EN ESTA PÁGINA
Descripción de los ataques de inundación de tablas de sesión
Descripción de los límites de las sesiones basadas en el origen
Descripción de los límites de las sesiones basadas en el destino
Descripción de los ataques de inundación de proxy SYN-ACK-ACK
Protección de su red contra un ataque de inundación de proxy SYN-ACK-ACK
Ataques DoS de firewall
La protección contra ataques DoS aprovecha la inspección de estado para buscar y, a continuación, permitir o denegar todos los intentos de conexión que requieren cruzar una interfaz en su camino hacia y desde el destino previsto, Para obtener más información, consulte los temas siguientes:
Descripción de los ataques de inundación de tablas de sesión
Un ataque DoS exitoso abruma a su víctima con un aluvión tan masivo de tráfico simulado falso que se vuelve incapaz de procesar solicitudes de conexión legítimas. Los ataques DoS pueden tomar muchas formas: inundación SYN, inundación SYN-ACK-ACK, inundación UDP, inundación ICMP, etc., pero todas buscan el mismo objetivo, que es llenar la mesa de sesión de su víctima.
Cuando la tabla de sesión está llena, ese host no puede crear ninguna sesión nueva y comienza a rechazar nuevas solicitudes de conexión. La opción de pantalla de límites de sesión basada en origen y la opción de pantalla de límite de sesión basada en destino ayudan a mitigar estos ataques.
Descripción de los límites de las sesiones basadas en el origen
Además de limitar el número de sesiones simultáneas desde la misma dirección IP de origen, también puede limitar el número de sesiones simultáneas a la misma dirección IP de destino. Una ventaja de establecer un límite de sesión basado en el origen es que puede detener un ataque como el virus Nimda (que en realidad es tanto un virus como un gusano) que infecta un servidor y luego comienza a generar cantidades masivas de tráfico desde ese servidor. Dado que todo el tráfico generado por virus se origina en la misma dirección IP, un límite de sesión basado en el origen garantiza que el firewall pueda frenar esas cantidades excesivas de tráfico. Consulte la figura 1.
IP de origen
Otra ventaja de la limitación de sesión basada en origen es que puede mitigar los intentos de llenar la tabla de sesiones del firewall si todos los intentos de conexión se originan en la misma dirección IP de origen.
Determinar qué constituye un número aceptable de solicitudes de conexión requiere un período de observación y análisis para establecer una línea base para los flujos de tráfico típicos. También debe considerar la cantidad máxima de sesiones simultáneas necesarias para llenar la tabla de sesiones de la plataforma de Juniper Networks en particular que está utilizando. Para ver el número máximo de sesiones que admite la tabla de sesiones, use el comando show security flow session summaryde la CLI y, a continuación, observe la última línea de la salida, que enumera el número de sesiones actuales (asignadas), el número máximo de sesiones y el número de asignaciones de sesión fallidas:
userhost# show security flow session summary Unicast-sessions: 0 Multicast-sessions: 0 Failed-sessions: 0 Sessions-in-use: 0 Valid sessions: 0 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Maximum-sessions: 2097152
El valor máximo predeterminado para los límites de sesión basadas en origen es de 128 sesiones simultáneas, un valor que puede ser necesario ajustar para adaptarse a las necesidades del entorno de red y de la plataforma.
Junos OS admite límites de sesión basados en origen para el tráfico IPv4 e IPv6.
Ejemplo: establecer límites de sesión basados en origen
En este ejemplo se muestra cómo limitar la cantidad de sesiones en función de la IP de origen.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En el ejemplo siguiente se muestra cómo limitar el número de sesiones que puede iniciar cualquier servidor de la DMZ y de la zona A. Dado que la DMZ sólo contiene servidores web, ninguno de los cuales debería iniciar el tráfico, se establece el límite de sesión de origen en el valor más bajo posible, que es una sesión. Por otro lado, la zona a contiene computadoras personales, servidores, impresoras, etc., muchos de los cuales inician el tráfico. Para la zona a, establezca el límite de sesiones de origen en un máximo de 80 sesiones simultáneas.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security screen ids-option 1-limit-session limit-session source-ip-based 1 set security zones security-zone dmz screen 1-limit-session set security screen ids-option 80-limit-session limit-session source-ip-based 80 set security zones security-zone zone_a screen 80-limit-session
Procedimiento paso a paso
Especifique el número de sesiones simultáneas según la IP de origen para la zona DMZ.
[edit security] user@host# set screen ids-option 1-limit-session limit-session source-ip-based 1
Establezca la zona de seguridad para la DMZ en el límite de configuración.
[edit security] user@host# set zones security-zone dmz screen 1-limit-session
Especifique el número de sesiones simultáneas según la IP de origen para la zona a.
[edit security] user@host# set screen ids-option 80-limit-session limit-session source-ip-based 80
Establezca la zona de seguridad para la zona a en el límite de configuración.
[edit security] user@host# set zones security-zone zone_a screen 80-limit-session
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security screen comandos y show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security screen
ids-option 1-limit-session {
limit-session {
source-ip-based 1;
}
}
ids-option 80-limit-session {
limit-session {
source-ip-based 80;
}
}
[edit]
user@host# show security zones
security-zone dmz {
screen 1-limit-session;
}
security-zone zone_a {
screen 80-limit-session;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación de los límites de sesión basados en origen
Propósito
Compruebe los límites de sesión basados en origen.
Acción
Introduzca los comandos , show security screen ids-option 80-limit-sessiony show security zones desde el show security screen ids-option 1-limit-session modo operativo.
user@host> show security screen ids-option 1-limit-session Screen object status: Name Value Session source limit threshold 1 user@host> show security screen ids-option 80-limit-session Screen object status: Name Value Session source limit threshold 80 user@host> show security zones Security zone: dmz Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: 1-limit-session Interfaces bound: 0 Interfaces:
Significado
La salida de ejemplo muestra los valores límite de sesión de origen para la zona DMZ y la zona a.
Descripción de los límites de las sesiones basadas en el destino
Además de limitar el número de sesiones simultáneas desde la misma dirección IP de origen, también puede limitar el número de sesiones simultáneas a la misma dirección IP de destino. Un atacante astuto puede lanzar un ataque de denegación de servicio distribuido (DDoS). En un ataque DDoS, el tráfico malicioso puede provenir de cientos de hosts, conocidos como "agentes zombies", que están subrepticiamente bajo el control de un atacante. Además de las opciones de pantalla de detección y prevención de inundaciones SYN, UDP e ICMP, establecer un límite de sesión basado en destino puede garantizar que Junos OS solo permita que un número aceptable de solicitudes de conexión simultáneas, independientemente de la fuente, lleguen a un único host. Consulte la figura 2.
distribuido de DOS
El valor máximo predeterminado para los límites de sesión basadas en el destino es de 128 sesiones simultáneas, un valor que puede ser necesario ajustar para adaptarse a las necesidades del entorno de red y de la plataforma.
Ejemplo: establecer límites de sesión basados en destino
En este ejemplo se muestra cómo establecer los límites de sesión basados en el destino.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se limita la cantidad de tráfico a un servidor web en 1.2.2.5. El servidor se encuentra en la DMZ. En el ejemplo se supone que después de observar el flujo de tráfico desde la zona externa a este servidor durante un mes, ha determinado que el número medio de sesiones simultáneas que recibe es 2000. Además, establezca el nuevo límite de sesiones en 2000 sesiones simultáneas. Aunque los picos de tráfico a veces pueden superar ese límite, en el ejemplo se supone que está optando por la seguridad de firewall en lugar de la inaccesibilidad ocasional del servidor.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security screen ids-option 2000-limit-session limit-session destination-ip-based 2000 set security zones security-zone external_zone screen 2000-limit-session
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para establecer los límites de sesiones basadas en el destino:
Especifique el número de sesiones simultáneas.
[edit] user@host# set security screen ids-option 2000-limit-session limit-session destination-ip-based 2000
Establezca la zona de seguridad para la zona externa.
[edit] user@host# set security zones security-zone external_zone screen 2000-limit-session
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security screen comandos y show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security screen
ids-option 2000-limit-session {
limit-session {
destination-ip-based 2000;
}
}
[edit]
user@host# show security zones
security-zone external_zone {
screen 2000-limit-session;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación de los límites de sesión basados en el destino
Propósito
Compruebe los límites de sesión basados en el destino.
Acción
Introduzca los comandos y show security zones desde el show security screen ids-option 2000-limit-session modo operativo.
user@host> show security screen ids-option 2000-limit-session
node0:
--------------------------------------------------------------------------
Screen object status:
Name Value
Session destination limit threshold 2000
Value
user@host> show security zones
Security zone: external_zone
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: 2000-limit-session
Interfaces bound: 0
Interfaces:
Significado
La salida de ejemplo muestra los valores límite de la sesión de destino para la zona externa.
Descripción de los ataques de inundación de proxy SYN-ACK-ACK
Cuando un usuario de autenticación inicia una conexión Telnet o FTP, el usuario envía un segmento SYN al servidor Telnet o FTP. Junos OS intercepta el segmento SYN, crea una entrada en su tabla de sesión y envía un segmento SYN-ACK al usuario. A continuación, el usuario responde con un segmento ACK. En este punto, el apretón de manos inicial de tres vías está completo. Junos OS envía un mensaje de inicio de sesión al usuario. Si el usuario, con intenciones maliciosas, no inicia sesión, sino que continúa iniciando sesiones SYN-ACK-ACK, la tabla de sesiones del firewall puede llenarse hasta el punto en que el dispositivo comience a rechazar solicitudes de conexión legítimas.
Para evitar un ataque de este tipo, puede habilitar la opción de pantalla de protección de proxy SYN-ACK-ACK. Después de que el número de conexiones desde la misma dirección IP alcanza el umbral de proxy SYN-ACK-ACK, Junos OS rechaza más solicitudes de conexión desde esa dirección IP. De forma predeterminada, el umbral es de 512 conexiones desde cualquier dirección IP única. Puede cambiar este umbral (a cualquier número entre 1 y 250.000) para adaptarse mejor a los requisitos de su entorno de red.
Junos OS admite la protección de proxy SYN-ACK-ACK para direcciones IPv4 e IPv6.
Protección de su red contra un ataque de inundación de proxy SYN-ACK-ACK
En este ejemplo, se muestra cómo proteger la red contra un ataque de inundación de proxy SYN-ACK-ACK.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se habilita la protección contra una inundación de proxy SYN-ACK-ACK. La unidad de valor son las conexiones por dirección de origen. El valor predeterminado es 512 conexiones desde cualquier dirección única.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security screen ids-option 1000-syn-ack-ack-proxy tcp syn-ack-ack-proxy threshold 1000 set security zones security-zone zone screen 1000-syn-ack-ack-proxy
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para protegerse contra un ataque de inundación proxy SYN-ACK-ACK:
Especifique los límites de la sesión de origen.
[edit] user@host# set security screen ids-option 1000-syn-ack-ack-proxy tcp syn-ack-ack-proxy threshold 1000
Establezca la zona de seguridad para la pantalla de zona.
[edit] user@host# set security zones security-zone zone screen 1000-syn-ack-ack-proxy
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security screen comandos y show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security screen
ids-option 1000-syn-ack-ack-proxy {
tcp {
syn-ack-ack-proxy threshold 1000;
}
}
[edit]
user@host# show security zones
security-zone zone {
screen 1000-syn-ack-ack-proxy;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificación del ataque de inundación de proxy SYN-ACK-ACK
Propósito
Verifique el ataque de inundación de proxy SYN-ACK-ACK.
Acción
Introduzca los comandos y show security zones desde el show security screen ids-option 1000-syn-ack-ack-proxy modo operativo.
user@host> show security screen ids-option 1000-syn-ack-ack-proxy node0: -------------------------------------------------------------------------- Screen object status: Name Value TCP SYN-ACK-ACK proxy threshold 1000 user@host> show security zones Security zone: zone Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: 1000-syn-ack-ack-proxy Interfaces bound: 0 Interfaces:
Significado
La salida de ejemplo muestra que no hay ningún ataque de inundación de proxy SYN-ACK-ACK.