Professional Documents
Culture Documents
Ssg5 Manual
Ssg5 Manual
Copyright Notice
Copyright 2004 Juniper Networks, Inc. All rights reserved. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies. Information in this document is subject to change without notice. No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc. ATTN: General Counsel 1194 N. Mathilda Ave. Sunnyvale, CA 94089-1206
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with NetScreens installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR NETSCREEN REPRESENTATIVE FOR A COPY.
Contenido
Contenido
Prefacio ......................................................................... v
Convenciones ...........................................................vii
Convenciones de la interfaz de lnea de comandos (CLI) ......................................................vii Convenciones de la interfaz grfica (WebUI) .............viii Convenciones para las ilustraciones............................ x Convenciones de nomenclatura y conjuntos de caracteres ................................................................... xi Anlisis FIN.................................................................. 22 Flags no SYN............................................................... 23 Suplantacin de IP ..................................................... 27 Ejemplo: Proteccin contra suplantacin de IP en la capa 3............................................... 30 Ejemplo: Proteccin contra suplantacin de IP en la capa 2............................................... 34 Opciones de IP de ruta de origen ............................. 36
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Contenido
Comportamiento en modo de fallo .................. 108 Mtodo HTTP Keep-Alive .................................... 108 Goteo HTTP ......................................................... 109
Filtrado de URL........................................................111
Filtrado de URL integrado......................................... 112 Servidor de nombres de dominios (DNS)............ 113 Contexto de filtrado de URL ............................... 113 Ejemplo: Activar el filtrado de URL ..................... 114 Categoras URL................................................... 115 Ejemplo: Categora de URL................................ 116 Perfiles de filtrado URL ........................................ 117 Ejemplo: Perfil de filtrado de URL ....................... 119 Perfiles y directivas de URL ................................. 120 Ejemplo: Filtrado de URL integrado.................... 121 Servidores SurfControl ........................................ 124 Cach del filtrado de URL.................................. 125 Ejemplo: Parmetros del cach ........................ 125 Redireccionamiento del filtrado de URL .................. 126 Ejemplo: Configuracin del filtrado de URL ....... 132
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
ii
Contenido Firmas de secuencias TCP ........................................157 Anomalas en el protocolo .......................................157 Grupos de objetos de ataque..................................158 Cambio de los niveles de gravedad .................159 Ejemplo: Deep Inspection para P2P...................161 Desactivacin de objetos de ataque ......................163
Negacin ...............................................................200
Ejemplo: Negacin del objeto de ataque ........ 200
Apndice A Contextos para firmas definidas por el usuario .....................................................................A-I ndice ......................................................................... IX-I
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
iii
Contenido
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
iv
Prefacio
En el Volumen 4, Mecanismos de deteccin de ataques y defensa se describen las opciones de seguridad de red NetScreen de Juniper Networks disponibles en ScreenOS. Muchas de ellas son opciones SCREEN que se pueden activar en el nivel de zona de seguridad. Las opciones SCREEN se aplican al trfico que llega al dispositivo NetScreen a travs de cualquier interfaz asociada a una zona para la que se hayan activado dichas opciones. Las opciones SCREEN ofrecen proteccin contra anlisis de puertos y direcciones IP, ataques de denegacin de servicio (DoS) y cualquier otro tipo de actividad maliciosa. Es posible aplicar otras opciones de seguridad de red, como el filtrado de URL, la comprobacin antivirus y la deteccin y prevencin de intrusiones (IDP), a nivel de directivas. Estas opciones slo se aplican al trfico que se encuentre bajo la jurisdiccin de las directivas en las que se activan. Nota: El objeto de las directivas slo se presenta en este volumen de forma perifrica, tal como se aplica a las opciones de seguridad de red que se pueden activar a nivel de directivas. Para examinar las directivas de forma completa, consulte Directivas en la pgina 2 -307. El material incluido en este volumen est organizado del siguiente modo: En el Captulo 1, Proteccin de una red se resumen las etapas bsicas de un ataque y las opciones de cortafuegos disponibles para combatir al atacante en cada etapa. En el Captulo 2, Bloqueo de reconocimiento se describen las opciones disponibles para bloquear el barrido de direcciones IP, los anlisis de puertos y los intentos de descubrir el tipo de sistema operativo (OS) del sistema objetivo del ataque. En el Captulo 3, Defensas contra los ataques de denegacin de servicio se explican los ataques DoS especficos de cada sistema operativo, red o cortafuegos, y cmo NetScreen amortigua estos ataques.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Prefacio
En el Captulo 4, Supervisin y filtrado de contenidos se describe cmo proteger a los usuarios del protocolo de transferencia de hipertexto (HTTP o Hypertext Transfer Protocol) y del protocolo de transferencia de archivos (FTP o File Transfer Protocol) frente a los localizadores de recursos uniformes (URL o Universal Resource Locator) maliciosos y cmo configurar el dispositivo NetScreen para el trabajo con productos de otros fabricantes con la finalidad de proporcionar anlisis antivirus y filtrado de URL. En el Captulo 5, Deep Inspection se describe cmo configurar el dispositivo NetScreen para obtener actualizaciones de objetos de ataque IDP, cmo crear objetos de ataque y grupos de objetos de ataque definidos por el usuario, y cmo aplicar IDP a nivel de directivas. En el Captulo 6, Atributos de los paquetes sospechosos se indican varias opciones SCREEN que protegen los recursos de red frente a potenciales ataques indicados por atributos de paquete IP e ICMP inusuales. En el Captulo 7, Prevencin de ataques de sobrefacturacin de GPRS se describe el ataque de sobrefacturacin de GPRS (overbilling) y se explica la solucin. En el Apndice A, Contextos para firmas definidas por el usuario se proporcionan descripciones de los contextos que se pueden especificar al definir un objeto de ataque de firma completa.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
vi
Prefacio
Convenciones
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones: Convenciones de la interfaz de lnea de comandos (CLI) Convenciones de la interfaz grfica (WebUI) en la pgina viii Convenciones para las ilustraciones en la pgina x Convenciones de nomenclatura y conjuntos de caracteres en la pgina xi
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables, que siempre aparecen en cursiva ). Por ejemplo: Utilice el comando get system para visualizar el nmero de serie de un dispositivo NetScreen. Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer de forma inequvoca la palabra que se est introduciendo. Por ejemplo, es suficiente escribir set adm u joe j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este mtodo se puede utilizar para introducir comandos, en la presente documentacin todos ellos se representan con sus palabras completas.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
vii
Prefacio
Convenciones
4 1 2 3
1. Haga clic en Objects en la columna de men. La opcin de men Objects se desplegar para mostrar las opciones subordinadas que contiene. 2. (Men Applet) Site el mouse sobre Addresses. (Men DHTML) Haga clic en Addresses. La opcin de men Addresses se desplegar para mostrar las opciones subordinadas que contiene.
3. Haga clic en List. Aparecer la tabla de libretas de direcciones. 4. Haga clic en el vnculo New. Aparecer el cuadro de dilogo de configuracin de nuevas direcciones.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
viii
Prefacio
Convenciones
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos partes: la ruta de navegacin y los datos de configuracin. Por ejemplo, el siguiente conjunto de instrucciones incluye la ruta al cuadro de dilogo de configuracin de direcciones y los ajustes de configuracin que se deben realizar: Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.
IP Address Name/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust Haga clic en OK .
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
ix
Prefacio
Convenciones
Internet
Zona de seguridad
Interfaces de zonas de seguridad Blanca = interfaz de zona protegida (ejemplo: zona Trust) Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust) Interfaz de tnel Tnel VPN Icono de enrutador (router)
Equipo porttil Dispositivo de red genrico (ejemplos: servidor NAT, concentrador de acceso)
Servidor
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Prefacio
Convenciones
ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Nota: Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador web. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
xi
Prefacio
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
xii
Captulo 1
Puede haber numerosos motivos para penetrar en una red protegida. La siguiente lista contiene algunos objetivos comunes: Obtener el siguiente tipo de informacin sobre la red protegida: Topologa de la red Direcciones IP de los hosts activos Nmeros de los puertos activos de los hosts activos Sistema operativo de los hosts activos Colapsar un host de una red protegida con trfico fantasma para inducir una denegacin de servicio (DoS) Colapsar una red protegida con trfico fantasma para inducir un DoS en toda la red Colapsar un cortafuegos con trfico fantasma e inducir un DoS para la red a la que protege Provocar daos y robar datos de un host de la red protegida Conseguir acceso a un host de la red protegida para obtener informacin Lograr el control de un host para lanzar otros exploits Apoderarse de un cortafuegos para controlar el acceso a la red a la que protege ScreenOS ofrece herramientas de deteccin y defensa que permiten descubrir y frustrar los esfuerzos de los hackers por alcanzar los objetivos mencionados anteriormente cuando intentan atacar una red protegida por un dispositivo NetScreen. Este captulo proporciona en primer lugar una vista general de las principales etapas de un ataque y de los diversos mecanismos de defensa que se pueden emplear para frustrar un ataque en cualquier etapa: Etapas de un ataque en la pgina 2 Mecanismos de deteccin y defensa en la pgina 3 Supervisin de exploits en la pgina 5
1
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Etapas de un ataque
ETAPAS DE UN ATAQUE
Normalmente, los ataques se desarrollan en dos etapas principales. En la primera etapa, el atacante recopila informacin; en la segunda etapa, lanza el ataque propiamente dicho. 1. Realizar el reconocimiento. 1. Asignar la red y determinar qu hosts estn activos (barrido de direcciones IP). 2. Averiguar qu puertos estn activos (anlisis de puertos) en los hosts detectados mediante el barrido de direcciones IP. 3. Determinar el sistema operativo (OS), con lo que se puede revelar una debilidad del OS o un tipo de ataque al que sea susceptible ese OS en particular. Lanzar el ataque. 1. Ocultar el origen del ataque. 2. Realizar el ataque. 3. Eliminar u ocultar las pruebas.
2.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
A continuacin se incluye un esquema de los conjuntos de mecanismos de defensa que ofrece un cortafuegos de NetScreen para la proteccin de una red:
Opciones de proteccin de red
Bloqueo de reconocimiento Barrido de direcciones IP Anlisis de puertos Rastreo del sistema operativo Tcnicas de evasin Supervisin y filtrado de contenidos Reensamblaje de fragmentos Anlisis antivirus Filtrado de URL Deep Inspection Defensas contra los ataques de denegacin de servicio Ataques DoS contra el cortafuegos Inundacin de la tabla de sesiones Inundacin proxy SYN-ACK-ACK Ataques DoS contra la red Inundacin SYN Inundacin ICMP Inundacin UDP Ataque terrestre (Land Attack) Ataques DoS especficos de cada sistema operativo Ping of Death Firmas completas Anomalas en el protocolo Bloqueo granular de los componentes de HTTP Prevencin de ataques de sobrefacturacin de GPRS Descripcin del ataque de sobrefacturacin Solucin al ataque de sobrefacturacin Ataque Teardrop WinNuke Atributos de los paquetes sospechosos
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Supervisin de exploits
Como ya hemos mencionado, los ajustes de proteccin de red de NetScreen operan a dos niveles: zona de seguridad y directiva. El dispositivo NetScreen ofrece defensas frente a ataques DoS y medidas de bloqueo de reconocimiento a nivel de zona de seguridad. En el rea de supervisin y filtrado de contenidos, el dispositivo NetScreen aplica un reensamblaje de fragmentos a nivel de zona y un anlisis antivirus (AV) y un filtrado de localizadores de recursos uniformes (URL) a nivel de directivas. El dispositivo NetScreen aplica IDP a nivel de directivas, excepto para la deteccin y el bloqueo de componentes HTTP, que se realiza a nivel de zona. Los ajustes de cortafuegos a nivel de zona son opciones SCREEN. Una opcin de proteccin de red ajustada en una directiva es un componente de dicha directiva.
SUPERVISIN DE EXPLOITS
Aunque normalmente se utiliza el dispositivo NetScreen para bloquear exploits, puede haber ocasiones en las que se desee obtener informacin sobre ellos. Es posible que desee estudiar detenidamente un exploit concreto para descubrir su intencin, su nivel de sofisticacin o incluso su origen (si el atacante es descuidado o poco sofisticado). Si desea obtener informacin sobre un exploit, puede dejar que acte, supervisarlo, analizarlo, investigarlo y reaccionar tal como se haya esbozado en un plan de respuesta ante incidentes preparado con anterioridad. Puede configurar el dispositivo NetScreen para que le notifique la existencia de un exploit, pero que, en lugar de tomar medidas, permita que el exploit se filtre. En tal caso, podr estudiar qu ha ocurrido e intentar comprender el mtodo, la estrategia y los objetivos del atacante. Cuanto mejor comprenda las amenazas que acechan la red, mejor podr fortificar sus defensas. Aunque un hacker astuto puede ocultar su ubicacin e identidad, tal vez sea capaz de averiguar la suficiente informacin como para determinar dnde se origin el ataque. Puede que tambin sea capaz de estimar las habilidades del atacante. Este tipo de informacin le permitir calcular su respuesta.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Supervisin de exploits
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic en Apply : Generate Alarms without Dropping Packet : (seleccione) IP Address Spoof Protection: (seleccione)
CLI
set zone untrust screen alarm-without-drop set zone untrust screen ip-spoofing save
2.
Un sistema trampa es un servidor de red que se utiliza como seuelo para atraer a los atacantes y registrar sus movimientos durante un ataque.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Captulo 2
Bloqueo de reconocimiento
Los atacantes pueden planificar mejor sus ataques si antes conocen el diseo de la red objetivo del ataque (qu direcciones IP tienen los hosts activos), los puntos de entrada posibles (qu nmeros de puertos estn activos en los hosts activos) y la constitucin de sus vctimas (qu sistema operativo se est ejecutando en los hosts activos). Para obtener esta informacin, es necesario realizar un reconocimiento. Juniper NetScreen ofrece varias opciones SCREEN para frustrar los intentos de reconocimiento de los atacantes e impedir que obtengan informacin valiosa sobre la red y los recursos de red protegidos. Barrido de direcciones IP en la pgina 8 Anlisis de puertos en la pgina 10 Reconocimiento de red mediante opciones IP en la pgina 12 Rastreo del sistema operativo en la pgina 16 Flags SYN y FIN activados en la pgina 16 Flag FIN sin flag ACK en la pgina 18 Encabezado TCP sin flags activados en la pgina 20 Tcnicas de evasin en la pgina 22 Anlisis FIN en la pgina 22 Flags no SYN en la pgina 23 Suplantacin de IP en la pgina 27 Opciones de IP de ruta de origen en la pgina 36
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Barrido de direcciones IP
BARRIDO DE DIRECCIONES IP
Se produce un barrido de direcciones cuando una direccin IP de origen enva 10 paquetes ICMP a distintos hosts en un intervalo definido (el valor predeterminado es 5000 microsegundos). El objetivo de este esquema es enviar paquetes ICMP (normalmente peticiones de eco) a varios hosts con la esperanza de que al menos uno responda, dejando al descubierto una direccin a la que apuntar. El dispositivo NetScreen registra de forma interna el nmero de paquetes ICMP enviados a diversas direcciones desde un origen remoto. Mediante los ajustes predeterminados, si un host remoto enva trfico ICMP a 10 direcciones en 0,005 segundos (5000 microsegundos), NetScreen lo marcar como un ataque de barrido de direcciones y rechazar todos los paquetes ICMP siguientes procedentes de dicho host hasta que transcurra el resto del segundo.
Origen: 2.2.2.5 (probablemente una direccin suplantada o un agente zombie) Untrust
ethernet3 1.1.1.1/24
Paquetes ICMP 11 paquetes ICMP en 0,005 segundos (Recuerde que, a partir del dcimo paquete ICMP, el dispositivo NetScreen registra un barrido de direcciones IP y rechaza el paquete undcimo). Dir. origen 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 Dir. destino 1.2.2.5 1.2.2.160 1.2.2.84 1.2.2.211 1.2.2.10 1.2.2.20 1.2.2.21 1.2.2.240 1.2.2.17 1.2.2.123 1.2.2.6 El dispositivo NetScreen realiza una entrada en su tabla de sesiones para los 10 primeros paquetes ICMP procedentes de 2.2.2.5 y realiza una consulta de rutas y una consulta de directivas para ellos. Si ninguna directiva permite estos paquetes, el dispositivo NetScreen los marca como no vlidos y los elimina de la tabla de sesiones en el siguiente barrido de basura, que se realiza cada dos segundos. A partir del dcimo paquete, el dispositivo NetScreen rechaza todo el trfico ICMP procedente de 2.2.2.5.
Rechazado Nota: Un agente zombie es un host comprometido bajo el control encubierto de un atacante.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Barrido de direcciones IP
Estudie la activacin de esta opcin SCREEN para una zona de seguridad slo si existe una directiva que permita el trfico ICMP procedente de dicha zona. De lo contrario, no es necesario activarla. Si no existe tal directiva, se rechaza todo el trfico ICMP procedente de la zona, impidiendo a los atacantes que realicen un barrido de direcciones IP con xito. Para bloquear los barridos de direcciones IP originados en una zona de seguridad en concreto, utilice una de las siguientes soluciones:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : IP Address Sweep Protection: (seleccione) Threshold: (introduzca un valor que active la proteccin contra barridos de direcciones IP1)
CLI
set zone zone screen port-scan threshold number set zone zone screen ip-sweep
1.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Anlisis de puertos
ANLISIS DE PUERTOS
Un anlisis de puertos se produce cuando una direccin IP de origen enva paquetes IP con segmentos TCP SYN a 10 puertos distintos en la misma direccin IP de destino en un intervalo definido (5000 microsegundos es el valor predeterminado). El objetivo de este esquema es analizar los servicios disponibles con la esperanza de que al menos un puerto responda, identificando un servicio al que dirigir su ataque. El dispositivo NetScreen registra de forma interna el nmero de los diversos puertos analizados desde un origen remoto. Mediante los ajustes predeterminados, si un host remoto analiza 10 puertos en 0,005 segundos (5000 microsegundos), NetScreen lo marcar como un ataque de anlisis de puertos y rechazar todos los paquetes procedentes del origen remoto (independientemente de la direccin IP de destino) hasta que transcurra el resto del segundo.
Origen: 2.2.2.5 (probablemente una direccin suplantada o un agente zombie) Untrust
ethernet3 1.1.1.1/24
ethernet2 1.2.2.1/24
DMZ Destino: 1.2.2.5 El dispositivo NetScreen realiza una entrada en su tabla de sesiones para los 10 primeros intentos de conexin a 1.2.2.5 procedentes de 2.2.2.5 y realiza una consulta de rutas y una consulta de directivas para ellos. Si ninguna directiva permite estos intentos de conexin, el dispositivo NetScreen los marca como no vlidos y los elimina de la tabla de sesiones en el siguiente barrido de basura, que se realiza cada dos segundos. A partir del dcimo intento, el dispositivo NetScreen rechaza todos los intentos de conexin procedentes de 2.2.2.5.
Paquetes IP con segmentos TCP SYN 11 segmentos SYN en 0,005 segundos (Recuerde que, a partir del dcimo paquete IP con segmentos TCP SYN destinado a diversos puertos de la misma direccin IP de destino, el dispositivo NetScreen lo registra como anlisis de puertos y rechaza todos los paquetes procedentes de la direccin de origen). Rechazado Dir. origen:puerto 2.2.2.5:17820 2.2.2.5:42288 2.2.2.5:22814 2.2.2.5:15401 2.2.2.5:13373 2.2.2.5:33811 2.2.2.5:17821 2.2.2.5:19003 2.2.2.5:26450 2.2.2.5:38087 2.2.2.5:24111 Dir. destino:puerto 1.2.2.5:21 1.2.2.5:23 1.2.2.5:53 1.2.2.5:80 1.2.2.5:111 1.2.2.5:113 1.2.2.5:123 1.2.2.5:129 1.2.2.5:137 1.2.2.5:138 1.2.2.5:139
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
10
Anlisis de puertos
Para bloquear los anlisis de puertos originados en una zona de seguridad en concreto, utilice una de las siguientes soluciones:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : Port Scan Protection: (seleccione) Threshold: (introduzca un valor que active la proteccin contra anlisis de puertos2)
CLI
set zone zone screen port-scan threshold number set zone zone screen port-scan
2.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
11
La norma RFC 791 admite que estas opciones no son necesarias para las comunicaciones ms comunes y, en realidad, rara vez aparecen en encabezados de paquetes IP. Cuando aparecen, normalmente estn vinculadas a un uso con propsitos perniciosos. A continuacin se incluye una lista de todas las opciones IP y los atributos que las acompaan:
Tipo End of Options No Options Clase 0* 0 Nmero Tamao 0 1 0 0 Uso intencionado Indica el final de una o ms opciones IP. Ninguno Uso pernicioso
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
12
Tipo Security
Clase 0
Nmero Tamao 2
Uso intencionado
Uso pernicioso Desconocido, pero como se trata de una opcin obsoleta, su presencia en un encabezado IP resulta sospechosa.
11 bits Ofrece un medio para que los hosts enven seguridad, compartimentacin, parmetros TCC (grupo de usuarios cerrado) y cdigos de restriccin de uso compatibles con los requisitos del Ministerio de defensa (DoD) de Estados Unidos. (Esta opcin, tal como se especifica en las normas RFC 791, Internet Protocols y RFC 1038, Revised IP Security Option est obsoleta). Variable Especifica una lista de rutas parcial que debe tomar un paquete en su trayecto desde el punto de origen al de destino. El paquete debe avanzar en el orden de direcciones especificado, pero se le permite atravesar otros enrutadores intermedios. Variable Registra las direcciones IP de los dispositivos de red del itinerario que recorre el paquete IP. El equipo de destino puede extraer y procesar la informacin de ruta. (Debido a la limitacin de espacio de 40 bytes tanto para la opcin como para el espacio de almacenamiento, slo se puede registrar un mximo de 9 direcciones IP).
Evasin. El atacante puede utilizar las rutas especificadas para ocultar el verdadero origen de un paquete u obtener acceso a una red protegida. (Consulte Opciones de IP de ruta de origen en la pgina 36).
Record Route
Reconocimiento. Si el host de destino es un equipo comprometido bajo el control del atacante, ste puede obtener informacin sobre la topologa y el esquema de direccionamiento de la red atravesada por el paquete.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
13
Tipo Stream ID
Clase 0
Uso intencionado (Obsoleta) Ofreca un medio para que el identificador de secuencia SATNET de 16 bits se transportara por redes incompatibles con el concepto de secuencia.
Uso pernicioso Desconocido, pero como se trata de una opcin obsoleta, su presencia en un encabezado IP resulta sospechosa. Evasin. Un atacante puede utilizar las rutas especificadas para ocultar el verdadero origen de un paquete u obtener acceso a una red protegida. (Consulte Opciones de IP de ruta de origen en la pgina 36). Reconocimiento. Si el host de destino es un equipo comprometido bajo el control del atacante, ste puede obtener informacin sobre la topologa y el esquema de direccionamiento de la red atravesada por el paquete.
Variable Especifica la lista de la ruta completa que debe tomar un paquete en su trayecto desde el punto de origen al de destino. La ltima direccin de la lista sustituye a la direccin del campo de destino. Registra la hora (en formato de horario universal ) en la que cada dispositivo de red recibe el paquete durante su itinerario desde el punto de origen al de destino. Los dispositivos de red se identifican por su nmero IP. Esta opcin desarrolla una lista de direcciones IP de los enrutadores del itinerario del paquete y la duracin de transmisin entre cada uno de ellos.
Timestamp
La clase de opciones identificada como 0 estaba diseada para proporcionar control de red o paquetes adicionales. La clase de opciones identificada como 2 se dise para el diagnstico, la depuracin y la medicin. La marca de hora utiliza el nmero de milisegundos desde la media noche en horario universal (UT). Este horario tambin se denomina horario medio de Greenwich (GMT) y es la base para la norma horaria internacional.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
14
Las siguientes opciones SCREEN detectan las opciones IP que un atacante puede utilizar para el reconocimiento o cualquier otro propsito desconocido, pero sospechoso: Record Route: el dispositivo NetScreen detecta paquetes en los que la opcin IP sea 7 (Record Route) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Timestamp: el dispositivo NetScreen detecta paquetes en los que la lista de opciones IP incluya la opcin 4 (Internet Timestamp) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Security: el dispositivo NetScreen detecta paquetes en los que la opcin IP sea 2 (Security) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Stream ID: el dispositivo NetScreen detecta paquetes en los que la opcin IP sea 8 (Stream ID) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada.
Para detectar paquetes con las opciones IP anteriores ajustadas, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : IP Record Route Option Detection: (seleccione) IP Timestamp Option Detection: (seleccione) IP Security Option Detection: (seleccione) IP Stream Option Detection: (seleccione)
CLI
set set set set zone zone zone zone zone zone zone zone screen screen screen screen ip-record-route ip-timestamp-opt ip-security-opt ip-stream-opt
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
15
Nmero de secuencia de 32 bits Nmero de reconocimiento de 32 bits Tamao de encabezado de 4 bits Reservado (6 bits) U A P R S F R C S S Y I G K H T N N Tamao de ventana de 16 bits Indicador urgente de 16 bits 20 bytes
Suma de comprobacin de TCP de 16 bits Opciones (si las hay) Datos (si los hay) Los flags SYN y FIN estn activados.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
16
Un atacante puede enviar un segmento con ambos flags activados para ver qu tipo de respuesta de sistema se devuelve y determinar de este modo qu tipo de OS se utiliza en el punto de destino. A continuacin, el atacante puede emplear cualquier vulnerabilidad conocida del sistema para futuros ataques. Al activar esta opcin SCREEN, el dispositivo NetScreen comprueba si los flags SYN y FIN estn activados en encabezados TCP. Si descubre un encabezado de tales caractersticas, descarta el paquete. Para bloquear paquetes con los flags SYN y FIN activados, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYN and FIN Bits Set Protection y haga clic en Apply .
CLI
set zone zone screen syn-fin
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
17
Nmero de secuencia de 32 bits Nmero de reconocimiento de 32 bits Tamao de encabezado de 4 bits Reservado (6 bits) U A P R S F R C S S Y I G K H T N N Tamao de ventana de 16 bits Indicador urgente de 16 bits Opciones (si las hay) Datos (si los hay) Slo est activado el flag FIN. 20 bytes
3.
Los proveedores han interpretado la norma RFC 793 Transmission Control Protocol (protocolo de control de la transmisin) de diversas formas a la hora de disear las implementaciones TCP/IP. Cuando se recibe un segmento TCP con el flag FIN activado y el flag ACK sin activar, determinadas implementaciones envan segmentos RST. Otras descartan el paquete sin enviar ningn segmento RST.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
18
Al activar esta opcin SCREEN, el dispositivo NetScreen comprueba si el flag FIN est activado y el flag ACK est desactivado en encabezados TCP. Si descubre un paquete con este tipo de encabezado, descarta el paquete. Para bloquear paquetes con el flag FIN activado y el flag ACK desactivado, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione FIN Bit with No ACK Bit in Flags Protection y haga clic en Apply .
CLI
set zone zone screen fin-no-ack
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
19
Nmero de secuencia de 32 bits Nmero de reconocimiento de 32 bits Tamao de encabezado de 4 bits Reservado (6 bits) U A P R S F R C S S Y I G K H T N N Tamao de ventana de 16 bits Indicador urgente de 16 bits 20 bytes
Suma de comprobacin de TCP de 16 bits Opciones (si las hay) Datos (si los hay) No hay ningn flag activado.
Si el dispositivo NetScreen est habilitado para detectar encabezados de segmento TCP sin flags activados, descartar todos los paquetes TCP que carezcan de campo de flags o que tengan un campo de flags mal formado.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
20
Para bloquear los paquetes que no tengan ningn flag activado, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione TCP Packet without Flag Protection y haga clic en Apply .
CLI
set zone zone screen tcp-no-flag
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
21
Tcnicas de evasin
TCNICAS DE EVASIN
Ya sea mientras recopila informacin o lanza un ataque, el atacante normalmente necesita evitar que lo detecten. Aunque ciertos anlisis de direcciones IP y puertos son tan descarados que se pueden detectar fcilmente, algunos atacantes con mayores recursos utilizar una gran cantidad de medios para ocultar su actividad. Tcnicas tales como la utilizacin de anlisis FIN en lugar de anlisis SYN (que los atacantes saben que la mayora de cortafuegos y programas de deteccin de intrusiones detectan) indican una evolucin en las tcnicas de reconocimiento y explotacin de vulnerabilidades con el objetivo de eludir la deteccin y llevar a cabo sus acciones.
Anlisis FIN
Un anlisis FIN enva segmentos TCP con el flag FIN activado para intentar provocar una respuesta (un segmento TCP con el flag RST activado) y as descubrir un host activo o un puerto activo en un host. El atacante puede utilizar este mtodo, no para realizar un barrido de direcciones con peticiones de eco ICMP o un anlisis de direcciones con segmentos SYN, sino porque sabe que muchos cortafuegos se defienden contra estos dos ltimos, pero no necesariamente contra los segmentos FIN. Si se utilizan segmentos TCP con el flag FIN activado se puede evadir la deteccin, permitiendo as que el atacante tenga xito en su intento de reconocimiento. Para frustrar un anlisis FIN, puede ejecutar cualquiera de las siguientes acciones o ambas: Habilitar la opcin SCREEN que bloquea especficamente segmentos TCP con el flag FIN activado, pero no el flag ACK, lo que no es normal en un segmento TCP: WebUI: Screening > Screen: Seleccione la zona a la que desea aplicar esta opcin SCREEN en la lista desplegable Zone y seleccione FIN Bit With No ACK Bit in Flags Protection . CLI: Escriba set zone name screen fin-no-ack , donde name es el nombre de la zona a la que desea aplicar esta opcin SCREEN . Cambie el comportamiento de procesamiento de paquetes para rechazar todos los paquetes no SYN que no pertenezcan a una sesin existente, mediante el comando CLI: set flow tcp-syn-check . (Para obtener ms informacin sobre la comprobacin del flag SYN, consulte la siguiente seccin, Flags no SYN en la pgina 23). Nota: Cambiando el flujo de paquetes para comprobar que el flag SYN est activado para los paquetes no pertenecientes a sesiones existentes tambin se frustran otros tipos de anlisis no SYN, tales como los anlisis nulos (null scan, es decir, cuando no hay ningn flag de TCP activo).
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
22
Tcnicas de evasin
Flags no SYN
De forma predeterminada4, el dispositivo NetScreen comprueba si hay flags SYN en el primer paquete de una sesin y rechaza cualquier segmento TCP con flags distintos de SYN que intenten iniciar una sesin. Puede dejar este flujo de paquetes tal cual o cambiarlo para que el dispositivo NetScreen no fuerce la comprobacin de flags SYN antes de crear una sesin. A continuacin se muestran las secuencias de flujo de los paquetes cuando se 5 inhabilita y habilita la comprobacin de flag SYN : Con la comprobacin de flag SYN habilitada
Llega un paquete a la interfaz de entrada
Consulta de sesiones
En sesin
Actualizacin de sesiones
ADELANTE
Consulta de sesiones
En sesin
Actualizacin de sesiones
ADELANTE
No en sesin
No en sesin
Consulta de directivas
Permitir
Creacin de sesiones
ADELANTE
Consulta de directivas
Permitir
Creacin de sesiones
ADELANTE
Denegar DESCARTAR
4.
No DESCARTAR
Denegar DESCARTAR
De forma predeterminada, la comprobacin de flags SYN de TCP en el paquete inicial de una sesin se habilita al instalar un dispositivo NetScreen que ejecute ScreenOS 5.1.0. Si se actualiza desde una versin anterior a ScreenOS 5.1.0, la comprobacin de SYN permanece desactivada de forma predeterminada (a menos que haya cambiado previamente el comportamiento predeterminado). Estos flujos de paquetes son los mismos si la interfaz de entrada est funcionando en la capa 3 (ruta o modo NAT) o en la capa 2 (modo transparente).
5.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
23
Tcnicas de evasin
Cuando el dispositivo NetScreen con la comprobacin de flags SYN est activado recibe un segmento TCP distinto de SYN que no pertenece a una sesin existente, descarta el paquete y enva un TCP RST al host de origen (a menos que el bit de cdigo del paquete TCP inicial distinto de SYN sea tambin RST). En ese caso, el dispositivo NetScreen descarta simplemente el paquete. La comprobacin de SYN se puede habilitar e inhabilitar con los siguientes comandos CLI: set flow tcp-syn-check unset flow tcp-syn-check No comprobar el flag SYN en los primeros paquetes ofrece las siguientes ventajas: NSRP con enrutamiento asimtrico: En una configuracin NSRP activa/activa en un entorno de enrutamiento dinmico, un host puede enviar el segmento inicial TCP con el flag SYN activado a un dispositivo NetScreen (NetScreen-A), pero la seal SYN/ACK podra enrutarse al otro dispositivo NetScreen del clster (NetScreen-B). Si este enrutamiento asimtrico se produce despus de que NetScreen-A haya sincronizado su sesin con NetScreen-B, todo est en orden. Por el contrario, si la respuesta SYN/ACK llega a NetScreen-B antes de que NetScreen-A haya sincronizado la sesin y la comprobacin de SYN est habilitada, NetScreen-B rechaza SYN/ACK, lo que impide establecer la sesin. Con la comprobacin de SYN inhabilitada, NetScreen-B acepta la respuesta SYN/ACK (aunque no pertenezca a ninguna sesin existente) y crea para ella una nueva entrada en la tabla de sesiones. Sesiones no interrumpidas: Si la comprobacin de SYN est habilitada y se agrega un dispositivo NetScreen en modo transparente a una red operativa, se interrumpen todas las sesiones existentes, que debern reiniciarse6. Esta interrupcin puede ser muy molesta para sesiones muy largas, como las de transferencias de datos o las de copias de seguridad de grandes bases de datos. De forma similar, si se restablece el dispositivo NetScreen o incluso se cambia un componente en la seccin central de una directiva7 y la comprobacin de SYN est habilitada, todas las sesiones existentes (o las sesiones a las que afecte la modificacin de la directiva) se interrumpirn y debern ser reiniciadas. Inhabilitar la comprobacin de SYN evita esas interrupciones al trfico de la red.
6. 7.
Una solucin a esta situacin es instalar el dispositivo NetScreen con la comprobacin de SYN inicialmente inhabilitada. Transcurridas algunas horas (cuando las sesiones establecidas se estn ejecutando a travs del dispositivo NetScreen), habilite la comprobacin de SYN. La seccin central de una directiva contiene los siguientes componentes principales: zonas de origen y de destino, direcciones de origen y de destino, uno o ms servicios y una accin.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
24
Tcnicas de evasin
Sin embargo, observe que las ventajas indicadas requieren los siguientes sacrificios en seguridad: Agujeros de reconocimiento: Cuando un segmento TCP inicial con un flag que no sea SYN (como ACK, URG, RST, FIN) llega a un puerto cerrado, muchos sistemas operativos (Windows, por ejemplo) responden con un segmento TCP cuyo flag RST est activado. Si el puerto est abierto, el receptor no genera ninguna respuesta. Analizando las respuestas o la ausencia de stas, un recopilador de inteligencia puede realizar un reconocimiento en la red protegida y tambin en el conjunto de directivas de NetScreen. Si despus enva un segmento TCP con un flag no SYN activado y la directiva le permite el paso, el host de destino del segmento podra descartarlo y responder con un segmento TCP cuyo flag RST est activado. Tal respuesta informa al intruso sobre la presencia de un host activo en una direccin especfica y le indica que el nmero de puerto de destino est cerrado. El recopilador de inteligencia tambin averigua que la directiva del cortafuegos permite acceder a ese nmero de puerto en ese host. Con la comprobacin del flag SYN habilitada, el dispositivo NetScreen descarta los segmentos TCP que no tengan flag SYN siempre que no pertenezcan a una sesin existente. El dispositivo no devolver un segmento TCP RST. Por lo tanto, el escner no obtendr ninguna respuesta, sea cual sea el conjunto de directivas o tanto si el puerto est abierto como cerrado en el host de destino. Inundaciones de tablas de sesiones: Si la comprobacin de SYN est inhabilitada, un atacante puede evitar la funcin de proteccin contra inundaciones SYN de NetScreen inundando una red protegida con una cantidad ingente de segmentos TCP que tengan flags que no sean SYN activados. Aunque los hosts atacados descartarn los paquetes (y posiblemente enven segmentos TCP RST como respuesta), tal inundacin podra llenar la tabla de sesiones del dispositivo NetScreen. Con la tabla de sesiones llena, el dispositivo NetScreen no puede procesar nuevas sesiones de trfico legtimo. Habilitando la comprobacin de SYN y la proteccin contra inundaciones SYN, se puede frustrar esta clase de ataques. La comprobacin de si el flag SYN est activado en el paquete inicial de una sesin fuerza a todas las nuevas sesiones a comenzar con un segmento TCP que tenga el flag SYN activado. A continuacin, la proteccin contra inundaciones SYN limita el nmero de segmentos TCP SYN por segundo para evitar saturaciones en la tabla de sesiones. Nota: Para obtener informacin sobre las inundaciones de la tabla de sesiones, consulte Inundacin de la tabla de sesiones en la pgina 42. Para obtener ms informacin sobre inundaciones SYN, consulte Inundacin SYN en la pgina 52.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
25
Tcnicas de evasin
Si no necesita desactivar la comprobacin de SYN, Juniper Networks le recomienda dejarla activada (su estado predeterminado en una instalacin inicial de ScreenOS 5.1.0). Puede activarla con el comando siguiente: set flow tcp-syn-check . Con la comprobacin de SYN habilitada, el dispositivo NetScreen rechaza los segmentos TCP con flags no SYN activados, salvo que pertenezcan a una sesin establecida.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
26
Tcnicas de evasin
Suplantacin de IP
Un mtodo para intentar acceder a un rea restringida de la red es insertar una direccin de origen falsa en el encabezado del paquete para que parezca que procede de un lugar de origen confiable. Esta tcnica se conoce como suplantacin de IP (IP Spoofing). Para detectar esta tcnica, NetScreen dispone de dos mtodos con el mismo objetivo: determinar si el paquete procede de una ubicacin distinta de la indicada en el encabezado. El mtodo que utilizar el dispositivo NetScreen depender de si funciona en la capa 3 o en la capa 2 del modelo OSI. Capa 3: cuando las interfaces del dispositivo NetScreen funcionan en modo de ruta o en modo NAT, el mecanismo para detectar la suplantacin de IP depender de las entradas de la tabla de rutas. Si, por ejemplo, un paquete con la direccin IP de origen 10.1.1.6 llega a ethernet3, pero el dispositivo NetScreen tiene una ruta a 10.1.1.0/24 a travs de ethernet1, la comprobacin de suplantacin de IP detectar que esta direccin ha llegado a una interfaz no vlida, ya que segn la definicin de la tabla de rutas un paquete vlido procedente de 10.1.1.6 slo puede llegar a travs de ethernet1, no de ethernet3. As, el dispositivo concluye que el paquete es una direccin IP de origen suplantada y la descarta.
2. Como la proteccin contra suplantacin de IP est activada en la zona Untrust, el dispositivo NetScreen comprueba si 10.1.1.6 es una direccin IP de origen vlida para los paquetes que llegan a ethernet3.
1. Un paquete IP llega a ethernet3. Su direccin IP de origen es 10.1.1.6. Paquete IP con IP origen 10.1.1.6
1 3
Zona Untrust
2
ethernet3 1.1.1.1/24
X
3. Si al consultar la tabla de rutas observa que 10.1.1.6 no es una direccin IP de origen vlida para un paquete que llega a ethernet3, el dispositivo NetScreen rechazar el paquete.
Tabla de rutas
ID 1
Zona Trust ethernet1 10.1.1.1/24
Prefijo IP 10.1.10/24
Interfaz eth1
P C
Subred: 10.1.1.0/24
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
27
Tcnicas de evasin
Si la direccin IP de origen de un paquete no aparece en la tabla de rutas, el dispositivo NetScreen permite su paso de forma predeterminada (asumiendo que existe una directiva que lo permite). Si utiliza el siguiente comando CLI (donde la zona de seguridad especificada ser la zona de donde proceden los paquetes), puede hacer que el dispositivo NetScreen descarte cualquier paquete cuya direccin IP de origen no se incluya en la tabla de rutas: set zone zone screen ip-spoofing drop-no-rpf-route Capa 2: si las interfaces del dispositivo NetScreen funcionan en modo transparente, el mecanismo de comprobacin de suplantacin de IP utilizar las entradas de la libreta de direcciones. Por ejemplo, ha definido una direccin para serv A como 1.2.2.5/32 en la zona V1-DMZ. Si un paquete con la direccin IP de origen 1.2.2.5 llega a una interfaz de la zona V1-Untrust (ethernet3), la comprobacin de suplantacin de IP detectar que esta direccin ha llegado a una interfaz incorrecta. La direccin pertenece a la zona V1-DMZ y no a la zona V1-Untrust, por lo que slo se aceptara en ethernet2, que es la interfaz asociada a V1-DMZ. El dispositivo concluye que el paquete es una direccin IP de origen suplantada y la descarta.
2. Como la proteccin contra suplantacin de IP est activada en la zona V1-Untrust, el dispositivo NetScreen comprueba si 1.2.2.5 es una direccin IP de origen vlida para los paquetes procedentes de la zona V1-Untrust.
1. Un paquete IP llega procedente de la zona V1-Untrust. Su direccin IP de origen es 10.2.2.5. Paquete IP con IP origen 10.2.2.5
Zona V1-Untrust
2
ethernet3 0.0.0.0/0 Nombre de zona de direccin: V1-DMZ
3. Si al consultar la libreta de direcciones observa que 1.2.2.5 no es una direccin IP de origen vlida para un paquete procedente de la zona V1-Untrust, el dispositivo NetScreen rechazar el paquete.
X
Subred: 1.2.2.0/24 serv A 1.2.2.5 ethernet2 0.0.0.0/0 Zona V1-DMZ
Nombre serv A
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
28
Tcnicas de evasin
Tenga cuidado al definir direcciones para la subred que abarca varias zonas de seguridad. En la ilustracin anterior, 1.2.2.0/24 pertenece tanto a la zona V1-Untrust como a la zona V1-DMZ. Si configura el dispositivo NetScreen tal y como se describe a continuacin, bloquear el trfico procedente de la zona V1-DMZ cuyo paso desea permitir: Ha definido una direccin para 1.2.2.0/24 en la zona V1-Untrust. Dispone de una directiva que permite el trfico desde cualquier direccin de la zona V1-DMZ hacia cualquier direccin de la zona V1-Untrust ( set policy from v1-dmz to v1-untrust any any any permit ). Habilita la comprobacin de suplantacin de IP. Como las direcciones de la zona V1-DMZ tambin se encuentran en la subred 1.2.2.0/24, cuando el trfico procedente de esas direcciones llegue a ethernet2, la comprobacin de suplantacin de IP consultar la libreta de direcciones y encontrar 1.2.2.0/24 en la zona V1-Untrust. En consecuencia, el dispositivo NetScreen bloquear el trfico.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
29
Tcnicas de evasin
Si habilita la opcin SCREEN para proteccin contra suplantacin de direcciones IP pero no indica estas tres rutas, el dispositivo NetScreen descartar todo trfico de las direcciones que aparecen en la columna Destino e insertar las alarmas correspondientes en el registro de eventos. Por ejemplo, si un paquete con la direccin de origen 10.1.2.5 llega a ethernet1 y no hay ninguna ruta a la subred 10.1.2.0/24 a travs de ethernet1, el dispositivo NetScreen determinar que ese paquete ha llegado a una interfaz no vlida y lo descartar. Todas las zonas de seguridad de este ejemplo se encuentran en el dominio de enrutamiento trust-vr.
Enrutador 10.1.1.250 ethernet1 10.1.1.1/24 ethernet2 1.2.2.1/24 10.1.2.0/24 10.1.1.0/24 1.1.1.0/24 0.0.0.0/0 ethernet3 1.1.1.1/24 Enrutador 1.1.1.250
Zona Untrust
Enrutador 1.2.2.250
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
30
Tcnicas de evasin
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
2.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.1.2.0/24 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.250
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
31
Tcnicas de evasin
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 1.2.3.0/24 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 1.2.2.250 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
3.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
32
Tcnicas de evasin
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone dmz set interface ethernet2 ip 1.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2.
Rutas
set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway 10.1.1.250 set vrouter trust-vr route 1.2.3.0/24 interface ethernet2 gateway 1.2.2.250 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
3.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
33
Tcnicas de evasin
Ahora puede habilitar la proteccin en la zona V1-Untrust. Si un atacante en la zona V1-Untrust intenta suplantar la direccin IP utilizando cualquiera de las tres direcciones de la zona V1-DMZ, el dispositivo NetScreen comprobar la direccin comparndola con las direcciones de la libreta de direcciones. Cuando descubra que la direccin IP de origen en un paquete procedente de la zona V1-Untrust pertenece a una direccin definida en la zona V1-Untrust. el dispositivo NetScreen rechazar el paquete.
WebUI
1. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: servA IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.10/32 Zone: V1-DMZ Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: servB IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.20/32 Zone: V1-DMZ
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
34
Tcnicas de evasin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: servC IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.30/32 Zone: V1-DMZ
2.
CLI
1. Direcciones
set address v1-dmz servA 1.2.2.10/32 set address v1-dmz servB 1.2.2.20/32 set address v1-dmz servC 1.2.2.30/32
2.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
35
Tcnicas de evasin
B La transmisin de A a B mediante los enrutadores 1 y 3 se realiza con xito el 50% de las ocasiones.
1 A 2
3 B 4 Mediante el enrutamiento de origen IP, A enva trfico a travs de los enrutadores 2 y 3. La transmisin de A a B se realiza con xito el 50% de las ocasiones.
1 A 2
3 B 4 Mediante el enrutamiento de origen IP, A enva trfico a travs de los enrutadores 1 y 4. La transmisin de A a B se realiza con xito el 100% de las ocasiones. Por lo tanto, podemos suponer que el problema reside en el enrutador 3. 36
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Tcnicas de evasin
Aunque la aplicacin de las opciones IP de ruta de origen era benigna originalmente, los hackers han aprendido a utilizar estas opciones con malas intenciones. Las opciones IP de ruta de origen se pueden emplear para ocultar la direccin autntica del atacante y acceder a reas restringidas de una red especificando una ruta distinta. A continuacin se incluye un ejemplo en el que se muestra cmo un atacante puede poner en prctica estos engaos.
Opcin IP de ruta de origen abierta para un acceso malicioso 1 2.2.2.0/24 Sin comprobacin de suplantacin de IP Sin control de acceso Itinerario del paquete 2 4 IP asignada: 1.1.1.5 - 10.1.1.5 Directiva: set policy from untrust to trust 2.2.2.0/24 MIP(1.1.1.5) HTTP permit Entre las opciones SCREEN para la zona Untrust se incluye Deny IP Source Route Option. El dispositivo NetScreen descarta el paquete.
Cuatro enrutadores 3
10.1.1.0/24
Atacante Informacin del paquete Direccin de origen real: 6.6.6.5 Direccin de origen simulada: 2.2.2.5 Direccin de destino: 1.1.1.5 IP de ruta de origen abierta: 6.6.6.250, 2.2.2.250
El cortafuegos de NetScreen slo permite el trfico 2.2.2.0/24 si pasa a travs de ethernet1, una interfaz asociada a la zona Untrust. Los enrutadores 3 y 4 fuerzan el control de acceso, pero los enrutadores 1 y 2 no lo hacen. Adems, el enrutador 2 no comprueba la posible suplantacin de IP. El atacante suplanta la direccin de origen y, al utilizar la opcin de ruta de origen abierta, dirige el paquete a travs del enrutador 2 hasta la red 2.2.2.0/24 y, desde all, al enrutador 1. ste reenva el paquete al enrutador 3, que lo reenva hasta el dispositivo NetScreen. Como el paquete procede de la subred 2.2.2.0/24 y contiene una direccin de origen de esa subred, aparece como vlido. Sin embargo, hay algo clave que an no cuadra: la opcin de ruta de origen abierta. En este ejemplo, ha habilitado la opcin SCREEN Deny IP Source Route Option para la zona Untrust. Cuando el paquete llega a ethernet3, el dispositivo NetScreen lo rechaza.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
37
Tcnicas de evasin
El dispositivo NetScreen se puede habilitar para que bloquee cualquier paquete con opciones de ruta de origen abiertas o estrictas o para que los detecte y, a continuacin, registre el evento en la lista de contadores para la interfaz de entrada. A continuacin se ofrecen las opciones SCREEN: Deny IP Source Route Option (denegar opcin de ruta de origen IP): Active esta opcin para bloquear todo el trfico IP que emplee la opcin de rutas de origen abierta o estricta. Las opciones de ruta de origen pueden llegar a permitir a un atacante entrar en una red con una direccin IP falsa. Detect IP loose Source Route option (detectar opcin IP de ruta de origen abierta): El dispositivo NetScreen detecta paquetes en los que la opcin IP sea 3 (Loose Source Routing) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Esta opcin especifica una lista de rutas parcial que debe tomar un paquete en su trayecto desde el punto de origen al de destino. El paquete debe avanzar en el orden de direcciones especificado, pero se le permite atravesar otros enrutadores intermedios. Detect IP strict Source Route option (detectar opcin IP de ruta de origen estricta): El dispositivo NetScreen detecta paquetes en los que la opcin IP sea 9 (Strict Source Routing) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Esta opcin especifica la lista de rutas completa que debe tomar un paquete en su trayecto desde el punto de origen al de destino. La ltima direccin de la lista sustituye a la direccin del campo de destino. (Para obtener ms informacin sobre todas las opciones IP, consulte Reconocimiento de red mediante opciones IP en la pgina 12). Para bloquear paquetes con la opcin IP de ruta de origen abierta o estricta ajustada, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione IP Source Route Option Filter y haga clic en Apply .
CLI
set zone zone screen ip-filter-src
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
38
Tcnicas de evasin
Para detectar y registrar (pero no bloquear) paquetes con la opcin IP de ruta de origen abierta o estricta ajustada, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : IP Loose Source Route Option Detection: (seleccione) IP Strict Source Route Option Detection: (seleccione)
CLI
set zone zone screen ip-loose-src-route set zone zone screen ip-strict-src-route
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
39
Tcnicas de evasin
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
40
Captulo 3
La intencin de un ataque de denegacin de servicio (DoS) es abrumar a la vctima potencial con tal cantidad de trfico simulado que se sature intentando procesar el trfico fantasma y no consiga procesar el trfico legtimo. El destino del ataque puede ser el cortafuegos de NetScreen, los recursos de red cuyos accesos controla el cortafuegos o la plataforma de hardware o el sistema operativo especfico (OS) de un determinado host. Cuando un ataque DoS se origina en mltiples direcciones de origen, se conoce como ataque distribuido de denegacin de servicio (Distributed Denial-of-Service o DDoS). Normalmente, la direccin de origen de un ataque DoS es una direccin suplantada (spoofed). Las direcciones de origen de un ataque DDoS pueden ser direcciones suplantadas o bien las direcciones reales de hosts previamente comprometidos por el atacante y que ste utiliza ahora como agentes zombie para ejecutar su ataque. El dispositivo NetScreen puede defenderse de ataques DoS y DDoS tanto a s mismo como a los recursos que protege. Las siguientes secciones describen las diversas opciones de defensa disponibles: Ataques DoS contra el cortafuegos en la pgina 42 Inundacin de la tabla de sesiones en la pgina 42 Inundacin proxy SYN-ACK-ACK en la pgina 50 Ataques DoS contra la red en la pgina 52 Inundacin SYN en la pgina 52 Inundacin ICMP en la pgina 67 Inundacin UDP en la pgina 69 Ataque terrestre (Land Attack) en la pgina 71 Ataques DoS especficos de cada sistema operativo en la pgina 73 Ping of Death en la pgina 73 Ataque Teardrop en la pgina 75 WinNuke en la pgina 77
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
41
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
42
Limitacin de sesiones segn su origen: Contencin del trfico del virus/gusano Nimda
Zona Untrust
Un servidor web se infecta con el hbrido del virus/gusano Nimda, que lo utiliza para generar cantidades excesivas de trfico.
Zona DMZ
Servidor infectado
Cuando el nmero de sesiones simultneas del servidor infectado alcanza el lmite mximo, el dispositivo NetScreen comienza a bloquear todos los intentos de conexin subsiguientes de ese servidor.
Otra ventaja de limitar una sesin basndose en su origen es reducir el nmero de intentos ilegtimos de llenar la tabla de sesiones de NetScreen (siempre que todos esos intentos de conexin procedan de la misma direccin IP de origen). Sin embargo, un atacante astuto podra ejecutar un ataque distribuido de denegacin de servicio (DDoS). En un ataque DDoS, el trfico malvolo puede proceder de centenares de hosts, conocidos como agentes zombie, que estn subrepticiamente bajo el control de un atacante. Adems de las opciones de deteccin de inundaciones SYN, UDP e ICMP y de prevencin SCREEN, estableciendo un lmite de sesin basado en su destino se puede garantizar que el dispositivo NetScreen admita solamente un nmero aceptable de peticiones de conexin simultneas (sin importar su origen) para alcanzar cualquier host.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
43
Limitacin de sesiones segn su origen: Ataque de denegacin de servicio Atacante Host inexistente IP origen: 6.6.6.6 Zona Untrust Agentes zombie
Zona Untrust
Zona DMZ Servidor web Cuando el nmero de sesiones simultneas procedentes de 6.6.6.6 sobrepasa el lmite mximo, el dispositivo NetScreen bloquea cualquier conexin subsiguiente de esa direccin IP.
Zona DMZ Servidor web Cuando el nmero de sesiones simultneas al servidor web sobrepasa el lmite mximo, el dispositivo NetScreen bloquea cualquier intento de conexin subsiguiente a esa direccin IP.
Determinar cul es el nmero aceptable de peticiones de conexin requiere un periodo de observacin y anlisis para establecer una base de referencia con la que determinar los flujos de trfico tpicos. Tambin se debe tener en cuenta el nmero mximo de sesiones simultneas requeridas para llenar la tabla de sesiones de la plataforma NetScreen que se est utilizando. Para consultar el nmero mximo de sesiones admitido por su tabla de sesiones, ejecute el comando CLI get session y observe la primera lnea del resultado, en la que se indica el nmero de sesiones (asignadas) actuales, el nmero mximo de sesiones y el nmero de asignaciones de sesin infructuosas: alloc 420/max 128000, alloc failed 0 El mximo predeterminado para los lmites de sesiones segn su origen y en su destino es de 128 sesiones simultneas, un valor que puede requerir ajustes para satisfacer las necesidades especficas de su entorno de red y plataforma.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
44
WebUI
Screening > Screen (Zone: DMZ): Introduzca los siguientes datos y haga clic en OK : Source IP Based Session Limit: (seleccione) Threshold: 1 Sessions Screening > Screen (Zone: Trust): Introduzca los siguientes datos y haga clic en OK : Source IP Based Session Limit: (seleccione) Threshold: 80 Sessions
CLI
set zone set zone set zone set zone save dmz screen limit-session source-ip-based 1 dmz screen limit-session source-ip-based trust screen limit-session source-ip-based 80 trust screen limit-session source-ip-based
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
45
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic en OK : Destination IP Based Session Limit: (seleccione) Threshold: 4000 Sessions
CLI
set zone untrust screen limit-session destination-ip-based 4000 set zone untrust screen limit-session destination-ip-based save
Envejecimiento agresivo
De forma predeterminada, el establecimiento de comunicacin inicial en 3 fases de una sesin TCP tarda 20 segundos en caducar (es decir, en expirar por inactividad). Una vez establecida una sesin TCP, el valor del tiempo de espera cambia a 30 minutos. Para sesiones HTTP y UDP, los tiempos de espera son de 5 minutos y 1 minuto, respectivamente. El temporizador de cada sesin se inicia al comenzar sta y se actualiza cada 10 segundos mientras la sesin permanece activa. Si una sesin queda inactiva durante ms de 10 segundos, el temporizador comienza la cuenta atrs.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
46
NetScreen proporciona un mecanismo para acelerar el proceso del tiempo de espera cuando el nmero de sesiones en la tabla de sesiones sobrepasa un umbral superior especificado. Cuando el nmero de sesiones cae por debajo de un umbral inferior especificado, el proceso del tiempo de espera vuelve a su estado normal. Mientras el proceso de envejecimiento agresivo est activo, el dispositivo NetScreen forzar primero el envejecimiento de las sesiones ms antiguas, aplicndoles la tasa de envejecimiento previamente especificada. Estas sesiones de envejecimiento forzado se marcan como no vlidas y se eliminan en el siguiente barrido de basura, que ocurre cada 2 segundos. La opcin de envejecimiento agresivo reduce los tiempos de espera predeterminados de las sesiones en la 1 magnitud introducida . El valor de envejecimiento agresivo puede estar entre 2 y 10 unidades, donde cada unidad representa un intervalo de 10 segundos (es decir, el ajuste de envejecimiento agresivo puede tener un valor de 20 a 100 segundos). El ajuste predeterminado es de 2 unidades, equivalentes a 20 segundos. Si, por ejemplo, establece el ajuste de envejecimiento agresivo en 100 segundos, acortar los tiempos de espera de sesiones HTTP y TCP de la siguiente manera: TCP: El valor del tiempo de espera de la sesin se acorta de 1800 segundos (30 minutos) a 1700 segundos (28:20 minutos) mientras el proceso de envejecimiento agresivo est activo. Durante ese periodo, el dispositivo NetScreen elimina automticamente todas las sesiones TCP cuyo valor de tiempo de espera haya superado los 1700 segundos, comenzando por las sesiones ms antiguas.
25 1500 20 1200 15 900 10 600 5 300 0 0
30 Tiempo espera predeterminado en sesin TCP: 30 min (1800 seg) Min Envejecimiento agresivo = 10 (predeterminado - 100 seg): 28:20 Mins (1700 Secs) Seg 1800
1.
Al establecer y habilitar la opcin de envejecimiento agresivo, en la configuracin seguirn apareciendo los valores normales de los tiempos de espera de cada tipo de sesin (1800 segundos para sesiones TCP, 300 segundos para sesiones HTTP y 60 segundos para sesiones UDP). Sin embargo, cuando se activa el periodo de envejecimiento agresivo, estas sesiones caducan antes (aplicando el tiempo especificado para envejecimientos prematuros en lugar de la cuenta atrs hasta cero).
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
47
HTTP: El valor del tiempo de espera de la sesin se acorta de 300 segundos (5 minutos) a 200 segundos (3:20 minutos) mientras el proceso de envejecimiento agresivo est activo. Durante ese periodo, el dispositivo NetScreen elimina automticamente todas las sesiones HTTP cuyo valor de tiempo de espera haya superado los 200 segundos, comenzando por las sesiones ms antiguas.
5 300 4 240 3 180 2 120 1 60 0 0
Min Tiempo de espera predeterminado de la sesin HTTP: 5 min (300 seg) Envejecimiento agresivo = 10 (predeterminado - 100 seg): 3:20 Mins (200 Secs) Seg
UDP: Dado que el tiempo de espera predeterminado de una sesin UDP es de 60 segundos, definiendo un ajuste de envejecimiento prematuro de 100 segundos se provoca que todas las sesiones UDP envejezcan y queden marcadas para su eliminacin en el siguiente barrido de basura.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
48
Cuando el nmero de sesiones supera la capacidad del 80%, se activa el mecanismo de envejecimiento agresivo. Umbral superior Umbral inferior Sesiones Se fuerza el envejecimiento de las sesiones hasta que su nmero cae por debajo del 70%. En ese momento, el mecanismo de envejecimiento agresivo se detiene. Envejecimiento agresivo (- 40 seg de envejecimiento forzado)
0%
WebUI
Nota: Para configurar los ajustes de envejecimiento agresivo debe usar la interfaz de lnea de comandos (CLI).
CLI
set flow aging low-watermark 70 set flow aging high-watermark 80 set flow aging early-ageout 4 save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
49
. . .
6 SYN
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
50
Para frustrar tal ataque, puede habilitar la opcin SCREEN de proteccin SYN-ACK-ACK del proxy. Cuando el nmero de conexiones procedentes de una misma direccin IP alcanza el umbral de SYN-ACK-ACK del proxy, el dispositivo NetScreen rechaza las peticiones de conexin subsiguientes de esa direccin IP. De forma predeterminada, el umbral es de 512 conexiones de una determinada direccin IP. Puede cambiar este umbral (a cualquier nmero entre 1 y 250.000) para adaptarse mejor a los requisitos de su entorno de red. Para habilitar la proteccin contra una inundacin SYN-ACK-ACK del proxy, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : SYN-ACK-ACK Proxy Protection: (seleccione) Threshold: (introduzca un valor para activar la proteccin contra la 2 inundacin SYN-ACK-ACK del proxy )
CLI
set zone zone screen syn-ack-ack-proxy threshold number set zone zone screen syn-ack-ack-proxy
2.
La unidad de este valor se expresa en conexiones por direccin de origen. El valor predeterminado es de 512 conexiones de una determinada direccin IP.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
51
Inundacin SYN
Una inundacin SYN ocurre cuando un host resulta tan saturado con segmentos SYN que inician peticiones de conexin irrealizables que le resulta imposible procesar peticiones de conexin legtimas. Dos hosts establecen una conexin TCP con triple intercambio de segmentos TCP, conocido como establecimiento de conexin en tres fases: A enva un segmento SYN a B; B responde con un segmento SYN; A responde con un segmento ACK. Un ataque de inundacin SYN inunda un sitio con segmentos SYN que contienen direcciones IP de origen falsificadas (suplantadas o spoofed), es decir, inexistentes o inalcanzables. B responde enviando segmentos SYN/ACK a estas direcciones y espera segmentos ACK de respuesta. Como los segmentos SYN/ACK se envan a direcciones IP inexistentes o inalcanzables, nunca obtienen respuesta y acaban por superar el tiempo de espera.
Direccin IP real 2.2.2.5 Direccin IP inexistente o inalcanzable 3.3.3.5 SYN El host en 2.2.2.5 enva segmentos SYN en paquetes IP con direcciones de origen suplantadas. Si una directiva permite el trfico entrante, el dispositivo NetScreen permite los segmentos SYN. La vctima responde enviando segmentos SYN/ACK a la direccin IP de origen simulada, quedando a la espera de respuesta hasta que los intentos caducan. LAN protegida
?
4.4.4.20 5.5.5.10 6.6.6.3
? ? ?
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
52
Inundando un host con conexiones TCP no completables, el atacante acabar por llenar el bfer de memoria de la vctima. Cuando este bfer se llena, el host ya no puede procesar nuevas peticiones de conexin TCP. La inundacin puede incluso daar el sistema operativo de la vctima. En cualquier caso, el ataque inhabilita a la vctima y sus operaciones normales.
?
8.8.8.8 9.9.9.22
LAN protegida
2.2.2.4
SYN
?
3.3.3.25 SYN
SYN/ACK
SYN/ACK
. . .
Cuando el nmero de segmentos SYN procedentes de una misma direccin de origen o dirigidos a la misma direccin de destino alcanza un umbral especificado, el dispositivo NetScreen comienza a interceptar las peticiones de conexin y a procesar los segmentos SYN/ACK mediante el proxy.
La cola de conexiones procesada por proxy del dispositivo NetScreen comienza a llenarse. 53
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
En la siguiente ilustracin, la cola de conexiones procesada por proxy se ha llenado totalmente y el dispositivo NetScreen rechaza nuevos segmentos SYN entrantes. Esta accin blinda los hosts de la red protegida contra el bombardeo de establecimientos de conexin en tres fases incompletos.
Direccin IP real 2.2.2.5 Direccin IP inexistente o inalcanzable 3.3.3.5 Umbral de ataque SYN SYN El dispositivo NetScreen intercepta los segmentos SYN y procesa por proxy las respuestas SYN/ACK hasta que la cola de conexiones procesada por proxy se llena. El host con la direccin 2.2.2.5 contina enviando segmentos SYN en paquetes IP con la direccin de origen suplantada 3.3.3.5.
LAN protegida
?
SYN
SYN/ACK
? . . .
SYN/ACK
Umbral de alarma El dispositivo NetScreen introduce una alarma en el registro de eventos. La cola de conexiones procesada por proxy del dispositivo NetScreen est llena.
Limite mximo de la cola de conexiones procesada por proxy El dispositivo NetScreen rechaza nuevos segmentos SYN de todas las direcciones de la misma zona de seguridad.
El dispositivo NetScreen inicia la recepcin de nuevos paquetes SYN cuando la cola del proxy cae por debajo del lmite mximo. Nota: El procedimiento de procesar por proxy las conexiones SYN incompletas por encima de un umbral establecido afecta solamente al trfico permitido por las directivas existentes. Cualquier trfico para el que no exista una directiva se descarta automticamente.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 54
Para habilitar la opcin SCREEN de proteccin contra inundaciones SYN y definir sus parmetros, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que puede originarse una inundacin:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : SYN Flood Protection: (seleccione para habilitar) Threshold: (introduzca el nmero de segmentos SYN (es decir, de segmentos TCP con el flag SYN activado) requeridos por segundo para 3 activar el mecanismo de procesamiento de SYN por proxy ) Alarm Threshold: (introduzca el nmero de peticiones de conexin TCP procesadas por proxy requeridas para generar una alarma en el registro de eventos) Source Threshold: (introduzca el nmero de paquetes SYN por segundo procedentes de una determinada direccin IP que se requiere para que el dispositivo NetScreen comience a rechazar nuevas peticiones de conexin de ese origen) Destination Threshold: (introduzca el nmero de paquetes SYN por segundo dirigidos a una determinada direccin IP que se requiere para que el dispositivo NetScreen comience a rechazar nuevas peticiones de conexin hacia ese destino) Timeout Value: (introduzca la duracin en segundos que el dispositivo NetScreen mantiene un intento de conexin TCP incompleto en la cola de conexiones procesada por proxy) Queue Size: (introduzca el nmero de peticiones de conexin TCP procesadas por proxy que se mantienen en la cola de conexiones procesada por proxy antes de que el dispositivo NetScreen comience a rechazar nuevas peticiones de conexin)
3.
Para obtener ms detalles sobre cada uno de estos parmetros, consulte las descripciones en la siguiente seccin de CLI.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
55
CLI
Para habilitar la proteccin contra inundaciones SYN: set zone zone screen syn-flood Para procesar por proxy las peticiones de conexin TCP inacabadas puede establecer los siguientes parmetros: Attack Threshold: El nmero de segmentos SYN (es decir, segmentos TCP con el flag SYN activado) dirigidos a la misma direccin de destino y nmero de puerto requeridos por segundo para activar el mecanismo de procesamiento de SYN por proxy. Aunque se puede ajustar el umbral en cualquier nmero, es necesario conocer los patrones de trfico habituales en cada instalacin para establecer un umbral adecuado. Por ejemplo, en un sitio e-business que normalmente recibe 20.000 segmentos SYN por segundo, conviene establecer un umbral de, por ejemplo, 30.000 por segundo. Si un sitio ms pequeo recibe habitualmente 20 segmentos SYN por segundo, plantese establecer el umbral en 40. set zone zone screen syn-flood attack-threshold number Alarm Threshold: El nmero de peticiones de conexin TCP semicompletas procesadas por proxy por segundo que el dispositivo NetScreen espera para introducir una alarma en el registro de eventos. El valor establecido para un umbral de alarma dispara una alarma cuando el nmero por segundo de peticiones de conexin semicompletadas y procesadas por proxy dirigidas a la misma direccin de destino y nmero de puerto supera ese valor. Por ejemplo, si se establece el umbral de ataque SYN en 2000 segmentos SYN por segundo y la alarma en 1000, se requiere un total de 3001 segmentos SYN por segundo dirigidos a la misma direccin de destino y nmero de puerto para generar una entrada de alarma en el registro. Ms precisamente: 1. El cortafuegos deja pasar los primeros 2000 segmentos SYN por segundo que cumplen los requisitos de las directivas. 2. El cortafuegos procesa por proxy los 1000 segmentos SYN siguientes en el mismo segundo. 3. La 1001 peticin de conexin procesada por proxy (o la 3001 peticin de conexin en ese mismo segundo) dispara la alarma. set zone zone screen syn-flood alarm-threshold number
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
56
Por cada segmento SYN dirigido a la misma direccin y nmero de puerto de destino que sobrepase el umbral de alarma, el mdulo de deteccin de ataques genera un mensaje. Al final del segundo, el mdulo de registro comprime todos los mensajes similares en una sola entrada del registro que indica cuntos segmentos SYN dirigidos a la misma direccin y nmero de puerto de destino llegaron despus de haberse rebasado el umbral de alarma. Si el ataque persiste ms all del primer segundo, el registro de eventos introduce una alarma cada segundo hasta que el ataque se detenga. Source Threshold: Esta opcin permite especificar el nmero de segmentos SYN que deben recibirse por segundo de una determinada direccin IP de origen (sin tener en cuenta la direccin IP y el nmero de puerto de destino) antes de que el dispositivo NetScreen comience a descartar peticiones de conexin de ese origen. set zone zone screen syn-flood source-threshold number El seguimiento de una inundacin SYN por su direccin de origen utiliza otros parmetros de deteccin que el seguimiento de una inundacin SYN por direccin y nmero de puerto de destino. Cuando se establece un umbral de ataque SYN y un umbral de origen, se activan tanto el mecanismo bsico de proteccin contra inundaciones SYN como el mecanismo de seguimiento de inundaciones SYN basado en sus orgenes. Destination Threshold: Esta opcin permite especificar el nmero de segmentos SYN por segundo que puede recibir una determinada direccin IP de destino antes de que el dispositivo NetScreen comience a descartar peticiones de conexin a ese destino. Cuando un host protegido ejecuta mltiples servicios, conviene establecer un umbral basado exclusivamente en la direccin IP de destino, sin importar el nmero de puerto de destino. set zone zone screen syn-flood destination-threshold number Cuando se establece un umbral de origen SYN y un umbral de destino, se activan tanto el mecanismo bsico de proteccin contra inundaciones SYN como el mecanismo de seguimiento de inundaciones SYN basado en sus destinos. El seguimiento de una inundacin SYN por su direccin de destino utiliza otros parmetros de deteccin que el seguimiento de una inundacin SYN por direccin y nmero de puerto de destino. Observe el caso siguiente, donde el dispositivo NetScreen tiene directivas que permiten realizar peticiones FTP (puerto 21) y peticiones HTTP (puerto 80) al mismo servidor. Si el umbral de ataque para inundaciones SYN es de
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
57
1000 paquetes por segundo (pps) y un atacante enva 999 paquetes FTP y 999 paquetes HTTP por segundo, ninguno de ambos conjuntos de paquetes (entendiendo por conjunto los paquetes que comparten la misma direccin y nmero de puerto de destino) activa el mecanismo de procesamiento de SYN por proxy. El mecanismo bsico de ataque de inundacin SYN realiza el seguimiento de direcciones y nmeros de puerto de destino, y ninguno de los conjuntos supera el umbral de ataque de 1000 paquetes por segundo. Sin embargo, si el umbral de destino es de 1000 pps, el dispositivo NetScreen trata los paquetes FTP y HTTP con la misma direccin de destino que los miembros de un solo conjunto y rechaza el 1001 paquete (FTP o HTTP) dirigido a ese destino. Timeout: El tiempo mximo antes de que una conexin semicompleta sea descartada de la cola. El valor predeterminado es de 20 segundos, pero se puede establecer entre 0 y 50 segundos. Intente reducir el valor del tiempo de espera hasta que comience a ver conexiones descartadas en condiciones normales de trfico. Veinte segundos representan un tiempo de espera muy conservador para una respuesta ACK a un establecimiento de comunicacin de 3 fases. set zone zone screen syn-flood timeout number Queue size: El nmero de peticiones de conexin procesadas por proxy que se pueden retener en la cola de conexiones procesada por proxy antes de que el dispositivo NetScreen comience a rechazar nuevas peticiones de conexin. Cuanto mayor sea el tamao de la cola, ms tarda el dispositivo NetScreen en analizarla para encontrar una respuesta ACK vlida a una peticin de conexin procesada por proxy. Esto puede retardar ligeramente el establecimiento inicial de la conexin; sin embargo, como el tiempo que debe transcurrir antes de poder comenzar la transferencia de datos es normalmente muy superior al de cualquier retraso menor en la configuracin inicial de la conexin, los usuarios no percibirn una diferencia notable. set zone zone screen syn-flood queue-size number Drop Unknown MAC: Cuando un dispositivo NetScreen detecta un ataque SYN, procesa por proxy todas las peticiones de conexin TCP. Sin embargo, un dispositivo NetScreen en modo transparente no puede procesar por proxy una peticin de conexin TCP si la direccin MAC de destino no est en su tabla de aprendizaje de MAC. De forma predeterminada, un dispositivo NetScreen en modo transparente que ha detectado un ataque SYN entrega paquetes SYN que contienen direcciones MAC desconocidas. Puede utilizar esta opcin para ordenar al dispositivo que descarte los paquetes SYN que contienen direcciones MAC de destino desconocidas en lugar de permitirles el paso. set zone zone screen syn-flood drop-unknown-mac
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 58
Para configurar los parmetros de proteccin contra inundaciones SYN con los valores apropiados para su red, primero debe establecer una lnea de base de los flujos de trfico tpicos. Durante una semana, ejecute un 4 programa rastreador sobre ethernet3 (la interfaz asociada a la zona Untrust) para supervisar el nmero de nuevas peticiones de conexin TCP que llegan cada segundo a los cuatro servidores web en DMZ5. Su anlisis de los datos acumulados durante una semana de supervisin produce la estadstica siguiente: Promedio de nuevas peticiones de conexin por servidor: 250 por segundo Promedio de mximo de peticiones de conexin por servidor: 500 por segundo
4. Un programa rastreador es un dispositivo analizador de red que captura paquetes en el segmento de red al que est conectado. La mayora de los programas rastreadores permiten definir filtros para recopilar solamente el tipo de trfico que interese. Despus podr visualizar y evaluar la informacin acumulada. En este ejemplo se desea que el programa rastreador recoja todos los paquetes TCP con el flag SYN activado que lleguen a ethernet3 y estn destinados a uno de los cuatro servidores web en DMZ. Siga ejecutando el programa rastreador a intervalos peridicos comprobando si existen patrones de trfico basados en la hora, el da de la semana, la fase del mes o la estacin del ao. Por ejemplo, el trfico puede aumentar espectacularmente durante las Navidades. Si detecta cambios significativos, probablemente est justificado ajustar los diferentes umbrales.
5.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
59
De acuerdo con esta informacin, establecer los siguientes parmetros de proteccin contra inundaciones SYN para la zona Untrust:
Parmetros Attack Threshold (Umbral de ataque) Valores Motivo para cada valor
625 paquetes por Esto supera en un 25% al promedio de picos de nuevas peticiones de conexin segundo (pps) por segundo por servidor, algo inusual para este entorno de red. Cuando el nmero de paquetes SYN por segundo de cualquiera de los cuatro servidores web supera este nmero, el dispositivo NetScreen comienza a procesar por proxy las nuevas peticiones de conexin dirigidas a ese servidor. (En otras palabras, comenzando por el 626 paquete SYN dirigido a la misma direccin y nmero de puerto de destino en un mismo segundo, el dispositivo NetScreen comienza a procesar por proxy las peticiones de conexin dirigidas a esa direccin y nmero de puerto). 250 pps 250 pps es 1/4 del tamao de la cola (1000 peticiones de conexin * semicompletas y procesadas por proxy ). Cuando el dispositivo NetScreen procesa por proxy 251 nuevas peticiones de conexin en un segundo, genera una entrada de alarma en el registro de eventos. Aumentando ligeramente el umbral de alarma por encima del umbral de ataque, puede evitar las entradas de alarma generadas por picos de trfico que solamente exceden levemente el umbral de ataque.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
60
Valores 25 pps
Motivo para cada valor Cuando se establece un umbral de origen, el dispositivo NetScreen rastrea la direccin IP de origen de los paquetes SYN, sin importar la direccin y el nmero de puerto de destino. (Observe que este seguimiento basado en orgenes es independiente del seguimiento de paquetes SYN basado en la direccin y el nmero de puerto de destino, que constituye el mecanismo bsico de proteccin contra inundaciones SYN). Durante la semana de supervisin, observ que no ms de una cuarta parte de las nuevas peticiones de conexin para todos los servidores proceda del mismo origen dentro de un intervalo de un segundo. Por lo tanto, las peticiones de conexin que superan este umbral son poco habituales y son causa suficiente para que el dispositivo NetScreen ejecute su mecanismo de procesamiento por proxy. (25 pps es 1/25 del umbral de ataque, que es de 625 pps). Si el dispositivo NetScreen detecta 25 paquetes SYN procedentes de la misma direccin IP de origen, a partir del vigsimo sexto paquete rechazar los dems paquetes SYN de ese origen durante el resto de ese segundo y tambin durante el segundo siguiente.
0 pps
Cuando se establece un umbral de destino, el dispositivo NetScreen ejecuta un seguimiento separado solamente de la direccin IP de destino, sin importar el nmero de puerto de destino. Debido a que los cuatro servidores web reciben solamente trfico HTTP (puerto de destino 80) y no les llega ningn trfico dirigido a ningn otro nmero de puerto de destino, establecer un umbral de destino separado no aporta ninguna ventaja adicional. Dado que el tamao de la cola es relativamente pequeo (1000 peticiones de conexin procesadas por proxy), el valor predeterminado de 20 segundos es un tiempo razonable para mantener las peticiones de conexin incompletas en cola para esta configuracin.
20 segundos
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
61
Motivo para cada valor 1000 peticiones de conexin semicompletas procesadas por proxy es dos veces el promedio de picos de nuevas peticiones de conexin (500 pps). El dispositivo NetScreen procesa por proxy hasta 1000 peticiones por segundo antes de descartar nuevas peticiones. Procesar por proxy el doble del promedio de picos de nuevas peticiones de conexin proporciona un colchn suficiente como para que puedan pasar las peticiones de conexin legtimas.
Las peticiones de conexin semicompletas son establecimientos de conexin en tres fases incompletos. Un establecimiento de conexin en tres fases es la fase inicial de una conexin TCP. Consiste en un segmento TCP con el flag SYN activado, una respuesta con los flag SYN y ACK activados y una respuesta a sta con el flag ACK activado. Para ver una descripcin completa, consulte Glosario en el Volumen 1, Vista general.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
62
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ws1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.10/32 Zone: DMZ Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ws2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.20/32 Zone: DMZ Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ws3 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.30/32 Zone: DMZ
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
63
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ws4 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.40/32 Zone: DMZ Objects > Addresses > Groups > (para la zona: DMZ) New: Introduzca el siguiente nombre de grupo, mueva las siguientes direcciones y haga clic en OK : Group Name: web_servers Seleccione ws1 y utilice el botn << para trasladar la direccin de la columna Available Members a la columna Group Members. Seleccione ws2 y utilice el botn << para trasladar la direccin de la columna Available Members a la columna Group Members. Seleccione ws3 y utilice el botn << para trasladar la direccin de la columna Available Members a la columna Group Members. Seleccione ws4 y utilice el botn << para trasladar la direccin de la columna Available Members a la columna Group Members.
3.
Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), web_servers Service: HTTP Action: Permit
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
64
4.
SCREEN
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic en Apply : SYN Flood Protection: (seleccione) Threshold: 625 Alarm Threshold: 250 Source Threshold: 25 Destination Threshold: 0 Timeout Value: 20 Queue Size: 1000
6
6. Al ser 20 segundos el ajuste predeterminado, no es necesario establecer el tiempo de espera en 20 segundos a menos que lo haya establecido previamente en otro valor.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
65
CLI
1. Interfaces
set interface ethernet2 zone dmz set interface ethernet2 ip 1.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2.
Direcciones
set set set set set set set set address address address address group group group group dmz dmz dmz dmz ws1 ws2 ws3 ws4 1.2.2.10/32 1.2.2.20/32 1.2.2.30/32 1.2.2.40/32 web_servers web_servers web_servers web_servers add add add add ws1 ws2 ws3 ws4
3. 4.
Directiva
set policy from untrust to dmz any web_servers HTTP permit
SCREEN
set zone set zone set zone set zone set zone set zone save untrust untrust untrust untrust untrust untrust screen screen screen screen screen screen syn-flood syn-flood syn-flood syn-flood syn-flood syn-flood attack-threshold 625 alarm-threshold 250 source-threshold 25 7 timeout 20 queue-size 1000
7. Al ser 20 segundos el ajuste predeterminado, no es necesario establecer el tiempo de espera en 20 segundos a menos que lo haya establecido previamente en otro valor.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
66
Inundacin ICMP
Una inundacin ICMP se produce normalmente cuando las peticiones de eco ICMP sobrecargan a su vctima con tantas peticiones que sta consume todos sus recursos en responder, hasta que le resulta imposible procesar el trfico de red vlido. Al habilitar la funcin de proteccin contra inundaciones ICMP, puede establecer un umbral que, al ser excedido, activa la funcin de proteccin contra ataques de inundacin ICMP. (El valor predeterminado del umbral es 1000 paquetes por segundo). Si se excede este umbral, el dispositivo NetScreen ignora otras peticiones de eco ICMP durante el resto de ese segundo y tambin durante el segundo siguiente.
El atacante enva peticiones de eco ICMP con direcciones de origen simuladas. El dispositivo NetScreen deja pasar las peticiones de eco slo si alguna directiva lo permite.
8
?
Peticin de eco
Respuesta de eco
LAN protegida
?
Peticin de eco
Respuesta de eco
. . .
Respuesta de eco
Lmite mximo de peticiones de eco ICMP por segundo Peticin de eco Una vez alcanzado el umbral de ICMP, el dispositivo NetScreen rechaza las peticiones de eco ICMP subsiguientes de todas las direcciones de la misma zona de seguridad durante el resto del segundo actual y tambin durante el segundo siguiente.
Peticin de eco Peticin de eco ICMP legtima de una direccin en la misma zona de seguridad
8.
Observe que una inundacin del ICMP puede consistir en cualquier tipo de mensaje ICMP. Por lo tanto, un dispositivo NetScreen supervisa todos los tipos de mensaje ICMP, no slo las peticiones de eco.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
67
Para habilitar la proteccin contra inundaciones ICMP, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que puede originarse una inundacin:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : ICMP Flood Protection: (seleccione) Threshold: (introduzca el valor a partir del cual debe activarse la proteccin contra inundaciones ICMP9)
CLI
set zone zone screen icmp-flood threshold number set zone zone screen icmp-flood
9.
La unidad de este valor se expresa en paquetes ICMP por segundo. El valor predeterminado es de 1000 paquetes por segundo.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
68
Inundacin UDP
De forma parecida a una inundacin ICMP, una inundacin UDP ocurre cuando un atacante enva paquetes IP que contienen datagramas UDP con el propsito de ralentizar a la vctima hasta que le resulta imposible procesar las conexiones vlidas. Despus de habilitar la funcin de proteccin contra inundaciones UDP, puede establecer un umbral que, al ser excedido, activa la funcin de proteccin contra ataques de inundacin UDP. (El valor predeterminado del umbral es 1000 paquetes por segundo). Si el nmero de datagramas UDP de uno o ms orgenes a un destino determinado supera este umbral, el dispositivo NetScreen ignora los datagramas UDP subsiguientes dirigidos a ese destino durante el resto de ese segundo y tambin durante el segundo siguiente.
El atacante enva datagramas UDP en paquetes IP con direcciones de origen simuladas. El dispositivo NetScreen deja pasar los datagramas UDP slo si alguna directiva lo permite. LAN protegida Datagramas UDP dentro de los paquetes IP de una variedad de direcciones IP simuladas Datagrama UDP Los datagramas apuntan a un servidor DNS en 1.2.2.5:53. Servidor DNS IP: 1.2.2.5 Puerto: 53 (UDP)
Datagrama UDP
Datagrama UDP
. . .
Lmite mximo de datagramas UDP por segundo Datagrama UDP Una vez alcanzado el umbral de inundacin UDP, el dispositivo NetScreen rechaza los datagramas UDP subsiguientes de todas las direcciones de la misma zona de seguridad durante el resto del segundo actual y tambin durante el segundo siguiente.
Datagrama UDP Datagrama UDP legtimo desde una direccin de la misma zona de seguridad
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
69
Para habilitar la proteccin contra inundaciones UDP, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que puede originarse una inundacin:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : UDP Flood Protection: (seleccione) Threshold: (introduzca el valor a partir del cual debe activarse la proteccin contra inundaciones UDP10)
CLI
set zone zone screen udp-flood threshold number set zone zone screen udp-flood
10. La unidad de este valor se expresa en paquetes UDP por segundo. El valor predeterminado es de 1000 paquetes por segundo.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
70
Origen 1.2.2.5
Destino 1.2.2.5
Origen 1.2.2.5
Destino 1.2.2.5
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
71
Cuando se habilita la opcin SCREEN para bloquear ataques terrestres, el dispositivo NetScreen combina elementos de la defensa contra inundaciones SYN y de la proteccin contra la suplantacin de direcciones IP para detectar y bloquear cualquier intento de esta naturaleza. Para habilitar la proteccin contra ataques terrestres, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Land Attack Protection y haga clic en Apply .
CLI
set zone zone screen land
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
72
Ping of Death
El tamao mximo admisible de un paquete IP es de 65.535 bytes, incluyendo el encabezado del paquete, que 11 habitualmente mide 20 bytes . Una peticin de eco ICMP es un paquete IP con un pseudoencabezado de 8 12 bytes . Por lo tanto, el tamao mximo admisible del rea de datos de una peticin de eco ICMP es de 65.507 bytes (65.535 - 20 - 8 = 65.507). Sin embargo, muchas implementaciones del comando ping permiten al usuario especificar un tamao del paquete superior a 65.507 bytes. Un paquete ICMP sobredimensionado puede desencadenar una variedad de reacciones adversas por parte del sistema, como la denegacin del servicio (DoS), cuelgues, bloqueos y reinicios. Habilitando la opcin SCREEN Ping of Death, el dispositivo NetScreen detecta y rechaza esos paquetes sobredimensionados e irregulares incluso cuando el atacante oculta el tamao total del paquete fragmentndolo intencionalmente. Nota: Para obtener informacin sobre Ping of Death, consulte http://www.insecure.org/sploits/ping-o-death.html.
20 bytes Original, paquete no fragmentado Encabezado IP 8 bytes Encabezado ICMP 65.510 bytes Datos ICMP
El tamao de este paquete es de 65.538 bytes. Excede el lmite de 65.535 bytes prescrito en la norma RFC 791, Internet Protocol. Durante la transmisin, el paquete se divide en numerosos fragmentos. Durante el proceso de reensamblaje, el sistema receptor puede quedarse colgado.
11. Para obtener informacin sobre las especificaciones del protocolo IP, consulte la norma RFC 791, Internet Protocol. 12. Para obtener ms informacin sobre las especificaciones de ICMP, consulte la norma RFC 792, Internet Control Message Protocol.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
73
Para habilitar la proteccin contra ataques Ping of Death, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Ping of Death Attack Protection y haga clic en Apply .
CLI
set zone zone screen ping-death
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
74
Ataque Teardrop
Los ataques Teardrop explotan la funcin de reensamblaje de paquetes IP fragmentados. En el encabezado IP, uno de los campos es el de desplazamiento del fragmento, que indica la posicin inicial, o desplazamiento, de los datos contenidos en un paquete fragmentado con respecto a los datos del paquete original sin fragmentar.
Encabezado IP
Tamao del encabezado El dispositivo NetScreen comprueba si existen discrepancias en el campo de desplazamiento del fragmento. Tipo de servicio Tamao total del paquete (en bytes)
Versin
D M
20 bytes
Cuando la suma de tamao de desplazamiento + tamao de un paquete fragmentado es distinta a la del siguiente paquete fragmentado, los paquetes se solapan y el servidor que intenta reensamblarlos puede colgarse, especialmente si est ejecutando un sistema operativo antiguo que tenga esta vulnerabilidad.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
75
Una vez habilitada la opcin SCREEN Teardrop Attack, siempre que el dispositivo NetScreen detecte esta discrepancia en un paquete fragmentado, lo descartar. Para habilitar la proteccin contra ataques Teardrop, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Teardrop Attack Protection y haga clic en Apply .
CLI
set zone zone screen tear-drop
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
76
WinNuke
WinNuke es un ataque de denegacin de servicio (DoS) que apunta a cualquier equipo conectado a Internet que ejecute Windows. El atacante enva un segmento TCP, normalmente al puerto 139 de NetBIOS con el flag URG (urgente) activado, a un host con una conexin establecida. Esto induce un solapamiento de fragmentos NetBIOS, que en muchos equipos Windows provoca la cada del sistema. Al reiniciar el equipo atacado, aparece el siguiente mensaje para indicar que se ha producido un ataque: Excepcin OE en 0028:[direccin] en el VxD MSTCP(01) + 000041AE. La llamada se realiz desde 0028:[direccin] en el VxD NDIS(01) + 00008660. Quizs pueda continuar normalmente. Presione cualquier tecla para continuar. Presione CTRL+ALT+SUPR para reiniciar el equipo. Perder la informacin no guardada en los programas. Presione cualquier tecla para continuar.
Indicadores de un ataque WinNuke Encabezado TCP
Nmero del puerto de origen Nmero correlativo Nmero de reconocimiento Tamao del encabezado Reservado U A P R S F R C S S Y I G K H T N N Tamao de la ventana Indicador Urgente Opciones (si las hay) Datos (si los hay) El flag URG est activado. El puerto de destino es el 139. Puerto de destino: 139
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
77
Con la opcin SCREEN de defensa contra ataques WinNuke habilitada, el dispositivo NetScreen analiza cualquier paquete entrante del servicio de sesiones de Microsoft NetBIOS (puerto 139). Si el dispositivo NetScreen detecta que el flag URG est activado en alguno de esos paquetes, lo desactiva, borra el indicador URG, reenva el paquete modificado y genera una entrada en el registro de eventos indicando que ha bloqueado un intento de ataque WinNuke. Para habilitar la proteccin contra ataques WinNuke, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione WinNuke Attack Protection y haga clic en Apply .
CLI
set zone zone screen winnuke
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
78
Captulo 4
Juniper Networks ofrece varias funciones de supervisin y filtrado de contenidos con la opcin SCREEN de proteccin contra URL maliciosas de ScreenOS. Adems, la funcin de reensamblaje de fragmentos permite que un dispositivo NetScreen detecte las URL incluso entre segmentos TCP y paquetes IP fragmentados. Para la proteccin antivirus (AV), puede elegir algunos de los dispositivos NetScreen para obtener una clave de licencia avanzada y una clave de suscripcin AV, y utilizar la funcin interna de deteccin de virus. Para el filtrado de URL, puede configurar un dispositivo NetScreen de modo que trabaje con un motor interno de filtrado de URL con uno o ms servidores de filtrado URL externos. En este captulo se estudia cmo se ha de configurar el dispositivo NetScreen para reensamblar paquetes y segmentos, supervisar el trfico HTTP en busca de URL maliciosas e interactuar con otros dispositivos para realizar el anlisis antivirus y el filtrado de URL. El captulo se divide en las siguientes secciones: Reensamblaje de fragmentos en la pgina 81 Proteccin contra URLs maliciosas en la pgina 81 Puerta de enlace en la capa de aplicacin en la pgina 82 Anlisis antivirus en la pgina 86 Anlisis del trfico FTP en la pgina 87 Anlisis del trfico HTTP en la pgina 89 Anlisis del trfico IMAP y POP3 en la pgina 92 Anlisis del trfico SMTP en la pgina 94 Actualizacin del archivo de firmas AV en la pgina 96 Aplicacin de anlisis AV en la pgina 100 Ajustes del analizador AV en la pgina 103
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
79
Filtrado de URL en la pgina 111 Filtrado de URL integrado en la pgina 112 Redireccionamiento del filtrado de URL en la pgina 126
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
80
Reensamblaje de fragmentos
REENSAMBLAJE DE FRAGMENTOS
Normalmente, los dispositivos de reenvo por red, como conmutadores o enrutadores, no reensamblan los paquetes fragmentados que reciben. El reensamblaje de los paquetes fragmentados es responsabilidad del host de destino una vez los recibe. Como el objetivo de los dispositivos de reenvo es garantizar un trfico eficaz, poniendo en cola los paquetes fragmentados, su reensamblaje, fragmentacin y reenvo resultan innecesarios e ineficaces. Sin embargo, el paso de paquetes fragmentados a travs de un cortafuegos es poco seguro. El atacante puede romper intencionadamente los paquetes y hacer as que las cadenas de trfico resultantes crucen el cortafuegos sin que se las detecte y bloquee. ScreenOS permite habilitar por zonas el reensamblaje de fragmentos. De esta forma, el dispositivo NetScreen puede ampliar su habilidad de detectar y bloquear cadenas de URL maliciosas y mejorar su capacidad de proporcionar una puerta de enlace en la capa de aplicacin (ALG) para comprobar las porciones de datos de los paquetes.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
81
Reensamblaje de fragmentos
Individualmente, las cadenas fragmentadas pueden atravesar el dispositivo NetScreen sin ser detectadas, aunque se haya definido una cadena 120.3.4.5/level/50/exec con una longitud de 20 caracteres. La cadena del primer paquete (120.) coincide con la primera parte del patrn definido, pero es ms corta que los 20 caracteres definidos para la longitud. Las cadenas del segundo y del tercer paquete no coinciden con el inicio del patrn definido, por lo que tambin podrn pasar sin problemas. No obstante, al reensamblar los paquetes, los fragmentos se combinan formando una cadena que el dispositivo NetScreen puede identificar y bloquear. Gracias a la funcin de reensamblaje de fragmentos, el dispositivo NetScreen puede colocar los fragmentos en cola, reensamblar con ellos el paquete completo y, finalmente, analizar el paquete en busca de cdigo malicioso. Segn los resultados de este proceso de reensamblaje y la posterior inspeccin, el dispositivo NetScreen lleva a cabo uno de los siguientes pasos: Si el dispositivo NetScreen descubre una URL maliciosa, descarta el paquete e indica el evento en el registro. Si el dispositivo NetScreen no puede completar el proceso de reensamblaje, hay impuesto un lmite temporal tras el cual los fragmentos caducan y se descartan. Si el dispositivo NetScreen determina que la URL no es maliciosa pero el paquete reensamblado es demasiado grande para reenviarlo, vuelve a fragmentar el paquete y reenva los fragmentos. Si el dispositivo NetScreen determina que la URL no es maliciosa y no es necesario fragmentarla, reenva el paquete directamente.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
82
Reensamblaje de fragmentos
Para distinguir los dos tipos de trfico, el cortafuegos de NetScreen examina la carga del paquete. Si el contenido es RETR filename , el cliente FTP ha enviado una peticin para obtener o recuperar (RETRieve) el archivo especificado desde el servidor FTP y el dispositivo NetScreen permitir el paso del paquete. Si el dispositivo NetScreen encuentra STOR filename , el cliente ha enviado una peticin para almacenar (STORe) el archivo especificado en el servidor y el dispositivo NetScreen bloquear el paquete. Para burlar este tipo de defensa, un atacante puede fragmentar deliberadamente un paquete FTP-put en dos paquetes que contengan el siguiente texto en las cargas de datos correspondientes: paquete 1: ST ; paquete 2: OR filename . Cuando el dispositivo NetScreen inspecciona cada paquete de forma individual, no encuentra la cadena STOR filename , por lo que permite el paso de ambos paquetes. No obstante, al reensamblarlos, los fragmentos se combinan formando una cadena que el dispositivo NetScreen puede identificar y bloquear. Gracias a la funcin de reensamblaje de fragmentos, el dispositivo NetScreen coloca los fragmentos en cola, reconstruye con ellos el paquete completo y, finalmente, analiza el paquete en busca de la peticin FTP completa. Segn los resultados de este proceso de reensamblaje y la posterior inspeccin, el dispositivo NetScreen lleva a cabo uno de los siguientes pasos: Si el dispositivo NetScreen descubre una peticin FTP-put, descarta el paquete e indica el evento en el registro. Si el dispositivo NetScreen no puede completar el proceso de reensamblaje, hay impuesto un lmite temporal tras el cual los fragmentos caducan y se descartan. Si el dispositivo NetScreen descubre una peticin FTP-get pero el paquete reensamblado es demasiado grande para reenviarlo, vuelve a fragmentar el paquete y reenva los fragmentos. Si el dispositivo NetScreen descubre una peticin FTP-get y no es necesario fragmentarla, reenva el paquete directamente.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Reensamblaje de fragmentos
Segunda URL maliciosa ID: CMF Pattern: cgi-bin/phf Length: 11 Tercera URL maliciosa ID: DLL Pattern: 210.1.1.5/msadcs.dll Length: 18 Los valores de longitud (Length) indican el nmero de caracteres del patrn que deben aparecer en la URL, comenzando por el primer carcter, para que la coincidencia se considere correcta. Observe que en las URL primera y tercera, no es necesario que coincidan todos los caracteres. A continuacin, habilite el reensamblaje de fragmentos para detectar las URL que lleguen a una interfaz de zona Untrust en el trfico de HTTP.
WebUI
Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y haga clic en OK : ID: perl Pattern: /scripts/perl.exe Length: 14 Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y haga clic en OK : ID: cmf Pattern: cgi-bin/phf Length: 11 Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y haga clic en OK : ID: dll Pattern: 210.1.1.5/msadcs.dll Length: 18
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 84
Reensamblaje de fragmentos
Network > Zones > Edit (para Untrust): Seleccione la casilla de verificacin TCP/IP Reassembly for ALG y luego haga clic en OK .
CLI
set zone set zone set zone set zone save untrust untrust untrust untrust screen mal-url perl scripts/perl.exe 14 screen mal-url cmf cgi-bin/phf 11 screen mal-url dll 210.1.1.5/msadcs.dll 18 reassembly-for-alg
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
85
Anlisis antivirus
ANLISIS ANTIVIRUS
Un virus es un cdigo ejecutable que infecta o adjunta otro cdigo ejecutable que le permite reproducirse. Algunos virus son maliciosos, borrando archivos o bloqueando sistemas. Otros representan un problema simplemente porque infectan otros archivos, puesto que al propagarse pueden saturar la red o el host infectado con cantidades excesivas de datos superfluos. Los dispositivos Select NetScreen admiten un analizador interno de antivirus (AV) que proporcione anlisis AV para 1 transacciones especficas de la capa de la aplicacin . Puede configurar el escner para que examine el trfico de red que utiliza los siguientes protocolos: File Transfer Protocol (FTP) Hypertext Transfer Protocol (HTTP) Internet Mail Access Protocol (IMAP) Post Office Protocol, version 3 (POP3) Simple Mail Transfer Protocol (SMTP)
Para aplicar la proteccin AV, debe hacer referencia al escner interno en las directivas de seguridad. Cuando el dispositivo NetScreen recibe el trfico al que se aplica una directiva que requiere anlisis AV, dirige el contenido que recibe a su escner interno. Tras comprobar que ha recibido el contenido completo del paquete FTP, HTTP, IMAP, POP3, o SMTP, el escner examina los datos en busca de virus. Esto lo hace segn un archivo de firmas2 que permite identificar las firmas de virus. Cuando el escner detecta un virus, el dispositivo NetScreen descarta el contenido y enva un mensaje al cliente indicando que el contenido est infectado. Si el analizador no detecta ningn virus, el dispositivo NetScreen reenva el contenido al destino correspondiente.
1. Aunque algunos dispositivos NetScreen muestran opciones en las interfaces CLI y WebUI para configurar el anlisis AV externo, esta versin de ScreenOS es compatible nicamente con el anlisis interno AV. 2. Para ver la informacin acerca de cmo guardar un archivo de firmas AV en el dispositivo NetScreen y actualizarlo periodicamente, consulte Actualizacin del archivo de firmas AV en la pgina 96.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
86
Anlisis antivirus
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
87
Anlisis antivirus
Canal de control Zona Trust 1 Cliente FTP local 2 3 Analizador AV interno Canal de datos
1. Un cliente FTP local abre un canal de control FTP en un servidor FTP y solicita la transmisin de algunos datos. 2. El cliente FTP y el servidor negocian un canal de datos por el que el servidor enve los datos solicitados. El dispositivo NetScreen intercepta los datos y transmite los datos HTTP a su analizador AV interno, que los examina en busca de virus. 3. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva los datos al cliente. Si se descubre la presencia de un virus, descarta el mensaje y enva otro informando de la infeccin al cliente a travs del canal de control.
Si los datos analizados exceden el ajuste mximo de los contenidos o si el anlisis no se puede finalizar con xito, el dispositivo NetScreen sigue una lnea de accin diferente en funcin del ajuste del modo de fallo. Consulte la tabla anterior para los detalles.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
88
Anlisis antivirus
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
89
Anlisis antivirus
Analizador AV interno 4. Un servidor web responde a una peticin HTTP. 5. El dispositivo NetScreen intercepta la respuesta HTTP y transmite los datos a su analizador AV interno, que los examina en busca de virus. 6. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva la respuesta al cliente HTTP. Si se descubre la presencia de un virus, descarta la respuesta y enva un mensaje HTTP informando de la infeccin al cliente. 1. Un cliente HTTP enva una peticin HTTP a un servidor web. 2. El dispositivo NetScreen intercepta la peticin y transmite los datos al analizador AV interno, que los examina en busca de virus. 3. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva la peticin al servidor web. Si se descubre la presencia de un virus, descarta la peticin y enva un mensaje HTTP informando de la infeccin al cliente.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
90
Anlisis antivirus
Para mejorar rendimiento, los dispositivos NetScreen no analizan los tipos de contenido MIME anteriores. Puesto que la mayora de las entidades HTTP se componen de los tipos de contenido antedichos, el anlisis HTTP se aplica nicamente a un pequeo subconjunto de entidades HTTP, por ejemplo tipos de contenidos /zip y application/exe, en los que es ms probable que se escondan los virus. Para modificar el comportamiento del anlisis HTTP de modo que el dispositivo NetScreen analice todas las clases de trfico HTTP sin tener en cuenta los tipos del contenido MIME, introduzca el siguiente comando: unset av http skipmime .
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
91
Anlisis antivirus
descartar
aceptar
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
92
Anlisis antivirus
Anlisis antivirus de IMAP o POP3 Zona DMZ Servidor de correo local Zona Untrust Internet 2 Analizador AV interno 3 Cliente IMAP o POP3 1 Zona Trust
1. El cliente IMAP o POP3 descarga un mensaje de correo electrnico desde el servidor de correo local. 2. El dispositivo NetScreen intercepta el mensaje y transmite los datos al analizador AV interno, que los examina en busca de virus. 3. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva el mensaje al cliente. Si se descubre la presencia de un virus, enva un mensaje informando de la infeccin al cliente.
Si el mensaje analizado excede el ajuste de contenido mximo o si el anlisis no se pudo completar con xito, el dispositivo NetScreen sigue una lnea de accin diferente en funcin del ajuste del modo de fallo. Consulte la tabla anterior para los detalles.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
93
Anlisis antivirus
entonces el dispositivo NetScreen transmite el mensaje al receptor SMTP. cambia el tio de contenido a text/plain, reemplaza el cuerpo del mensaje con el siguiente aviso y lo enva al receptor SMTP: VIRUS WARNING Contaminated File: filename Virus Name: virus_name cambia el tio de contenido a text/plain, reemplaza el cuerpo del mensaje con el siguiente aviso y lo enva al receptor SMTP: No se analiz el contenido en busca de virus porque reason_text_str (nmero de cdigo),y se descart. El reason_text_str puede ser uno de los siguientes: el archivo era demasiado grande por un error o limitacin se excedi el tamao de contenido mx. se excedi el nmero de mensajes mx.
descartar
3.
Puesto que un cliente SMTP se refiere a la entidad que enva el correo electrnico, un cliente puede, de hecho, ser otro servidor SMTP.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
94
Anlisis antivirus
Si el mensaje excede el mximo nivel de contenido o bien no se puede analizar con xito
entonces el dispositivo NetScreen transmite el mensaje original al receptor SMTP con la lnea de ttulo original modificada del siguiente modo: original_subject_text_str (No se analiz en busca de virus porque reason_text_str, number de cdigo)
Analizador AV interno
1. Un servidor de correo remoto reenva un mensaje de correo electrnico por SMTP al servidor de correo local. 2. El dispositivo NetScreen intercepta el mensaje y transmite los datos al analizador AV interno, que los examina en busca de virus. 3. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva el mensaje al servidor local. Si se descubre la presencia de un virus, enva un mensaje informando de la infeccin al servidor remoto.
A. Un cliente SMTP enva un mensaje de correo electrnico a un servidor de correo local. B. El dispositivo NetScreen intercepta el mensaje y transmite los datos al analizador AV interno, que los examina en busca de virus. C. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva el mensaje al servidor local. Si se descubre la presencia de un virus, enva un mensaje informando de la infeccin al cliente.
Si el mensaje analizado excede el ajuste de contenido mximo o si el anlisis no se pudo completar con xito, el dispositivo NetScreen sigue una lnea de accin diferente en funcin del ajuste del modo de fallo. Consulte la tabla anterior para los detalles.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
95
Anlisis antivirus
Internet
Archivo server.ini
Archivo server.ini
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
96
Anlisis antivirus
2.
Despus de que el dispositivo NetScreen descarga el archivo de inicializacin de servidor, el dispositivo NetScreen comprueba que el archivo server.ini es vlido. Luego lo analiza para obtener informacin acerca del archivo de firmas actualizado, incluida la versin y el tamao del mismo, y acerca de la ubicacin del servidor del archivo de firmas. Nota: ScreenOS contiene un certificado CA para autenticar la comunicacin con el servidor de archivos de firmas.
3.
Si el archivo de firmas del dispositivo NetScreen est caducado (o no existe debido a que es la primera vez que se carga un archivo), el dispositivo automticamente recupera un archivo de firmas actualizado del servidor de archivos de firmas.
Dispositivo NetScreen Servidor de archivos de firmas
Internet
4.
Una vez el dispositivo NetScreen ha descargado el archivo de firmas, verifica que la suscripcin para el servicio de actualizacin de archivos de firmas AV an es vlida. Si la suscripcin es vlida, el dispositivo NetScreen guarda el nuevo archivo de firmas en la memoria flash y la memoria RAM, y sobrescribe el archivo existente, en caso de que lo hubiera. Si la suscripcin ha caducado, la actualizacin del archivo de firmas se cancelar y aparecer un mensaje indicando que la suscripcin ha caducado.
Las actualizaciones del archivo de firmas se agregan a medida que se propagan nuevos virus. Puede configurar el dispositivo NetScreen para que actualice el archivo de firmas automticamente cada cierto tiempo o manualmente. Nota: Cuando caduque la suscripcin, el servidor de actualizaciones no permitir actualizar el archivo de firmas de virus.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
97
Anlisis antivirus
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : Pattern Update Server: http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini. Auto Pattern Update: (seleccione), Interval: 15 minutes (10~10080)
CLI
set av scan-mgr pattern-update-url http://5gt-t.activeupdate.trendmicro.com/ activeupdate/server.ini interval 15 save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
98
Anlisis antivirus
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : Pattern Update Server: http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini. Update Now: (seleccione)
CLI
set av scan-mgr pattern-update-url http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini exec av scan-mgr pattern-update
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
99
Anlisis antivirus
Aplicacin de anlisis AV
Para aplicar anlisis AV al trfico FTP, HTTP, IMAP, POP3, o SMTP, debe hacer referencia al analizador AV (scan-mgr) en las directivas.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 100
Anlisis antivirus
2.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: mailsrv1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.5/32 Zone: DMZ
3.
Anlisis AV de POP3
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : Protocols to be scanned: POP3: (seleccione)
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
5.
Directiva
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), mailsrv1 Service: POP3
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
101
Anlisis antivirus
Action: Permit Anlisis antivirus: Seleccione scan-mgr y haga clic en el botn << para mover el objeto AV de la columna Available AV Object Names a la columna Attached AV Object Names.
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone dmz set interface ethernet2 ip 1.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2. 3. 4. 5.
Direccin
set address dmz mailsvr1 1.2.2.5/32
Anlisis AV de POP3
set av scan-mgr content pop3 timeout 20
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
Directiva
set policy from trust to dmz any mailsvr1 pop3 permit av scan-mgr save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
102
Anlisis antivirus
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
103
Anlisis antivirus
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : Protocols to be scanned: HTTP: (seleccione) Webmail: (seleccione) SMTP: (seleccione) POP3: (seleccione) FTP: (seleccione) IMAP: (seleccione) Nota: Para cambiar el valor del tiempo de espera, debe utilizar la interfaz CLI.
CLI
set av set av set av set av set av save scan-mgr scan-mgr scan-mgr scan-mgr scan-mgr content content content content content http timeout 300 smtp timeout 300 pop3 timeout 300 ftp timeout 300 imap timeout 300
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
104
Anlisis antivirus
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : Protocols to be scanned: HTTP: (seleccione) ALL HTTP: (seleccione) SMTP: (seleccione) POP3: (anule la seleccin) FTP: (anule la seleccin) IMAP: (anule la seleccin) Nota: Para cambiar el valor del tiempo de espera, debe utilizar la interfaz CLI.
CLI
set av scan-mgr content smtp timeout 180 set av scan-mgr content http timeout 180 unset av http webmail enable unset av scan-mgr content pop3 unset av scan-mgr content ftp unset av scan-mgr content imap save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
105
Anlisis antivirus
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : File decompression: 3 layers (1~4) Drop: (seleccione) file if it exceeds 3000 KB (4000~16000) Drop: (seleccione) file if the number of files exceeds 4 files (1~16)
CLI
set av set av set av set av save scan-mgr scan-mgr scan-mgr scan-mgr decompress-layer 3 max-msgs 4 max-content-size 3000 max-content-size drop
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
106
Anlisis antivirus
Asignacin de recursos a AV
Un usuario con malas intenciones puede generar una gran cantidad de trfico simultneamente para intentar consumir todos los recursos disponibles y de ese modo impedir que el analizador AV analice otro trfico de datos. Para evitar que esto suceda, el dispositivo NetScreen puede determinar el porcentaje mximo de recursos AV que puede consumir el trfico de un nico origen. De forma predeterminada, el porcentaje mximo es del 70%. Puede modificar este ajuste a cualquier valor entre 1% y 100%. Si se ajusta al 100%, no habr ninguna restriccin a la cantidad de recursos AV que pueda consumir el trfico que provenga de un nico origen.
WebUI
Nota: Para configurar esta opcin debe utilizar la interfaz CLI.
CLI
set av all resources number unset av all resources El comando unset av restablece al valor predeterminado (70%) el porcentaje mximo de recursos AV por origen.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
107
Anlisis antivirus
WebUI
Screening > Antivirus > Global: Seleccione Fail Mode Traffic Permit para permitir el paso del trfico sin examinar, o anule la seleccin para bloquearlo, y luego haga clic en Apply .
CLI
set av all fail-mode traffic permit unset av all fail-mode traffic El comando unset av restablece el comportamiento en modo de fallo a su valor predeterminado (bloquear el trfico no analizado).
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
108
Anlisis antivirus
del tipo de servidor). Este mtodo hace que la conexin TCP permanezca abierta mientras se realice el anlisis antivirus, lo que disminuye la latencia y mejora el rendimiento de la CPU. Sin embargo, no resulta tan seguro como el mtodo de conexin close. Este comportamiento se puede modificar si detecta que las conexiones HTTP superan el tiempo de espera durante el anlisis antivirus.
WebUI
Screening > Antivirus > Global: Seleccione Keep Alive para usar la opcin de conexin keep-alive, o anule la seleccin para usar la opcin de conexin close, y luego haga clic en Apply .
CLI
set av http keep-alive unset av http keep-alive
Goteo HTTP
Como goteo HTTP se entiende el reenvo de cantidades especficas de trfico HTTP no analizado al cliente HTTP solicitante. De este modo se evita que la ventana del explorador sobrepase el tiempo de espera mientas VirusWall examina los archivos HTTP descargados. (El dispositivo NetScreen reenva pequeas cantidades de datos antes de transferir un archivo analizado completo). De forma predeterminada, el goteo HTTP est inhabilitado. Para habilitarlo y utilizar los parmetros predeterminados del goteo HTTP, siga uno de estos pasos:
WebUI
Screening > Antivirus > Global: Seleccione la casilla de verificacin Trickling Default y haga clic en Apply .
CLI
set av http trickling default Con los parmetros predeterminados, el dispositivo NetScreen emplea el goteo si el tamao de un archivo HTTP supera 3 MB de tamao. Reenviar 500 bytes de contenido por cada megabyte enviado a analizar.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
109
Anlisis antivirus
Para cambiar los parmetros del goteo HTTP, siga uno de estos pasos:
WebUI
Screening > Antivirus > Global: Introduzca los siguientes datos y haga clic en Apply : Trickling: Custom: (seleccione) Minimum Length to Start Trickling: Indique number1 . Trickle Size: Indique number2 . Trickle for Every MB Sent for Scanning: Indique number3 .
CLI
set av http trickling number1 number3 number2 Las tres variables numricas tienen los siguientes significados: number1: tamao mnimo (en megabytes) de un archivo HTTP para que comience el goteo number2: tamao (en bytes) del trfico no analizado que reenviar el dispositivo NetScreen number3: tamao (en megabytes) de un bloqueo de trfico al que el dispositivo NetScreen aplicar el goteo Nota: Los datos sometidos al proceso de goteo en el disco duro del cliente aparecern como un pequeo archivo sin utilidad. Dado que el goteo funciona reenviando pequeas cantidades de datos a un cliente sin analizarlos, el cdigo malicioso podra encontrarse entre los datos que el dispositivo NetScreen ha enviado al cliente por goteo. Juniper Networks recomienda a los usuarios que eliminen esos archivos. Puede inhabilitar el goteo HTTP por medio de la interfaz WebUI (Screening > Antivirus: haga clic en Disable en la seccin Trickling) o con el comando CLI set av http trickling 0 0 0 . En cualquier caso, si el archivo que se va a descargar supera los 8 MB y se ha desactivado el goteo HTTP, es muy probable que la ventana del explorador rebase el tiempo de espera.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 110
Filtrado de URL
FILTRADO DE URL
El filtrado de URL, denominado tambin filtrado de web, permite administrar los accesos a Internet e impedir el acceso a contenidos no apropiados. NetScreen proporciona dos soluciones de filtrado de URL: Filtrado de URL integrado Filtrado de URL redirigida
Con el filtrado de URL integrado, puede permitir o bloquear el acceso a un sitio solicitado asociando un perfil de filtrado de URL a una directiva de cortafuegos. Un perfil de filtrado de URL especifica las categoras de URL y la accin que el dispositivo NetScreen debe llevar a cabo (permitir o bloquear) cuando recibe una peticin para acceder a una URL de cada categora. Las categoras de URL pueden ser las predefinidas que se encuentran en SurfControl o pueden estar definidas por el usuario. Para ms informacin sobre cmo configurar la funcin de filtrado de URL integrado, consulte Filtrado de URL integrado en la pgina 112. Con el filtrado de URL redirigida, el dispositivo NetScreen enva la primera peticin HTTP de una conexin TCP a un servidor Websense o a un servidor SurfControl. Esto le permite bloquear o permitir el acceso a diferentes sitios basndose en las URL, los nombres de dominio y las direcciones IP. Para ms informacin sobre cmo configurar la funcin de filtrado de URL redirigida, consulte Redireccionamiento del filtrado de URL en la pgina 126.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
111
Filtrado de URL
2. 3.
4.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Filtrado de URL
Para configurar un dispositivo NetScreen para el filtrado de URL, debe llevar a cabo los siguientes pasos: 1. 2. 3. 4. 5. Configure un servidor de nombres de dominio (DNS). Active el filtrado de URL integrado en el dispositivo NetScreen. Defina las categoras (opcional). Defina los perfiles (opcional). Habilite el filtrado de URL en una directiva de cortafuegos y, de forma opcional, aplique un perfil de filtrado de URL a la directiva de cortafuegos.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
113
Filtrado de URL
WebUI
Screening > URL Filtering > Protocol Selection: Seleccione Integrated (SurfControl) , y luego haga clic en Apply . Luego seleccione Enable URL Filtering via CPA Server y haga clic en Apply de nuevo.
CLI
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> set enable ns(url:sc-cpa)-> exit ns-> save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
114
Filtrado de URL
Categoras URL
Una categora es una lista de URLs agrupadas por su contenido. Hay dos tipos de categoras: predefinidas y definidas por el usuario. SurfControl contiene cerca de 40 categoras predefinidas. Para obtener una lista de categoras de URL predefinidas y una descripcin de las URL de cada categora, visite la pgina web de SurfControl en www.surfcontrol.com. Para visualizar la lista de categoras URL predefinidas de SurfControl, ejecute el comando siguiente:
WebUI
Screening > URL Filtering > Profile > Predefine Category
CLI
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> get category pre La lista de categoras mostrada es similar al siguiente: Type code Category name -----------------------------------------PreDefine 90 Adult/Sexually Explicit PreDefine 76 Advertisements PreDefine 50 Arts & Entertainment PreDefine 3001 Chat PreDefine 75 Computing & Internet PreDefine 91 Criminal Skills . . . La lista de categoras predefinidas muestra las categoras y sus cdigos internos de SurfControl. Aunque no puede hacer una lista de las URLs dentro de una categora, puede determinar la categora de un sitio web usando la funcin Test A Site en el sitio web de SurfControl en www.surfcontrol.com.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
115
Filtrado de URL
Adems de las categoras de URLs predefinidas por SurfControl, puede agrupar las URLs y crear categoras especficas segn sus necesidades. Puede incluir hasta 20 URL en cada categora. Cuando cree una categora, puede agregar la URL o la direccin IP de un sitio. Cuando se agrega una URL a una categora definida por el usuario, el dispositivo NetScreen realiza una consulta de DNS, reuelve el nombre de host en direcciones IP y guarda en cach esta informacin. Cuando un usuario intenta acceder un sitio escribiendo la direccin IP, el dispositivo NetScreen comprueba la lista grabada en cach de las direcciones IP e intenta resolver el nombre del host. Muchos sitios tienen direcciones IP dinmicas, por lo tanto sus direcciones IP cambian cada cierto tiempo. Un usuario que intente acceder a un sitio puede escribir a una direccin IP que no est en la lista guardada en cach en el dispositivo NetScreen. Por lo tanto, si conoce a las direcciones IP de los sitios que est agregando a una categora, escriba tanto la URL como la(s) direccin(es) IP del sitio. Tenga en cuenta que si una URL est tanto en una categora definida por el usuario como en una categora predefinida, el dispositivo NetScreen empareja la URL con la categora definida por el usuario.
WebUI
Screening > URL Filtering > Profile > Custom List > New: Introduzca los siguientes datos y haga clic en Apply: Category Name: Competitors URL: www.games1.com Introduzca los siguientes datos y haga clic en OK: URL: www.games2.com
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
116
Filtrado de URL
CLI
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> set category competitors url www.games1.com ns(url:sc-cpa)-> set category competitors url www.games2.com ns(url:sc-cpa)-> exit ns-> save
NetScreen proporciona un perfil predeterminado que se denomina ns-profile . Este perfil incluye una lista de las categoras de URL predefinidas en SurfControl y sus acciones correspondientes. Un perfil predeterminado no se puede editar ni se puede aadir a una lista blanca o negra. Para visualizar el perfil NetScreen preestablecido, ejecute el siguiente comando:
WebUI
Screening > URL Filtering > Profile > Predefined Profile
CLI
ns(url:sc-cpa)-> get profile ns-profile
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 117
Filtrado de URL
El dispositivo NetScreen muestra el perfil preestablecido tal y como se indica a continuacin: url filtering profile name: ns-profile black-list category: none white-list category: none Category Action -------------------------------------------Adult/Sexually Explicit block Advertisements block Arts & Entertainment permit Chat permit Computing & Internet permit . . . Violence block Weapons block Web-based Email permit other permit Si la URL de una peticin HTTP no se encuentra en ninguna de las categoras incluidas en el perfil predeterminado, la accin predeterminada del dispositivo NetScreen es permitir el acceso al sitio. Puede crear un perfil que sea similar a ns-profile duplicndolo y editando un nuevo perfil. Para duplicar el ns-profile, lleve a cabo el siguiente procedimiento en la WebUI.
WebUI
Screening > URL Filtering > Profile > Custom Profile: ns-profile: Seleccione Clone . Nota: Debe utilizar la interfaz WebUI para duplicar el perfil predefinido ns-profile.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
118
Filtrado de URL
Tambin puede crear su propio perfil de filtrado de URL. Cuando se crea un perfil de filtrado URL, se puede: Agregar las categoras de URL definidas por el usuario y las predefinidas de SurfControl Especificar una categora para la lista negra o para la lista blanca Modificar la accin predeterminada
WebUI
Screening > URL Filtering > Profile > Custom Profile > New: Introduzca los siguientes datos y haga clic en Apply : Profile Name: my-profile Default Action: Permit Seleccione los siguientes datos y haga clic en OK : Subscribers Identified by: Category Name: Competitors (seleccione) Action: Block (seleccione) Configure: Add (seleccione)
CLI
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> set profile my-profile other permit ns(url:sc-cpa)-> set profile my-profile competitors block ns(url:sc-cpa)-> exit ns-> save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 119
Filtrado de URL
En categora predefinida? S
Predeterminado: Bloquear/Permitir
Si la URL est autorizada, el dispositivo NetScreen lleva a cabo un anlisis AV del contenido de la transaccin siempre que dicho anlisis AV est activado y configurado. Si la URL est bloqueada, el dispositivo NetScreen cierra la conexin TCP, enva un mensaje al usuario y no comprueba si se ha realizado un anlisis AV.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
120
Filtrado de URL
WebUI
1. Filtrado de URL
Screening > URL Filtering > Protocol Selection: Seleccione Integrated (SurfControl) , y luego haga clic en Apply . Luego seleccione Enable URL Filtering via CPA Server y haga clic en Apply de nuevo.
2.
Categora de URL
Screening > URL Filtering > Profile > Custom List > New: Introduzca los siguientes datos y haga clic en Apply : Category Name: Competitors URL: www.comp1.com Introduzca los siguientes datos y haga clic en OK : URL: www.comp2.com
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
121
Filtrado de URL
3.
4.
Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP URL Filtering: (seleccione), my-profile Action: Permit
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
122
Filtrado de URL
CLI
1. Filtrado de URL
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> set enable
2.
Categora de URL
ns(url:sc-cpa)-> set category competitors url www.comp.com ns(url:sc-cpa)-> set category competitors url www.comp.com
3.
4.
Directiva de cortafuegos
ns-> set policy ns-> set policy ns(policy:23)-> ns(policy:23)-> ns-> save id 23 from trust to untrust any any http permit url-filter id 23 set url protocol sc-cpa profile my-profile exit
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
123
Filtrado de URL
Servidores SurfControl
SurfControl posee tres ubicaciones de servidor, cada una de las cuales presta servicio a un rea geogrfica determinada: Amrica, Asia y el Pacfico y Europa central y del este y frica. El servidor primario predeterminado es el de Amrica y el servidor de respaldo predeterminado es el de Asia y el Pacfico. Puede modificar el servidor primario y, en funcin del que se escoja, el dispositivo NetScreen selecciona automticamente un servidor de respaldo. (El servidor de Asia y el Pacfico es el servidor de respaldo del servidor para Amrica, que a su vez es el servidor de respaldo de los otros dos). El servidor SurfControl CPA actualiza sus listas de categoras de forma peridica. Puesto que el servidor CPA no enva ninguna notificacin a sus clientes cuando actualiza las listas, el dispositivo NetScreen hace un sondeo del servidor CPA de forma peridica. De forma predeterminada, cada dos semanas el dispositivo NetScreen realiza consultas al servidor CPA sobre las actualizaciones. Puede modificar este valor predeterminado para que se ajuste a su entorno de red. Tambin puede actualizar la lista de categoras de forma manual, para ello indique el contexto de filtrado de URL y ejecute el comando exec url cate-list-update .
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
124
Filtrado de URL
WebUI
Screening > URL Filtering > Protocol Selection > SC-CPA: Introduzca los siguientes datos y haga clic en Apply : Enable Cache: (seleccione) Cache Size: 400 (K) Cache Timeout: 18 (Hours)
CLI
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> set cache size 400 ns(url:sc-cpa)-> set cache timeout 18 ns(url:sc-cpa)-> exit ns-> save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
125
Filtrado de URL
Zona Trust
SYN ACK HTTP GET
Zona Untrust
SYN / ACK
El dispositivo NetScreen intercepta y almacena en bfer la peticin HTTP GET. A continuacin enva la URL solicitada al servidor de filtrado de URL. El servidor de filtrado de URL responde con un mensaje de bloqueo.
RST
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
126
Filtrado de URL
Si el servidor de filtrado de URL permite el acceso a la URL, la secuencia de acontecimientos en el intento de conexin HTTP ser tal y como se indica a continuacin:
URL permitida
set policy from trust to untrust any any http permit url-filter Cliente HTTP Servidor de filtrado de URL (en la zona Trust) 3 Peticin de filtrado de URL
Servidor HTTP
Zona Untrust
SYN / ACK
El dispositivo NetScreen intercepta y almacena en bfer la peticin HTTP GET. A continuacin enva la URL solicitada al servidor de filtrado de URL. El servidor de filtrado de URL responde con un mensaje de permiso.
HTTP GET
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
127
Filtrado de URL
Los dispositivos NetScreen con sistemas virtuales admiten hasta ocho servidores de filtrado de URL distintos: un servidor reservado para el sistema raz, que se puede compartir con un nmero ilimitado de sistemas virtuales, y siete servidores de filtrado de URL para el uso privado por parte de los sistemas virtuales. Un administrador del nivel raz puede configurar el mdulo de filtrado de URL en el nivel de sistema raz y el nivel de sistemas virtuales (vsys). Un administrador del nivel vsys puede configurar el mdulo URL de su propio sistema virtual, siempre que dicho sistema disponga de su propio servidor de filtrado de URL dedicado. Si el administrador del nivel vsys utiliza los ajustes del servidor raz de filtrado de URL, podr ver (pero no modificar) los ajustes de filtrado de URL de nivel raz. Para configurar un dispositivo NetScreen para el reenvo del filtrado de URL, debe llevar a cabo los siguientes pasos: 1. 2. Establezca la comunicacin con un mximo de ocho servidores de filtrado URL. Defina ciertos parmetros de comportamiento en el nivel de sistema. Un conjunto de parmetros se puede aplicar al sistema raz y a cualquier vsys que comparta la configuracin de filtrado de URL con el sistema raz. Otros conjuntos se pueden aplicar a sistemas virtuales que dispongan de su propio servidor de filtrado de URL dedicado. Active el filtrado de URL a los niveles raz y vsys. Habilite el filtrado de URL en directivas individuales.
3. 4.
1.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
128
Filtrado de URL
En la interfaz WebUI, seleccione el protocolo en la pgina Screening > URL Filtering > Protocol. Luego debe definir los ajustes del filtrado de URL y los parmetros de comportamiento del dispositivo NetScreen en relacin con el filtrado URL. Si configura estos ajustes en el sistema raz, tambin se aplicarn a cualquier sistema virtual que comparta la configuracin de filtrado de URL con el sistema raz. En el caso de un sistema virtual que disponga de su propio servidor de filtrado de URL dedicado, el administrador raz o el administrador vsys deber configurar los ajustes por separado para ese vsys. Los ajustes de filtrado de URL que debe definir en el nivel de sistema para las comunicaciones de dispositivo a dispositivo son stos: Server Name: direccin IP o nombre de dominio completo (FQDN) del equipo en el que se ejecuta el servidor Websense o SurfControl. Server Port: si ha modificado el puerto predeterminado en el servidor, tambin debe cambiarlo en el dispositivo NetScreen. (El puerto predeterminado de Websense es 15868, y el puerto predeterminado de SurfControl es 62252). Para obtener ms detalles, consulte la documentacin sobre Websense o SurfControl. Source Interface: el origen desde el cual el dispositivo NetScreen inicia las peticiones de filtrado URL a un servidor de filtrado de URL. Communication Timeout: intervalo de tiempo en segundos durante el cual el dispositivo NetScreen espera una respuesta del servidor de filtrado de URL. Si el servidor no responde dentro del tiempo especificado, el dispositivo NetScreen bloquea la peticin o la permite, segn se haya configurado. Para el intervalo de tiempo, puede introducir un nmero entre 10 y 240. Puede utilizar el siguiente comando CLI para configurar estos ajustes: set url server { ip_addr | dom_name } port_num timout_num En la interfaz WebUI, introduzca estos ajustes en los campos correspondientes en la pgina Screening > URL Filtering > Protocol > Websense o en la pgina Screening > URL Filtering > Protocol > SurfControl.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
129
Filtrado de URL
2.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
130
Filtrado de URL
3.
4.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
131
Filtrado de URL
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
132
Filtrado de URL
2.
3.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.1.2.0/24 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.250
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
133
Filtrado de URL
4.
Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP Action: Permit URL Filtering: (seleccione)
CLI
1. Interfaces
set set set set interface interface interface interface ethernet1 ethernet1 ethernet3 ethernet3 zone trust ip 10.1.1.1/24 zone untrust ip 1.1.1.1/24
2.
3.
Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway 10.1.1.250
4.
Directiva
set policy from trust to untrust any any http permit url-filter save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
134
Captulo 5
Deep Inspection
Puede habilitar Deep Inspection (DI) en directivas para examinar el trfico permitido y ejecutar las acciones correspondientes si el mdulo de DI en ScreenOS detecta signos de ataque o anomalas en el protocolo. En las secciones siguientes de este captulo se presentan los elementos de Deep Inspection que aparecen en directivas y se explica cmo configurarlos: Resumen de Deep Inspection en la pgina 137 Servidor de la base de datos de objetos de ataque en la pgina 141 Objetos de ataque y grupos en la pgina 149 Protocolos compatibles en la pgina 151 Firmas completas en la pgina 156 Firmas de secuencias TCP en la pgina 157 Anomalas en el protocolo en la pgina 157 Grupos de objetos de ataque en la pgina 158 Desactivacin de objetos de ataque en la pgina 163 Acciones de ataque en la pgina 164 Registro de ataques en la pgina 176 Asignacin de servicios personalizados a aplicaciones en la pgina 179 Objetos de ataque y grupos personalizados en la pgina 187 Objetos de ataque de firma completa definidos por el usuario en la pgina 187 Objetos de ataque de la firma de la secuencia TCP en la pgina 195 Parmetros configurables de anomalas de protocolos en la pgina 198 Negacin en la pgina 200
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
135
Deep Inspection tambin se puede habilitar a nivel de zonas de seguridad para componentes de HTTP. En la seccin final de este captulo se explican estas opciones SCREEN: Bloqueo granular de los componentes de HTTP en la pgina 207 Controles ActiveX en la pgina 207 Applets de Java en la pgina 208 Archivos EXE en la pgina 208 Archivos ZIP en la pgina 208
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
136
Cumple ? S
Permite o deniega este paquete la directiva?
No Descartar paquete
No Descartar paquete
Cumple un paquete inicial de una sesin los requisitos L3 y L4 de una directiva? o bien Cumple el estado de un paquete en una sesin existente las expectativas en la tabla de sesiones? Permite o deniega este paquete la directiva?
DI?
Detectado ataque?
No
No
Reenviar el paquete
Cuando el dispositivo NetScreen recibe el primer paquete de una sesin, examina las direcciones IP de origen y de destino en el encabezado del paquete IP (inspeccin de capa 3) y tanto los nmeros de puerto de origen y de
1. Los dispositivos NetScreen detectan los patrones de trfico anmalo en las capas 3 y 4 (IP y TCP) a travs de opciones SCREEN establecidas a nivel de zonas, no a nivel de directivas. Algunos ejemplos de deteccin de anomalas en el trfico IP y TCP son Barrido de direcciones IP en la pgina 8, Anlisis de puertos en la pgina 10, as como los diversos ataques de inundacin descritos en Ataques DoS contra la red en la pgina 52.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
137
destino como el protocolo en el segmento TCP o en el encabezado del datagrama UDP (inspeccin de capa 4). Si los componentes de capas 3 y 4 cumplen los criterios especificados en una directiva, el dispositivo NetScreen aplica al paquete la accin especificada: permitir, denegar o tunelizar2. Cuando el dispositivo NetScreen recibe un paquete destinado a una sesin establecida, lo compara con la informacin de estado actualizada en la tabla de sesiones para determinar si realmente pertenece a la sesin. Si en la directiva aplicable a este paquete est habilitada la opcin Deep Inspection y la accin de la directiva es permit o tunnel, el dispositivo NetScreen analiza ms detenidamente tanto el paquete como la secuencia de datos asociada (stream) en busca de ataques. Busca en el paquete patrones que coincidan con los definidos en uno o varios grupos de objetos de ataque. Los objetos de ataque pueden ser firmas de ataque o anomalas en el protocolo, que el usuario puede definir o descargar al dispositivo NetScreen desde un servidor de base de datos de objetos de ataque3. (Para obtener ms informacin, consulte Objetos de ataque y grupos en la pgina 149 y Objetos de ataque y grupos personalizados en la pgina 187). Basndose en los objetos de ataque especificados en la directiva, el dispositivo NetScreen puede realizar las inspecciones siguientes: Examinar los valores del encabezado y la carga de datos en busca de firmas de ataque completas Comparar el formato del protocolo transmitido con los estndares especificados en las normas RFC y en sus extensiones con respecto a ese protocolo para determinar si ha sido alterado, posiblemente con fines malvolos
Primero: Inspeccin del cortafuegos (capas de red): IP ORIG, IP DEST, Puerto ORIG, Puerto DEST y servicio (Protocolo) Despus: Deep Inspection (capas de red y aplicacin): IP ORIG, IP DEST, Puerto ORIG, Puerto DEST servicio (Protocolo) y Carga de datos
Cortafuegos
Deep Inspection
IP ORIG
IP ORIG
Carga de datos
Carga de datos
2.
Si la accin especificada es tunelizar, sta implica un permiso (trfico permitido). Observe que si habilita Deep Inspection (DI) en una directiva cuya accin sea tunelizar, el dispositivo NetScreen ejecuta las operaciones DI especificadas antes de encriptar un paquete saliente y despus de desencriptar un paquete entrante. Para poder descargar objetos de ataque del servidor de base de datos primero es necesario suscribirse al servicio. Para obtener ms informacin, consulte Registro y activacin de los servicios de suscripcin en la pgina 2 -463.
3.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
138
Si el dispositivo NetScreen detecta un ataque, realiza la accin especificada para el grupo de objetos de ataque al que pertenece el objeto de ataque que coincida: cerrar (close), cerrar cliente (close-client), cerrar servidor (close-server), descartar (drop), descartar paquete (drop-packet), ignorar (ignore) o ninguna. Si no encuentra un ataque, reenva el paquete. (Para obtener ms informacin sobre acciones de ataque, consulte Acciones de ataque en la pgina 164). El comando set policy se puede separar conceptualmente en dos partes: la seccin central y el componente DI: La seccin central contiene las zonas de origen y de destino, las direcciones de origen y de destino, uno o 4 ms servicios y una accin . El componente DI ordena al dispositivo NetScreen examinar el trfico permitido por la seccin central de la directiva para saber si hay patrones que coincidan con los objetos de ataque contenidos en al menos un grupo de objetos de ataque. Si el dispositivo NetScreen detecta un objeto de ataque, realiza a continuacin la accin definida para el grupo correspondiente. El siguiente comando set policy contiene un componente de DI:
Seccin central de una directiva Componente de Deep Inspection
Direccin Servicio Grupo de de origen ataque Direccin de Accin si el trfico cumple los criterios destino de los componentes L3 y L4
El comando antedicho ordena al dispositivo NetScreen permitir el trfico HTTP procedente de cualquier direccin de la zona Untrust a la direccin de destino websrv1 de la zona DMZ. Tambin ordena al dispositivo NetScreen examinar todo el trfico HTTP permitido por esta directiva. Si algn patrn de trfico coincide con un objeto de ataque definido en el grupo de objetos de ataque HIGH:HTTP:ANOM, el dispositivo NetScreen cierra la conexin descartando el paquete y enviando notificaciones TCP RST a los hosts en las direccin de origen y destino.
4. Opcionalmente, tambin puede agregar otras extensiones al componente central de un comando set policy : referencias a tneles VPN y L2TP, referencia a una tarea programada, especificaciones de la traduccin de direcciones, especificaciones de la autenticacin de usuarios y ajustes de comprobacin antivirus, registros, recuentos y administracin del trfico. Mientras que estas extensiones son opcionales, los elementos que constituyen el ncleo de una directiva (zonas de origen y de destino, direcciones de origen y de destino, servicio -o servicios- y la accin) son obligatorios. (Una excepcin a esta regla son las directivas globales, en las que no se especifican zonas de origen ni de destino: set policy global src_addr dst_addr service action . Para obtener ms informacin sobre directivas globales, consulte Directivas globales en la pgina 2 -312).
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
139
Es posible introducir el contexto de una directiva existente utilizando su nmero de identificacin. Por ejemplo: ns-> set policy id 1 ns(policy:1)-> Nota: El smbolo de la lnea de comandos cambia para indicar que el comando siguiente se ejecutar en un contexto de directiva determinado. Introducir el contexto de una directiva resulta prctico para introducir varios comandos relacionados con una sola directiva. Por ejemplo, el siguiente conjunto de comandos crea una directiva que permite el trfico HTTP y HTTPS desde cualquier direccin de Untrust a websrv1 y websrv2 en la zona DMZ y busca ataques HTTP de firma completa y de anomalas de protocolo de gravedad alta y crtica: ns-> set policy id 1 from untrust to dmz any websrv1 http permit attack CRITICAL:HTTP:ANOM action close ns-> set policy id 1 ns(policy:1)-> set dst-address websrv2 ns(policy:1)-> set service https ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server ns(policy:1)-> set attack HIGH:HTTP:ANOM action drop ns(policy:1)-> set attack HIGH:HTTP:SIGS action close-server ns(policy:1)-> exit ns-> save La configuracin antedicha permite el trfico HTTP y HTTPS, pero solamente busca posibles ataques en el trfico HTTP. Para poder agregar grupos de objetos de ataque dentro de un contexto de directiva, primero debe especificar un ataque y una accin DI en el comando de nivel superior. En el ejemplo antedicho, puede agregar los grupos de objetos de ataque CRITICAL:HTTP:SIGS, HIGH:HTTP:ANOM y HIGH:HTTP:SIGS porque anteriormente configur la directiva para Deep Inspection con el grupo CRITICAL:HTTP:ANOM. Nota: Puede especificar una accin de ataque diferente para cada grupo de objetos de ataque en una directiva. Si el dispositivo NetScreen detecta simultneamente mltiples ataques, aplica la accin ms severa, que en el ejemplo de arriba es close. Para obtener informacin sobre las siete acciones de ataque, incluidos sus niveles de gravedad, consulte Acciones de ataque en la pgina 164.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
140
5.
Puede tambin utilizar NetScreen-Security Manager para descargar las bases de datos de objetos de ataque. Para obtener ms informacin, consulte la NetScreen-Security Manager Administration Guide.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
141
naturaleza cambiante, tambin conviene actualizar la base de datos en el dispositivo NetScreen peridicamente. Para que esta operacin funcione, primero debe configurar los ajustes del servidor de la base de datos de objetos de ataque. (Para ver un ejemplo, consulte el Ejemplo: Actualizaciones automticas en la pgina 144). Automatic Notification and Immediate Update: Con esta opcin, el dispositivo NetScreen comprueba a las horas programadas por el usuario si los datos sobre el servidor de la base de datos de objetos de ataque son ms recientes que los del dispositivo NetScreen. Si los datos del servidor son ms recientes, aparece un aviso en la pgina inicial de WebUI y en CLI despus de iniciar sesin en el dispositivo NetScreen. A continuacin, puede ejecutar el comando exec attack-db update o hacer clic en el botn Update Now de la pgina Configuration > Update > Attack Signature de WebUI para guardar la base de datos del servidor en el dispositivo NetScreen. Para que el procedimiento semiautomtico de comprobacin del servidor funcione, primero debe configurar los ajustes del servidor de la base de datos de objetos de ataque. (Para ver un ejemplo, consulte el Ejemplo: Notificacin automtica y actualizacin inmediata en la pgina 145). Manual Update: Con esta opcin, primero utilizar un explorador de web para descargar la base de datos de objetos de ataque a un directorio local o al directorio del servidor TFTP. A continuacin puede cargar la base de datos en el dispositivo NetScreen mediante WebUI (desde el directorio local) o mediante CLI (desde el directorio del servidor TFTP). (Para ver un ejemplo, consulte el Ejemplo: Actualizacin manual en la pgina 147).
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
142
1. Peticin de actualizacin
Internet
https://services.netscreen .com/restricted/sigupdates
WebUI
Configuration > Update > Attack Signature: Haga clic en el botn Update Now .
CLI
ns-> exec attack-db update Loading attack database............. Done. Done. Switching attack database...Done Saving attack database to flash...Done. ns->
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
143
WebUI
Configuration > Update > Attack Signature: Introduzca los siguientes datos y haga clic en OK : Database Server: (dejar en blanco) Update Mode: Automatic Update Schedule: Weekly on: Monday6 Time (hh:mm): 04:00
6. Si programa actualizaciones mensualmente y la fecha elegida no existe en algn mes (por ejemplo, el da 31 no existe en algunos meses), el dispositivo NetScreen utiliza en su lugar la ltima fecha posible de ese mismo mes.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
144
CLI
set attack db mode update set attack db schedule weekly monday 04:00 save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
145
WebUI
1. Comprobacin programada de la base de datos
Configuration > Update > Attack Signature: Introduzca los siguientes datos y haga clic en OK : Database Server: (dejar en blanco) Update Mode: Automatic Notification Schedule: Daily Time (hh:mm): 07:00
2.
CLI
1. Comprobacin programada de la base de datos
set attack db mode notification set attack db schedule daily 07:00
2.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
146
7.
Despus de descargar la base de datos de objetos de ataque, tambin puede colocarla en un servidor local y configurarla para que otros dispositivos NetScreen puedan acceder a ella. A continuacin, los administradores de los dems dispositivos deben cambiar la URL del servidor de la base de datos a la nueva ubicacin. Pueden introducir la nueva URL en el campo Database Server de la pgina Configuration > Update > Attack Signature o utilizar el comando CLI siguiente: set attack db server url_string .
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
147
1.
WebUI
2. Actualizacin de la base de datos
Configuration > Update > Attack Signature: Introduzca los siguientes datos y haga clic en OK : Deep Inspection Signature Update: Load File: Introduzca C:\netscreen\attacks-db\attacks.bin , o haga clic en Browse y navegue a ese directorio, seleccione attacks.bin y finalmente haga clic en Open .
CLI
2. Actualizacin de la base de datos
save attack-db from tftp 10.1.1.5 attacks.bin to flash
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
148
/\[scripts/iisadmin/ism\.dll\?http/dir\].*
revlog/.*
NetScreen Untrust: ethernet3 1.1.1.1/24; DMZ: ethernet2 1.2.2.1/24 Zona Untrust SYN SYN/ACK ACK Zona DMZ
websrv1 1.2.2.5:80
IP ORIG
Coincide!
1.1.1.3
1.2.2.5
25611
80
HTTP
Carga: revlog/.
El dispositivo NetScreen detecta un objeto de ataque en el paquete. Descarta el paquete y cierra la conexin enviando notificaciones TCP RST al origen y al destino.
RST
RST
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
149
Los grupos de objetos de ataque a los que se haga referencia en el componente DI deben apuntar al mismo tipo de servicio que la directiva permita. Por ejemplo, si la directiva permite trfico SMTP, el grupo de objetos de ataque debe tener como objetivo los ataques contra el trfico SMTP. La directiva siguiente muestra una configuracin vlida: set policy id 2 from trust to untrust any any smtp permit attack CRIT:SMTP:SIGS action close La siguiente directiva es incorrecta porque permite el trfico SMTP, pero el grupo de objetos de ataque se refiere al trfico POP3: set policy id 2 from trust to untrust any any smtp permit attack CRIT:POP3:SIGS action close La segunda directiva est mal configurada y, si se implementase, hara que el dispositivo NetScreen consumiese recursos innecesariamente, ya que examinara el trfico SMTP en busca de objetos de ataque POP3 que nunca encontrara. Si la directiva 2 permite tanto el trfico SMTP como el POP3, puede configurar el componente DI para que busque objetos de ataque SMTP, objetos de ataque POP3 o ambos. set set set set group service grp1 group service grp1 add smtp group service grp1 add pop3 policy id 2 from trust to untrust any any grp1 permit attack CRIT:SMTP:SIGS action close set policy id 2 attack CRIT:POP3:SIGS action close
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
150
Protocolos compatibles
El mdulo Deep Inspection admite objetos de ataque de firma completa y objetos de ataque de anomala de protocolo para los protocolos y aplicaciones siguientes: Protocolos de red bsicos
Protocolo DNS Firma completa S Anomala de protocolo S Definicin El sistema de nombres de dominio (DNS) es un sistema de base de datos para traducir nombres de dominio a las direcciones IP como www.juniper.net = 207.17.137.68. El protocolo de tranferencia de archivos (FTP) es un protocolo para intercambiar archivos entre equipos a travs de una red. El protocolo de transferencia de hipertexto (HTTP) es un protocolo utilizado sobre todo para transferir informacin desde los servidores web a los clientes web. El protocolo de acceso a correo de Internet (IMAP) es un protocolo que proporciona servicios de almacenamiento y recuperacin del correo electrnico entrante, con la opcin de que los usuarios descarguen su correo electrnico o lo dejen en el servidor IMAP. NetBIOS (Sistema bsico de entrada-salida de red) es una interfaz de aplicacin con la que las aplicaciones de las estaciones de trabajo de los usuarios pueden acceder a los servicios de red proporcionados por los transportes de red como NetBEUI, SPX/IPX y TCP/IP. Protocolo de oficina de correo, versin 3 (POP3) es un protocolo que proporciona servicios de almacenamiento y recuperacin del correo electrnico entrante.
FTP
HTTP
IMAP
NetBIOS
POP3
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
151
Protocolo SMTP
Firma completa S
Anomala de protocolo S
Definicin El protocolo simple de transferencia de correo (SMTP) es un protocolo para la transferencia de correo electrnico entre servidores de correo.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
152
DC (Direct Connect)
No
eDonkey
No
Gnutella
KaZaa
No
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
153
Protocolo MLdonkey
Stateful Signature S
Protocolo Anomala No
Definicin MLdonkey es una aplicacin cliente P2P que puede ejecutarse en mltiples plataformas y acceder a mltiples redes P2P, como BitTorrent, DC, eDonkey, FastTrack (KaZaa y otros), Gnutella y Gnutella2. Skype es un servicio gratis de telefona por Internet P2P con el que los usuarios pueden hablar entre ellos a travs de una red TCP/IP como Internet. SMB (Bloque de mensajes de servidor) es un protocolo para compartir recursos como archivos e impresoras entre los equipos. SMB funciona encima del protocolo de NetBIOS. WinMX es una aplicacin para compartir archivos P2P con la que un cliente puede conectarse a varios servidores simultneamente.
Skype
No
SMB
WinMX
No
8.
Muchas de las aplicaciones P2P mostradas utilizan sus propios protocolos patentados.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
154
Si el dispositivo NetScreen dispone de acceso a http://help.netscreen.com/sigupdates/english, puede consultar el contenido de todos los grupos de objetos de ataque predefinidos y ver descripciones de los objetos de ataque predefinidos. Abra su explorador web y escriba una de las siguientes URLs en el campo de direccin: http://help.juniper.net/sigupdates/english/AIM.html http://help.juniper.net/sigupdates/english/DNS.html http://help.juniper.net/sigupdates/english/FTP.html http://help.juniper.net/sigupdates/english/GNUTELLA.html http://help.juniper.net/sigupdates/english/HTTP.html http://help.juniper.net/sigupdates/english/IMAP.html http://help.juniper.net/sigupdates/english/MSN.html http://help.juniper.net/sigupdates/english/NBDS.html http://help.juniper.net/sigupdates/english/NBNAME.html http://help.juniper.net/sigupdates/english/POP3.html http://help.juniper.net/sigupdates/english/SMTP.html http://help.juniper.net/sigupdates/english/MSRPC.html http://help.juniper.net/sigupdates/english/SMB.html http://help.juniper.net/sigupdates/english/YMSG.html Cada una de las URLs antedichas est vinculada a una pgina HTML que contiene una lista de todos los objetos de ataque predefinidos (agrupados por gravedad) para un protocolo determinado. Para consultar la descripcin de un objeto de ataque, haga clic en su nombre.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
155
Firmas completas
Una firma de ataque es un patrn que aparece cuando se est produciendo la explotacin de una determinada vulnerabilidad9. La firma puede ser un o patrn de trfico de capa 3 o 4, como cuando una direccin enva muchos paquetes a diversos nmeros de puerto de otra direccin (consulte Anlisis de puertos en la pgina 10) o un patrn textual, como cuando aparece una cadena de URL maliciosa en la carga de datos de un nico paquete HTTP o FTP. La cadena tambin puede ser un segmento de cdigo especfico o un valor determinado en el encabezado del paquete. Sin embargo, cuando el mdulo Deep Inspection (DI) de un dispositivo NetScreen busca un patrn textual, busca algo ms que slo una firma en un paquete; busca la firma en una porcin muy concreta del mismo (incluso aunque est fragmentado o segmentado), en todos los paquetes enviados en un determinado momento durante la vida de la sesin, y enviados por el iniciador de la conexin o por el dispositivo que responde. Cuando el mdulo DI busca un patrn textual, tiene en cuenta los papeles de los participantes (cliente o servidor) y supervisa el estado de la sesin para limitar su bsqueda slo a los elementos afectados por la explotacin de la vulnerabilidad para la que los atacantes utilizan el patrn. La utilizacin de informacin contextual para refinar el anlisis de paquetes reduce significativamente las falsas alarmas (o falsos positivos) y evita el procesamiento innecesario. El trmino firmas completas destaca este concepto de buscar firmas en los contextos de los papeles de los participantes y en el estado de la sesin. Para averiguar qu ventaja tiene considerar el contexto en el que se produce una firma, observe cmo el mdulo NetScreen DI examina los paquetes cuando est habilitado para detectar el ataque EXPN Root. Los atacantes utilizan el ataque EXPN Root para ampliar y exponer las listas de distribucin de un servidor de correo. Para detectar el ataque EXPN Root, el dispositivo NetScreen busca la firma expn root en la porcin de control de una sesin del protocolo simple de transferencia de correo (Simple Mail Transfer Protocol o SMTP). El dispositivo NetScreen examina solamente la porcin de control porque el ataque slo puede producirse ah. Si expn root ocurre en cualquier otra porcin de la sesin, no es un ataque. Aplicando una tcnica textual simple de deteccin de firmas en los paquetes, la firma expn root dispara una alarma incluso aunque aparezca en la porcin de datos de la conexin SMTP; es decir, en el cuerpo de un mensaje de correo electrnico. Si, por ejemplo, estuviese escribiendo a un colega un mensaje sobre ataques EXPN Root, un detector simple de firmas en paquetes lo considerara como un ataque. Utilizando firmas completas, el mdulo NetScreen DI puede distinguir entre cadenas de texto que sealan ataques y las que son ocurrencias inofensivas. Nota: Para ver una lista de los protocolos que tienen objetos de ataque de firma completa predefinidos, consulte Protocolos compatibles en la pgina 151.
9. Dado que el mdulo NetScreen DI admite expresiones regulares, puede utilizar comodines en la bsqueda de patrones. De este modo, una sola definicin de firma de ataque puede aplicarse a mltiples variaciones del patrn de ataque. Para obtener ms informacin sobre expresiones regulares, consulte Expresiones regulares en la pgina 188.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
156
Anomalas en el protocolo
Los objetos de ataque que buscan anomalas de protocolos detectan el trfico que incumple los estndares definidos en las normas RFC y extensiones comunes de RFC. Con los objetos de ataque de firma, se debe utilizar un patrn predefinido o crear uno nuevo; por lo tanto, slo se pueden detectar ataques conocidos. La deteccin de anomalas en los protocolos es particularmente til para detectar nuevos ataques o aqullos que no se pueden definir con un patrn textual. Nota: Para ver una lista de los protocolos que tienen objetos de ataque de anomala de protocolo predefinidos, consulte Protocolos compatibles en la pgina 151.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
157
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
158
Por ejemplo, si el dispositivo NetScreen detecta un ataque con el nivel de gravedad "Medium", la entrada correspondiente que aparecer en el registro de eventos tendr el nivel de gravedad "Warning" (advertencia). El nivel de gravedad predeterminado de todos los objetos de ataque se puede anular en uno o ms grupos de objetos de ataque referenciados en una directiva. Esto se realiza a nivel de directiva, entrando en el contexto de una directiva existente y asignando un nuevo nivel de gravedad a todos los grupos de objetos de ataque a los que haga referencia la directiva. A continuacin se muestra cmo cambiar mediante WebUI y CLI el nivel de gravedad de los grupos de objetos de ataque a los que se hace referencia en una directiva:
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
159
WebUI
Policies > Edit (para una directiva existente): Ejecute el siguiente procedimiento y haga clic en OK : > Deep Inspection: Seleccione una opcin de gravedad en la lista desplegable Severity y haga clic en OK .
CLI
ns-> set policy id number ns(policy: number )-> set di-severity { info | low | medium | high | critical } Para restablecer el ajuste original de nivel de gravedad de cada objeto de ataque, vuelva a introducir el contexto de una directiva y haga algo de lo siguiente:
WebUI
Policies > Edit (para una directiva existente): Ejecute el siguiente procedimiento y haga clic en OK : > Deep Inspection: Seleccione Default en la lista desplegable Severity y haga clic en OK .
CLI
ns-> set policy id number ns(policy: number )-> unset di-severity
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
160
Si el dispositivo NetScreen detecta una firma o un comportamiento anmalo, interrumpe la conexin y enva un TCP RST al cliente para cerrar a la sesin. Tambin habilita el registro de cualquier ataque descubierto, que es el comportamiento predeterminado. Nota: Para obtener informacin sobre las diversas acciones de ataque que el dispositivo NetScreen puede realizar, consulte Acciones de ataque en la pgina 164. Para obtener informacin sobre los ataques detectados de registro, consulte Registro de ataques en la pgina 176.
WebUI
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: DNS > Haga clic en Multiple , seleccione GNUTELLA y HTTP y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Action: Permit
10. Por razones de seguridad, no defina una directiva que permita a ningn host de la zona no fiable iniciar una sesin P2P con un host en la zona fiable.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
161
> Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Severity: Default Group: INFO:DNS :SIGS Action: Close Client Log: (seleccione) Severity: Default Group: INFO:GNUTELLA :ANOM Action: Close Client Log: (seleccione) Severity: Default Group: INFO:HTTP :SIGS Action: Close Client Log: (seleccione)
CLI
set policy id 1 from trust to untrust any any dns permit attack 11 INFO:DNS:SIGS action close-client set policy id 1 ns(policy:1)-> set service gnutella ns(policy:1)-> set service http ns(policy:1)-> set attack INFO:GNUTELLA:ANOM action close-client ns(policy:1)-> set attack INFO:HTTP:SIGS action close-client ns(policy:1)-> exit save
11. Puesto que el registro de ataques detectados se habilita de forma predeterminada, no tiene que especificar el registro mediante comandos de la interfaz CLI.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
162
WebUI
Objects > Attacks > Predefined: Desactive la casilla de verificacin de la columna Configure en el objeto de ataque que desee desactivar.
CLI
set attack disable attack_object_name Para volver a activar un objeto de ataque previamente desactivado, haga una de las siguientes acciones:
WebUI
Objects > Attacks > Predefined: Active la casilla de verificacin en la columna Configure en el objeto de ataque que desee activar.
CLI
unset attack disable attack_object_name
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 163
Acciones de ataque
ACCIONES DE ATAQUE
Cuando el dispositivo NetScreen detecta un ataque, realiza la accin que especifique para el grupo de ataques que contenga el objeto que coincide con el ataque. Las siete acciones se describen a continuacin, desde la ms grave a la ms leve: 12 Close (interrumpe la conexin y enva RST al cliente y al servidor ) Utilice esta opcin para las conexiones TCP. El dispositivo NetScreen interrumpe la conexin y enva TCP RST al cliente (origen) y al servidor (destino). Debido a que la entrega de notificaciones RST no es fiable, enviando un RST al cliente y al servidor se aumentan las posibilidades de que al menos uno reciba el RST y cierre la sesin. Close Server (interrumpe la conexin y enva RST al servidor) Utilice esta opcin para conexiones TCP entrantes procedentes de un cliente no fiable y dirigidas a un servidor protegido. Si, por ejemplo, el cliente intenta realizar un ataque, el dispositivo NetScreen interrumpe la conexin y enva un TCP RST slo al servidor para que borre sus recursos mientras el cliente queda a la espera. Close Client (interrumpe la conexin y enva RST al cliente) Utilice esta opcin para conexiones TCP salientes desde un cliente protegido hacia un servidor no fiable. Si, por ejemplo, el servidor enva una cadena URL maliciosa, el dispositivo NetScreen interrumpe la conexin y enva un RST slo al cliente para que borre sus recursos mientras el servidor queda a la espera. Drop (interrumpe la conexin sin enviar RST a nadie) Utilice esta opcin para conexiones UDP u otras conexiones no TCP, como DNS. El dispositivo NetScreen descarta todos los paquetes en una sesin, pero no enva TCP RST. Drop Packet (descarta un paquete determinado pero no interrumpe la conexin) Esta opcin descarta el paquete en el que se detecta una firma de ataque o una anomala de protocolo, pero no termina la sesin propiamente dicha. Utilice esta opcin para descartar paquetes mal formados sin interrumpir la sesin entera. Por ejemplo, si el dispositivo NetScreen detecta una firma de ataque o anomala de protocolo procedente de un proxy de AOL, descartar todo interrumpira todos los servicios de AOL. En lugar de ello, al descartar nicamente el paquete, se detiene el paquete problemtico sin detener el flujo del resto de paquetes.
12. El cliente es siempre el iniciador de una sesin; es decir, la direccin de origen de una directiva. El servidor es siempre el destinatario, o la direccin de destino.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
164
Acciones de ataque
Ignore (tras detectar una firma de ataque o una anomala, el dispositivo NetScreen efecta una entrada en el registro y deja de comprobar el resto de la conexin, o la ignora) Si el dispositivo NetScreen detecta una firma de ataque o anomala de protocolo, efecta una entrada en el registro de eventos pero no interrumpe la sesin en s. Utilice esta opcin para ajustar los falsos positivos durante la fase inicial de configuracin de su implementacin de Deep Inspection (DI). Utilice esta opcin tambin cuando un servicio utilice un nmero de puerto estndar para actividades de protocolo no estndar; por ejemplo, Yahoo Messenger utiliza el puerto 25 (puerto SMTP) para el trfico no SMTP. El dispositivo NetScreen registra la ocurrencia una vez por sesin (para no llenar el registro con falsos positivos), pero no lleva a cabo ninguna accin. None (ninguna accin) Resulta til para la identificacin inicial de tipos de ataques durante la fase inicial de configuracin de la implantacin de DI. Cuando el dispositivo NetScreen detecta una firma de ataque o anomala de protocolo, realiza una entrada en el registro de eventos pero no lleva a cabo ninguna accin sobre el trfico en s. El dispositivo NetScreen contina comprobando el trfico subsiguiente de esa sesin y realiza entradas en el registro si detecta otras firmas de ataque y anomalas. Puede crear una directiva que haga referencia a mltiples grupos de objetos de ataque, cada grupo con una accin diferente. Si el dispositivo NetScreen detecta simultneamente mltiples ataques que pertenezcan a grupos de objetos de ataque diferentes, aplicar la accin ms severa que haya especificado uno de esos grupos.
Acciones de ataque
Decide interrumpir la conexin y enviar una notificacin TCP RST solamente a los servidores web protegidos para que puedan terminar sus sesiones y borrar sus recursos. Usted prev recibir ataques de la zona Untrust. Directiva con ID 2: Permitir trfico HTTP, HTTPS, PING y FTP procedente de cualquier direccin de la zona Trust y dirigido a los servidores web (websrv1 y websrv2) de la zona DMZ. Ajuste de ataque para la directiva con ID 2: CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS HIGH:HTTP:ANOM, HIGH:HTTP:SIGS MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS CRITICAL:FTP:SIGS Accin para todos los grupos de objetos de ataque: Close Registro: Activado (ajuste predeterminado) Decide interrumpir la conexin y enviar una notificacin TCP RST tanto a los clientes como a los servidores protegidos para que ambos puedan terminar sus sesiones y borrar sus recursos sin importar el nivel de gravedad del ataque. Directiva con ID 3: Permitir el trfico FTP-GET, HTTP, HTTPS, PING desde cualquier direccin de la zona Trust a cualquier direccin de la zona Untrust. Ajuste de ataque para la directiva con ID 3: CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS HIGH:HTTP:ANOM, HIGH:HTTP:SIGS MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS CRITICAL:FTP:SIGS Accin para todos los grupos de objetos de ataque: Close Client Logging: Enabled (ajuste predeterminado) Optar por interrumpir la conexin y enviar una notificacin TCP RST a los clientes protegidos para que ambos puedan terminar sus sesiones y borrar sus recursos. En este caso, se prev un ataque procedente de un servidor HTTP o FTP no fiable. Aunque las directivas permiten HTTP, HTTPS, Ping, FTP-Get o FTP, el dispositivo NetScreen activa Deep Inspection solamente para el trfico HTTP y FTP. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
166
Acciones de ataque
Zona Untrust
ethernet3 1.1.1.1/24
Zona DMZ DI (Trust -> Untrust) HTTP:Crit, High, Med; FTP:Crit; Action:Close-client ethernet1 10.1.1.1/24
ethernet2 1.2.2.1/24
websrv1 1.2.2.5/24
websrv2 1.2.2.6/24
Zona Trust
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK : Interface Mode: NAT Service Options: Management Services: (seleccione todos) Other services: Ping
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 167
Acciones de ataque
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: websrv1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.5/32 Zone: DMZ Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: websrv2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.6/32 Zone: DMZ
3.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
168
Acciones de ataque
4.
ID de directiva 1
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), websrv1 > Haga clic en Multiple , seleccione websrv2 y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Service: HTTP > Haga clic en Multiple , seleccione FTP-GET , HTTPS , PING y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CRITICAL:HTTP :ANOM Action: Close Server Log: (seleccione) Group: CRITICAL:HTTP :SIGS Action: Close Server Log: (seleccione) Group: HIGH:HTTP:ANOM Action: Close Server Log: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
169
Acciones de ataque
Group: HIGH:HTTP:SIGS Action: Close Server Log: (seleccione) Group: MEDIUM:HTTP:ANOM Action: Close Server Log: (seleccione) Group: MEDIUM:HTTP:SIGS Action: Close Server Log: (seleccione) Group: CRITICAL:FTP :SIGS Action: Close Server Log: (seleccione)
5.
ID de directiva 2
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), websrv1 > Haga clic en Multiple , seleccione websrv2 y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Service: HTTP > Haga clic en Multiple , seleccione FTP-GET , HTTPS , PING y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Action: Permit
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
170
Acciones de ataque
> Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CRITICAL:HTTP :ANOM Action: Close Log: (seleccione) Group: CRITICAL:HTTP :SIGS Action: Close Log: (seleccione) Group: HIGH:HTTP:ANOM Action: Close Log: (seleccione) Group: HIGH:HTTP:SIGS Action: Close Log: (seleccione) Group: MEDIUM:HTTP:ANOM Action: Close Log: (seleccione) Group: MEDIUM:HTTP:SIGS Action: Close Log: (seleccione) Group: CRITICAL:FTP :SIGS Action: Close Log: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
171
Acciones de ataque
6.
ID de directiva 3
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP > Haga clic en Multiple , seleccione FTP-GET , HTTPS , PING y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CRITICAL:HTTP :ANOM Action: Close Client Log: (seleccione) Group: CRITICAL:HTTP :SIGS Action: Close Client Log: (seleccione) Group: HIGH:HTTP :ANOM Action: Close Client Log: (seleccione) Group: HIGH:HTTP :SIGS Action: Close Client Log: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
172
Acciones de ataque
Group: MEDIUM:HTTP:ANOM Action: Close Client Log: (seleccione) Group: MEDIUM:HTTP:SIGS Action: Close Client Log: (seleccione) Group: CRITICAL:FTP :SIGS Action: Close Client Log: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
173
Acciones de ataque
CLI
1. Interfaces
set set set set set set set interface interface interface interface interface interface interface ethernet1 ethernet1 ethernet1 ethernet3 ethernet3 ethernet2 ethernet2 zone trust ip 10.1.1.1/24 manage zone untrust ip 1.1.1.1/24 zone dmz ip 2.1.1.1/24
2.
Direcciones
set address dmz websrv1 1.2.2.5/32 set address dmz websrv2 1.2.2.6/32
3. 4.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
ID de directiva 1
set policy id 1 from untrust to dmz any websrv1 http permit attack CRITICAL:HTTP:ANOM action close-server set policy id 1 ns(policy:1)-> set dst-address websrv2 ns(policy:1)-> set service ftp-get ns(policy:1)-> set service https ns(policy:1)-> set service ping ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server ns(policy:1)-> set attack HIGH:HTTP:ANOM action close-server ns(policy:1)-> set attack HIGH:HTTP:SIGS action close-server ns(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-server ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-server ns(policy:1)-> set attack CRITICAL:FTP:SIGS action close-server ns(policy:1)-> exit
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
174
Acciones de ataque
5.
ID de directiva 2
set policy id 2 from trust to dmz any websrv1 http permit attack CRITICAL:HTTP:ANOM action close set policy id 2 ns(policy:2)-> set dst-address websrv2 ns(policy:2)-> set service ftp ns(policy:2)-> set service https ns(policy:2)-> set service ping ns(policy:2)-> set attack CRITICAL:HTTP:SIGS action close ns(policy:2)-> set attack HIGH:HTTP:ANOM action close ns(policy:2)-> set attack HIGH:HTTP:SIGS action close ns(policy:2)-> set attack MEDIUM:HTTP:ANOM action close ns(policy:2)-> set attack MEDIUM:HTTP:SIGS action close ns(policy:2)-> set attack CRITICAL:FTP:SIGS action close ns(policy:2)-> exit
6.
ID de directiva 3
set policy id 3 from trust to untrust any any http permit attack CRITICAL:HTTP:ANOM action close-client set policy id 3 ns(policy:3)-> set service ftp-get ns(policy:3)-> set service https ns(policy:3)-> set service ping ns(policy:3)-> set attack CRITICAL:HTTP:SIGS action close-client ns(policy:3)-> set attack HIGH:HTTP:ANOM action close-client ns(policy:3)-> set attack HIGH:HTTP:SIGS action close-client ns(policy:3)-> set attack MEDIUM:HTTP:ANOM action close-client ns(policy:3)-> set attack MEDIUM:HTTP:SIGS action close-client ns(policy:3)-> set attack CRITICAL:FTP:SIGS action close-client ns(policy:3)-> exit save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
175
Registro de ataques
REGISTRO DE ATAQUES
Puede habilitar el registro de ataques detectados por grupo de ataque y por directiva. Es decir, dentro de la misma directiva, puede aplicar mltiples grupos de ataque y habilitar selectivamente el registro de los ataques detectados slo para algunos de ellos. De forma predeterminada, el registro est activado. Puede que desee desactivar el registro de los ataques que tengan menos prioridad para usted y a los que no presta mucha atencin. De todos modos, desactivando el registro de esos ataques, ayuda a evitar que el registro de eventos se llene de entradas que no tiene pensado mirar.
WebUI
1. Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: mail1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.10/32 Zone: DMZ
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 176
Registro de ataques
2.
Directiva
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), mail1 Service: IMAP Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: HIGH:IMAP:ANOM Action: Close Log: (seleccione) Group: HIGH:IMAP:SIGS Action: Close Log: (seleccione) Group: MEDIUM:IMAP:ANOM Action: Close Log: (anule la seleccin) Group: LOW:IMAP:ANOM Action: Close Log: (anule la seleccin) Group: INFO:IMAP:ANOM Action: Close Log: (anule la seleccin)
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
177
Registro de ataques
CLI
1. 2. Direccin
set address dmz mail1 1.2.2.10/32
Directiva
ns-> set policy id 1 from trust to dmz any mail1 imap permit attack HIGH:IMAP:ANOM action close ns-> set policy id 1 ns(policy:1)-> set attack HIGH:IMAP:SIGS action close ns(policy:1)-> set attack MEDIUM:IMAP:ANOM action close ns(policy:1)-> unset attack MEDIUM:IMAP:ANOM logging ns(policy:1)-> set attack LOW:IMAP:ANOM action close ns(policy:1)-> unset attack LOW:IMAP:ANOM logging ns(policy:1)-> set attack INFO:IMAP:ANOM action close ns(policy:1)-> unset attack INFO:IMAP:ANOM logging ns(policy:1)-> exit ns-> save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
178
Sin embargo, el mdulo DI comprueba si hay ataques CRITICAL:FTP en el puerto 21, que no est siendo utilizado.
Para evitar este problema, es necesario informar al mdulo DI de que la aplicacin FTP se est ejecutando en el puerto 2121. Esencialmente, consiste en asignar el protocolo de la capa de aplicacin (Application Layer) a un nmero de puerto especfico en la capa de transporte (Transport Layer). Esta asociacin se puede realizar a nivel de directivas: set policy id 1 application ftp
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
179
Cuando se asigna la aplicacin FTP al servicio personalizado custom-ftp y se configura DI para que examine el trfico FTP en busca de los ataques definidos en el grupo de objetos de ataque CRITICAL:FTP:SIGS en una directiva que haga referencia a custom-ftp, el mdulo DI realiza su inspeccin en el puerto 2121. set policy id 1 from untrust to trust any ftp-srv1 custom-ftp permit attack CRITICAL:FTP:SIGS action close-server set policy id 1 application ftp
El cortafuegos de NetScreen permite trfico custom-ftp en el puerto 2121. Zona Untrust Internet custom-ftp (puerto 2121) El mdulo DI comprueba si hay ataques CRITICAL:FTP:SIGS en el puerto 2121. Zona Trust
ftp-srv1
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
180
WebUI
1. Servicio personalizado
Objects > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK : Service Name: HTTP1 Transport Protocol: TCP (seleccione) Source Port Low: 0 Source Port High: 65535 Destination Port Low: 8080 Destination Port High: 8080
2.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: server1 IP Address/Domain Name: IP/Netmask: 1.2.2.5/32 Zone: DMZ
3.
Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), server1 Service: HTTP1 Application: HTTP Action: Permit
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
181
> Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CRITICAL:HTTP :ANOM Action: Close Server Log: (seleccione) Group: CRITICAL:HTTP :SIGS Action: Close Client Log: (seleccione) Group: HIGH:HTTP:ANOM Action: Close Client Log: (seleccione) Group: HIGH:HTTP:SIGS Action: Close Client Log: (seleccione) Group: MEDIUM:HTTP:ANOM Action: Close Client Log: (seleccione) Group: MEDIUM:HTTP:SIGS Action: Close Client Log: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
182
CLI
1. 2. 3. Servicio personalizado
set service HTTP1 protocol tcp src-port 0-65535 dst-port 8080-8080
Direccin
set address dmz server1 1.2.2.5/32
Directiva
ns-> set policy id 1 from untrust to dmz any server1 HTTP1 permit attack CRITICAL:HTTP:ANOM action close-server ns-> set policy id 1 ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server ns(policy:1)-> set attack HIGH:HTTP:ANOM action close-server ns(policy:1)-> set attack HIGH:HTTP:SIGS action close-server ns(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-server ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-server ns(policy:1)-> exit ns-> set policy id 1 application http save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
183
WebUI
1. Servicio personalizado
Objects > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK : Service Name: HTTP2 Transport Protocol: TCP (seleccione) Source Port Low: 0 Source Port High: 65535 Destination Port Low: 8000 Destination Port High: 8000
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
184
2.
Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP2 Application: HTTP Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CRITICAL:HTTP:SIGS Action: Close Log: (seleccione) Group: MEDIUM:HTTP:SIGS Action: Close Log: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
185
CLI
1. 2. Servicio personalizado
set service HTTP2 protocol tcp src-port 0-65535 dst-port 8000-8000
Directiva
ns-> set policy id 1 from untrust to dmz any any HTTP2 permit attack CRITICAL:HTTP:SIGS action close ns-> set policy id 1 ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close ns(policy:1)-> exit ns-> set policy id 1 application http save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
186
A continuacin deber colocar un objeto de ataque definido por el usuario en un grupo de objetos de ataque definido por el usuario para su utilizacin en directivas. Nota: Un grupo de objetos de ataque definido por el usuario slo puede contener objetos de ataque definidos por el usuario. En el mismo grupo de objetos de ataque no se pueden mezclar objetos de ataque predefinidos y definidos por el usuario.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
187
Expresiones regulares
Para introducir el texto de una firma, puede escribir una cadena alfanumrica de caracteres normales para buscar coincidencias exactas carcter por carcter, o puede utilizar expresiones regulares para ampliar las posibles coincidencias de la bsqueda a conjuntos de caracteres. ScreenOS reconoce las siguientes expresiones regulares:
Finalidad Coincidencia binaria * directa (octal) Metacaracteres \O octal_number Ejemplo \0162 Coincide con: 162 \X hexadecimal_number \X \X01 A5 00 00\X Coincide con: 01 A5 00 00 \[cat\] Coincide con: Cat, cAt, caT CAt, CaT, CAT cat, cAt c.t Coincide con: cat, cbt, cct, czt cAt, cBt, cCt, cZt c1t, c2t, c3t, c9t Significado Coincidir exactamente con este nmero octal: 162.
Buscar las coincidencias exactas con estos cinco nmeros hexadecimales: 01 A5 00 00. Buscar los caracteres contenidos en cat sin importar si estn en letras maysculas o minsculas.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
188
Finalidad
Metacaracteres
Ejemplo a*b+c Coincide con: bc bbc abc aaabbbbc a+b+c Coincide con: abc aabc aaabbbbc
Significado Buscar 0, 1 o ms ocurrencias de a, seguidas por 1 o ms ocurrencias de b y seguidas por una ocurrencia de c.
Expresiones de grupos
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
189
Ejemplo [ c - f ] a (d | t) Coincide con: cad, cat dad, dat ead, eat fad, fat
Significado Buscar todo lo que comience con c, d, e o f, tenga la letra central a y la ltima letra d o t.
[^characters ]
Octal es el sistema numrico en base 8 que utiliza solamente los dgitos 0-7. Hexadecimal es un sistema numrico en base 16 que utiliza los dgitos 09 habituales ms las letras AF, que representan dgitos hexadecimales equivalentes a los valores decimales 1015.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
190
A continuacin los organizar en un grupo de objetos de ataque definido por el usuario llamado DMZ DI, al que har referencia en una directiva que permita el trfico de la zona Untrust a los servidores en la zona DMZ.
WebUI
1. Objeto de ataque 1: ftp-stor
Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic en OK : Attack Name: cs:ftp-stor Attack Context: FTP Command Attack Severity: Medium Attack Pattern: STOR
2.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
191
3.
4.
5.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
192
6.
Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP > Haga clic en Multiple , seleccione FTP y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CS:DMZ DI Action: Close Server Log: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
193
CLI
1. 2. 3. 4. 5. Objeto de ataque 1: ftp-stor
set attack cs:ftp-stor ftp-command STOR severity medium
6.
Directiva
set policy id 1 from untrust to dmz any any http permit attack CS:DMZ DI action close-server set policy id 1 ns(policy:1)-> set service ftp ns(policy:1)-> exit save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
194
Nombre
Tipo
Definicin
Nivel de gravedad
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
195
WebUI
1. Objeto de ataque de firma de secuencia
Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic en OK : Attack Name: CS:A1 Attack Context: Stream Attack Severity: Critical Attack Pattern: .*satori.*
2.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
196
3.
Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CS:Gr1 Action: Close Client Log: (seleccione)
CLI
1. 2. Objeto de ataque de firma de secuencia
set attack CS:A1 stream .*satori.* severity critical
3.
Directiva
set policy from trust to untrust any any any permit attack CS:Gr1 action close-client save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
197
Para los parmetros siguientes, establezca valores ms bajos para detectar el comportamiento anmalo que el dispositivo NetScreen no detect con los ajustes predeterminados:
Parmetro de protocolo AOL Instant Messenger (AIM) Longitud mxima del nombre de archivo OFT (transferencia de archivos OSCAR) OSCAR = Sistema abierto para la comunicacin en tiempo real, el protocolo que utilizan los clientes AIM. Predeterminado Nuevo 10.000 bytes 5.000 bytes
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
198
Parmetro de protocolo AOL Instant Messenger Longitud mxima de un marco FLAP (encabezado FLAP, que es siempre 6 bytes, ms datos) OSCAR usa el protocolo FLAP para establecer conexiones y abrir canales entre los clientes AIM.
WebUI
Nota: Debe utilizar el CLI para modificar los parmetros de anomala de protocolo.
CLI
set di set di set di set di save service service service service smb failed_logins 8 gnutella max_ttl_hops 10 aim max_flap_length 5000 aim max_oft_frame 5000
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
199
Negacin
NEGACIN
Normalmente, se utilizan objetos de ataque para buscar patrones que sean indicativos de una actividad malvola o anmala. Sin embargo, tambin puede utilizarlos para buscar patrones indicativos de una actividad benigna o legtima. Con este mtodo, solamente es sospechoso el tipo de trfico que no coincide con un patrn determinado. Para utilizar objetos de ataques de esta manera, ha de aplicar el concepto de negacin. Una aplicacin til de la negacin del objeto de ataque sera bloquear todos los intentos de inicio de sesin con excepcin de los que tengan el nombre de usuario y la contrasea correctos. Sera difcil definir todos los nombres de usuario y contraseas no vlidos, pero es muy fcil definir los correctos y a continuacin aplicar la negacin para invertir lo que el dispositivo NetScreen considere un ataque; es decir, todo excepto el objeto de ataque especificado.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
200
Negacin
Objeto de ataque 2: Name: CS:FTP1_PASS_OK Negation: enabled Context: ftp-password Pattern: pass1 Severity: high A continuacin pondr ambos objetos en un grupo de objetos de ataque llamado CS:FTP1_LOGIN y har referencia a ese grupo de objetos de ataque en dos directivas que permiten el trfico FTP desde las zonas Trust y Untrust a ftp1 en la zona DMZ.
Nota: Para mayor claridad, no se muestra el enrutador externo de la zona Untrust. Su direccin es 1.1.1.250. Intento de inicio de sesin: Nombre de usuario: admin1 Contrasea: pass1 ethernet2 1.2.2.1/24
Untrust Intento de inicio de sesin: Nombre de usuario: 123456 Contrasea: 123456 Internet
ethernet3 1.1.1.1/24
DMZ
ethernet1 10.1.1.1/24
LAN
LAN Trust
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
201
Negacin
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT (seleccione)13 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
13. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces asociadas a la zona Trust.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
202
Negacin
2.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ftp1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.5/32 Zone: DMZ
3.
4.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
203
Negacin
5.
6.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: (seleccione) 1.1.1.250
7.
Directivas
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), ftp1 Service: FTP Action: Permit
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
204
Negacin
> Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CS:FTP1_LOGIN Action: Drop Log: (seleccione) Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), ftp1 Service: FTP Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CS:FTP1_LOGIN Action: Drop Log: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
205
Negacin
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone dmz set interface ethernet2 ip 1.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2. 3.
Direccin
set address dmz ftp1 1.2.2.5/32
Objetos de ataque
set set set set set attack attack attack attack attack CS:FTP1_USR_OK ftp-username not admin1 severity high CS:FTP1_PASS_OK ftp-password not pass1 severity high group CS:FTP1_LOGIN group CS:FTP1_LOGIN add CS:FTP1_USR_OK group CS:FTP1_LOGIN add CS:FTP1_PASS_OK
4. 5.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
Directivas
set policy from untrust to dmz any ftp1 ftp permit attack CS:FTP1_LOGIN action drop set policy from trust to dmz any ftp1 ftp permit attack CS:FTP1_LOGIN action drop save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
206
Controles ActiveX
La tecnologa ActiveX de Microsoft permite a los diseadores web crear pginas web dinmicas e interactivas. Los controles ActiveX son componentes que permiten a diversos programas interactuar entre s. Por ejemplo, ActiveX permite a su explorador web abrir una hoja de clculo o mostrar su cuenta personal desde una base de datos backend. Los componentes de ActiveX tambin pueden contener otros componentes tales como applets de Java, o archivos como .exe y .zip.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
207
Cuando se visita un sitio web con ActiveX habilitado, el sitio pide descargar los controles de ActiveX al equipo. Microsoft proporciona un mensaje emergente que muestra el nombre de la empresa o del programador que autentic el cdigo ActiveX que se ofrece para su descarga. Si confia en la procedencia del cdigo, puede iniciar la descarga de los controles. Si no confa en el origen, puede rechazarlos. Si descarga un control ActiveX a su equipo, ste podr hacer con l lo que su creador haya previsto. Si es cdigo malvolo, podr volver a formatear su disco duro, eliminar todos sus archivos, enviar todo su correo electrnico personal a su jefe, etctera.
Applets de Java
Con una finalidad parecida a ActiveX, los applets de Java tambin aumentan la funcionalidad de las pginas web al permitirles interactuar con otros programas. Los applets de Java se descargan a una mquina virtual de Java (VM) en su equipo. En la versin inicial de Java, la mquina virtual no permita que los applets interactuaran con otros recursos de su equipo. A partir de Java 1.1, se relajaron algunas de estas restricciones para proporcionar mayor funcionalidad. Consecuentemente, los applets de Java ahora pueden acceder a recursos locales fuera de la VM. Debido a que un atacante puede programar los applets de Java para funcionar fuera de la VM, plantean la misma amenaza a la seguridad que los controles de ActiveX.
Archivos EXE
En los archivos ejecutables (archivos con la extensin .exe) descargados de Internet, no existe garanta de que puedan ejecutarse sin riesgo. Aunque el sitio de descarga sea de confianza, un usuario malintencionado podra estar rastreando las peticiones de descarga de ese sitio, interceptar su peticin y responder con un archivo .exe manipulado con cdigo daino.
Archivos ZIP
Un archivo ZIP (es decir, un archivo con la extensin .zip) es un tipo de archivo que contiene unos o ms archivos comprimidos. El peligro de descargar un archivo .exe como el presentado en la seccin anterior que trata sobre archivos .exe tambin puede aplicarse a los archivos .zip, ya que stos pueden contener archivos .exe.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
208
WebUI
Screening > Screen (Zone: Untrust): Seleccione Block Java Component y Block EXE Component y haga clic en Apply .
CLI
set zone untrust screen java set zone untrust screen exe save
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
209
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
210
Captulo 6
Segn se indica en otros captulos de este volumen, un atacante puede manipular los paquetes para que realicen tareas de reconocimiento o ataques de denegacin de servicios (Denial of Service o DoS). A veces resulta difcil determinar la intencin de un paquete manipulado, pero el mismo hecho de que est manipulado induce a sospechar que se est incluyendo con algn fin insidioso. Todas las opciones SCREEN presentadas en este captulo bloquean los paquetes sospechosos que pueden contener amenazas ocultas: Fragmentos ICMP en la pgina 212 Paquetes ICMP grandes en la pgina 214 Opciones IP incorrectas en la pgina 216 Protocolos desconocidos en la pgina 218 Fragmentos de paquetes IP en la pgina 220 Fragmentos SYN en la pgina 222
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
211
Fragmentos ICMP
FRAGMENTOS ICMP
El protocolo de mensajes de control de Internet (Internet Control Message Protocol o ICMP) ofrece posibilidades de comunicacin de errores y de sondeo de redes. Dado que los paquetes ICMP contienen mensajes muy cortos, no existe ningn motivo legtimo para que los paquetes ICMP resulten fragmentados. Cuando un paquete ICMP es tan grande que necesita fragmentarse, hay algn problema. Si habilita la opcin SCREEN ICMP Fragment Protection, el dispositivo NetScreen bloquea cualquier paquete ICMP que tenga el flag More Fragments activado o que contenga algn valor en el campo de desplazamiento (offset).
Si el tipo de protocolo es 1 para ICMP y el flag More Fragments o hay un valor distinto de cero en est activado el campo de desplazamiento del fragmento Tamao total del paquete (en bytes) Desplazamiento del fragmento
Encabezado IP
Versin
Tipo de servicio 0 D M
Direccin de origen Direccin de destino Opciones Encabezado ICMP (carga del paquete IP) Tipo Identificador Datos el dispositivo NetScreen bloquea el paquete. Cdigo Suma de comprobacin Nmero correlativo
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
212
Fragmentos ICMP
Para bloquear los paquetes ICMP fragmentados, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona en la que se originaron los fragmentos:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione ICMP Fragment Protection y haga clic en Apply .
CLI
set zone zone screen icmp-fragment
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
213
Encabezado IP
Versin
Tipo de servicio 0 D M
Tamao total del paquete (en bytes) Desplazamiento del fragmento Suma de comprobacin del encabezado
Direccin de origen Direccin de destino Opciones Encabezado ICMP (carga de paquete IP) Tipo Identificador Datos el dispositivo NetScreen bloquea el paquete. Cdigo Suma de comprobacin Nmero correlativo
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
214
Cuando se habilita la opcin SCREEN Large Size ICMP Packet Protection, el dispositivo NetScreen descarta los paquetes ICMP con un tamao superior a 1024 bytes. Para bloquear los paquetes ICMP de gran tamao, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona en la que se originaron los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Large Size ICMP Packet (Size > 1024) Protection y haga clic en Apply .
CLI
set zone zone screen icmp-large
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
215
Opciones IP incorrectas
OPCIONES IP INCORRECTAS
La norma del protocolo de Internet RFC 791, Internet Protocol especifica un conjunto de ocho opciones que ofrecen controles de enrutamiento especiales, herramientas de diagnstico y medidas de seguridad. Aunque la finalidad original prevista para estas opciones era legtima, algunas personas han hallado la forma de explotarlas para lograr objetivos menos loables. (Para ver un resumen de las vulnerabilidades de las opciones IP que los atacantes pueden explotar, consulte Reconocimiento de red mediante opciones IP en la pgina 12). Ya sea de forma intencionada o accidental, en ocasiones los atacantes desconfiguran las opciones IP y generan campos incompletos o mal formados. Con independencia de las intenciones de la persona que manipul el paquete, un formato incorrecto es de por s algo anmalo y potencialmente daino para el destinatario.
Encabezado IP
Versin Tamao del encabezado Tipo de servicio 0 Protocolo D Tamao total del paquete (en bytes) M Desplazamiento del fragmento
Direccin de destino Opciones Carga de datos Si las opciones IP estn mal formateadas, el dispositivo NetScreen registra el evento en los contadores SCREEN de la interfaz de entrada.
Cuando se habilita la opcin SCREEN Bad IP Option Protection, el dispositivo NetScreen bloquea los paquetes cuyo encabezado IP contenga cualquier opcin IP mal formateada. El dispositivo NetScreen registra el evento en el registro de eventos.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
216
Opciones IP incorrectas
Para detectar y bloquear paquetes con opciones IP incorrectamente formateadas, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona en la que se origin el paquete:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Bad IP Option Protection y haga clic en Apply .
CLI
set zone zone screen ip-bad-option
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
217
Protocolos desconocidos
PROTOCOLOS DESCONOCIDOS
Por el momento, los tipos de protocolos con los nmeros de identificacin 137 o superior estn reservados y no definidos. Debido precisamente a que estos protocolos no estn definidos, no se puede saber por adelantado si un determinado protocolo desconocido es legtimo o malvolo. Salvo que su red utilice un protocolo no estndar con un nmero de identificacin 137 o superior, una buena medida de precaucin es impedir que esos elementos desconocidos puedan entrar en su red protegida.
Si el nmero de identificacin del protocolo es 137 o superior, el dispositivo NetScreen bloquea el paquete. Tipo de servicio 0 Protocolo D Tamao total del paquete (en bytes) M Desplazamiento del fragmento
Encabezado IP
Versin Tamao del encabezado
Cuando se habilita la opcin SCREEN Unknown Protocol Protection, el dispositivo NetScreen descarta los paquetes cuyo campo de protocolo contenga un nmero de identificacin de protocolo 137 o superior.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
218
Protocolos desconocidos
Para descartar los paquetes que utilicen un protocolo desconocido, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona en la que se originan los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Unknown Protocol Protection y haga clic en Apply .
CLI
set zone zone screen unknown-protocol
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
219
Fragmentos de paquetes IP
FRAGMENTOS DE PAQUETES IP
A medida que los paquetes van pasando por diferentes redes, en ocasiones resulta necesario dividirlos en trozos ms pequeos (fragmentos) para adaptar su tamao a la unidad de transmisin mxima (Maximum Transmission Unit o MTU) de cada red. Aprovechando los fragmentos IP, un atacante puede intentar explotar las vulnerabilidades existentes en el cdigo de reensamblaje de paquetes de determinadas implementaciones de pilas IP (IP stacks). Cuando la vctima recibe estos paquetes, los resultados pueden variar desde un procesamiento incorrecto de los paquetes hasta la cada total del sistema.
Si el flag de ms fragmentos est activado o hay un valor distinto de cero en el campo de desplazamiento del fragmento
Encabezado IP
Versin Tamao del encabezado Tipo de servicio 0 Protocolo D M
Direccin de origen Direccin de destino Opciones Carga de datos el dispositivo NetScreen bloquea el paquete.
Cuando se habilita el dispositivo NetScreen para rechazar fragmentos IP en una zona de seguridad, el dispositivo bloquea todos los fragmentos de paquetes IP que reciba en las interfaces asociadas a esa zona.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
220
Fragmentos de paquetes IP
Para descartar los paquetes IP fragmentados, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona de origen de los fragmentos:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Block Fragment Traffic y haga clic en Apply .
CLI
set zone zone screen block-frag
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
221
Fragmentos SYN
FRAGMENTOS SYN
El protocolo de Internet (IP) encapsula los segmentos SYN del protocolo de control de transmisiones (Transmission Control Protocol o TCP) en el paquete IP que inicia una conexin de TCP. Dado que la finalidad de este paquete es iniciar una conexin e invocar un segmento SYN/ACK como respuesta, el segmento SYN generalmente no contiene datos. Como el paquete IP es pequeo, no existe ningn motivo legtimo para su fragmentacin. Un paquete SYN fragmentado es algo anmalo y, por lo tanto, sospechoso. Como medida preventiva, impida que tales elementos desconocidos puedan entrar en su red protegida. Cuando se habilita la opcin SCREEN SYN Fragment Detection, el dispositivo NetScreen detecta los paquetes cuyo encabezado IP indique que el paquete se ha fragmentado y que el flag SYN est activado en el encabezado TCP. El dispositivo NetScreen registra el evento en la lista de contadores SCREEN de la interfaz de entrada. Para descartar los paquetes IP que contengan fragmentos SYN, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona en la que se originan los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYN Fragment Protection y haga clic en Apply .
CLI
set zone zone screen syn-frag
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
222
Fragmentos SYN
Encabezado IP
Versin
Tipo de servicio 0 Protocolo Direccin de origen Direccin de destino Opciones (si las hay) D
Encabezado TCP
Nmero de secuencia de 32 bits Nmero de reconocimiento de 32 bits Tamao de encabezado Reservado (6 bits) U A P R S F R C S S Y I G K H T N N Tamao de ventana de 16 bits Indicador urgente de 16 bits
Suma de comprobacin de TCP de 16 bits Opciones (si las hay) Datos (si los hay) y el flag SYN est activado
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
223
Fragmentos SYN
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
224
Captulo 7
Puede configurar los dispositivos NetScreen para evitar ataques de sobrefacturacin de GPRS (servicio general de radio por paquetes). Solamente los dispositivos de serie NetScreen-500 y NetScreen-5000 admiten esta funcin.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
225
MS1 obtiene una direccin IP y solicita un tnel GTP al GGSN. El SGSN genera un tnel GTP por cada peticin de MS1. MS1 inicia una sesin con el servidor.
Servidor
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
226
Cuando el servidor comienza a enviar paquetes a MS1, MS1 enva simultneamente una peticin al SGSN para eliminar el tnel de GTP, pero deja la sesin abierta al servidor en el cortafuegos de Gi. El servidor contina enviando paquetes al GGSN. El cortafuegos de Gi, desconociendo que el tnel de GTP fue eliminado, reenva los paquetes al GGSN. El GGSN descarta los paquetes porque el tnel de GTP ya no existe. Una nueva estacin mvil, MS2 (la vctima), enva una peticin al SGSN de un tnel de GTP al GGSN y recibe una direccin IP de 2.2.1.2/32 (la misma direccin IP que utiliza MS1). El SGSN crea un nuevo tnel de GTP al GGSN. En el momento de la deteccin del nuevo tnel de GTP para la direccin IP de destino 2.2.1.2, el GGSN, que continu recibiendo paquetes para la antigua sesin con la misma direccin IP de destino pero MS diferente (MS1), reenva ahora estos paquetes a MS2. Aunque MS2 no solicit este trfico previsto para MS1, se le factura a MS2.
PLMN 1 MS1 solicita la eliminacin del tnel de GTP y abandona la sesin. SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi
Servidor
Internet
PLMN 1 Estacin mvil nueva (MS2: 2.2.1.2/32) SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi
Servidor
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
227
Mdulo de NSGP
El mdulo de NSGP incluye dos componentes: el cliente y el servidor. Esta versin de ScreenOS admite el componente del servidor de NSGP, que significa que puede configurar un dispositivo NetScreen para que haga de servidor, tambin conocido como cortafuegos Gi. El dispositivo cliente, tambin conocido como cortafuegos de GTP (Protocolo de tunelacin GPRS), debe ejecutar el firmware ScreenOS 5.0.0 GPRS (para obtener ms informacin, consulte el ScreenOS 5.0.0 GPRS Reference Guide). Hacemos referencia a un dispositivo NetScreen como cortafuegos Gi cuando se implementa en la interfaz Gi de una red GPRS. La interfaz Gi es la conexin entre un GGSN (nodo de soporte de la puerta de enlace GPRS) e Internet o las redes de destino conectadas con un PLMN. Hacemos referencia a un dispositivo NetScreen como cortafuegos de GTP cuando se implementa entre GGSN y SGSN (nodo de soporte de servicio GPRS) dentro del mismo PLMN.
La ilustracin siguiente describe cmo pueden impedir los dispositivos NetScreen los ataques de sobrefacturacin.
Despus de iniciar una sesin con el servidor y cuando el servidor comienza a enviar los paquetes a MS1, MS1 enva una peticin al SGSN para eliminar el tnel de GTP y abandonar la sesin. Con la eliminacin del tnel, el cortafuegos de GTP notifica inmediatamente al cortafuegos Gi de la eliminacin del tnel GTP. El cortafuegos Gi elimina la sesin de su tabla. Posteriormente, cuando el servidor intenta enviar paquetes al GGSN, el cortafuegos Gi los intercepta y los descarta. En consecuencia, una nueva MS, aunque sea usando la misma direccin IP que la MS anterior, no puede recibir el trfico que no ha iniciado ni se le puede facturar por ello.
MS1 solicita la eliminacin del tnel de GTP y abandona la sesin.
SGSN
GGSN
Servidor Internet
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
229
PLMN 1
Cortafuegos Gi 2.2.1.4/24
Servidor
Internet
WebUI
Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Untrust (seleccione) IP Address/Netmask: 2.2.1.4/24 Management Services: Telnet (seleccione) Other Services: Overbilling (seleccione)
1. Para emplear esta funcin, debe habilitarla en una interfaz en cada uno de los dispositivos NetScreen: el cortafuegos de GTP (cliente) y el cortafuegos Gi (servidor). La interfaz para el cliente y el servidor deben tener direcciones IP distintas. Adems, slo puede habilitar NSGP en una interfaz fsica de ethernet.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
230
Configuration > Advanced > NSGP (Overbilling): Introduzca lo siguiente, haga clic en Add y, a continuacin, haga clic en OK : Context ID: 2 Zone: Untrust
CLI
ns500-> ns500-> ns500-> ns500-> ns500-> save set set set set set interface ethernet1/2 zone Untrust interface ethernet1/2 ip 2.2.1.4/24 interface ethernet1/2 manage telnet interface ethernet1/2 nsgp nsgp context 2 type session zone untrust
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
231
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
232
Apndice A
El contexto define la ubicacin dentro del paquete donde el mdulo NetScreen Deep Inspection (DI) busca una firma que coincida con el patrn del objeto de ataque. Al definir un objeto de ataque de firma completa, puede especificar cualquier contexto de las listas siguientes. Despus de definir un objeto de ataque, debe colocarlo en un grupo de objetos de ataque definido por el usuario para su uso en las directivas. Nota: Un grupo de objetos de ataque definido por el usuario slo puede contener objetos de ataque definidos por el usuario. En el mismo grupo de objetos de ataque no se pueden mezclar objetos de ataque predefinidos con otros objetos de ataque definidos por el usuario.
Protocolo AIM Contexto aim-chatroom-desc aim-chatroom-name aim-get-file aim-nick-name aim-put-file aim-screen-name Descripcin (establece el contexto como...) la descripcin de una sala de chat en una sesin de America Online Instant Messenger (AIM) o ICQ (I Seek You) el nombre de una sala de chat en una sesin AIM o ICQ el nombre de un archivo que un usuario est transfiriendo desde un interlocutor el alias de un usuario de AIM o ICQ el nombre de un archivo que un usuario est transfiriendo a un interlocutor el nombre en pantalla de un usuario AIM o ICQ
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
A-I
Protocolo DNS
Contexto dns-cname
Descripcin (establece el contexto como...) el CNAME (nombre cannico) en una peticin o respuesta de sistema de nombre de dominio (DNS), tal y como se define en la norma RFC 1035, Domain Names Implementation and Specification.
FTP
uno de los comandos FTP especificados en la norma RFC 959, File Transfer Protocol (FTP) una contrasea de inicio de sesin de FTP un directorio o nombre de archivo en cualquier comando FTP el nombre que un usuario introduce al iniciar una sesin en un servidor FTP el nombre de un archivo que un cliente Gnutella intenta descargar el nombre de usuario y la contrasea descodificados a partir de un encabezado Authorization: Basic en una peticin HTTP, tal y como se especifica en la norma RFC 1945, Hypertext Transfer Protocol HTTP/1.0 el campo user-agent del encabezado de una peticin HTTP (cuando los usuarios visitan una pgina web, en este campo proporcionan informacin sobre sus exploradores). una lnea de peticin HTTP la lnea de estado en una respuesta HTTP (la lnea de estado es un cdigo de tres cifras que un servidor web enva a un cliente para comunicarle el estado de una conexin. Por ejemplo, 401 quiere decir Unauthorized y 404 quiere decir Not found). el texto, o los datos HTML, de una transaccin HTTP
Gnutella HTTP
gnutella-httpget-filename http-authorization
http-text-html
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
A-II
Protocolo
Descripcin (establece el contexto como...) el localizador de recurso uniforme (URL) de una peticin HTTP tal y como aparece en la secuencia de datos una cadena de texto normalizada descodificada a partir de una cadena unicode que comprende la URL utilizada en HTTP una variable de interfaz de puerta de enlace comn (CGI) descodificada en la URL de una peticin HTTP-GET un argumento en un comando AUTHENTICATE de Internet Mail Access Protocol (IMAP). El argumento indica el tipo de mecanismo de autenticacin que el cliente IMAP propone al servidor. Ejemplos de ello son KERBEROS_V4, GSSAPI (consulte la norma RFC 1508, Generic Security Service Application Program Interface) y SKEY. Para obtener informacin acerca de IMAP, consulte las normas RFCs 1730, Internet Message Access Protocol - Version 4, y RFC 1731, IMAP4 Authentication Mechanisms.
IMAP
imap-authenticate
el nombre de usuario o la contrasea con texto sin formato en un comando LOGIN de IMAP la cadena de texto del buzn en un comando SELECT de IMAP el nombre de usuario en un comando LOGIN de IMAP
msn-display-name el nombre visible de un usuario en una sesin de mensajera instantnea de Microsoft Network (MSN) msn-get-file msn-put-file msn-sign-in-name el nombre de un archivo que un cliente se est descargando desde un interlocutor el nombre de un archivo que un cliente est enviando a un interlocutor el nombre en pantalla (nombre de usuario) de un usuario de la mensajera instantnea MSN
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
A-III
Protocolo POP3
Contexto pop3-auth
Descripcin (establece el contexto como...) el comando AUTH en una sesin de Post Office Protocol, versin 3 (POP3) Para obtener informacin acerca de POP3, consulte la norma RFC 1939, Post Office Protocol Version 3 la cadena de texto en el encabezado From: (remitente) de un correo electrnico en una transaccin POP3 la cadena de texto de cualquier lnea de encabezado de un correo electrnico en una transaccin POP3 la cadena de texto en el encabezado Subject: (asunto) de un correo electrnico en una transaccin POP3 la cadena de texto en el encabezado To: (destinatario) de un correo electrnico en una transaccin POP3 el nombre del archivo de contenido de un archivo adjunto Multipurpose Internet Mail Extensions (MIME) en una sesin POP3 el nombre de usuario en una sesin POP3
smb-account-name el nombre de una cuenta de Server Message Blocks (SMB) en una peticin SESSION_SETUP_ANDX de una sesin SMB smb-connect-path smb-connectservice la ruta de conexin en la peticin TREE_CONNECT_ANDX de una sesin SMB el nombre del servicio de conexin en una peticin TREE_CONNECT_ANDX de una sesin SMB
smb-copy-filename el nombre de un archivo en una peticin COPY de una sesin SMB smb-deletefilename smb-openfilename el nombre de un archivo en una peticin DELETE de una sesin SMB el nombre de un archivo en las peticiones NT_CREATE_ANDX y OPEN_ANDX de una sesin SMB
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
A-IV
Protocolo SMTP
Contexto smtp-from
Descripcin (establece el contexto como...) la cadena de texto en una lnea de comandos MAIL FROM de una sesin Simple Mail Transfer Protocol (SMTP), tal y como se describe en la norma RFC 2821, Simple Mail Transfer Protocol la cadena de texto en el encabezado From: (remitente) de una sesin SMTP la cadena de texto en cualquier lnea de encabezado de una sesin SMTP la cadena de texto en el encabezado Subject: (asunto) de una sesin SMTP la cadena de texto en el encabezado To: (destinatario) de una sesin SMTP el nombre del archivo de contenido de un archivo adjunto Multipurpose Internet Mail Extensions (MIME) en una sesin SMTP la cadena de texto en la lnea de comandos RCPT TO de una sesin SMTP los primeros 256 bytes de una secuencia de datos TCP reensamblada y normalizada el nombre identificativo alternativo asociado con el usuario principal de un usuario de mensajera instantnea de Yahoo! el texto de los mensajes intercambiados en una sala de chat de mensajera instantnea de Yahoo! el nombre de una sala de chat de mensajera instantnea de Yahoo! el alias de un usuario de mensajera instantnea de Yahoo!
smtp-header-from smtp-header-line smtp-headersubject smtp-header-to smtp-mimecontent-filename smtp-rcpt Yahoo! Messenger stream256 ymsg-alias ymsg-chatroommessage ymsg-chatroomname ymsg-nickname
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
A-V
Descripcin (establece el contexto como...) la ubicacin de un archivo en un equipo de interlocutor de mensajera instantnea de Yahoo! desde la cual se puede descargar dicho archivo la ubicacin de un archivo en un equipo de interlocutor de mensajera instantnea de Yahoo! a la cual se puede descargar dicho archivo
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
A-VI
ndice
ndice
acciones de ataque 164175 close 164 close client 164 close server 164 drop 164 drop packet 164 ignore 165 none 165 AIM 152 ALG 82 America Online Instant Messaging vase AIM 152 anlisis antivirus 86110 correo web HTTP 91 descompresin 106 FTP 87 goteo HTTP 109 HTTP 89 HTTP keep-alive 108 IMAP 92 MIME 90 modo de fallo 108 POP3 92 recursos de AV por cliente 107 SMTP 94 suscripcin 96 anlisis de puertos 10 anlisis FIN 22 anomalas del protocolo 157 ALGs 154 aplicaciones de mensajera inmediata 152 aplicaciones P2P 153 configuracin de parmetros 198 protocolos admitidos 151155 protocolos de red bsicos 151 applets Java, bloquear 208 archivos exe, bloquear 208 archivos zip, bloquear 208 ataque de sobrefacturacin descripcin 226 solucin 228 ataque Teardrop 75 ataque terrestre 71 ataque WinNuke 77 ataques ataque terrestre 71 direcciones MAC desconocidas 58 etapas 2 fragmentos de paquetes IP 220 fragmentos ICMP 212
fragmentos SYN 222223 inundacin de la tabla de sesiones 25, 42 inundacin ICMP 67 inundacin SYN 5258 inundacin UDP 69 objetivos comunes 1 opciones de deteccin y defensa 35 paquetes ICMP grandes 214 Ping of Death 73 protocolos desconocidos 218 Teardrop 75 WinNuke 77 AV, anlisis vase anlisis antivirus
barrido de direcciones 8 base de datos de objetos de ataque 141148 actualizacin automtica 141, 144 actualizacin inmediata 141, 142 actualizacin manual 142, 147 cambiar la URL predeterminada 147 notificacin automtica y actualizacin manual 142, 145
CLI convenciones vii cloque de mensajes de servidor vase SMB comprobacin de SYN 22, 2326 agujero de reconocimiento 25 enrutamiento asimtrico 24 interrupcin de sesin 24 inundacin de la tabla de sesiones 25 conjuntos de caracteres compatibles con ScreenOS xi controles ActiveX, bloqueo 207 convenciones CLI vii ilustracin x nombres xi WebUI viii
base de datos de objetos de ataque 141148 cambiar gravedad 159 contexto I expresiones regulares 188190 firmas completas 156 firmas de secuencias 157 firmas personalizadas 188194 grupos de objetos de ataque 158 inhabilitar objetos de ataque 163 negacin del objeto de ataque 200 objetos de ataque 138 objetos de ataque personalizados 187 registro de grupos de objetos de ataque 176 servicios personalizados 179186 vista general 137 volver a activar objetos de ataque 163 denegacin de servicio vase DoS descompresin, anlisis antivirus 106 directivas contexto 140 filtrado de URL 131 seccin central 24, 139 DoS 4178 ataque especfico del sistema operativo 7378 cortafuegos 4251 inundacin de la tabla de sesiones 25, 42 red 5272 drop-no-rpf-route 28
envejecimiento agresivo 4649 establecimiento de conexin en tres fases 52 evasin 2238 exploits vase ataques expresiones regulares 188190
DDoS 41 Deep Inspection 159194 acciones de ataque 164175 anomalas del protocolo 157
filtrado de contenidos 79134 filtrado de paquetes dinmico 3 filtrado de URL 111, 126134 activacin en el nivel de dispositivo 131 aplicacin de perfiles a directivas 120 aplicacin en el nivel de directivas 131 cach 125 categoras URL 115 enrutamiento 132 estado del servidor 131 integrada 112
Juniper Networks NetScreen conceptos y ejemplos Volume 4: Mecanismos de deteccin de ataques y defensa
IX-I
ndice
introducir un contexto 113 mensaje de URL bloqueada de NetScreen 130 nombre del servidor SurfControl 129 nombre del servidor Websense 129 perfiles 117 puerto del servidor SurfControl 129 puerto del servidor Websense 129 reenviar 126 servidores CPA de SurfControl 112 servidores por vsys 128 servidores SurfControl 124 SurfControl SCFP 128 tiempo de espera de comunicaciones communication timeout 129 tipo de mensaje de URL bloqueada 130 FIN sin flag ACK 18 firmas completas 156 definicin 156 firmas de secuencias 157 flags SYN y FIN activados 16 Fragmentos SYN 222223
umbral 53 umbral de alarma 56 umbral de ataque 56 umbral de destino 57 umbral de origen 57 inundacin UDP 69 IP fragmentos de paquetes 220
lmites de sesiones 4246 de destino 43, 46 segn sus orgenes 42, 45 Llamada a procedimientos remotos de Microsoft vase MS-RPC 154
opcin IP de ruta de origen estricta 14, 3638 opciones IP 1215 atributos 1214 formateadas incorrectamente 216 grabacin de ruta 13, 15 ID de secuencia 14, 15 marca de hora 14, 15 ruta de origen 36 ruta de origen abierta 13, 3638 ruta de origen estricta 14, 3638 seguridad 13, 15
P
P2P 153 BitTorrent 153 DC 153 eDonkey 153 FastTrack 153 Gnutella 153 KaZaa 153 MLdonkey 154 Skype 154 SMB 154 WinMX 154 Ping of Death 73 prevencin de ataques de sobrefacturacin configuracin 230 prevencin de ataques de sobrefacturacin de GPRS 225231 proteccin contra URL maliciosas 8185 proteccin frente a ataques nivel de directivas 5 nivel de zona de seguridad 5 protocolos desconocidos 218 puerta de enlace en la capa de aplicacin vase ALG punto a punto vase P2P
G
grupos de objetos de ataque 158 aplicado en directivas 150 cambiar gravedad 159 niveles de gravedad 158 registro 176 URLs de ayuda 155
H
HTTP bloqueo de componentes 207209 goteo 109 mtodo keep-alive 108 tiempo de espera de la sesin 48
mensajera inmediata 152 AIM 152 MSN Messenger 152 Yahoo! Messenger 152 Microsoft Network Instant Messenger Consulte MSN Messenger MIME, anlisis AV 90 modo de fallo 108 modo transparente descartar las direcciones MAC desconocidas 58 MSN Messenger 152 MS-RPC 154
I
ICMP fragmentos 212 paquetes grandes 214 ilustracin convenciones x inspeccin de estado 3 inundacin de la tabla de sesiones 25, 42 inundacin del proxy SYN-ACK-ACK 50 inundacin ICMP 67 inundacin SYN 5258 ataque 52 descartar las direcciones MAC desconocidas 58 tamao de la cola 58 tiempo de espera 58
objetos AV tiempo de espera 103 objetos de ataque 138, 149157 anomalas del protocolo 157, 198 desactivar 163 firmas completas 156 firmas de secuencias 157 firmas de secuencias TCP 195 negacin 200 volver a activar 163 opcin de seguridad IP 13, 15 opcin IP de grabacin de ruta 13, 15 opcin IP de ID de secuencia 14, 15 opcin IP de marca de hora 14, 15 opcin IP de ruta de origen abierta 13, 3638
rastreo puertos abiertos 10 red 8 sistemas operativos 1620 reconocimiento 738 anlisis de puertos 10 anlisis FIN 22 barrido de direcciones 8 flags SYN y FIN activados 16 opciones IP 12 paquete TCP sin flags 20 reensamblaje de fragmentos 8185 registro grupos de objetos de ataque 176
Juniper Networks NetScreen conceptos y ejemplos Volume 4: Mecanismos de deteccin de ataques y defensa
IX-II
ndice
RFCs 1035, Domain NamesImplementation and Specification II 1038, Revised IP Security Option 13 1508, Generic Security Service Application Program Interface III 1730, Internet Message Access Protocol Version 4 III 1731, IMAP4 Authentication Mechanisms III 1939, Post Office Protocol - Version 3 IV 1945, Hypertext Transfer Protocol HTTP/1.0 II 2821, Simple Mail Transfer Protocol V 791, Internet Protocol 12, 13, 73, 216 792, Internet Control Message Protocol 73 793, Transmission Control Protocol 18 959, File Transfer Protocol (FTP) II
SCREEN anlisis de puertos 10 ataque terrestre 71 ataque WinNuke 77 barrido de direcciones 8 descartar las direcciones MAC desconocidas 58 FIN sin ACK 22 FIN sin flag ACK, descarte 18
flags SYN y FIN activados 16 fragmentos de paquetes IP, bloquear 220 fragmentos ICMP, bloquear 212 fragmentos SYN, detectar 222223 inundacin del proxy SYN-ACK-ACK 50 inundacin ICMP 67 inundacin SYN 5258 inundacin UDP 69 opcin IP de ruta de origen abierta, detectar 38 opcin IP de ruta de origen estricta, detectar 38 opcin IP de ruta de origen, denegar 38 opciones IP 12 opciones IP incorrectas, descartar 216 paquete TCP sin flags, detectar 20 paquetes ICMP grandes, bloquear 214 Ping of Death 73 protocolos desconocidos, descartar 218 suplantacin de IP 2735 Teardrop 75 zonas VLAN y MGT 3 servicios personalizados 179 SMB NetBIOS 154 suplantacin de IP 2735 capa 2 28, 34 capa 3 27, 30
T
TCP firmas de secuencias 195 paquete sin flags 20 tiempo de espera de la sesin 47 tiempo de espera de la sesin HTTP 48 TCP 47 UDP 48
U
UDP tiempo de espera de la sesin 48 umbral inferior 47 umbral superior 47
Y
Yahoo! Messenger 152
Z
zombie, agente 41, 43
Juniper Networks NetScreen conceptos y ejemplos Volume 4: Mecanismos de deteccin de ataques y defensa
IX-III
ndice
Juniper Networks NetScreen conceptos y ejemplos Volume 4: Mecanismos de deteccin de ataques y defensa
IX-IV