EN ESTA PÁGINA
Descripción de los sondeos de identificación del sistema operativo
Descripción de la resolución del Sistema de nombres de dominio
Descripción de los encabezados TCP con los indicadores SYN y FIN establecidos
Ejemplo: bloqueo de paquetes con indicadores SYN y FIN establecidos
Ejemplo: bloqueo de paquetes con el indicador FIN establecido y sin el indicador ACK establecido
Sondas de identificación del sistema operativo
Antes de lanzar un exploit, un atacante podría sondear el host objetivo, tratando de aprender su sistema operativo. Varios sistemas operativos reaccionan a las anomalías de TCP de diferentes maneras. Con ese conocimiento, un atacante puede decidir qué otro ataque podría infligir más daño al dispositivo, a la red o a ambos. Para obtener más información, consulte los temas siguientes:
Descripción de los sondeos de identificación del sistema operativo
Antes de lanzar un exploit, los atacantes podrían intentar sondear el host objetivo para conocer su sistema operativo (SO). Con ese conocimiento, pueden decidir mejor qué ataque lanzar y qué vulnerabilidades explotar. Junos OS puede bloquear las sondas de reconocimiento que se suelen utilizar para recopilar información sobre los tipos de SO.
Descripción de la resolución del Sistema de nombres de dominio
Antes de Junos OS versión 12.1X47, la resolución DNS se realizaba solo con UDP como transporte. Los mensajes transportados por UDP están restringidos a 512 bytes; los mensajes más largos se truncan y el bit de clase de tráfico (TC) se establece en el encabezado. La longitud máxima de los mensajes de respuesta DNS UDP es de 512 bytes, pero la longitud máxima de los mensajes de respuesta DNS TCP es de 65.535 bytes. Un solucionador DNS sabe si la respuesta está completa si el bit TC está establecido en el encabezado. Por lo tanto, una respuesta DNS TCP puede contener más información que una respuesta DNS UDP.
Hay tres tipos de comportamientos de resolución de DNS:
Resolución de DNS UDP
Resolución TCP DNS
Resolución de DNS UDP/TCP
Una política utiliza la resolución DNS UDP/TCP para resolver direcciones IP. En la resolución DNS de UDP/TCP, primero se usa la resolución DNS UDP y, cuando se trunca, se usa la resolución DNS TCP.
Una directiva de motor de enrutamiento admite un máximo de 1024 prefijos de dirección IPv4 y 256 prefijos de dirección IPv6 que se pueden enviar al PFE. Si el número máximo de prefijos de direcciones IPv4 o IPv6 supera los límites, las direcciones que superen las limitaciones no se enviarán al PFE y se generará un mensaje syslog. El número máximo de direcciones en una respuesta DNS TCP es 4094 para direcciones IPv4 y 2340 para direcciones IPv6, pero solo se cargan 1024 direcciones IPv4 y 256 direcciones IPv6 en el PFE.
Descripción de los encabezados TCP con los indicadores SYN y FIN establecidos
Los indicadores de control SYN y FIN normalmente no se establecen en el mismo encabezado de segmento TCP. El indicador SYN sincroniza los números de secuencia para iniciar una conexión TCP. El indicador FIN indica el final de la transmisión de datos para finalizar una conexión TCP. Sus propósitos son mutuamente excluyentes. Un encabezado TCP con los indicadores SYN y FIN establecidos es un comportamiento TCP anómalo, que provoca varias respuestas del destinatario, dependiendo del sistema operativo. Consulte la figura 1.
Un atacante puede enviar un segmento con ambas marcas establecidas para ver qué tipo de respuesta del sistema se devuelve y, por lo tanto, determinar qué tipo de sistema operativo está en el extremo receptor. El atacante puede usar cualquier vulnerabilidad conocida del sistema para otros ataques.
Cuando se habilita esta opción de pantalla, Junos OS comprueba si los indicadores SYN y FIN están establecidos en los encabezados TCP. Si descubre un encabezado de este tipo, descarta el paquete.
Junos OS admite encabezados TCP con indicadores SYN y FIN establecidos para el tráfico IPv4 e IPv6.
Ejemplo: bloqueo de paquetes con indicadores SYN y FIN establecidos
En este ejemplo se muestra cómo crear una pantalla para bloquear paquetes con los indicadores SYN y FIN establecidos.
Requisitos
Antes de comenzar, comprenda cómo funcionan los encabezados TCP con indicadores SYN y FIN. Consulte Descripción de los encabezados TCP con los indicadores SYN y FIN establecidos.
Visión general
El encabezado TCP con los indicadores SYN y FIN establecidos provoca diferentes respuestas de un dispositivo de destino según el sistema operativo que esté ejecutando. La pantalla syn-fin está habilitada para la zona de seguridad.
En este ejemplo, se crea una pantalla denominada pantalla-1 en una zona de seguridad para bloquear paquetes con los indicadores SYN y FIN establecidos.
Topología
Configuración
Procedimiento
Procedimiento paso a paso
Para bloquear paquetes con los indicadores SYN y FIN establecidos:
Configure la pantalla.
[edit] user@host# set security screen ids-option screen-1 tcp syn-fin
Habilite la pantalla en la zona de seguridad.
[edit ] user@host# set security zones security-zone zone-1 screen screen-1
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de las pantallas de la zona de seguridad
- Verificación de la configuración de la pantalla de seguridad
Comprobación de las pantallas de la zona de seguridad
Propósito
Compruebe que la pantalla esté habilitada en la zona de seguridad.
Acción
Desde el modo operativo, ingrese el show security zones
comando.
[edit] user@host> show security zones Security zone: zone-1 Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: screen-1 Interfaces bound: 1 Interfaces: ge-1/0/0.0
Verificación de la configuración de la pantalla de seguridad
Propósito
Muestra la información de configuración de la pantalla de seguridad.
Acción
Desde el modo operativo, ingrese el show security screen ids-option screen-name
comando.
[edit] user@host> show security screen ids-option screen-1 Screen object status: Name Value TCP SYN FIN enabled
Descripción de los encabezados TCP con el indicador FIN establecido y sin el indicador ACK establecido
La figura 2 muestra segmentos TCP con el indicador de control FIN establecido (para indicar la conclusión de una sesión y finalizar la conexión). Normalmente, los segmentos TCP con el indicador FIN establecido también tienen el indicador ACK establecido (para confirmar el paquete anterior recibido). Dado que un encabezado TCP con el indicador FIN establecido pero no el indicador ACK es un comportamiento TCP anómalo, no hay una respuesta uniforme a esto. El sistema operativo podría responder enviando un segmento TCP con el indicador RST establecido. Otro podría ignorarlo por completo. La respuesta de la víctima puede proporcionar al atacante una pista sobre su sistema operativo. (Otros propósitos para enviar un segmento TCP con el indicador FIN establecido son evadir la detección mientras se realizan escaneos de direcciones y puertos y evadir las defensas en guardia para una inundación SYN realizando una inundación FIN en su lugar).
Los proveedores han interpretado RFC 793, Protocolo de control de transmisión, de diversas maneras al diseñar sus implementaciones TCP/IP. Cuando llega un segmento TCP con el indicador FIN establecido pero no con el indicador ACK, algunas implementaciones envían segmentos RST, mientras que otras descartan el paquete sin enviar un RST.
Cuando se habilita esta opción de pantalla, Junos OS comprueba si el indicador FIN está establecido, pero no el indicador ACK en los encabezados TCP. Si descubre un paquete con un encabezado de este tipo, descarta el paquete.
Junos OS admite encabezados TCP con indicadores SYN y FIN establecidos para el tráfico IPv4 e Ipv6.
Ejemplo: bloqueo de paquetes con el indicador FIN establecido y sin el indicador ACK establecido
En este ejemplo se muestra cómo crear una pantalla para bloquear paquetes con el indicador FIN establecido pero el indicador ACK no establecido.
Requisitos
Antes de comenzar, comprenda cómo funcionan los encabezados TCP. Consulte Descripción de los encabezados TCP con el indicador FIN establecido y sin el indicador ACK establecido.
Visión general
Los segmentos TCP con el indicador FIN establecido también tienen el indicador ACK establecido para confirmar el paquete recibido anteriormente. Dado que un encabezado TCP con el indicador FIN establecido pero el indicador ACK no establecido es un comportamiento TCP anómalo, no hay una respuesta uniforme a esto. Cuando se habilita la opción de pantalla de aleta sin asco, Junos OS comprueba si el indicador FIN está establecido, pero no el indicador ACK en los encabezados TCP. Si descubre un paquete con un encabezado de este tipo, descarta el paquete.
En este ejemplo, se crea una pantalla denominada screen-1 para bloquear paquetes con el indicador FIN establecido, pero el indicador ACK no establecido.
Configuración
Procedimiento
Procedimiento paso a paso
Para bloquear paquetes con el indicador FIN establecido pero el indicador ACK no establecido:
Configure la pantalla.
[edit ] user@host# set security screen ids-option screen-1 tcp fin-no-ack
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de las pantallas de la zona de seguridad
- Verificación de la configuración de la pantalla de seguridad
Comprobación de las pantallas de la zona de seguridad
Propósito
Compruebe que la pantalla esté habilitada en la zona de seguridad.
Acción
Desde el modo operativo, ingrese el show security zones
comando.
[edit] user@host> show security zones Security zone: zone-1 Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: screen-1 Interfaces bound: 1 Interfaces: ge-1/0/0.0
Verificación de la configuración de la pantalla de seguridad
Propósito
Muestra la información de configuración de la pantalla de seguridad.
Acción
Desde el modo operativo, ingrese el show security screen ids-option screen-name
comando.
[edit] user@host> show security screen ids-option screen-1 Screen object status: Name Value TCP FIN no ACK enabled
Descripción del encabezado TCP sin indicadores establecidos
Un encabezado de segmento TCP normal tiene al menos un control de indicador establecido. Un segmento TCP sin indicadores de control establecidos es un evento anómalo. Debido a que los diferentes sistemas operativos responden de manera diferente a tales anomalías, la respuesta (o falta de respuesta) del dispositivo objetivo puede proporcionar una pista sobre el tipo de sistema operativo que está ejecutando. Consulte la figura 3.
Cuando se habilita el dispositivo para que detecte encabezados de segmento TCP sin indicadores establecidos, el dispositivo descarta todos los paquetes TCP con un campo de indicadores faltante o con formato incorrecto.
Junos OS admite la protección de encabezado TCP sin establecer indicadores para el tráfico IPv4 e IPv6.
Ejemplo: bloqueo de paquetes sin indicadores establecidos
En este ejemplo se muestra cómo crear una pantalla para bloquear paquetes sin ningún indicador establecido.
Requisitos
Antes de comenzar, comprenda cómo funciona un encabezado TCP sin indicadores establecidos. Consulte Descripción del encabezado TCP sin indicadores establecidos.
Visión general
Un encabezado de segmento TCP normal tiene al menos un control de indicador establecido. Un segmento TCP sin indicadores de control establecidos es un evento anómalo. Debido a que los diferentes sistemas operativos responden de manera diferente a tales anomalías, la respuesta (o falta de respuesta) del dispositivo objetivo puede proporcionar una pista sobre el tipo de sistema operativo que está ejecutando.
Cuando se habilita el dispositivo para que detecte encabezados de segmento TCP sin indicadores establecidos, el dispositivo descarta todos los paquetes TCP con un campo de indicadores faltante o con formato incorrecto.
En este ejemplo, se crea una pantalla denominada screen-1 para bloquear paquetes sin indicadores establecidos.
Configuración
Procedimiento
Procedimiento paso a paso
Para bloquear paquetes sin indicadores establecidos:
Configure la pantalla.
[edit ] user@host# set security screen ids-option screen-1 tcp tcp-no-flag
Habilite la pantalla en la zona de seguridad.
[edit ] user@host# set security zones security-zone zone-1 screen screen-1
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de las pantallas de la zona de seguridad
- Verificación de la configuración de la pantalla de seguridad
Comprobación de las pantallas de la zona de seguridad
Propósito
Compruebe que la pantalla esté habilitada en la zona de seguridad.
Acción
Desde el modo operativo, ingrese el show security zones
comando.
[edit] user@host> show security zones Security zone: zone-1 Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: screen-1 Interfaces bound: 1 Interfaces: ge-1/0/0.0
Verificación de la configuración de la pantalla de seguridad
Propósito
Muestra la información de configuración de la pantalla de seguridad.
Acción
Desde el modo operativo, ingrese el show security screen ids-option screen-name
comando.
[edit] user@host> show security screen ids-option screen-1 Screen object status: Name Value TCP no flag enabled