Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Protección de paquetes IP

Algunos atacantes pueden abusar de los campos de opción IP, cuya intención original era (y sigue siendo) proporcionar controles de enrutamiento especiales, herramientas de diagnóstico y seguridad. Al configurar mal estas opciones, los atacantes producen campos incompletos o mal formados dentro de un paquete. Los atacantes pueden usar estos paquetes mal formados para poner en peligro los hosts de la red, Para obtener más información, consulte los temas siguientes:

Descripción de la protección de fragmentos de paquetes IP

A medida que los paquetes atraviesan diferentes redes, a veces es necesario dividir un paquete en pedazos más pequeños (fragmentos) según la unidad máxima de transmisión (MTU) de cada red. Los fragmentos IP pueden contener el intento de un atacante de aprovechar las vulnerabilidades en el código de reensamblaje de paquetes de implementaciones de pila IP específicas. Cuando la víctima recibe estos paquetes, los resultados pueden variar desde procesar los paquetes incorrectamente hasta bloquear todo el sistema. Consulte la figura 1.

Figura 1: Fragmentos de IP Packet Fragments paquetes IP

Cuando se habilita Junos OS para denegar fragmentos IP en una zona de seguridad, bloquea todos los fragmentos de paquetes IP que recibe en las interfaces enlazadas a esa zona.

Nota:

Junos OS admite la protección de fragmentos de IP para paquetes IPv4 e IPv6.

En los paquetes IPv6, la información del fragmento no está presente en el encabezado IPv6. La información del fragmento está presente en el encabezado de extensión del fragmento, que es responsable de la fragmentación y el reensamblaje de IPv6. El nodo de origen inserta el encabezado de extensión de fragmento entre el encabezado IPv6 y el encabezado de carga si se requiere fragmentación. Consulte la figura 2.

Figura 2: Paquete IPv6 Packet IPv6

El formato general del encabezado de extensión de fragmento se muestra en la figura 3.

Figura 3: Encabezado Fragment Extension Header de extensión de fragmento

Ejemplo: Eliminación de paquetes IP fragmentados

En este ejemplo se muestra cómo colocar paquetes IP fragmentados.

Requisitos

Antes de comenzar, comprenda la protección de fragmentos de paquetes IP. Consulte Descripción general de atributos de paquetes sospechosos.

Visión general

Cuando esta función está habilitada, Junos OS deniega los fragmentos de IP en una zona de seguridad y bloquea todos los fragmentos de paquetes IP que se reciben en las interfaces enlazadas a esa zona.

En este ejemplo, se configura la pantalla de fragmentos de bloque para colocar paquetes IP fragmentados originados en la zona de seguridad zone1.

Topología

Configuración

Procedimiento

Procedimiento paso a paso

Para colocar paquetes IP fragmentados:

  1. Configure la pantalla.

  2. Configure la zona de seguridad.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security screen statistics zone zone-name comando.

Descripción de la protección de opciones IP incorrectas

El estándar IP RFC 791, Protocolo de Internet, especifica un conjunto de ocho opciones que proporcionan controles de enrutamiento especiales, herramientas de diagnóstico y seguridad. Aunque los usos originales previstos para estas opciones sirvieron para fines dignos, las personas han descubierto formas de torcer estas opciones para lograr objetivos menos encomiables.

Ya sea intencional o accidentalmente, los atacantes a veces configuran las opciones de IP incorrectamente, produciendo campos incompletos o mal formados. Independientemente de las intenciones de la persona que creó el paquete, el formato incorrecto es anómalo y potencialmente perjudicial para el destinatario previsto. Consulte la figura 4.

Figura 4: Opciones Incorrectly Formatted IP Options de IP con formato incorrecto

Cuando se habilita la opción de pantalla de protección de IP incorrecta, Junos OS bloquea los paquetes cuando cualquier opción IP del encabezado del paquete IP tiene un formato incorrecto. Además, Junos OS registra el evento en el registro de eventos.

Nota:

Junos OS admite protección de opciones IP incorrectas para paquetes IPv4 e IPv6.

Ejemplo: bloqueo de paquetes IP con opciones con formato incorrecto

En este ejemplo se muestra cómo bloquear paquetes ICMP grandes con opciones con formato incorrecto.

Requisitos

Antes de comenzar, comprenda la protección de opciones IP incorrectas. Consulte Descripción general de atributos de paquetes sospechosos.

Visión general

Cuando se habilita la opción de pantalla de protección de IP incorrecta, Junos OS bloquea los paquetes cuando cualquier opción IP del encabezado del paquete IP tiene un formato incorrecto. Además, Junos OS registra el evento en el registro de eventos.

En este ejemplo, se configura la pantalla de opción IP incorrecta para bloquear paquetes ICMP grandes que se originan en la zona de seguridad zone1.

Topología

Configuración

Procedimiento

Procedimiento paso a paso

Para detectar y bloquear paquetes IP con opciones de IP con formato incorrecto:

  1. Configure la pantalla.

    Nota:

    Actualmente, esta opción de pantalla solo es aplicable a IPv4.

  2. Configure una zona de seguridad.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security screen statistics zone zone-name comando.

Descripción de la protección de protocolos desconocidos

Según el documento de números de protocolo más reciente de la IANA, los tipos de protocolo con números de identificación de 143 o más están reservados y no están definidos en este momento. Precisamente porque estos protocolos no están definidos, no hay forma de saber de antemano si un protocolo desconocido en particular es benigno o malicioso.

A menos que su red utilice un protocolo no estándar con un número de identificación de 143 o superior, una postura cautelosa es bloquear dichos elementos desconocidos para que no entren en su red protegida. Consulte la figura 5.

Figura 5: Protocolos Unknown Protocols desconocidos

Cuando se habilita la opción de pantalla de protección de protocolo desconocido, Junos OS descarta paquetes cuando el campo de protocolo contiene un número de ID de protocolo 143 o superior de forma predeterminada.

Nota:

Cuando se habilita la opción de pantalla de protección de protocolo desconocido para el protocolo IPv6, Junos OS descarta paquetes cuando el campo de protocolo contiene un número de ID de protocolo 143 o superior de forma predeterminada.

Ejemplo: Descartar paquetes mediante un protocolo desconocido

En este ejemplo se muestra cómo descartar paquetes mediante un protocolo desconocido.

Requisitos

Antes de comenzar, comprenda la protección de protocolos desconocidos. Consulte Descripción general de atributos de paquetes sospechosos.

Visión general

Cuando se habilita la opción de pantalla de protección de protocolo desconocido, Junos OS descarta paquetes cuando el campo de protocolo contiene un número de ID de protocolo 137 o superior de forma predeterminada.

En este ejemplo, se configura la pantalla de protocolo desconocido para bloquear paquetes con un protocolo desconocido que se origina en la zona de seguridad zone1.

Topología

Configuración

Procedimiento

Procedimiento paso a paso

Para descartar paquetes que utilizan un protocolo desconocido:

  1. Configure la pantalla del protocolo desconocido.

  2. Configure una zona de seguridad.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security screen statistics zone zone-name comando.

Descripción de las listas de permitidos para la pantalla de fragmentos de bloque IP

Junos OS ofrece la opción administrativa para configurar una lista de direcciones IP de confianza en la pantalla de fragmentos de bloque IP. Cuando se habilita la fragmentación de bloques IP en una zona, Junos OS deniega los fragmentos de IP y bloquea todos los fragmentos de paquetes IP. Todos los paquetes IP fragmentados se eliminarán. Para evitar que estos paquetes se caigan y, en su lugar, permitir que estos paquetes omitan la comprobación de fragmentación del bloque IP, debe configurar la lista de permitidos de fragmentos de bloques IP.

Cuando configura la lista de permitidos en la pantalla de fragmentos de bloque IP, el tráfico de las direcciones de origen en los grupos de la lista de permitidos omite la comprobación de fragmentación del bloque IP. La lista de permitidos de fragmentos de bloques de IP admite direcciones IPv4 e IPv6 y, en cada lista de permitidos, puede haber hasta 32 prefijos de direcciones IP. Puede configurar una sola dirección o una dirección de subred.

Beneficios de la lista de permitidos de fragmentos de bloque IP

  • La lista de permitidos de fragmentos de bloques IP omite la comprobación de fragmentación de bloques IP para permitir paquetes IP fragmentados de orígenes específicos.