquete proviene de una fuente de confianza.

IP tear drop

Utilice la opción IDS de caída de lágrima IP para bloquear los ataques de lágrima. Los ataques de lágrima ocurren cuando los paquetes IP fragmentados se superponen y hacen que el host que intenta volver a ensamblar los paquetes se bloquee. La opción de caída desgarradora indica al dispositivo que descarte cualquier paquete que tenga tal discrepancia. Los ataques de lágrima explotan el reensamblaje de paquetes IP fragmentados.

Descripción de las mejoras de la arquitectura de Central Point para pantallas

A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos SRX5400, SRX5600 y SRX5800, la arquitectura del punto central se mejora para lograr un mayor número de conexiones por segundo (CPS). Debido a las mejoras, la sesión de punto central y el procesamiento de paquetes de punto central se han movido del punto central a la unidad de procesamiento de servicios (SPU).

Anteriormente, el punto central tenía un límite de sesión y si no había recursos (entradas de límite de sesión) disponibles, el paquete siempre estaba permitido por el límite de sesión. Ahora, tanto el punto central como la SPU tienen límites de sesión. Si no hay recursos disponibles en el punto central, pero hay recursos disponibles en la SPU, entonces el punto central no puede limitar las sesiones, pero la SPU puede limitar las sesiones.

En los siguientes escenarios se describe cuándo el punto central y la SPU determinan si se debe permitir o descartar un paquete.

  • Cuando el punto central no tiene entrada de límite de sesión y la SPU tiene una entrada de límite de sesión:

    1. Si el contador de límite de sesión de la SPU es mayor que el valor de umbral, el paquete se descarta.

    2. Si el contador de límite de sesión de la SPU no es mayor que el valor de umbral, se permite el paquete.

  • Cuando la SPU no tiene una entrada de límite de sesión:

    1. Si el contador de límite de sesión de la SPU es mayor que el valor de umbral, se permite el paquete.

    2. Si el contador de límite de sesión de la SPU no es mayor que el umbral, se permite el paquete.

Nota:

Se envía un mensaje adicional al punto central para mantener recuentos precisos de las sesiones que podrían afectar al número de conexiones por segundo (CPS) de las pantallas. Esto afecta al límite de sesiones de origen o destino.

Las estadísticas de tráfico global que carecen de un punto central podrían afectar algunas pantallas de visión globales. Solo la cookie SYN no tiene una vista global, y las estadísticas de tráfico global son manejadas por la SPU, por lo que el contador podría no ser preciso como antes. Para otras pantallas basadas en estadísticas, manejadas tanto por el punto central como por la SPU, los contadores son precisos.

Anteriormente, las pantallas basadas en estadísticas solo eran manejadas por el punto central y el registro y la captura SNMP podían limitarse estrictamente a la velocidad. Ahora, tanto el punto central como la SPU pueden generar el registro y la captura SNMP de forma independiente. Por lo tanto, es posible que el registro y la captura SNMP sean más grandes que antes.

Implementación de opciones de pantalla en dispositivos de la serie SRX

En la tabla siguiente se enumeran todas las opciones de pantalla implementadas en los firewalls de la serie SRX y que son compatibles con todos los firewalls de la serie SRX.

Tabla 3: Opciones de pantalla implementadas en dispositivos de la serie SRX

Pantallas

Implementado en NP/CP/SPU

Soporte en modo Hash

Soporte en modo SOF

icmp-flood

NP

udp-flood

NP

winnuke

NP

tcp-port-scan

CP+SPU

udp-port-scan

CP+SPU

address-sweep

CP+SPU

tcp-sweep

CP+SPU

udp-sweep

CP+SPU

tear-drop

SPU

NO

syn-flood

SPU

syn-flood-src

NP

syn-flood-dst

NP

ip-spoofing

SPU

ping-of-death

NP

ip-option-src-route

NP

land

NP

syn-fragment

NP

tcp-no-flag

NP

unknown-protocol

NP

ip-option-bad

NP

ip-option-record-route

NP

ip-option-timestamp

NP

ip-option-security

NP

ip-option-loose-src-route

NP

ip-option-strict-src-route

NP

ip-option-stream

NP

icmp-fragment

NP

icmp-large-pkt

NP

syn-fin

NP

fin-no-ack

NP

src-session-limit

CP+SPU

syn-ack-ack-proxy

SPU

block-fragment

NP

dst-session-limit

CP+SPU

ipv6-ext-header

SPU

No

ipv6-ext-hbyh-option

SPU

No

ipv6-ext-dst-option

SPU

No

ipv6-ext-header-limit

SPU

No

ipv6-malformed-header

SPU

No

icmpv6-malformed-packet

SPU

No

ip-tunnel-summary

SPU

No
Nota:

Todas las funcionalidades de pantalla compatibles con la tarjeta IOC1 son compatibles con las tarjetas IOC2 e IOC3. En la línea SRX5000 de dispositivos y en el dispositivo SRX4600, la unidad procesadora de red (NPU) de una tarjeta IOC2 se sustituye por la unidad de búsqueda (LU).

Ejemplo: configuración de varias opciones de filtrado

En este ejemplo se muestra cómo crear un perfil de servicio de detección de intrusiones (IDS) para varias opciones de cribado.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Visión general

En una zona de seguridad, puede aplicar un perfil IDS a varias opciones de detección. En este ejemplo estamos configurando las siguientes opciones de cribado:

  • Examen ICMP

  • Detección de IP

  • Detección TCP

  • Prueba de detección UDP

Estas opciones de detección se asignan a una zona de no confianza.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Ingrese commit desde el modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en el Junos OS CLI User Guidearchivo .

Para configurar un perfil IDS para varias opciones de selección:

  1. Configure las opciones de detección de ICMP.

  2. Configure las opciones de filtrado de IP.

  3. Configure las opciones de filtrado TCP.

  4. Configure las opciones de detección de UDP.

  5. Adjunte el perfil IDS a la zona.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security screen ids-option screen-config comandos y show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificación del perfil IDS para múltiples opciones de detección

Propósito

Verifique que el perfil IDS para varias opciones de detección esté configurado correctamente.

Acción

Introduzca el comando y show security zones desde el show security screen ids-option screen-config Screen object status modo operativo.

Nota:

En todos los firewalls de la serie SRX, el valor del umbral de alarma de inundación de sincronización TCP no indica el número de paquetes caídos, sin embargo, el valor muestra la información del paquete después de alcanzar el umbral de alarma.

La cookie de sincronización o proxy nunca suelta paquetes; Por lo tanto, la alarm-without-drop acción (no drop) se muestra en el registro del sistema.

Descripción de las opciones de pantalla en el concentrador de puerto del módulo SRX5000

El concentrador de puerto de módulo de línea SRX5000 (SRX5K-MPC) admite las opciones de pantalla de Junos OS. Las opciones de pantalla protegen una zona inspeccionando, y luego permitiendo o rechazando, todos los intentos de conexión que requieren cruzar una interfaz enlazada a esa zona.

Mediante las opciones de pantalla, el dispositivo de seguridad puede protegerse contra diferentes ataques internos y externos, incluidos los ataques de inundación SYN, los ataques de inundación UDP y los ataques de escaneo de puertos. Junos OS aplica comprobaciones de pantalla al tráfico antes de procesar la política de seguridad, lo que resulta en una menor utilización de recursos.

Las opciones de pantalla se dividen en las dos categorías siguientes:

  • Pantallas basadas en estadísticas

  • Pantallas basadas en firmas

Pantallas basadas en estadísticas

Todas las funciones de pantalla implementadas en un SRX5K-MPC son independientes del modo de capa 2 o capa 3. Las protecciones contra inundaciones se utilizan para defenderse contra ataques de inundación SYN, ataques de inundación de tabla de sesión, ataques de denegación de servicio (DoS) de firewall y ataques DoS de red.

Los siguientes cuatro tipos de protección contra inundaciones basadas en umbrales se realizan en cada procesador para IPv4 e IPv6:

  • Protección contra inundaciones basada en UDP

  • Protección contra inundaciones basada en ICMP

  • Protección contra inundaciones SYN basada en fuentes TCP

  • Protección contra inundaciones SYN basada en destinos TCP

Nota:

Si uno de los dos tipos de protección contra inundaciones TCP SYN está configurado en una zona, el segundo tipo de protección contra inundaciones TCP SYN se habilita automáticamente en la misma zona. Estos dos tipos de protecciones siempre funcionan juntos.

Cada tipo de protección contra inundaciones se basa en umbrales, y el umbral se calcula por zona en cada microprocesador. Si la inundación se detecta en un chip de microprocesador, ese microprocesador en particular toma medidas contra los paquetes ofensivos según la configuración:

  • Acción predeterminada (denunciar y eliminar): el registro de pantalla y la generación de informes se realizan en una SPU, por lo que los paquetes ofensivos deben reenviarse al punto central o SPU para este propósito. Para proteger las SPU de inundaciones, solo se envía a la SPU el primer paquete ofensivo de cada pantalla de una zona para que la registre y genere informes en cada segundo. El resto de los paquetes ofensivos se cuentan y se colocan en un microprocesador.

    Por ejemplo, supongamos que la inundación de UDP se configura en una interfaz lógica con un umbral establecido en 5000 paquetes por segundo. Si los paquetes UDP llegan a una velocidad de 20.000 por segundo, entonces alrededor de 5000 paquetes UDP se reenvían al punto central o SPU cada segundo, y los paquetes restantes se detectan como inundación. Sin embargo, solo se envía un paquete de inundación UDP a la SPU para que registre e informe en cada segundo. Los paquetes restantes se dejan caer en el microprocesador.

  • Solo alarma (alarma sin caída): un paquete ofensivo detectado por la protección de pantalla no se descarta. Se salta el resto de las comprobaciones de pantalla y se reenvía al punto central o SPU con el resultado de la pantalla copiado en su metaencabezado. No se cuenta como un paquete perdido.

Diferencias entre IOC1 e IOC2

El comportamiento de las pantallas es el mismo si el dispositivo tiene una tarjeta IOC1 o IOC2. Sin embargo, existen diferencias en los valores de umbral para las pantallas basadas en estadísticas. La Tabla 4 enumera las opciones de pantalla basadas en estadísticas y el comportamiento de las pantallas dependiendo de si el dispositivo tiene IOC1 o una tarjeta IOC2.

Tabla 4: Opciones de pantalla basadas en estadísticas

Nombre de la opción de pantalla

Descripción

IOC1

IOC2

ICMP flood

Establece el valor del umbral de inundación del ICMP. La opción de pantalla de inundación ICMP se utiliza para proteger contra ataques de inundación ICMP. Un ataque de inundación ICMP suele ocurrir cuando las solicitudes de eco ICMP utilizan todos los recursos para responder, de modo que ya no se puede procesar el tráfico de red válido.

El valor de umbral define el número de paquetes ICMP por segundo a los que se permite hacer ping a la misma dirección de destino antes de que el dispositivo rechace más paquetes ICMP.

Si el tráfico entrante supera el umbral pps, se caen los paquetes o se activa una alarma.

En los dispositivos de línea SRX5000 con tarjeta IOC2, hay un cambio en la configuración de pantalla para los chips de búsqueda (LU). Hay cuatro chips LU en cada tarjeta IOC2. Si el tráfico entrante supera el valor umbral pps, los paquetes se descartan. Por ejemplo, si el usuario especifica el valor de umbral de 1000 pps, configuramos 250 pps en cada chip LU internamente, de modo que el valor umbral de 1000 pps se distribuya equitativamente entre los 4 chips LU. Como resultado esperado, el usuario obtiene el valor umbral global de 1000 pps.

En los dispositivos de línea SRX5000, cuando la tarjeta IOC2 está en modo de descarga de servicios, solo funcionará un chip LU. Si la tasa de tráfico entrante supera el valor de umbral, los paquetes se descartan como resultado del comportamiento esperado.

UDP flood

Establece el valor del umbral de inundación UDP. La opción de pantalla de inundación UDP se usa para proteger contra ataques de inundación UDP. El ataque de inundación UDP se produce cuando un atacante envía paquetes IP que contienen datagramas UDP con el propósito de ralentizar los recursos, de modo que ya no se puedan manejar conexiones válidas.

El valor de umbral define el número de pps UDP permitidos para hacer ping al mismo par de puerto/dirección IP de destino. Cuando el número de paquetes supera este valor en un período de 1 segundo, el dispositivo genera una alarma y descarta los paquetes siguientes durante el resto de ese segundo.

Si el tráfico entrante supera el umbral pps, se caen los paquetes o se activa una alarma.

En los dispositivos de línea SRX5000 con tarjeta IOC2, hay un cambio en la configuración de pantalla para los chips de búsqueda (LU). Hay cuatro chips LU en cada tarjeta IOC2. Si el tráfico entrante supera el valor umbral pps, los paquetes se descartan. Por ejemplo, si el usuario especifica el valor de umbral de 1000 pps, configuramos 250 pps en cada chip LU internamente, de modo que el valor umbral de 1000 pps se distribuya equitativamente entre los 4 chips LU. Como resultado esperado, el usuario obtiene el valor umbral global de 1000 pps.

En los dispositivos de línea SRX5000, cuando la tarjeta IOC2 está en modo de descarga de servicios, solo funcionará un chip LU. Si la tasa de tráfico entrante supera el valor de umbral, los paquetes se descartan como resultado del comportamiento esperado.

TCP SYN flood source

Establece el valor del umbral de origen de inundación TCP SYN. El valor de umbral define el número de segmentos SYN que se recibirán por segundo antes de que el dispositivo comience a descartar las solicitudes de conexión.

El intervalo aplicable es de 4 a 500 000 pps SYN.

Si el tráfico entrante supera el umbral pps, se caen los paquetes o se activa una alarma.

En los dispositivos de línea SRX5000 con tarjeta IOC2, hay un cambio en la configuración de pantalla para los chips de búsqueda (LU). Hay cuatro chips LU en cada tarjeta IOC2. Si el tráfico entrante supera el valor umbral pps, los paquetes se descartan. Por ejemplo, si el usuario especifica el valor de umbral de 1000 pps, configuramos 250 pps en cada chip LU internamente, de modo que el valor umbral de 1000 pps se distribuya equitativamente entre los 4 chips LU. Como resultado esperado, el usuario obtiene el valor umbral global de 1000 pps.

En los dispositivos de línea SRX5000, cuando la tarjeta IOC2 está en modo de descarga de servicios, solo funcionará un chip LU. Si la tasa de tráfico entrante supera el valor de umbral, los paquetes se descartan como resultado del comportamiento esperado.

TCP SYN flood destination

Establece el valor del umbral de destino de inundación TCP SYN. El valor de umbral define el número de segmentos SYN recibidos por segundo antes de que el dispositivo comience a descartar las solicitudes de conexión.

El intervalo aplicable es de 4 a 500 000 pps SYN.

Si el tráfico entrante supera el umbral pps, se caen los paquetes o se activa una alarma.

En los dispositivos de línea SRX5000 con tarjeta IOC2, hay un cambio en la configuración de pantalla para los chips de búsqueda (LU). Hay cuatro chips LU en cada tarjeta IOC2. Si el tráfico entrante supera el valor umbral pps, los paquetes se descartan. Por ejemplo, si el usuario especifica el valor de umbral de 1000 pps, configuramos 250 pps en cada chip LU internamente, de modo que el valor umbral de 1000 pps se distribuya equitativamente entre los 4 chips LU. Como resultado esperado, el usuario obtiene el valor umbral global de 1000 pps.

En los dispositivos de línea SRX5000, cuando la tarjeta IOC2 está en modo de descarga de servicios, solo funcionará un chip LU. Si la tasa de tráfico entrante supera el valor de umbral, los paquetes se descartan como resultado del comportamiento esperado.
Nota:

En los dispositivos de línea SRX5400, SRX5600 y SRX5800, el valor del umbral de pantalla se establece para cada IOC en el DUT para los vínculos secundarios LAG/LACP y RLAG/RETH. Cuando tenga interfaces secundarias entre IOC como parte de interfaces LAG/LACP o RETH/RLAG y el tráfico de entrada también atraviese varios vínculos secundarios entre IOC, establezca el valor de umbral para que coincida con el número total de paquetes que pasa por la pantalla desde varias IOC con el número total esperado de paquetes por segundo (pps) en la interfaz de salida.

Pantallas basadas en firmas

El SRX5K-MPC proporciona opciones de pantalla basadas en firmas junto con comprobaciones de cordura en el paquete recibido.

A veces, los paquetes recibidos por el dispositivo están mal formados o no son válidos, y pueden causar daños al dispositivo y a la red. Estos paquetes deben descartarse durante las etapas iniciales de procesamiento.

Tanto para las opciones de pantalla basadas en firmas como para las comprobaciones de cordura, se examina el contenido del paquete, incluidos el encabezado del paquete, los bits de estado y control, y los encabezados de extensión (para IPv6). Puede configurar las pantallas de acuerdo con sus requisitos, mientras que las comprobaciones de cordura de paquetes se realizan de forma predeterminada.

Las comprobaciones de cordura de paquetes y las opciones de pantalla se realizan en los paquetes recibidos en las interfaces de entrada.

El procesador realiza comprobaciones de cordura y ejecuta algunas funciones de pantalla para detectar los paquetes de entrada malformados y maliciosos recibidos de las interfaces físicas. Los paquetes que no pasan una comprobación de cordura se cuentan y se eliminan.

Se admiten las siguientes comprobaciones de cordura de paquetes:

  • Comprobación de cordura IPv4

  • Comprobación de cordura IPv6

Se admiten las siguientes funciones de pantalla:

  • Pantalla basada en IP

  • Pantalla basada en UDP

  • Pantalla basada en TCP

  • Pantalla basada en ICMP

Las funciones de pantalla son aplicables a los paquetes IPv4 e IPv6, con la excepción de las pantallas de opciones IP, que solo se aplican a los paquetes IPv4. Si una opción de pantalla detecta un paquete, omite el resto de las comprobaciones de pantalla y se reenvía al punto central o a la unidad de procesamiento de servicios (SPU) para el registro y la recopilación de estadísticas.

Nota:

En los dispositivos SRX5400, SRX5600 y SRX5800, primero se realiza la primera pantalla de firma de ruta, seguida de la pantalla de ruta bad-inner-header rápida.

Descripción de la compatibilidad de IPv6 con pantallas

Juniper Networks ofrece diversos mecanismos de detección y defensa a nivel de zona y política para combatir exploits en todas las etapas de su ejecución. Las opciones de pantalla están en el nivel de zona. Las opciones de pantalla de Junos OS protegen una zona inspeccionándola y, a continuación, permitiendo o denegando todos los intentos de conexión que requieran cruzar una interfaz enlazada a esa zona.

Puede configurar opciones de pantalla para comprobar y filtrar paquetes en función de los encabezados de extensión IPv6, los encabezados de paquete y el tráfico ICMPv6. Según su configuración, la pantalla puede colocar paquetes, crear registros y proporcionar estadísticas aumentadas para el tráfico IPv6.

Comprobación y filtrado del encabezado de extensión IPv6

Puede utilizar la instrucción para filtrar selectivamente uno o más encabezados de ipv6-extension-header extensión. En la tabla 5 se enumeran los encabezados de extensión IPv6 comunes y sus valores de tipo.

Tabla 5: Encabezados de extensión IPv6 y valores de tipo

Nombre del encabezado

Valor de tipo de encabezado

Estándares de Internet

Autenticación

51

RFC 2460

Carga de seguridad encapsulada

50

RFC 2460

Protocolo de identificación de host

139

RFC 5201

Opciones de destino

  • ILNP opción nonce

  • Opción de domicilio

  • Opción de identificación de línea

  • Opción de límite de encapsulación de túnel

60

RFC 2460

Fragmento

44

RFC 2460

Opciones de salto a salto

  • Opción CALIPSO

  • Opción RPL

  • Opción SFM DPD

  • Opción de carga Jumbo

  • Opción de inicio rápido

  • Opción de alerta de enrutador

0

RFC 2460

Movilidad

135

RFC 6275

No hay siguiente

59

RFC 2460

Enrutamiento

43

RFC 2460

Shim6

140

RFC 5533

Número máximo de encabezados de extensión

Puede especificar el número máximo de encabezados de extensión permitidos en un paquete mediante la ipv6-extension-header-limit instrucción. Aunque no se especifica explícitamente el número máximo de encabezados de extensión en un paquete, en RFC 2460 se recomienda el orden de los encabezados de extensión:

  1. Encabezado Opciones salto a salto

  2. Encabezado Opciones de destino

  3. Encabezado de enrutamiento

  4. Encabezado de extensión de fragmento

  5. Encabezado de autenticación

  6. Encabezado de carga de seguridad de encapsulación

  7. Encabezado Opciones de destino

Cada encabezado de extensión debe aparecer como máximo una vez, excepto el encabezado de opciones de destino, que debe aparecer como máximo dos veces (una antes de un encabezado de enrutamiento y una vez antes del encabezado de protocolo de capa superior).

El número máximo de encabezado de extensión basado en RFC 2460 es 7. Otros encabezados de extensión han sido definidos por RFC posteriores. Recomendamos que el número máximo de encabezado de extensión esté en el intervalo de 0 a 32.

Encabezados de extensión de opción incorrecta

Puede configurar pantallas para detectar y descartar cualquier paquete con una opción IP con formato incorrecto en el encabezado del paquete IP (IPv4 o IPv6). El dispositivo registra el evento en la lista de contadores de pantalla para la interfaz de entrada. En la Tabla 6 se enumeran los criterios clave que utiliza el dispositivo para detectar paquetes en busca de opciones incorrectas.

Tabla 6: Criterios de selección del encabezado de extensión de opción incorrecta

Criterios de selección

Estándares de Internet

Descripción

El encabezado de extensión de enrutamiento está después del encabezado del fragmento

RFC 2460

Se define el orden de los encabezados de extensión en un paquete; En consecuencia, el encabezado de extensión de fragmento debe estar después del encabezado de enrutamiento.

Parámetro de alerta de enrutador incorrecto

RFC 2711

Esta opción se encuentra en el encabezado salto a salto y en la implementación de Junos OS:

  • Solo puede haber una opción de este tipo por encabezado salto a salto

  • La longitud del encabezado debe ser 2.

  • Solo puede haber una opción de alerta de enrutador en un encabezado de extensión.

Más de una opción de almohadilla consecutiva

borrador-krishnan-IPv6-hopbyhop-00

Este tipo de tráfico se filtra como paquetes de error.

Carga útil distinta de cero en la opción PadN

RFC 4942

El sistema comprueba que el PadN solo tenga cero octetos en su carga útil.

Relleno más allá del límite de los siguientes ocho octetos

RFC 4942

El sistema comprueba si hay relleno más allá del límite de los siguientes ocho octetos. No hay ninguna razón legítima para rellenar más allá del límite de los siguientes ocho octetos.

Carga Jumbo con carga de encabezado IPv6 distinta de cero

RFC 2675

El campo de longitud de carga en el encabezado IPv6 debe establecerse en cero en cada paquete que lleve la opción de carga jumbo.

Comprobación y filtrado de ICMPv6

Puede habilitar la comprobación y el filtrado de ICMPv6. A continuación, el sistema comprueba si el paquete ICMPv6 recibido coincide con los criterios definidos y realiza la acción especificada en los paquetes coincidentes. Algunos de los criterios clave definidos son los siguientes:

  • Mensaje de información de tipo desconocido: se definen muchos tipos de mensajes de información ICMPv6, como la solicitud de eco (valor 128), la respuesta de eco (valor 129) y la solicitud de enrutador (valor 133). La definición máxima de tipo es 149. Cualquier valor superior a 149 se trata como un tipo desconocido y se examina en consecuencia.

  • No cumple las reglas de formato de paquete ND ICMPv6 (RFC 4861): existen reglas estándar, como el campo límite de salto IP tiene un valor de 255, la suma de comprobación ICMP debe ser válida, el código ICMP debe ser 0, etc.

  • Filtrado de paquetes ICMPv6 con formato incorrecto: por ejemplo, el paquete ICMPv6 es demasiado grande (tipo de mensaje 2), el siguiente encabezado se establece en enrutamiento (43) y el encabezado de enrutamiento se establece en salto de salto.

Comprobación y filtrado de encabezados de paquetes IPv6

Puede habilitar la comprobación y el filtrado de encabezados de paquetes IPv6 mediante la ipv6-malformed-header instrucción. Una vez habilitado, el sistema verifica cualquier paquete IPv6 entrante para comprobar si coincide con alguno de los criterios definidos. A continuación, el sistema realiza la acción especificada (soltar o alarmar sin soltar) en los paquetes coincidentes. En la Tabla 7 se enumeran los criterios clave que utiliza el dispositivo para examinar los paquetes.

Tabla 7: Criterios de selección de encabezados de paquetes IPv6

Criterios de selección

Estándares de Internet

Descripción

Direcciones de origen y destino locales del sitio obsoletas

RFC 3879

No se admite el prefijo de unidifusión local de sitio IPv6 (1111111011 binario o FEC0::/10).

Valores de ámbito de dirección de multidifusión no válida

RFC 4291

Los valores de ámbito de dirección de multidifusión no asignados se tratan como ilegales.

Prefijo de sólo documentación (2001:DB8::/32)

RFC 3849

La IANA debe registrar la asignación del prefijo de dirección de unidifusión global IPv6 (2001:DB8::/32) como un prefijo de sólo documentación en el registro de direcciones IPv6. A ninguna parte final se le asignará esta dirección.

Direcciones de origen y destino IPv6 compatibles con IPv4 obsoletas (::/96)

RFC 4291

La dirección IPv6 compatible con IPv4 ha quedado obsoleta y no es compatible.

Direcciones de origen y destino de ORCHID (2001:10::/28)

RFC 5156

Las direcciones de los identificadores hash criptográficos enrutables superpuestos (2001:10::/28) se utilizan como identificadores y no se pueden utilizar para el enrutamiento en la capa IP. Las direcciones dentro de este bloque no deben aparecer en la Internet pública.

Una dirección IPv4 incrustada dentro de la dirección IPv6 (64:ff9b::/96) es una dirección IPv4 ilegal e inaceptable

RFC 6052

La dirección IPv6, 64:ff9b::/96, está reservada como "Prefijo conocido" para su uso en la asignación algorítmica.

Descripción del control de túnel IPv6 de pantalla

Se proporcionan varias metodologías de transición de IPv6 para utilizar la tunelización de paquetes IPv6 a través de redes IPv4 que no admiten IPv6. Por esta razón, estos métodos utilizan puertas de enlace públicas y eluden las políticas del operador.

La seguridad de los paquetes tunelizados es una preocupación importante para los proveedores de servicios, ya que los atacantes pueden acceder fácilmente a los paquetes tunelizados. Numerosas metodologías de transición IPv6 han evolucionado para enviar paquetes tunelizados a través de una red; Sin embargo, debido a que algunos de ellos operan en puertas de enlace públicas, evitan las políticas del operador. Esto significa que la transmisión de paquetes está expuesta a los atacantes. Para superar y asegurar la transferencia de paquetes, los nodos finales IPv6 deben desencapsular los paquetes de datos encapsulados. Screen es una de las últimas tecnologías disponibles para bloquear o permitir la tunelización del tráfico según las preferencias del usuario.

Puede configurar las siguientes opciones de pantalla para comprobar y filtrar paquetes según los encabezados de extensión IPv6, los encabezados de paquete y la validación de direcciones IPv6 o IPv4 de encabezado interno incorrecto. En función de su configuración, la pantalla puede colocar paquetes, crear registros y proporcionar estadísticas mejoradas para la tunelización de IP.

  • Túnel GRE 4in4: La pantalla del túnel GRE 4in4 coincide con la siguiente firma: | IPv4 outer header | GRE header | IPv4 inner header

    Un encabezado IPv4 externo debe ser Protocol 47 GRE Encapsulation. Un encabezado GRE debe tener protocolo de tipo E 0x0800 IPv4. Si se cumplen estas condiciones, este paquete se clasifica como firma de túnel GRE 4 en 4.

  • Túnel GRE 4in6: La pantalla del túnel GRE 4in6 coincide con la siguiente firma: IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv4 inner header

    Un encabezado principal IPv6 externo o un encabezado de extensión IPv6 debe tener un encabezado siguiente del valor 47 para GRE. Un encabezado GRE debe tener protocolo de tipo E 0x0800 IPv4. Si se cumplen estas condiciones, este paquete se clasifica como firma de túnel GRE 4 en 6.

  • Túnel GRE 6in4: La pantalla del túnel GRE 6in4 coincide con la siguiente firma: IPv4 outer header | GRE header | IPv6 inner header

    Un encabezado IPv4 externo debe ser Protocol 47 GRE Encapsulation. Un encabezado GRE debe tener protocolo de tipo E 0x086DD IPv6 . Si se cumplen estas condiciones, este paquete se clasifica como firma de túnel GRE 6in4.

  • Túnel GRE 6in6: La pantalla del túnel GRE 6in6 coincide con la siguiente firma:IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv6 inner header

    Un encabezado principal IPv6 externo o un encabezado de extensión IPv6 debe tener un encabezado siguiente del valor 47 para GRE. Un encabezado GRE debe tener IPv6 de tipo E 0x086DD' de protocolo. Si se cumplen estas condiciones, este paquete se clasifica como firma de túnel GRE 6in6.

  • Túnel IPinIP 6to4relay: La pantalla del túnel IPinIP 6to4relay coincide con la siguiente firma: | IPv4 outer header | IPv6 inner header

    Un encabezado IPv4 externo debe ser Protocol 41 IPv6 Encapsulation. Una dirección de origen o dirección de destino de encabezado externo debe estar en la red 192.88.99.0/24. Una dirección de origen de encabezado IPv6 interno o una dirección de destino debe estar en la red 2002:/16. Si se cumplen estas condiciones, este paquete se clasifica como firma de túnel IPinIP 6to4relay.

  • Túnel IPinIP 6in4: La pantalla del túnel IPinIP 6in4 coincide con la siguiente firma: | IPv4 outer header | IPv6 inner header

    Un encabezado IPv4 externo debe ser Protocol 41 IPv6 Encapsulation. Si se cumple esta condición, este paquete se clasifica como firma de túnel IPinIP 6in4.

    Nota:

    Normalmente, cuando los paquetes IPv6 necesitan ser transportados en una red IPv4 completa, los paquetes IPv6 utilizan un túnel 6en4 punto a punto.

  • Túnel IPinIP 6over4 : La pantalla del túnel IPinIP 6over4 coincide con la siguiente firma: | IPv4 outer header | IPv6 inner header

    Un encabezado IPv4 externo debe ser Protocolo 41 Encapsulación IPv6:W. Una dirección de origen de encabezado interno o una dirección de destino debe estar en la red fe80::/64 . Si se cumplen estas condiciones, este paquete se clasifica como firma de túnel IPinIP 6over4.

  • Túnel IPinIP 4en6: La pantalla del túnel IPinIP 4in6 coincide con la siguiente firma: | IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    Un encabezado IPv6 externo o un encabezado de extensión IPv6 debe tener un encabezado siguiente del valor 04 para IPv4. Si se cumplen estas condiciones, este paquete se clasifica como firma de túnel IPinIP 4in6.

  • Túnel IPinIP ISATAP: la pantalla del túnel IPinIP ISATAP coincide con la siguiente firma:| IPv6 outer main header | IPv6 inner header

    Un encabezado IPv4 externo debe ser Protocol 41 IPv6 Encapsulation. Una dirección de origen o dirección de destino de encabezado IPv6 interno debe estar en la red fe80::200:5efe/96 o fe80::5efe/96 . Si se cumplen estas condiciones, este paquete se clasifica como firma de túnel ISATAP IPinIP.

  • Túnel IPinIP DS-Lite: La pantalla del túnel DS-Lite de IPinIP coincide con la siguiente firma:| IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    Un encabezado IPv6 externo o un encabezado de extensión IPv6 debe tener un encabezado siguiente del valor 04 para IPv4. Una dirección de origen IPv4 interna o una dirección de destino debe estar en la red 192.0.0.0/29. Si se cumplen estas condiciones, este paquete se clasifica como firma de túnel IPinIP DS-Lite.

  • Túnel IPinIP 6in6: la pantalla del túnel IPinIP 6in6 coincide con la siguiente firma:| IPv6 outer main header | IPv6 extension header(s) | IPv6 inner main header

    Un encabezado principal de IPv6 externo o un encabezado de extensión de IPv6 debe tener un encabezado siguiente del valor 41 para IPv6. Un encabezado principal IPv6 interno debe ser la versión 6. Si se cumplen estas dos condiciones, este paquete se clasifica como firma de túnel IPinIP 6in6.

  • Túnel IPinIP 4in4: La pantalla del túnel IPinIP 4in4 coincide con la siguiente firma: | IPv6 outer header | IPv4 inner header . Un encabezado IPv4 externo debe tener un protocolo de valor 04 para IPv4. Un encabezado IPv4 interno debe ser la versión 4.

  • Túnel Teredo IPinUDP: El túnel Teredo IPinUDP coincide con la siguiente firma: IPv4 outer header | UDP header | IPv6 inner header

    Un encabezado IPv4 externo debe tener un protocolo de 17 para la carga UDP. Un puerto de origen o destino de encabezado UDP debe ser 3544. Una dirección de origen de encabezado IPv6 interno o una dirección de destino debe estar en la red 2001:0000:/32.

  • Comprobación del encabezado interno incorrecto del túnel IP: la pantalla del túnel del encabezado interno incorrecto comprueba la coherencia de la información del encabezado interno del tráfico del túnel. El paquete se cae cuando se detecta alguna de las siguientes situaciones:

    • El encabezado interno no coincide con el encabezado externo.

    • El límite de salto o TTL del encabezado interno no debe ser 0 ni 255.

    • Comprobación de direcciones IPv6 del encabezado interno.

    • Comprobación de direcciones IPv4 del encabezado interno.

    • Comprobaciones de longitud de encabezado externo e interior:

    • Comprobación de longitud de encabezado interno IPv4 e IPv6 TCP/UDP/ICMP:

      La longitud del encabezado TCP/UDP/ICMP debe caber dentro de la longitud del encabezado IPv4/IPv6/EH6 interno cuando la IP interna (v4/v6) no es un primer, siguiente o último fragmento.

    • TCP: el tamaño mínimo del encabezado TCP debe ajustarse a la longitud de encapsulación anterior.

    • ICMP: El tamaño mínimo de encabezado ICMP debe ajustarse a la longitud de encapsulación anterior.

    • Paquetes fragmentados: En el caso de los paquetes fragmentados, si es necesario comprobar la información del túnel en busca de una pantalla y no está en el primer fragmento, no se realiza la comprobación, excepto las partes de la encapsulación del túnel que se incluyen en el primer fragmento. Las comprobaciones de longitud se realizan en los paquetes del primer fragmento utilizando la longitud real del búfer del paquete, pero las comprobaciones de longitud se ignoran porque el encabezado interno es mayor que el encabezado externo.

      • Cuando el encabezado externo sea el primer fragmento, no examine la longitud del paquete físico anterior del fragmento.

      • Cuando el encabezado interno es un primer fragmento, no examine la longitud pasada del fragmento.

      En el caso de los paquetes que no son del primer fragmento, la comprobación no se realiza en la pantalla de túnel de encabezado interno incorrecto.

    • Cuando el encabezado externo no es el primer fragmento, examine el paquete en busca de pantallas que sólo utilicen firmas de encabezado IP, ya que no se puede examinar la carga.

    • Cuando el encabezado interno no es el primer fragmento, no examine el siguiente paquete.

    • El encabezado interno IPv4 comprueba que el encabezado IPv4 tenga entre 20 y 50 bytes.

Nota:

En todos los firewalls de la serie SRX, cuando se establece una sesión de permiso o cancelación de paquetes, se realiza una pantalla de encabezado interno incorrecto en cada paquete, ya que esta pantalla es una pantalla de ruta rápida.

En los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX4100 SRX4200 y vSRX Virtual Firewall, la pantalla de encabezado interno incorrecto de ruta rápida siempre se realiza primero, seguida de la primera pantalla de firma de ruta.

A partir de Junos OS versión 12.3X48-D10 y Junos OS versión 17.3R1, se actualizaron los mensajes RT_SCREEN_IP syslog y RT_SCREEN_IP_LS para la pantalla de tunelización IP. Los mensajes actualizados incluyen los ataques a la pantalla del túnel y los criterios de registro sin abandono. La lista siguiente ilustra algunos ejemplos de estos nuevos mensajes de registro del sistema para cada uno de los tipos de túnel:

  • RT_SCREEN_IP: Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP: Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP: Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

Ejemplo: mejora de la seguridad del tráfico de túnel con las opciones de pantalla de túnel IP

En este ejemplo se muestra cómo configurar las pantallas de túnel para permitir que las pantallas controlen, permitan o bloqueen el tránsito del tráfico tunelizado.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un firewall de la serie SRX

  • Junos OS versión 12.3X48-D10 y posteriores

Antes de empezar:

Visión general

Puede configurar las siguientes opciones de pantalla de túnel IP para comprobar y filtrar paquetes, según los encabezados de extensión IPv6, los encabezados de paquete y la validación de direcciones IPv6 o IPv4 de encabezado interno incorrecto. En función de su configuración, la pantalla puede colocar paquetes, crear registros y proporcionar estadísticas mejoradas para la tunelización de IP. Las siguientes opciones de pantalla de tunelización se asignan a una zona que no es de confianza.

  • Túnel GRE 4 en 4

  • Túnel GRE 4 en 6

  • Túnel GRE 6in4

  • Túnel GRE 6in6

  • Túnel Teredo IPinUDP

  • Túnel IPinIP 4 en 4

  • Túnel IPinIP 4 en 6

  • Túnel IPinIP 6in4

  • Túnel IPinIP 6in6

  • Túnel IPinIP 6over4

  • Túnel IPinIP 6to4relay

  • Túnel IPinIP ISATAP

  • Túnel IPinIP DS-Lite

  • Túnel de encabezado interno defectuoso

Configuración

Para configurar las opciones de la pantalla de túnel IP, realice estas tareas:

Configuración de pantallas de túnel GRE

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en el CLI User Guidearchivo .

Para configurar una pantalla de túnel GRE:

  1. Configure una pantalla de túnel GRE para comprobar la coherencia de la información del encabezado interno del tráfico del túnel y validar la pantalla del tipo de firma.

  2. Configure las pantallas en las zonas de seguridad.

Configuración de una pantalla de túnel Teredo IPinUDP

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en el CLI User Guidearchivo .

Para configurar una pantalla de túnel Teredo IPinUDP:

  1. Configure una pantalla de túnel Teredo IPinUDP para comprobar la coherencia de la información del encabezado interno del tráfico del túnel y validar la pantalla del tipo de firma.

  2. Configure las pantallas en las zonas de seguridad.

Configuración de una pantalla de túnel IPinIP

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar una pantalla de túnel IPinIP:

  1. Configure una pantalla de túnel IPinIP para comprobar la coherencia de la información del encabezado interno del tráfico del túnel y validar la pantalla del tipo de firma.

  2. Configure las pantallas en las zonas de seguridad.

Configuración de una pantalla de túnel de encabezado interno defectuoso

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración.

Para configurar una pantalla de túnel de encabezado interno incorrecto:

  1. Configure una pantalla de túnel de encabezado interno incorrecto para comprobar la coherencia de la información del encabezado interno del tráfico del túnel.

  2. Configure las pantallas en las zonas de seguridad.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security screen comandos y show security screen statistics zone untrust ip tunnel . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Para mayor brevedad, este resultado incluye solo la configuración relevante para este show ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificación de la configuración de la pantalla de seguridad

Propósito

Muestra la información de configuración de la pantalla de seguridad.

Acción

Desde el modo operativo, ingrese el show security screen ids-option screen1 comando.

Significado

El show security screen ids-option screen1 comando muestra el estado del objeto de pantalla como habilitado.

Comprobación de pantallas de túnel IP en las zonas de seguridad

Propósito

Compruebe que las opciones de la pantalla de túnel IP estén configuradas correctamente en las zonas de seguridad.

Acción

Desde el modo operativo, ingrese el show security screen statistics zone untrust ip tunnel comando.

Significado

El show security screen statistics zone untrust ip tunnel comando muestra el resumen de estadísticas de la pantalla del túnel IP.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
15,1 X 49-D30
A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos SRX5400, SRX5600 y SRX5800, la arquitectura del punto central se mejora para lograr un mayor número de conexiones por segundo (CPS).
15,1 X 49-D20
A partir de Junos OS versión 15.1X49-D20 y Junos OS versión 17.3R1, el firewall genera solo un mensaje de registro cada segundo, independientemente del número de paquetes que activen el límite de sesión de origen o destino. Este comportamiento se aplica a las pantallas de protección contra inundaciones con TCP-Synflood-src-basedprotección TCP-Synflood-dst-basedcontra inundaciones , y UDP.
12,3 X 48-D10
A partir de Junos OS versión 12.3X48-D10 y Junos OS versión 17.3R1, se actualizaron los mensajes RT_SCREEN_IP syslog y RT_SCREEN_IP_LS para la pantalla de tunelización IP.