Barrido de direcciones IP y escaneo de puertos
Un barrido de direcciones se produce cuando una dirección IP de origen envía un número predefinido de paquetes ICMP a varios hosts dentro de un intervalo de tiempo predefinido. El análisis de puertos se produce cuando una dirección IP de origen envía paquetes IP que contienen segmentos TCP SYN a un número predefinido de puertos diferentes en la misma dirección IP de destino dentro de un intervalo de tiempo predefinido, Para obtener más información, consulte los temas siguientes:
Descripción del reconocimiento de red mediante las opciones de IP
El estándar IP RFC 791, Protocolo de Internet, especifica un conjunto de opciones para proporcionar controles de enrutamiento especiales, herramientas de diagnóstico y seguridad.
RFC 791 establece que estas opciones son "innecesarias para las comunicaciones más comunes" y, en realidad, rara vez aparecen en los encabezados de los paquetes IP. Estas opciones aparecen después de la dirección de destino en un encabezado de paquete IP, como se muestra en la figura 1. Cuando aparecen, con frecuencia se les da un uso ilegítimo.
de enrutamiento
Este tema contiene las siguientes secciones:
- Usos de las opciones de encabezado de paquete IP
- Opciones de pantalla para detectar opciones IP utilizadas para el reconocimiento
Usos de las opciones de encabezado de paquete IP
En la Tabla 1 se enumeran las opciones de IP y los atributos que las acompañan.
Tipo |
Clase |
Número |
Longitud |
Uso previsto |
Uso nefasto |
|---|---|---|---|---|---|
Fin de las opciones |
0* |
0 |
0 |
Indica el final de una o más opciones de IP. |
Ninguno. |
No hay opciones |
0 |
1 |
0 |
Indica que no hay opciones de IP en el encabezado. |
Ninguno. |
Seguridad |
0 |
2 |
11 bits |
Proporciona una forma para que los hosts envíen seguridad, parámetros TCC (grupo cerrado de usuarios) y códigos de restricción de manejo compatibles con los requisitos del Departamento de Defensa (DoD). (Esta opción, tal como se especifica en RFC 791, Protocolo de Internet , y RFC 1038, Opción de seguridad IP revisada, está obsoleta). Actualmente, esta opción de pantalla solo es aplicable a IPv4. |
Desconocido. Sin embargo, debido a que está obsoleto, su presencia en un encabezado IP es sospechosa. |
Ruta de origen suelto |
0 |
3 |
Varía |
Especifica una lista de rutas parciales para que un paquete realice su viaje desde el origen hasta el destino. El paquete debe proceder en el orden de direcciones especificado, pero se le permite pasar a través de otros dispositivos entre los especificados. |
Evasión. El atacante puede utilizar las rutas especificadas para ocultar el verdadero origen de un paquete o para obtener acceso a una red protegida. |
Ruta de registro |
0 |
7 |
Varía |
Registra las direcciones IP de los dispositivos de red a lo largo de la ruta por la que viaja el paquete IP. La máquina de destino puede extraer y procesar la información de la ruta. (Debido a la limitación de tamaño de 40 bytes tanto para la opción como para el espacio de almacenamiento, esto solo puede registrar hasta 9 direcciones IP). Actualmente, esta opción de pantalla solo es aplicable a IPv4. |
Reconocimiento. Si el host de destino es una máquina comprometida bajo el control del atacante, él o ella puede obtener información sobre la topología y el esquema de direccionamiento de la red a través de la cual pasó el paquete. |
ID de secuencia |
0 |
8 |
4 bits |
(Obsoleta) Se proporcionó una forma para que el identificador de secuencia SATNET de 16 bits se transmitiera a través de redes que no admitían el concepto de secuencia. Actualmente, esta opción de pantalla solo es aplicable a IPv4. |
Desconocido. Sin embargo, debido a que está obsoleto, su presencia en un encabezado IP es sospechosa. |
Ruta de origen estricta |
0 |
9 |
Varía |
Especifica la lista de rutas completa para que un paquete realice su viaje desde el origen hasta el destino. La última dirección de la lista sustituye a la dirección del campo de destino. Actualmente, esta opción de pantalla solo es aplicable a IPv4. |
Evasión. Un atacante puede utilizar las rutas especificadas para ocultar el verdadero origen de un paquete o para obtener acceso a una red protegida. |
Timestamp |
2** |
4 |
|
Registra la hora (en hora universal coordinada [UTC]***) en que cada dispositivo de red recibe el paquete durante su viaje desde el punto de origen hasta su destino. Los dispositivos de red se identifican por dirección IP. Esta opción desarrolla una lista de direcciones IP de los dispositivos a lo largo de la ruta del paquete y la duración de la transmisión entre cada uno. Actualmente, esta opción de pantalla solo es aplicable a IPv4. |
Reconocimiento. Si el host de destino es una máquina comprometida bajo el control del atacante, él o ella puede obtener información sobre la topología y el esquema de direccionamiento de la red a través de la cual ha pasado el paquete. |
* La clase de opciones identificada como 0 se diseñó para proporcionar control adicional de paquetes o redes. ** La clase de opciones identificada como 2 se diseñó para diagnóstico, depuración y medición. La marca de tiempo utiliza el número de milisegundos desde la medianoche UTC. UTC también se conoce como hora media de Greenwich (GMT), que es la base del estándar de hora internacional. |
|||||
Opciones de pantalla para detectar opciones IP utilizadas para el reconocimiento
Las siguientes opciones de pantalla detectan opciones IP que un atacante puede usar para reconocimiento o para algún propósito desconocido pero sospechoso:
Ruta de registro: Junos OS detecta paquetes en los que la opción IP es 7 (ruta de registro) y registra el evento en la lista de contadores de pantalla de la interfaz de entrada. Actualmente, esta opción de pantalla solo es aplicable a IPv4.
Marca de hora: Junos OS detecta paquetes en los que la lista de opciones IP incluye la opción 4 (marca de tiempo de Internet) y registra el evento en la lista de contadores de pantalla de la interfaz de entrada. Actualmente, esta opción de pantalla solo es aplicable a IPv4.
Seguridad: Junos OS detecta paquetes en los que la opción IP es 2 (seguridad) y registra el evento en la lista de contadores de pantalla de la interfaz de entrada. Actualmente, esta opción de pantalla solo es aplicable a IPv4.
ID de flujo: Junos OS detecta paquetes en los que la opción IP es 8 (ID de flujo) y registra el evento en la lista de contadores de pantalla de la interfaz de entrada. Actualmente, esta opción de pantalla solo es aplicable a IPv4.
Si se recibe un paquete con alguna de las opciones de IP anteriores, Junos OS lo marca como un ataque de reconocimiento de red y registra el evento para la interfaz de entrada.
Ejemplo: detección de paquetes que utilizan opciones de pantalla IP para el reconocimiento
En este ejemplo se muestra cómo detectar paquetes que utilizan opciones de pantalla IP para el reconocimiento.
Requisitos
Antes de comenzar, comprenda cómo funciona el reconocimiento de red. Consulte Descripción del reconocimiento de red mediante las opciones de IP.
Visión general
RFC 791, Protocolo de Internet, especifica un conjunto de opciones para proporcionar controles de enrutamiento especiales, herramientas de diagnóstico y seguridad. Las opciones de pantalla detectan opciones de IP que un atacante puede usar para el reconocimiento, incluida la ruta de registro, la marca de tiempo, la seguridad y el ID de secuencia.
En este ejemplo, se configura una pantalla IP screen-1 y se habilita en una zona de seguridad denominada zone-1.
Solo puede habilitar una pantalla en una zona de seguridad.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para detectar rápidamente paquetes con las opciones de pantalla IP de ruta de registro, marca de tiempo, seguridad e ID de secuencia, copie los siguientes comandos y péguelos en la CLI.
[edit] set security screen ids-option screen-1 ip record-route-option set security screen ids-option screen-1 ip timestamp-option set security screen ids-option screen-1 ip security-option set security screen ids-option screen-1 ip stream-option set security zones security-zone zone-1 screen screen-1
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para detectar paquetes que utilizan opciones de pantalla IP para el reconocimiento:
Configure las opciones de la pantalla IP.
Nota:Actualmente, estas opciones de pantalla solo admiten IPv4.
[edit security screen] user@host# set ids-option screen-1 ip record-route-option user@host# set ids-option screen-1 ip timestamp-option user@host# set ids-option screen-1 ip security-option user@host# set ids-option screen-1 ip stream-option
Habilite la pantalla en la zona de seguridad.
[edit security zones ] user@host# set security-zone zone-1 screen screen-1
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security screen comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
[user@host]show security screen
ids-option screen-1 {
ip {
record-route-option;
timestamp-option;
security-option;
stream-option;
}
}
[edit]
[user@host]show security zones
zones {
security-zone zone-1 {
screen screen-1;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de las pantallas de la zona de seguridad
- Verificación de la configuración de la pantalla de seguridad
Comprobación de las pantallas de la zona de seguridad
Propósito
Compruebe que la pantalla esté habilitada en la zona de seguridad.
Acción
Desde el modo operativo, ingrese el show security zones comando.
[edit]
user@host> show security zones
Security zone: zone-1
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: screen-1
Interfaces bound: 1
Interfaces:
ge-1/0/0.0
Verificación de la configuración de la pantalla de seguridad
Propósito
Muestra la información de configuración de la pantalla de seguridad.
Acción
Desde el modo operativo, ingrese el show security screen ids-option screen-name comando.
[edit]
user@host> show security screen ids-option screen-1
Screen object status:
Name Value
IP record route option enabled
IP timestamp option enabled
IP security option enabled
IP stream option enabled
Descripción de los barridos de direcciones IP
Un barrido de direcciones se produce cuando una dirección IP de origen envía un número definido de paquetes ICMP enviados a diferentes hosts dentro de un intervalo definido (5000 microsegundos es el valor predeterminado). El propósito de este ataque es enviar paquetes ICMP (generalmente solicitudes de eco) a varios hosts con la esperanza de que al menos uno responda, descubriendo así una dirección para el objetivo.
Junos OS registra internamente el número de paquetes ICMP en diferentes direcciones desde un origen remoto. Con la configuración predeterminada, si un host remoto envía tráfico ICMP a 10 direcciones en 0,005 segundos (5000 microsegundos), el dispositivo lo marca como un ataque de barrido de direcciones y rechaza todos los demás paquetes ICMP de ese host durante el resto del período de tiempo de umbral especificado. Consulte la figura 2.
de direcciones
Considere la posibilidad de habilitar esta opción de pantalla para una zona de seguridad solo si existe una política que permita el tráfico ICMP desde esa zona. De lo contrario, no es necesario habilitar la opción de pantalla. La falta de dicha política niega todo el tráfico ICMP de esa zona, lo que impide que un atacante realice con éxito un barrido de direcciones IP de todos modos.
Junos OS también admite esta opción de pantalla para ICMPv6 trafffic.
Ejemplo: bloqueo de barridos de direcciones IP
En este ejemplo se describe cómo configurar una pantalla para bloquear un barrido de dirección IP originado en una zona de seguridad.
Requisitos
Antes de empezar:
Comprender cómo funcionan los barridos de direcciones IP. Consulte Descripción de los barridos de direcciones IP.
Configure zonas de seguridad. Consulte Descripción general de las zonas de seguridad.
Visión general
Debe habilitar una pantalla para una zona de seguridad si ha configurado una política que permite el tráfico ICMP desde esa zona. Si no ha configurado dicha política, entonces su sistema deniega todo el tráfico ICMP de esa zona y el atacante no puede realizar un barrido de dirección IP correctamente de todos modos.
En este ejemplo, se configura una 5000-ip-sweep pantalla para bloquear los barridos de direcciones IP que se originan en la zona de seguridad de zona 1.
Topología
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar una pantalla para bloquear los barridos de direcciones IP:
Configure una pantalla.
[edit] user@host# set security screen ids-option 5000-ip-sweep icmp ip-sweep threshold 5000
Habilite la pantalla en la zona de seguridad.
[edit] user@host# set security zones security-zone zone-1 screen 5000-ip-sweep
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de las pantallas de la zona de seguridad
- Verificación de la configuración de la pantalla de seguridad
Comprobación de las pantallas de la zona de seguridad
Propósito
Compruebe que la pantalla esté habilitada en la zona de seguridad.
Acción
Desde el modo operativo, ingrese el show security zones comando.
[edit]
user@host> show security zones
Security zone: zone-1
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: 5000-ip-sweep
Interfaces bound: 1
Interfaces:
ge-1/0/0.0
Verificación de la configuración de la pantalla de seguridad
Propósito
Muestra la información de configuración de la pantalla de seguridad.
Acción
Desde el modo operativo, ingrese el show security screen ids-option screen-name comando.
[edit] user@host> show security screen ids-option 5000-ip-sweep Screen object status: Name Value ICMP address sweep threshold 5000
Descripción del escaneo de puertos TCP
Un análisis de puertos se produce cuando una dirección IP de origen envía paquetes IP que contienen segmentos TCP SYN a 10 puertos de destino diferentes dentro de un intervalo definido (5000 microsegundos es el valor predeterminado). El propósito de este ataque es escanear los servicios disponibles con la esperanza de que al menos un puerto responda, identificando así un servicio al que apuntar.
Junos OS registra internamente el número de puertos diferentes analizados desde un origen remoto. Con la configuración predeterminada, si un host remoto escanea 10 puertos en 0,005 segundos (5000 microsegundos), el dispositivo marca esto como un ataque de escaneo de puerto y rechaza todos los paquetes adicionales de la fuente remota, independientemente de la dirección IP de destino, durante el resto del período de tiempo de espera especificado. Consulte la figura 3.
puertos
Junos OS admite el escaneo de puertos para tráfico IPv4 e IPv6.
Descripción del escaneo de puertos UDP
La exploración de puertos UDP proporciona información estadística sobre un umbral de sesión. A medida que los paquetes entrantes atraviesan la pantalla, se establecen las sesiones. El número de sesiones que se aplica al umbral se basa en la zona, la IP de origen y el período de umbral, y no permite más de 10 sesiones nuevas en el período de umbral configurado, para cada zona y dirección IP de origen. El análisis de puertos UDP está desactivado de forma predeterminada. Cuando el análisis de puertos UDP está habilitado, el período de umbral predeterminado es de 5000 microsegundos. Este valor se puede establecer manualmente en un rango de 1000-1,000,000 microsegundos. Esta característica protege algunos servicios UDP públicos expuestos contra ataques DDoS. Consulte la figura 4.
de puerto UDP
Mejora de la gestión del tráfico mediante el bloqueo de análisis de puertos
En este ejemplo se muestra cómo mejorar la administración del tráfico mediante la configuración de una pantalla para bloquear los análisis de puertos que se originan en una zona de seguridad determinada.
Requisitos
Antes de comenzar, comprenda cómo funciona el análisis de puertos. Consulte Descripción del escaneo de puertos TCP.
Visión general
Puede utilizar un análisis de puertos para bloquear paquetes IP que contengan segmentos TCP SYN o segmentos UDP enviados a diferentes puertos desde la misma dirección de origen dentro de un intervalo definido. El propósito de este ataque es analizar los servicios disponibles con la esperanza de que al menos un puerto responda. Una vez que un puerto responde, se identifica como un servicio al que apuntar.
En este ejemplo, configure una pantalla de exploración de 5000 puertos para bloquear las exploraciones de puertos que se originan en una zona de seguridad determinada y, a continuación, asigne la pantalla a la zona denominada zona 1.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security screen ids-option 5000-port-scan tcp port-scan threshold 5000 set security screen ids-option 10000-port-scan udp port-scan threshold 10000 set security zones security-zone zone-1 screen 5000-port-scan
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar una pantalla para bloquear escaneos de puertos:
Configure la pantalla.
[edit security] user@host# set security screen ids-option 5000-port-scan tcp port-scan threshold 5000 user@host#set security screen ids-option 10000-port-scan udp port-scan threshold 10000
Habilite la pantalla en la zona de seguridad.
[edit security] user@host# set security zones security-zone zone-1 screen 5000-port-scan
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security screen ids-option 5000-port-scan comandos y show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security screen ids-option 5000-port-scan
tcp {
port-scan threshold 5000;
}
udp {
port-scan threshold 10000;
}
[edit]
user@host# show security zones
security-zone zone-1 {
screen 5000-port-scan;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de las pantallas de la zona de seguridad
- Verificación de la configuración de la pantalla de seguridad
Comprobación de las pantallas de la zona de seguridad
Propósito
Compruebe que la pantalla esté habilitada en la zona de seguridad.
Acción
Desde el modo operativo, ingrese el show security zones comando.
[edit] user@host> show security zones Security zone: zone-1 Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: 5000-port-scan Interfaces bound: 0 Interfaces:
Significado
La salida de ejemplo muestra que la pantalla de la zona 1 está habilitada para el bloqueo del escaneo de puertos.
Verificación de la configuración de la pantalla de seguridad
Propósito
Compruebe la información de configuración de la pantalla de seguridad.
Acción
Desde el modo operativo, ingrese el show security screen ids-option screen-name comando.
[edit] user@host> show security screen ids-option 5000-port-scan Screen object status: Name Value TCP port scan threshold 5000 UDP port scan threshold 10000
Significado
La salida de ejemplo muestra que el bloqueo de exploración de puertos está operativo con el umbral TCP y UDP.