Aplicaciones de políticas predefinidas

Descripción de las aplicaciones de políticas predefinidas relacionadas con Internet

Al crear una directiva, puede especificar aplicaciones predefinidas relacionadas con Internet para la directiva.

En la Tabla 1 se enumeran las aplicaciones predefinidas relacionadas con Internet. En función de los requisitos de su red, puede optar por permitir o denegar cualquiera o todas estas aplicaciones. Cada entrada enumera el nombre de la aplicación, el puerto receptor predeterminado y la descripción de la aplicación.

Tabla 1: Aplicaciones predefinidas
Nombre de la aplicación	Puerto(s)	Descripción de la aplicación
AOL	5190-5193	El proveedor de servicios de Internet (ISP) America Online ofrece aplicaciones de Internet, chat y mensajería instantánea.
Relé DHCP	67 (predeterminado)	Protocolo de configuración dinámica de host.
DHCP	68 clientes 67 servidor	El protocolo de configuración dinámica de host asigna direcciones de red y entrega parámetros de configuración del servidor a los hosts.
DNS	53	El Sistema de nombres de dominio traduce los nombres de dominio en direcciones IP.
FTP	20 datos 21 control	El Protocolo de transferencia de archivos (FTP) permite el envío y recepción de archivos entre máquinas. Puede elegir entre denegar o permitir CUALQUIERA o permitir o denegar selectivamente. Recomendamos denegar aplicaciones FTP de fuentes que no sean de confianza (Internet).
Gopher	70	Gopher organiza y muestra el contenido de los servidores de Internet como una lista de archivos estructurada jerárquicamente. Recomendamos denegar el acceso a Gopher para evitar exponer la estructura de la red.
HTTP (en inglés)	80	El protocolo de transferencia de hipertexto es el protocolo subyacente utilizado por la World Wide Web (WWW). Denegar la aplicación HTTP deshabilita a los usuarios para que no puedan ver Internet. Permitir la aplicación HTTP permite a sus hosts de confianza ver Internet.
HTTP-EXT	—	Protocolo de transferencia de hipertexto con puertos no estándar extendidos
HTTPS (en inglés)	443	El Protocolo de transferencia de hipertexto con Secure Sockets Layer (SSL) es un protocolo para transmitir documentos privados a través de Internet. Denegar HTTPS impide a los usuarios comprar en Internet y acceder a ciertos recursos en línea que requieren un intercambio seguro de contraseñas. Permitir HTTPS permite a sus hosts de confianza participar en el intercambio de contraseñas, comprar en línea y visitar varios recursos en línea protegidos que requieren el inicio de sesión del usuario.
Servicio de localización de Internet	—	El servicio de localización de Internet incluye LDAP, servicio de localización de usuarios y LDAP a través de TSL/SSL.
IRC	6665-6669	Internet Relay Chat (IRC) permite a las personas conectadas a Internet unirse a discusiones en vivo.
LDAP	389	El Protocolo ligero de acceso a directorios es un conjunto de protocolos utilizados para acceder a directorios de información.
PC-En cualquier lugar	—	PC-Anywhere es un software de control remoto y transferencia de archivos.
TFTP	69	El Protocolo trivial de transferencia de archivos (TFTP) es un protocolo para la transferencia simple de archivos.
WAIS	—	Wide Area Information Server es un programa que encuentra documentos en Internet.

Nota:

A partir de la versión 18.4R1 de Junos OS, las aplicaciones cifradas como HTTP, SMTP, IMAP y POP3 a través de SSL se identifican como junos:HTTPS, junos:SMTPS, junos:IMAPS y junos:POP3S en aplicaciones y conjuntos de aplicaciones predefinidos de Junos OS. Por ejemplo: si configura una directiva de seguridad para permitir o denegar tráfico HTTPS, debe especificar los criterios de coincidencia de la aplicación como junos:HTTPS. En versiones anteriores de Junos OS, tanto las aplicaciones HTTP como las HTTP cifradas (HTTPS) se pueden configurar con el mismo criterio de coincidencia de aplicaciones que junos:HTTP.

Descripción de las aplicaciones de directivas predefinidas de Microsoft

Al crear una directiva, puede especificar aplicaciones Microsoft predefinidas para la directiva.

En la tabla 2 se enumeran las aplicaciones Microsoft predefinidas, los parámetros asociados a cada aplicación y una breve descripción de cada aplicación. Los parámetros incluyen identificadores únicos universales (UUID) y puertos de origen y destino TCP/UDP. Un UUID es un número único de 128 bits generado a partir de una dirección de hardware, una marca de tiempo y valores inicial.

Tabla 2: Aplicaciones Microsoft predefinidas
Aplicación	Parámetro/UUID	Descripción
Junos MS-RPC-EPM	135 E1AF8308-5D1F-11C9-91A4-08002B14A0FA	Protocolo de asignador de extremos (EPM) de llamada a procedimiento remoto (RPC) de Microsoft.
Junos MS-RPC	—	Cualquier aplicación de llamada a procedimiento remoto (RPC) de Microsoft.
Junos MS-RPC-MSEXCHANGE	3 miembros	El grupo de aplicaciones de Microsoft Exchange incluye: Junos-MS-RPC-MSEXCHANGE-DATABASE Junos-MS-RPC-MSEXCHANGE-DIRECTORY Junos-MS-RPC-MSEXCHANGE-INFO-STORE
Junos-MS-RPC-MSEXCHANGE-DATABASE	1a190310-bb9c-11cd-90f8-00aa00466520	Aplicación de base de datos de Microsoft Exchange.
Junos-MS-RPC-MSEXCHANGE-DIRECTORY	f5cc5a18-4264-101a-8c59-08002b2f8426 f5cc5a7c-4264-101a-8c59-08002b2f8426 f5cc59b4-4264-101a-8c59-08002b2f8426	Aplicación de directorio de Microsoft Exchange.
Junos-MS-RPC-MSEXCHANGE-INFO-STORE	0E4A0156-DD5D-11D2-8C2F-00C04FB6BCDE 1453C42C-0FA6-11D2-A910-00C04F990F3B 10F24E8E-0FA6-11D2-A910-00C04F990F3B 1544f5e0-613c-11d1-93df-00c04fd7bd09	Aplicación Almacén de información de Microsoft Exchange.
Junos-MS-RPC-TCP	—	Aplicación del Protocolo de control de transmisión (TCP) de Microsoft.
Junos-MS-RPC-UDP	—	Aplicación del Protocolo de datagramas de usuario (UDP) de Microsoft.
Junos-MS-SQL	—	Lenguaje de consulta estructurado (SQL) de Microsoft.
Junos-MSN	—	Aplicación Microsoft Network Messenger.

Descripción de los protocolos de enrutamiento dinámico Aplicaciones de políticas predefinidas

Al crear una directiva, puede especificar aplicaciones de protocolo de enrutamiento dinámico predefinidas para la directiva.

En función de los requisitos de su red, puede optar por permitir o denegar los mensajes generados a partir de estos protocolos de enrutamiento dinámico y los paquetes de estos protocolos de enrutamiento dinámico. En la tabla 3 se enumera cada protocolo de enrutamiento dinámico admitido por nombre, puerto y descripción.

Tabla 3: Protocolos de enrutamiento dinámico
Protocolo de enrutamiento dinámico	Puerto	Descripción
RIP	520	RIP es un protocolo común de enrutamiento de vector de distancia.
OSPF	89	OSPF es un protocolo de enrutamiento de estado de vínculo común.
BGP	179	BGP es un protocolo de enrutamiento exterior/interdominio.

Descripción de las aplicaciones de políticas predefinidas de transmisión de vídeo

Al crear una directiva, puede especificar aplicaciones predefinidas de transmisión de vídeo para la directiva.

En la Tabla 4 se enumera cada aplicación de transmisión de vídeo compatible por nombre e incluye el puerto y la descripción predeterminados. En función de los requisitos de su red, puede optar por permitir o denegar cualquiera o todas estas aplicaciones.

Tabla 4: Aplicaciones de transmisión de vídeo compatibles
Aplicación	Puerto	Descripción
H.323	Fuente TCP 1-65535; Destino TCP 1720, 1503, 389, 522, 1731 Fuente UDP 1-65535; Fuente UDP 1719	H.323 es una norma aprobada por la Unión Internacional de Telecomunicaciones (UIT) que define cómo se transmiten los datos de conferencias audiovisuales a través de las redes.
Netmeeting	Fuente TCP 1-65535; Destino TCP 1720, 1503, 389, 522 Fuente UDP 1719	Microsoft NetMeeting utiliza TCP para proporcionar aplicaciones de teleconferencia (vídeo y audio) a través de Internet.
Medios reales	Fuente TCP 1-65535; Destino TCP 7070	Real Media está transmitiendo tecnología de video y audio.
RTSP	554	El protocolo de transmisión por secuencias en tiempo real (RTSP) es para aplicaciones multimedia de transmisión por secuencias
SIP	5056	El protocolo de inicio de sesión (SIP) es un protocolo de control de capa de aplicación para crear, modificar y terminar sesiones.
VDO en vivo	Fuente TCP 1-65535; Destino TCP 7000-7010	VDOLive es una tecnología escalable de transmisión de video.

Descripción de las aplicaciones de políticas predefinidas de Sun RPC

Al crear una política, puede especificar aplicaciones Sun RPC predefinidas para la política.

En la Tabla 5 se enumera el nombre, los parámetros y el nombre completo de cada aplicación llamada a procedimiento remoto de Sun Application Layer Gateway (RPC ALG).

Tabla 5: Aplicaciones ALG de RPC
Aplicación	Números de programa	Nombre completo
SUN-RPC-PORTMAPPER	111100000	Protocolo Sun RPC Portmapper
SUN-RPC-CUALQUIERA	CUALQUIER	Cualquier aplicación RPC de Sun
MONTADO EN UN PROGRAMA SUN-RPC	100005	Demonio de montaje RPC Sun
SUN-RPC-PROGRAM-NFS	100003 100227	Sistema de archivos de red RPC de Sun
SUN-RPC-PROGRAM-NLOCKMGR	100021	Administrador de bloqueo de red RPC de Sun
SUN-RPC-PROGRAM-RQUOTAD	100011	Demonio de cuota remota de Sun RPC
SUN-RPC-PROGRAM-RSTATD	100001	Demonio de estado remoto de Sun RPC
SUN-RPC-PROGRAM-RUSERD	100002	Demonio de usuario remoto Sun RPC
SUN-RPC-PROGRAM-SADMIND	100232	Demonio de administración del sistema RPC de Sun
SUN-RPC-PROGRAM-SPRAYD	100012	Sun RPC Spray Daemon
SUN-RPC-PROGRAM-STATUS	100024	Estado de Sun RPC
SUN-RPC-PROGRAM-WALLD	100008	Demonio de pared RPC de Sun
SUN-RPC-PROGRAM-YPBIND	100007	Aplicación SUN RPC Yellow Page Bind

Descripción de la seguridad y las aplicaciones de políticas predefinidas de túnel

Al crear una directiva, puede especificar aplicaciones de seguridad y túnel predefinidas para la directiva.

En la Tabla 6 se enumeran todas las aplicaciones compatibles y se proporcionan los puertos predeterminados y una descripción de cada entrada.

Tabla 6: Aplicaciones compatibles
Aplicación	Puerto	Descripción
IKE	Fuente UDP 1-65535; Destino UDP 500	Intercambio de claves por Internet es el protocolo que establece una asociación de seguridad en el conjunto de protocolos IPsec. El protocolo de clave de Internet (IKE) es un protocolo para obtener material de claves autenticado para su uso con ISAKMP.
IKE-NAT	4500	La traducción de direcciones de red (NAT) de IKE realiza NAT de capa 3 para el tráfico IKE de S2C.
L2TP	1701	L2TP combina PPTP con reenvío de capa 2 (L2F) para acceso remoto.
PPTP	1723	El protocolo de túnel punto a punto permite a las corporaciones extender su propia red privada a través de túneles privados a través de la Internet pública.

Descripción de las aplicaciones de políticas predefinidas relacionadas con la P.I.

Al crear una directiva, puede especificar aplicaciones predefinidas relacionadas con IP para la directiva.

En el cuadro 7 se enumeran las aplicaciones predefinidas relacionadas con la P.I. Cada entrada incluye el puerto predeterminado y una descripción de la aplicación.

TCP-ANY significa cualquier aplicación que utilice TCP, por lo que no hay un puerto predeterminado para ella. Lo mismo es cierto para UDP-ANY.

Cuadro 7: Aplicaciones predefinidas relacionadas con la P.I.
Aplicación	Puerto	Descripción
Cualquier	—	Cualquier aplicación
TCP-CUALQUIERA	0-65,535	Cualquier protocolo que utilice el TCP
UDP-CUALQUIERA	0-65,535	Cualquier protocolo que utilice el UDP

Descripción de las aplicaciones de políticas predefinidas de mensajería instantánea

Al crear una directiva, puede especificar aplicaciones de mensajería instantánea predefinidas para la directiva.

En el cuadro 8 se enumeran las aplicaciones predefinidas de mensajería por Internet. Cada entrada incluye el nombre de la aplicación, el puerto predeterminado o asignado y una descripción de la aplicación.

Tabla 8: Aplicaciones predefinidas de mensajería por Internet
Aplicación	Puerto	Descripción
Gnutella	6346 (predeterminado)	Gnutella es un protocolo de intercambio de archivos de dominio público que opera a través de una red distribuida. Puede asignar cualquier puerto, pero el valor predeterminado es 6346.
MSN	1863	Microsoft Network Messenger es una utilidad que le permite enviar mensajes instantáneos y hablar en línea.
NNTP	119	Network News Transport Protocol es un protocolo utilizado para publicar, distribuir y recuperar mensajes de USENET.
SMB	445	El bloque de mensajes del servidor (SMB) a través de IP es un protocolo que le permite leer y escribir archivos en un servidor en una red.
YMSG	5010	Yahoo! Messenger es una utilidad que le permite verificar cuándo otros están en línea, enviar mensajes instantáneos y hablar en línea.

Descripción de las aplicaciones de políticas predefinidas de administración

Al crear una directiva, puede especificar aplicaciones de administración predefinidas para la directiva.

En la Tabla 9 se enumeran las aplicaciones de administración predefinidas. Cada entrada incluye el nombre de la aplicación, el puerto predeterminado o asignado y una descripción de la aplicación.

Tabla 9: Aplicaciones de administración predefinidas
Aplicación	Puerto	Descripción
Nombre NBNAME	137	La aplicación Nombre NetBIOS muestra todos los paquetes de nombres NetBIOS enviados en el puerto UDP 137.
NDBDS	138	La aplicación de datagramas NetBIOS, publicada por IBM, proporciona aplicaciones sin conexión (datagramas) a los PC conectados a un medio de difusión para localizar recursos, iniciar sesiones y terminar sesiones. No es confiable y los paquetes no están secuenciados.
NFS	—	Network File System utiliza UDP para permitir a los usuarios de la red tener acceso a archivos compartidos almacenados en equipos de diferentes tipos. SUN RPC es un componente básico de NFS.
NS Global	—	NS-Global es el protocolo de administración central para los dispositivos Firewall/VPN de Juniper Networks.
NS Global PRO	—	NS Global-PRO es el sistema de monitoreo escalable para la familia de dispositivos Firewall/VPN de Juniper Networks.
NSM	—	Gerente de Redes y Seguridad
NTP	123	El protocolo de hora de red proporciona una manera para que los equipos se sincronicen con una referencia de tiempo.
RLOGIN	513	RLOGIN inicia una sesión de terminal en un host remoto.
RSH	514	RSH ejecuta un comando de shell en un host remoto.
SNMP	161	El Protocolo simple de administración de redes es un conjunto de protocolos para administrar redes complejas.
SQL*Net V1	66	SQL*Net Versión 1 es un lenguaje de base de datos que permite la creación, acceso, modificación y protección de datos.
SQL*Net V2	66	SQL*Net Versión 2 es un lenguaje de base de datos que permite la creación, acceso, modificación y protección de datos.
MSSQL	1433 (instancia predeterminada)	Microsoft SQL es una herramienta de servidor de base de datos propietaria que permite la creación, acceso, modificación y protección de datos.
SSH	22	SSH es un programa para iniciar sesión en otra computadora a través de una red a través de una autenticación fuerte y comunicaciones seguras en un canal no seguro.
SYSLOG	514	Syslog es un programa UNIX que envía mensajes al registrador del sistema.
Hablar	517-518	Talk es un programa de comunicación visual que copia líneas de tu terminal a las de otro usuario.
Telnet	23	Telnet es un programa UNIX que proporciona un método estándar de interfaz de dispositivos terminales y procesos orientados a terminales entre sí.
WinFrame	—	WinFrame es una tecnología que permite a los usuarios de máquinas que no son Windows ejecutar aplicaciones de Windows.
X-Windows	—	X-Windows es el sistema de ventanas y gráficos en el que se basan Motif y OpenLook.

Descripción de las aplicaciones de políticas predefinidas por correo

Al crear una directiva, puede especificar aplicaciones de correo predefinidas para la directiva.

En el cuadro 10 se enumeran las aplicaciones de correo predefinidas. Cada uno incluye el nombre de la aplicación, el número de puerto predeterminado o asignado y una descripción de la aplicación.

Tabla 10: Aplicaciones de correo predefinidas
Aplicación	Puerto	Descripción
IMAP	143	El protocolo de acceso a mensajes de Internet se utiliza para recuperar mensajes.
Correo (SMTP)	25	El Protocolo simple de transferencia de correo se utiliza para enviar mensajes entre servidores.
POP3	110	El protocolo de oficina de correos se utiliza para recuperar correo electrónico.

Descripción de las aplicaciones de políticas predefinidas de UNIX

Al crear una directiva, puede especificar aplicaciones UNIX predefinidas para la directiva.

En la tabla 11 se enumeran las aplicaciones UNIX predefinidas. Cada entrada incluye el nombre de la aplicación, el puerto predeterminado o asignado y una descripción de la aplicación.

Tabla 11: Aplicaciones UNIX predefinidas
Aplicación	Puerto	Descripción
DEDO	79	Finger es un programa UNIX que proporciona información sobre los usuarios.
UUCP	117	El protocolo de copia de UNIX a UNIX (UUCP) es una utilidad de UNIX que permite la transferencia de archivos entre dos equipos a través de una conexión serie directa o de módem.

Descripción de varias aplicaciones de políticas predefinidas

Al crear una directiva, puede especificar varias aplicaciones predefinidas para la directiva.

En el cuadro 12 se enumeran diversas aplicaciones predefinidas. Cada entrada incluye el nombre de la aplicación, el puerto predeterminado o asignado y una descripción de la aplicación.

Tabla 12: Aplicaciones diversas predefinidas
Aplicación	Puerto	Descripción
CHARGEN	19	El protocolo generador de caracteres es una herramienta de depuración y medición basada en UDP o TCP.
DESECHE	9	El protocolo de descarte es un protocolo de capa de aplicación que describe un proceso para descartar datos TCP o UDP enviados al puerto 9.
IDENT	113	El protocolo de identificación es un protocolo de capa de aplicación TCP/IP que se utiliza para la autenticación del cliente TCP.
LPR	515 escuchan; Rango de fuentes 721-731 (inclusive)	El protocolo Line Printer Daemon es un protocolo basado en TCP utilizado para aplicaciones de impresión.
RADIO	1812	La aplicación Remote Authentication Dial-In User Service es un programa de servidor utilizado con fines de autenticación y contabilidad.
Contabilidad RADIUS	1813	Un servidor de contabilidad RADIUS recibe datos estadísticos sobre los usuarios que inician o cierran sesión en una LAN.
SQLMON	1434 (puerto de SQL Monitor)	Monitor SQL (Microsoft)
VNC	5800	La computación en red virtual facilita ver e interactuar con otra computadora o dispositivo móvil de Juniper Networks conectado a Internet.
WHOIS	43	El protocolo de aplicación de directorio de red es una forma de buscar nombres de dominio.
SCCP	2000	Cisco Station Call Control Protocol (SCCP) utiliza el puerto de control de conexión de señalización para proporcionar alta disponibilidad y control de flujo.

Descripción de las aplicaciones de políticas predefinidas de ICMP

Al crear una política, puede especificar la aplicación predefinida ICMP para la directiva.

El Protocolo de mensajes de control de Internet (ICMP) forma parte de IP y proporciona una forma de consultar una red (mensajes de consulta ICMP) y recibir comentarios de la red en busca de patrones de error (mensajes de error ICMP). Sin embargo, ICMP no garantiza la entrega de mensajes de error ni informa todos los datagramas perdidos; Y no es un protocolo confiable. Los códigos y códigos de tipo ICMP describen los mensajes de consulta ICMP y los mensajes de error ICMP.

Puede optar por permitir o denegar cualquiera de los tipos específicos de mensajes ICMP para mejorar la seguridad de la red. Algunos tipos de mensajes ICMP pueden ser explotados para obtener información sobre su red que podría comprometer la seguridad. Por ejemplo, los paquetes ICMP, TCP o UDP se pueden construir para devolver mensajes de error ICMP que contienen información sobre una red, como su topología y características de filtrado de listas de acceso. La Tabla 13 enumera los nombres de los mensajes ICMP, el código, el tipo y la descripción correspondientes.

Tabla 13: Mensajes ICMP
Nombre del mensaje ICMP	Tipo	Código	Descripción
ICMP-CUALQUIERA	todo	todo	ICMP-ANY afecta a cualquier protocolo que utilice ICMP. Denegar ICMP-ANY perjudica cualquier intento de hacer ping o monitorear una red mediante ICMP. Permitir ICMP-ANY permite todos los mensajes ICMP.
MÁSCARA DE DIRECCIÓN ICMP Petición Respuesta	17 18	0 0	La consulta de máscara de dirección ICMP se utiliza para sistemas que necesitan la máscara de subred local de un servidor de arranque. Denegar mensajes de solicitud de máscara de dirección ICMP puede afectar negativamente a los sistemas sin disco. Permitir mensajes de solicitud de máscara de dirección ICMP podría permitir que otros usuarios tomen huellas digitales del sistema operativo de un host en su red.
ICMP-DEST-UNREACH	3	0	El mensaje de error ICMP destination unreachable indica que el host de destino está configurado para rechazar los paquetes. Los códigos 0, 1, 4 o 5 pueden provenir de una puerta de enlace. Los códigos 2 o 3 pueden ser de un host (RFC 792). Denegar mensajes de error inaccesibles de destino ICMP puede eliminar la suposición de que un host está funcionando detrás de un firewall de la serie SRX. Permitir mensajes de error inalcanzables de destino ICMP puede permitir que se hagan algunas suposiciones, como el filtrado de seguridad, sobre la red.
Fragmento ICMP necesario	3	4	El mensaje de error de fragmentación ICMP indica que se necesita fragmentación, pero el indicador de no fragmentar está establecido. Recomendamos denegar estos mensajes de Internet a una red interna.
Fragmento ICMPreensamblaje	11	1	El error de tiempo de reensamblado de fragmentos ICMP excedido indica que un host que reensambla un mensaje fragmentado se quedó sin tiempo y dejó caer el paquete. Este mensaje se envía a veces. Recomendamos denegar estos mensajes de Internet (externo) a la red de confianza (interna).
ICMP-HOST-UNREACH	3	1	Los mensajes de error inaccesibles del host ICMP indican que las entradas de la tabla de enrutamiento no enumeran o enumeran como infinito un host en particular. A veces, este error es enviado por puertas de enlace que no pueden fragmentarse cuando se recibe un paquete que requiere fragmentación. Recomendamos denegar estos mensajes de Internet a una red de confianza. Permitir estos mensajes permite que otros puedan determinar las direcciones IP de sus hosts internos mediante un proceso de eliminación o hacer suposiciones sobre puertas de enlace y fragmentación.
ICMP-INFO Petición Respuesta	15 16	0 0	Los mensajes de consulta ICMP-INFO permiten a los sistemas host sin disco consultar la red y autoconfigurarse. Denegar mensajes de solicitud de máscara de dirección ICMP puede afectar negativamente a los sistemas sin disco. Permitir mensajes de solicitud de máscara de dirección ICMP puede permitir que otros transmitan consultas de información a un segmento de red para determinar el tipo de computadora.
ICMP-PARAMETER-PROBLEM	12	0	Los mensajes de error de problema de parámetros ICMP le notifican cuando hay parámetros de encabezado incorrectos presentes y han provocado que se descarte un paquete Recomendamos denegar estos mensajes de Internet a una red de confianza. Permitir mensajes de error de problema de parámetros ICMP permite que otros hagan suposiciones sobre su red.
ICMP-PORT-UNREACH	3	3	Los mensajes de error de puerto ICMP inalcanzable indican que las puertas de enlace que procesan datagramas que solicitan determinados puertos no están disponibles o no son compatibles con la red. Recomendamos denegar estos mensajes de Internet a una red de confianza. Permitir mensajes de error inalcanzables de puerto ICMP puede permitir que otros usuarios determinen qué puertos utiliza para determinados protocolos.
ICMP-PROTOCOLO-UNREACH	3	2	Los mensajes de error inalcanzables del protocolo ICMP indican que las puertas de enlace que procesan datagramas que solicitan ciertos protocolos no están disponibles o no son compatibles con la red. Recomendamos denegar estos mensajes de Internet a una red de confianza. Permitir mensajes de error inaccesibles del protocolo ICMP puede permitir que otros usuarios determinen qué protocolos está ejecutando su red.
ICMP-REDIRECCIÓN	5	0	Un firewall de la serie SRX envía mensajes de error de red de redireccionamiento ICMP. Recomendamos denegar estos mensajes de Internet a una red de confianza.
ICMP-REDIRECT-HOST	5	1	Los mensajes de redireccionamiento ICMP indican datagramas destinados al host especificado que se enviarán a lo largo de otra ruta.
ICMP-REDIRECT-TOS-HOST	5	3	El tipo de servicio de redirección (TOS) ICMP y el error de host es un tipo de mensaje.
ICMP-REDIRECT-TOS-NET	5	2	Los TOS de redireccionamiento ICMP y el error de red son un tipo de mensaje.
ICMP-SOURCE-QUENCH	4	0	El mensaje de error de enfriamiento de origen ICMP indica que un dispositivo no tiene el espacio de búfer disponible para aceptar, poner en cola y enviar los paquetes al siguiente salto. Negar estos mensajes no ayudará ni perjudicará el rendimiento de la red interna. Permitir estos mensajes puede permitir que otros sepan que un dispositivo está congestionado, convirtiéndolo en un objetivo de ataque viable.
ICMP-SOURCE-ROUTE-FAIL	3	5	Mensaje de error de error de ruta de origen ICMP Recomendamos denegar estos mensajes desde Internet (externos).
TIEMPO EXCEDIDO POR ICMP	11	0	El mensaje de error ICMP time-to-live (TTL) excedido indica que la configuración TTL de un paquete llegó a cero antes de que el paquete llegara a su destino. Esto garantiza que los paquetes más antiguos se descarten antes de que se procesen los reenviados. Recomendamos denegar estos mensajes de una red de confianza a Internet.
MARCA DE TIEMPO ICMP Petición Respuesta	13 14	0 0	Los mensajes de consulta ICMP-TIMESTAMP proporcionan el mecanismo para sincronizar la hora y coordinar la distribución de la hora en una red grande y diversa.
Ping (ICMP ECHO)	8	0	Ping es una utilidad para determinar si un host específico es accesible por su dirección IP. Al denegar la funcionalidad de ping, se elimina la capacidad de comprobar si un host está activo. Permitir ping puede permitir que otros ejecuten un ataque de denegación de servicio (DoS) o Pitufo.
ICMP-ECHO-FRAGMENT-ASSEMBLY-EXPIRE	11	1	El mensaje de error ICMP fragment echo reassembly time expired indica que se ha superado el tiempo de reensamblaje. Recomendamos denegar estos mensajes.
Traceroute Adelante Deseche	30 30	0 1	Traceroute es una utilidad para indicar la ruta para acceder a un host específico. Le recomendamos que deniegue esta utilidad desde Internet (externa) a su red de confianza (interna).

Comportamiento predeterminado de los errores inalcanzables de ICMP

Para diferentes niveles de seguridad, el comportamiento predeterminado para los errores inaccesibles de ICMP se maneja de la siguiente manera:

Las sesiones se cierran para mensajes ICMP de tipo 3, código 0, código 1, código 2 y código 3 solo cuando se cumplen las siguientes condiciones:
- El mensaje ICMP inalcanzable se recibe en la dirección de servidor a cliente.
- No se recibe ningún paquete normal en la dirección de servidor a cliente.
De lo contrario, las sesiones no se cierran.
Las sesiones no se cierran para mensajes ICMP tipo 3, código 4.

Ejemplo: definición de una aplicación ICMP personalizada

En este ejemplo se muestra cómo definir una aplicación ICMP personalizada.

Requisitos
Visión general
Configuración
Verificación

Requisitos

Antes de empezar:

Comprender la aplicación de políticas personalizadas. Consulte Descripción de las aplicaciones de directivas personalizadas.
Comprender la aplicación de política predefinida de ICMP. Consulte Descripción de las aplicaciones de políticas predefinidas de ICMP.

Visión general

Junos OS admite ICMP, así como varios mensajes ICMP, como aplicaciones predefinidas o personalizadas. Al configurar una aplicación ICMP personalizada, se definen un tipo y un código.

Hay diferentes tipos de mensajes dentro de ICMP. Por ejemplo:
- type 0 = Mensaje de solicitud de eco
- type 3 = Mensaje de destino inalcanzable

Un tipo de mensaje ICMP también puede tener un código de mensaje. El código proporciona información más específica sobre el mensaje, como se muestra en la Tabla 14.

Tabla 14: Descripciones de los mensajes
Tipo de mensaje	Código del mensaje
5 = Redirigir	0 = Datagrama de redireccionamiento para la red (o subred)
	1 = Datagrama de redireccionamiento para el host
	2 = Datagrama de redireccionamiento para el tipo de aplicación y red
	3 = Datagrama de redireccionamiento para el tipo de aplicación y host
11 = Códigos de tiempo excedido	0 = Tiempo de vida excedido en tránsito
	1 = Se ha superado el tiempo de reensamblaje del fragmento

Junos OS admite cualquier tipo o código dentro del rango de 0 .55

En este ejemplo, se define una aplicación personalizada denominada host-unreachable mediante ICMP como protocolo de transporte. El tipo es 3 (para destino inalcanzable) y el código es 1 (para host inalcanzable). Establezca el valor de tiempo de espera en 4 minutos.

Nota:

Para obtener más información acerca de los tipos y códigos de ICMP, consulte RFC 792, Protocolo de mensajes de control de Internet.

Configuración

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para definir una aplicación ICMP personalizada:

Establezca el tipo de aplicación y el código.

Establezca el valor del tiempo de espera de inactividad.

Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show applications comando.

EN ESTA PÁGINA